Polytechnicien et énarque, l’ancien diplomate et vice- président d’EADS enseigne désormais à Sciences Po. Avec Léo Isaac-Dognin, il vient de publier « Cyber, la guerre permanente », aux Éditions du Cerf. Un ouvrage qui analyse comment la cyberguerre, sous toutes ses formes, met en péril les processus démocratiques, les économies et le système international.
En quoi Internet est-il devenu un champ de bataille virtuel ?
Cette affirmation reflète une réalité : Internet est un espace où les États, les groupes et les individus s’affrontent à travers des méthodes offensives non létales. Mon co-auteur Léo Isaac-Dognin, et moi même, avons intitulé notre livre « Cyber – La guerre permanente » car il est consacré à l’utilisation offensive permanente du cyberespace. L’idée centrale est que les moyens numériques deviennent une façon alternative à la guerre pour prolonger la politique, la guerre étant une prolongation de la politique par d’autres moyens (Clausewitz).
L’utilisation des algorithmes d’analyse de données, communément appelée big data, a des fins d’influence et de contrôle est une exploitation offensive récente des réseaux sociaux. Cambridge Analytica (entreprise qui a siphonné les données de 83 millions d’utilisateurs de Facebook à des fins d’influence politique, NDLR) a ainsi analysé les données générées par les utilisateurs de Facebook afin de déterminer leurs orientations politiques, leurs préférences et vulnérabilités afin de les manipuler par des messages ciblés pendant les deux campagnes clefs de 2016, le référendum sur le Brexit et l’élection présidentielle américaine.
Quels sont les mécanismes sous-jacents de ce nouveau modèle ?
Il existe deux moyens – qui peuvent être en synergie, se compléter, s’intégrer ou fusionner – pour influencer, manipuler et in fine contrôler.
En premier lieu, l’intrusion informatique. Appelée « piratage » – « hacking » en anglais –, elle consiste à interférer avec un système informatique, au niveau des logiciels, ou au niveau de sa structure physique. Le piratage d’un système informatique du réseau électrique de l’Ukraine, plongeant une partie de ce pays dans l’obscurité a ainsi été une des opérations numériques menées par la Russie contre l’Ukraine. Couper les câbles qui alimentent l’accès à Internet d’un pays, contrôler ou en censurer l’accès, comme le font les Chinois, est ainsi une manipulation physique qui induit un contrôle.
Le second grand moyen consiste en l’utilisation des outils numériques, sans interférence logicielle ou physique, afin de transmettre des informations et utiliser leur capacité phénoménale de démultiplication du numérique. C’est l’utilisation des réseaux sociaux, soit pour transmettre des fake news, soit pour lancer des révélations publiques à une très large audience amplifiée par les réseaux sociaux au travers de documents secrets compromettants que les officiels ou les entreprises privées détiennent mais ne souhaitent pas dévoile. Ce dernier type d’action utilisé par Wikileaks a eu une influence notable sur la campagne présidentielle américaine de 2016.
« Internet est un espace où les États s’affrontent à travers des méthodes offensives non létales »
Ces deux moyens peuvent-ils, à l’occasion, fusionner ?
Oui, précisément. Pendant cette campagne qui a été le théâtre de deux grands piratages qui ont ensuite chacun permis une opération d’info-guerre (guerre de l’information). Tout d’abord deux services russes, l’un militaire – GRU (service de renseignement, NDLR) –, et l’autre civil – FSB (service fédéral de sécurité, NDLR) ont piraté les ordinateurs du Comité national démocrate qui est l’appareil du Parti démocrate. L’opération a donc commencé par une intrusion informatique et s’est poursuivie par une guerre de l’information par voie numérique, les documents ayant été diffusés par Wikileaks lui-même relayé par les réseaux sociaux et la presse. Ces actions ont déstabilisé Hillary Clinton en révélant juste avant la convention du Parti démocrate de juillet 2016, que l’appareil du parti avait tout fait pour qu’elle gagne les primaires en déstabilisant la campagne de son adversaire démocrate, Bernie Sanders (sénateur du Vermont, finalement battu par Hillary Clinton, NDLR). L’impact produit a perduré jusqu’à l’élection, des électeurs de Sanders ayant préféré s’abstenir plutôt que de voter Clinton.
