C’est France Culture qui a donné le ton du FIC 2013 en titrant son choix de la rédaction « Vers une cyber-armée Française ». Le langage pudibond consistant à ne parler que de défense passive et de protection des S.I. face aux attaquants inconnus est en train d’évoluer, voire de changer du tout au tout. Et ce notamment grâce à cins leitmotiv : Stuxnet, Aramco, Areva, Bercy et l’attaque de l’Elysée. Cinq cas qui prouvent sans l’ombre d’un doute que l’adversaire n’est plus seulement un groupuscule de mafieux Russes, Africains ou Brésiliens, mais bel et bien les forces des cyber-armées ou de cyber-renseignement agissant pour le compte d’un Etat-Nation, cinq cas qui indiquent sans l’ombre d’un doute les « ventres mous » stratégiquement intéressants pour des adversaires économiques. Les rouages administratifs dans un premier temps (Bercy, l’Elysée), les secteurs industriels liés à l’énergie, voir à la défense nationale (Areva, Aramco, Stuxnet).
L’esquisse d’un cyber-corps de combattants se dessine donc en Europe (notamment avec la récente création du Centre Européen de lutte contre la Cybercriminalité) mais également en France, où l’on entend de plus en plus souvent des militaires parler des conséquences « dramatiques » d’une cyber-bombe « qui pourrait tuer ou blesser » en attendant quelques propositions distillées au fil du prochain « livre blanc de la Défense ». Pourquoi ici, pourquoi maintenant ? « Parce que l’arrivée de IP a fortement fragilisé les infrastructures des réseaux d’automatisation industrielle » entend-on. « Parce qu’Internet véhicule sans filtrage des messages de tous bords, provenant aussi bien d’extrémistes que de canaux d’informations officiels », « parce qu’Internet permet à des forces malveillantes d’atteindre les serveurs des entreprises et ainsi les frapper au cœur »…
Pourtant, aussi loin que remonte la mémoire Internet (autrement dit celle du Darpa), les armées et les universités du monde occidental se regardent en chien de faïence et cherchent à se protéger de leurs tentatives d’indiscrétions mutuelles. Pourtant, les bus « propriétaires standards » en usage dans le monde industriel (Modbus notamment, mais ce n’est pas le seul) n’ont jamais été conçus dans une optique « security in mind » et ont toujours été réputés vulnérables. Pas plus d’ailleurs que certains réseaux télécoms d’opérateur orientés données, ainsi X25 ou de très réputés réseaux bancaires. Les interconnexions avec un réseau public n’ont fait que mettre en évidence une fragilité coupable qui existait depuis la nuit des temps. Pourtant, la récupération des outils informatiques à des fins activistes ou politique ne date pas d’hier. Souvenons-nous de JerusalemB. Les fondateurs d’Internet, outil partiellement d’origine militaire, ne pouvait ignorer ces risques que certains visiteurs du FIC, notamment parmi les chefs d’entreprise invités, semblaient découvrir avec surprise.
Le risque cyber est inscrit dans les gènes d’internet, qu’il soit criminel, activiste, politique ou martial. La croissance de ce risque proportionnellement à l’accroissement du réseau et du nombre d’usagers était également prévisible. Les premiers à s’en être rendu compte ont été les spécialistes des scam nigérian, les vendeurs de pilules bleues et dompteurs de botnets du RBN et autres réseaux mafieux ou les artistes du phishing que semble tout à coup découvrir tel fournisseur d’énergie Français ou telle banque. Internet, développé à grand renforts de subsides d’Etat et de travaux des grands opérateurs Télécom pour la seule gloire d’un cyber-commerce florissant. Une course au mercantilisme et à la protection des métiers marchands qui s’est parfois forgée au détriment des libertés citoyennes et cyber-citoyennes, et qui, surtout, a fait perdre de vue aux différents Etat-Nation ces risques génétiques qu’ils connaissaient pourtant fort bien. Le réveil est brutal et risque de provoquer encore, dans les quelques années à venir, des décisions hâtives et des lois expéditives sous prétexte « qu’il fallait faire quelque chose ». Il reste à espérer que d’autres FIC sauront encore mieux faire passer les messages, situer les réelles menaces, et apporter des métriques sérieuses permettant aux politiques de prendre des décisions réfléchies.