Qu’il s’agisse de la tentative d’attentat d’Abdul Mutallab ou de la cyber-attaque Chinoise, il n’y a pas de différence fondamentale dans les réactions des médias d’actualité : toujours la même confusion entre la critique à posteriori et la tentative d’analyse « post mortem ». Dans les colonnes d’InformationWeek, rubrique Government Blog tenu par John Foley, l’on peut lire un déchirant « Nous le savions, nous avions les signes » et de citer le fameux rapport Grumman dont nous mentionnions l’existence début novembre dernier. Las, cela fait déjà plusieurs années que les chefs militaires de la République Populaire de Chine mentionnent dans leurs études les avantages économiques d’une cyber-guerre : investissements faibles, parades pratiquement impossibles compte tenu de la surface de vulnérabilité de l’adversaire et du prix des contre-mesures, absence de « preuves » tangibles quand à l’origine de l’attaque, effet de levier médiatique entraînant des réactions disproportionnées de la part du pays visé, totale opacité des liens entre les « groupuscules nationalistes incontrôlés » et les hautes sphères de l’Etat…
Et c’est avec un à -propos (ou un opportunisme) singulier que l’Avert de McAfee publie un pavé de 44 pages : In the Crossfire, Critical Infrastructure in the Age of Cyber War. Il y est question des risques probables d’attaques contre les infrastructures Scada aux USA comme dans le reste du monde. L’étude s’est penchée sur les témoignages de 600 responsables IT d’infrastructures nationales répartis dans 14 pays, qui, tous, semblent avoir connu des expériences semblables : Près de 40% de ces responsables avouent avoir essuyé des assauts à grande échelle ou des tentatives d’infiltration sophistiquées qui « seraient probablement provoquées à l’initiative de gouvernements étrangers » (sic). Pessimistes, les personnes interrogées pensent que le problème ne peut qu’empirer et que 80% des architectures pourraient faire les frais d’une compromission dans les 5 ans à venir. Un « étranger » étant, dans 36% des cas, les Etats-Unis, et dans 33% des cas la Chine. Le seul coût des temps d’immobilisation de ces attaques est estimé par les chercheurs de McAfee à près de 6,3 millions de dollars par jour. Si l’on se penche spécifiquement sur les responsables d’infrastructures Scada, près de 76% d’entre eux avouent que leurs systèmes sont connectés à Internet ou à d’autres réseaux IP, et que ce pontage pose, dans la moitié des cas, des « problèmes de sécurité non résolus ».
Ces craintes et ces constats chiffrés impressionnent par leur ampleur… peut-être moins par leurs conséquences. Plusieurs passages du rapport de McAfee soulèvent un point rarement évoqué dans d’autres études du même genre : la gravité, les conséquences d’une cyberattaque sont directement proportionnelle à l’état d’avancement technologique du pays victime, quelque soit l’importance de son réseau de machines. Cela s’explique probablement par la possibilité (ou la croyance) d’un retour aux techniques de traitement traditionnelles « d’avant l’informatique » et de la proportion que représente l’informatisation des réseaux sensibles. A cela s’ajoute le niveau de sensibilisation de la population. Ainsi, malgré le niveau très élevé des investissements consacrés à la protection des réseaux, le « taux de victimisation » est considérablement plus faible en Chine qu’aux USA ou en Europe. A contrario, la situation est considérablement plus critique en Inde, où le niveau de protection est considéré comme très bas. En conséquence de quoi, le nombre de botnets et de postes infectés y atteint des taux plus élevés que ce que l’on peut mesurer en additionnant les métriques de Chine et de Russie.
S’ajoutent aux risques grandissants de perméabilité des réseaux d’infrastructure la rapide obsolescence des logiciels spécialisés… qui, eux, sont rarement remis à jour. Une lenteur attribuée à la trop grande interdépendance entre le logiciel et le matériel à asservir, lequel date parfois des années d’après guerre. Les remplacer serait à la fois excessivement complexe et coûterait une fortune. Dans ces conditions, explique l’un des interviewés, « il ne peut y avoir le moindre mécanisme pour revoir le système et le modifier chaque fois qu’une vulnérabilité y est découverte ».
Un chapitre entier du rapport s’attache à une question quasi surréaliste : « pensez vous que le cadre juridique en place offre une quelconque efficacité contre les cyber-attaquants ». Question à laquelle, en moyenne, 48 % des personnes interrogées pensent que « non » (dont plus de 70 % en Russie, et à peine plus de 35% en Allemagne, 48% en France). Cela montre à quel point les DSI ont une vision très éloignée de celles des responsables des cellules sécurité : dans l’état actuel du droit international, les chances de voir une loi « fonctionner » en dehors des frontières est proche de l’inverse de l’infini. En revanche, une large majorité de personnes pense effectivement qu’un surcroît de règlementations et de législation représenterait « une masse d’activités aussi inutiles que coûteuses, et qui n’apporterait que très peu, voire pas la moindre amélioration de la situation d’un point de vue sécurité ».
Le dernier volet de l’étude est de loin le plus intéressant, car il dessine une « nouvelle carte » des influences militaro-politiques revues à la sauce cyber. A la question « quel est l’ennemi que vous craignez le plus, les Etats-Unis sont cités essentiellement par les responsables Chinois, Brésiliens, Espagnols, Mexicains, Russes et Allemands. La Chine, quand à elle, effraye majoritairement les Britanniques, Français, Italiens, Japonais et bien entendu les Etats-Uniens. L’Arabie Saoudite est plus inquiète lorsqu’elle regarde du côté de la Russie. Les craintes, fantasmées ou non, s’avèrent donc parfois relativement éloignées de ce celles provoquées par les tensions géopolitiques classiques. C’est notamment le cas d’un Mexique qui se méfie très nettement de son voisin immédiat. C’est le cas également des Allemands qui, historiquement, d’un point de vue politique, défendent généralement une position atlantiste. Peut-être est-ce là le résultat d’une perception équilibrée qui reflète l’inconscient des deux Allemagnes d’antan. Une position qui tranche d’ailleurs d’avec celle observée par les autres pays-membres, qui tremblent devant cette marotte d’un nouveau péril jaune.