Le même processus s’est reproduit avec un impact supérieur avec la seconde opération qui a commencé avec le piratage du compte de John Podesta, directeur de la campagne d’Hillary Clinton. Ce piratage effectué par le GRU a notamment concerné les discours qu’elle avait donné devant différents protagonistes de Wall Street et qui n’avaient jamais été publiés. Leur diffusion par Wikileaks un mois avant l’élection présidentielle fut désastreuse car ils révélaient une relation d’intimité entre Hillary Clinton et les acteurs de Wall Street qui était en contradiction avec l’empathie qu’elle témoignait pour le monde ouvrier et les classes populaires. Cela a finalement donné l’impression qu’elle jouait un double jeu. Une étude récente réalisée au États-Unis a montré que c’est cette révélation qui lui a causé le plus de tort. Cela lui fut particulièrement préjudiciable dans les « swing states » (états indécis, NDLR), le Wisconsin, le Michigan et la Pennsylvanie, qui concentrent un fort un électorat ouvrier ayant donné la victoire à Trump pour quelques milliers de voix.
Ces informations déstabilisantes pour Hillary ont eu un impact significatif, car relayées sur les réseaux sociaux par des messages ciblés de la campagne numérique de Donald Trump, qui s’appuyait essentiellement sur Facebook. Très tôt, en effet, le directeur de cette campagne Brad Parscale, qui travaillait avec Jared Kushner (gendre et conseiller de Trump, NDLR), avait décidé de s’appuyer à fond sur la firme de Mark Zuckerberg. Sa mission fut un tel succès que Trump en a fait le directeur de sa campagne de réélection en 2020. Brad Parscale a utilisé des services proposés aux entreprises par Facebook permettant un accès total à toutes les données recueillies sur les abonnés et à leur utilisation pour essayer d’analyser leurs préférences et leurs tendances afin de leur envoyer des publicités ciblées.
Les réseaux sociaux ont profondément perturbé les marchés publicitaires. Parscale a utilisé le même système pour soutenir la campagne de Trump en jouant à fond un partenariat rémunéré avec la firme de Mark Zuckerberg. Celui-ci, évidemment démocrate comme presque tous les acteurs de la Silicon Valley, a accepté de déléguer une équipe de Facebook afin qu’elle soit intégrée à la campagne Trump. Ils ont réalisé un ciblage très efficace. Les informations de Facebook leur permettaient de caractériser avec une bonne probabilité comme étant des ouvriers ou des afro-américains et d’envoyer à chacun de ces groupes des messages ciblés : discours d Hillary Clinton chez Goldman Sachs aux ouvriers, discours d’Hillary Clinton en 2014 soutenant la politique pénale de son mari Bill peuplant les prisons de jeunes délinquants afro-américains. Ces stratagèmes ont suffi à faire basculer vers Trump les trois états précités et consolidé d’autres comme la Floride. Sans qu’on puisse déterminer l’impact exact de cette campagne de Parscale ou de la propagande massive sur TwIter et Facebook de l’Internet Research Agency de Saint-Petersbourg, il est indéniable que dans nombre d’états, dont les 3 « swing states » qui ont assuré la victoire de Trump, Hillary Clinton a fait nettement moins bien qu’Obama dans les électorats ouvrier et noir.
Quelques mois après le scandale qui a fait vaciller Facebook, que savons-nous réellement sur Cambridge Analytica ?
Ils utilisaient des algorithmes pour pouvoir déterminer la personnalité, les caractéristiques et les opinions politiques d’utilisateurs de Facebook avec une probabilité supérieure à 80 % à partir des comportements de ceux-ci sur le réseau social. Cet outil a été développé par Michal Kosinski, un universitaire polonais de Cambridge qui s’est fait dérober son invention non protégée par l’un de ses collègues, un certain Aleksandr Kogan, enseignant à Cambridge et à l’université de Saint-Pétersbourg. Kogan s’est ensuite associé à SCL (Strategic Communication Laboratories), une société anglaise spécialisée dans le marketing électoral qui était intervenue dans des élections en Afrique et qui a donné naissance à Cambridge Analytica. Le milliardaire ultra-conservateur, Robert Mercer, a ensuite apporté le financement nécessaire et placé Steve Bannon (ancien conseiller de Trump, limogé de la Maison Blanche en août 2017, NDLR) à la tête du dispositif.
