San Francisco, RSA Conference : Toute escalade technologique accroît donc notre vulnérabilité et justifie l’institution de lois destinées à encadrer, à protéger les acteurs des NTIC argumentent donc les défenseurs d’un interventionnisme politique. C’est du moins l’opinion qu’exprimait Michael McConnell, ancien Directeur de la National Intelligence US lors d’un « keynote ». Sophisme, pense Bruce Schneier, « Les débuts d’internet ont connu eux aussi leur part de cyberdélinquance, à une époque où la notion de défense et les moyens mis en œuvre étaient considérablement moins développés qu’aujourd’hui. Puis les « bad guys » ont pris du muscle, tout comme les vendeurs d’outils de protection, parallèlement à une élévation du niveau de connaissance et de prudence des usagers du Net. Et, l’un dans l’autre, on ne s’en est pas trop mal sorti, constate Schneier. Les apocalypses numériques que prévoient les Cassandres conservateurs ont toujours été évitées ou se sont avérés des baudruches rapidement dégonflées. La véritable cyberguerre n’existe pas, ou du moins elle est si localisée dans le temps et dans l’espace qu’elle ne nécessite pas d’encadrement légal de ce type. »
Un constat que McConnell balaye d’un revers de manche en expliquant que cette escalade classique reposant sur des successions d’attaques et de contre-mesures est en train d’atteindre un point de rupture à partir duquel les « méchants » ont acquis une telle avance que les contre-mesures ne suffiront plus. Argument lui-même régulièrement utilisé par les partisans d’une « ligne dure » du cybercontôle qui voient leur rôle et leur position largement confortées grâce à l’action d’un Julian Assange est des « xxLeaks » de tous crins, ainsi que par les récentes attaques perpétrées par les « anonymes ». D’autant plus que la cyberguerre existe réellement, insiste McConnell. Nous en avons attentivement observé l’évolution durant le conflit Géorgien.
Entre les faucons conservateurs et les modérés démocrates, le Sénat n’hésite pas. S’il coupe court au développement d’un nouveau réacteur destiné à équiper les forces aériennes pour les décennies à venir, il voit d’un bon œil l’augmentation de 35% du budget national attribué à la « cybersecurity » : 548 M$ prévus pour l’année 2012. L’affaire Stuxnet et la création d’un Cybercommand (les hauts commandements militaires de cyberdéfense) y sont certainement pour quelque chose. Cette pluie de crédit profitera-t-elle à la création d’un super-Internet sécurisé national ? se demande Gary McGraw. Peu probable, répond Dorothy Denning. Totalement irréaliste, renchérit Cheswick. Car tous les experts en infrastructure de réseau sécurisé tombent d’accord sur un point : la meilleure méthode pour protéger une infrastructure est de la segmenter en bastions durcis… Or, l’efficacité d’un réseau est proportionnelle au nombre de personnes qui s’y connectent. En segmentant le « net » gouvernemental, on en élimine son efficacité. D’un côté la machine est ralentie au point de ne plus être utile, de l’autre elle demeure vulnérable à une fuite Wikileaks. Le tout est de savoir quel est le coût réel du risque. Jusqu’à présent, le « hack du siècle » subi par l’Administration Fédérale est important en termes de volume… pour ce qui concerne la valeur réelle des informations rendues publiques, on est encore loin de la Dépêche d’Ems.
Reste un argument purement stratégique qui ne peut être contesté : c’est la volonté de la plupart des gouvernements actuels de se doter d’une force stratégique présentée tantôt comme un corps défensif, tantôt comme un vecteur offensif. C’est là une attitude politique et militaire purement réactive, provoquée d’une part par l’examen des événements en Estonie ou Géorgie, et d’autre part à la suite des batailles de cyber-espionnage numérique telle que l’opération « Aurora » ou « dragon nocturne ». Pour l’heure, admettent les experts quelque soit leur bord politique ou technique, imaginer une « ligne Maginot » numérique relève un peu de la science-fiction. La nature d’Internet l’interdit plus ou moins dans l’état actuel des choses. Tout au plus cette « force défensive » peut-elle contribuer à limiter les fuites d’information en offrant son expertise informatique aux entreprises et autres secteurs sensibles susceptibles d’être piratés. Il est parfois plus simple d’attaquer : « the best defence is sometimes a good offense ». Ce qui fait dire aux plus pacifistes « dans cette perspective, les « gentils » doivent nécessairement posséder leur botnet ». Si l’on ne peut compter sur un vaste élan patriotique de grand-mères prêtes à offrir les ressources de calcul de leur ordinateur personnel, il faut donc nécessairement que ces machines zombies mobilisables en cas de conflit numérique soient prêtes à tout instant. Où sont-elles ? Qui sont-elles ? Peut-on imaginer que ce réseau de machines soit « offert » par les éditeurs de logiciels qui possèderaient les commandes de leurs automates de mise à jour ? L’hypothèse, bien que politiquement incorrecte, est diablement réaliste.