Peut-on mesurer les effets de l’action de Cambridge Analytica sur la victoire de Trump ?
Je pense que cette action qui n’a commencé qu’en août 2016 a eu un impact plus faible que la campagne numérique de Trump menée par Brad Parscale en s’appuyant sur Facebook et que les actions de l’IRA de Saint-Petersbourg. En revanche, l’impact de Cambridge Analytica a probablement été significatif lors de la campagne du Brexit.
A-t-on assisté aux mêmes types d’opérations lors du Brexit ?
Absolument. L’ingérence externe et la manipulation numérique ont joué un rôle essentiel dans la campagne référendaire sur le Brexit. La campagne numérique fut incroyable avec des centaines de milliers de tweets sur les derniers jours et la publication d’informations aberrantes qui sont parvenues à faire bouger les équilibres électoraux. Un exemple : un tweet ayant remporté un succès fou, a annoncé que 80 millions de Turcs pourraient débarquer en Grande-Bretagne car la Turquie allait adhérer à l’Union européenne. Des actions russes semblent avoir été menées mais il faut surtout retenir les actions de Cambridge Analytica et d’une société soeur canadienne, AIQ, filiale du même groupe SCL. AIQ et Cambridge Analytica ont respectivement apporté leurs services de propagande numérique ciblée aux deux principales organisations faisant campagne pour le Brexit, celle proche de Boris Johnson et celle proche Nigel Farrage.
Quel est aujourd’hui la nature du conflit avec la Russie ?
Il est beaucoup moins risqué pour les nations de s’affronter sur le plan numérique que de se faire la guerre. L’Union soviétique et les États-Unis s’affrontaient par « proxies » : les Russes tuaient des Américains par Vietnamiens interposés, et les Américains tuaient des Russes par Afghans interposés. Cette guerre froide s’est achevée avec Gorbachev et la disparition de l’Union Soviétique 1991. Mais depuis le début du conflit ukrainien en 2014, un nouveau conflit indirect oppose la Russie et les puissances occidentales.
Poutine considère que ce sont les Etats-Unis qui ont initié ce conflit en cherchant à mettre en place des gouvernements hostiles à la Russie dans les anciennes républiques soviétiques et même à changer le régime russe, notamment par l’action d’ONG, telles que la Fondation Soros (Open Society Foundations, réseau de fondations créé par le milliardaire et philanthrope américain George Soros – ndlr). Ce conflit s’est aggravé avec l’invasion de la Crimée et l’escalade russe au Donbass qui ont entraînée une série de sanctions occidentales ciblant la Russie.
Nous sommes en présence d’un conflit asymétrique non létal qui consiste à frapper l’adversaire dans un domaine où il est vulnérable. C’est ainsi que les sanctions économiques sont l’instrument favori de l’Occident, et la cyberguerre sous toutes ses formes le moyen d’action privilégié de la Russie. Ce type d’affrontements va se développer dans l’avenir. Plutôt que de faire la guerre à un pays, il est préférable de mettre un gouvernement qui vous est favorable à sa tête. Le plus sublime dans l’art de la guerre est de gagner sans combattre. C’est ce qu’espèrent les acteurs de la guerre numérique.
« Les sanctions économiques sont l’instrument favori de l’Occident, tandis que la cyberguerre est le moyen d’action privilégié de la Russie »
Quels sont désormais les enjeux au niveau international ?
Lorsqu’on voit l’importance stratégique du Brexit pour certains pays, le fait que l’Union européenne soit gravement affaiblie et que le Royaume-Uni se trouve dans une position de faiblesse durable constituent une variable importante dans le rapport de force. C’est un cas typique de victoire sans combat qui a vocation à se développer au niveau international avec de réels risques d’escalade entre les super-puissances. Dans notre ouvrage, nous décrivons un scénario d’escalade russo-américaine tout à fait plausible. Il résulterait du côté russe de la multiplication d’intrusions non destructives d’intimidation menées par des « hackers patriotes » dans des installations énergétiques américaines. Du côté américain, il serait provoqué par la conjonction d’une nouvelle doctrine de cyber-défense donnant au Pentagone une délégation permettant des ripostes immédiates sur le système informatique d’où est partie une intrusion et de la popularité croissante du droit au « hack back ».
Quid de l’Appel de Paris lancé par Macron visant à éviter une cyberguerre ?
Cet appel pour la sécurité et à la confiance dans le cyberespace est une première étape importante vers une organisation internationale de la cybersécurité. Signé par 51 états et les principales entreprises du numérique, il propose d’excellents principes de bonne conduite numérique, l’interdiction du « hack back », et la régulation internationale du cyber-espace. Le risque d’escalade est d’autant plus important qu’on assiste à une multiplication d’acteurs ayant une réelle capacité de nuisance. Les risques d’escalade et de déstabilisation sur le plan international sont considérables, car les capacités d’actions numériques offensives ont proliféré très aisément. Ainsi, depuis des années, la Corée du Nord lutte contre l’impact financier des sanctions internationales en pratiquant l’extorsion et en utilisant des « rançongiciels » (logiciel de rançon qui prend en otage des systèmes informatiques en demandant le versement d’une rançon en bitcoin dans un paradis fiscal – ndlr ).
Comment la cybercriminalité se propage-t-elle ?
Le développement de la cybercriminalité s’explique par l’absence de police internationale du cyberespace. Il est aberrant de constater l’absence de toute structure supranationale assurant la sécurité d’une infrastructure aussi importante qu’Internet. Alors que 3 agences des Nations Unies, l’OMS, l’OACI et l’AIEA sont respectivement en charge de la sécurité mondiale, sanitaire, aérienne et nucléaire, rien de tel n’existe pour la sécurité du cyberespace. Cette carence a deux raisons. La première est idéologique : les fondateurs d’Internet et du Web sont de grands idéalistes qui ont considéré que le réseau mondial ainsi créé générerait naturellement la concorde et la coopération.
La seconde raison est plus sombre : les gouvernements des grandes puissances, à commencer par celui des Etats-Unis, ont trouvé un avantage en l’absence d’entité internationale identifiant et traquant les vulnérabilités informatiques afin de faciliter leurs opérations de cyberespionnage. Aujourd’hui, alors que l’insécurité numérique mondiale ne cesse d’augmenter comme l’ont montré les « cyber-épidémies » mondiales Wannacry et NotPetya en 2017, et que le développement exponentiel de l’Internet des Objets va démultiplier les risques de cyberattaques graves, ce vide sécuritaire international du cyberespace doit impérativement cesser. C’est le sens de l’Appel de Paris lancé par Emmanuel Macron.
Leo Isaac-Dognin et moi-même sommes convaincus que l’objectif final de l’action ainsi initiée doit être la création d’une agence internationale de la cybersécurité rattachée aux Nations Unies qui identifierait les virus, signalerait leur propagation, et stimulerait la coopération internationale pour empêcher celle ci, et plus généralement veillerait à ce qu’il y ait un certain nombre de codes de conduite minimaux qui soient respectés par les Etats. Nous proposons dans notre ouvrage une méthode pour aboutir à une telle organisation.
Si le premier ensemble de risques est donc celui de l’insécurité mondiale, le second concerne la perturbation des processus politiques par la guerre numérique. Nos lois électorales sont ridicules (affichage, panneau, loi des sondages qui ne peuvent plus être diffusés 48h avant l’élection, etc.). Avec le numérique, tout ceci vole en éclat car la propagande est continue : elle se fait sur les réseaux sociaux, par les publicités ciblées, à travers des actions qui peuvent émaner de l’étranger, etc. Les différents moyens d’agir sur un processus électoral sont incroyables. Depuis deux ans, un nouveau moyen s’est développé avec les « deep fake ». Il s’agit de manipulations permettant de truquer des vidéos pour faire dire à des personnes célèbres des propos qu’elle n’a jamais prononcés.
« Toutes les manipulations sont possibles, le numérique rendant la distinction entre le faux et le vrai de plus en plus ténue »
A quoi pourraient servir ces « deep fakes » ?
Le sénateur américain Ben Sasse, qui se montre à la fois très prudent et très ferme dans son opposition au président américain, vient de publier « Them », un ouvrage qui dénonce la polarisation du système américain et la façon dont les réseaux sociaux exploitent cette polarisation et l’accentuent. Il évoque pour la prochaine campagne un scénario de diffusion d’une vidéo truquée de la célèbre rencontre d’Helsinki entre Trump et Poutine avec tous les personnages qui apparaissent authentiques ou encore d’un candidat qui au contraire serait anti-Trump à qui on ferait tenir des propos aberrants dans une conversation privée.
Toutes les manipulations sont possibles, le numérique rendant la distinction entre le faux et le vrai de plus en plus ténue. Ce problème majeur a vocation à s’accentuer et menace très sérieusement les processus démocratiques. Theresa May en a conscience, et c’est une des multiples raisons pour lesquelles elle ne souhaite pas un nouveau référendum. Je pense que le gouvernement britannique n’a pas la capacité ni les moyens de surmonter l’avalanche de manipulations numériques qui déferlerait s’il se lançait dans un nouveau référendum, compte tenu de l’intérêt de certains aux Etats-Unis et de la Russie à ce qu’il y ait un Brexit de rupture dit « hard Brexit ».
Quel est le degré de maturité de la France ?
Nous avons identifié deux grands défis : l’intrusion informatique dans une logique de sabotage, d’intimidation ou d’espionnage, et l’utilisation des réseaux sociaux à des fins d’influence par le biais de la diffusion d’informations confidentielles. Ces deux mécaniques peuvent se mélanger.
Les autorités françaises ont été très tôt lucides sur l’intrusion informatique. En 2005, la direction qui s’occupe en particulier des systèmes d’information du gouvernement a été transformée en Agence nationale de la sécurité des systèmes d’information (ANSII) qui s’occupe non seulement de la sécurité des télécommunications et des systèmes informatiques gouvernementaux mais possède également une responsabilité concernant les infrastructures critiques appelées OIV (Opérateur d’importance vitale).
En matière de protection informatique, la France dispose d’un système à la pointe, probablement un des meilleurs au monde avec l’Allemagne qui suit une évolution parallèle avec un organisme similaire, le BSI. J’aurais aimé que ces deux organismes soient plus intégrés mais ils coopèrent déjà très bien depuis quelques années. Ce système est efficace car cette agence inspire confiance du fait qu’elle ne soit pas une émanation des services de renseignements dépendantes du Ministère de la Défense ou de la DGSE.
Les autres pays ont-ils adopté une autre approche ?
Cette indépendance de la protection n’existe pas en Grande-Bretagne. Cela commence tout juste aux Etats-Unis, mais la NSA ayant un telle supériorité technique, les autres services restent extrêmement dépendants d’elle. En France, l’ANSSI a réussi à développer sa propre expertise et ses propres moyens.
Le second point très positif concerne les efforts déployés sur les opérateurs d’importances vitales. Il n’est pas uniquement question des administrations et des armées mais aussi de grandes entreprises d’infrastructures énergétiques de fourniture d’eau, de grandes entreprises comme Airbus dans le secteur de l’aéronautique, ou Thalès dans le secteur de la défense, qui sont des opérateurs d’importance vitale. Ces structures sont tenues de respecter une série de règles pour se protéger, et doivent signaler tout incident informatique à l’ANSSI afin de les répertorier et de permettre la reconnaissance de virus et favoriser la circulation de l’information. Le fait que les grandes entreprises n’étaient pas obligées de déclarer les piratages dont elles étaient victimes constituaient un facteur de désordre, même aux Etats-Unis. Les entreprises se muraient dans le silence pour des raisons boursières, et personne ne bénéficiait donc de l’expérience acquise.
Il est apparu assez vite qu’on ne pouvait pas ne pas se protéger et avoir une capacité de défense et de contre-offensive face à des cyberattaques contre nos moyens militaires ou nos infrastructures civiles. Dès le livre blanc de 2008 rédigé par Jean-Claude Mallet sous la présidence Sarkozy, la création d’une entité de cyberdéfense au ministère de la Défense a été préconisée. C’est devenu un véritable commandement opérationnel sur l’impulsion de Jean-Yves Le Drian sous la présidence Hollande. Il existe aujourd’hui le Comcyber (commandement de la cyberdéfense, NDLR), dirigé par le général Olivier Bonnet de Paillerets, qui dépend directement du chef d’État-Major des armées pour assurer à la protection de l’ensemble des systèmes informatiques et de communication du ministère de la Défense en liaison avec l’ANSSI. Nous assistons donc à une coopération entre le civil et le militaire avec un partage des informations sur les virus.
Quel est le principal défi à relever pour la France ?
C’est celui de la guerre numérique liées à la manipulation de l’information à des fins politiques. Suite à l’affaire « Macron Leaks », une loi sur les fake news a été déposée. Je ne pense pas que cela soit la bonne solution, je crois que l’essentiel est de reconnaître qu’un opérateur de réseau social n’est pas seulement un hébergeur. En tant qu’hébergeur, les réseaux sociaux n’ont aucune responsabilité à l’exception de domaines très spécifiques. Comme l’a proposé Emmanuel Macron dans son discours du 12 novembre 2018 à l’Unesco et la Commission d’enquête du Parlement britannique sur les fake news et la désinformation, il devrait exister un statut spécifique pour le réseau social qui n’est ni un simple hébergeur, ni un simple média au sens traditionnel du terme.
Facebook a de toute évidence une influence très importante sur ses contenus, il ont eux-mêmes organisé des comités de régulation qui censurent, et même imaginé des algorithmes d’intelligence artificielle qui essayent a priori d’éliminer les contenus pornographiques et incitant à la violence. Il est donc légitime que les Etats cherchent à encadrer cette auto-régulation.
Le dialogue initié par la France avec Facebook sur la façon dont le réseau social s’auto-régule est un pas important. Nous allons plus loin dans notre ouvrage en disant qu’il existe un dogme libertarien autour de l’anonymat sur Internet qui permet l’émergence de lanceurs d’alerte.
« J’ai assisté à des débats en présence de représentants des réseaux sociaux : ils parlent d’eux comme s’ils représentaient des États »
Nous ne remettons pas en cause ce principe, mais nous indiquons que l’anonymat doit cesser lorsqu’il y a des opérations de propagande politique. Il faut imaginer un système qui oblige les non-résidents qui s’abonnent sur un réseau social de le déclarer au réseau et qu’à partir du moment où ils s’expriment, le réseau social soit tenu de signaler, d’identifier et de proscrire le fait que des ressortissants étrangers se fassent passer pour des ressortissants du pays. Facebook commence à le faire aux Etats-Unis, non pas pour le bien commun mais en raison d’une très forte pression exercée par le Congrès. Les révélations sur Cambridge Analytica et sur le fait que 87 millions d’abonnés à Facebook ont vu leurs données illégalement transmises a modifié significativement la donne.
Macron et ses homologues européens ont-ils pris la mesure des enjeux ?
Je pense qu’il y a une stratégie intelligente et cohérente de la France, de l’Allemagne et du Royaume-Uni consistant à faire pression sur les géants du Web afin qu’ils changent de comportement. J’ai assisté à des débats en présence de représentants des réseaux sociaux : ils parlent d’eux comme s’ils représentaient des États. L’ordre des Templiers devait se comporter ainsi vis-à-vis des États au Moyen-Age. Ce sont des puissances en soi avec qui il faut, à partir du poids que représente le marché européen, dialoguer et négocier pour obtenir une auto-régulation. Je pense que les dirigeants des trois principales puissances européennes l’ont bien compris.
Image : Morgan Ray Schweitzer — Los Angeles, CA, USA