La seule question qui vaille : la cyber-guerre est-elle réductrice de tensions ou au contraire participe-t-elle d’une disruption annonciatrice de tous les dangers ? Si elle présente plus de risques, comment les gérer, comment les affadir ? C’est à ces questions que tente de répondre Léo Keller, fondateur du blog géopolitique Blogazoi. Dans cette troisième partie il aborde les scénarii envisageables.
Les scénarii envisageables
L’ombre chinoise ?
Cette aporie du monde occidental convient parfaitement à la Chine. Sa politique va jouer sur deux tableaux. Par sa puissance désormais parfaitement visible, elle intimide en utilisant toute la gamme des nuances que lui offre le cyber mais sans trop effrayer. Les premiers fruits engrangés avec l’OBOR sont trop précieux pour être mis en péril et Taïwan reste dans la ligne de mire.
La Chine a de tout temps refusé d’établir une distinction claire et précise entre le temps de la paix et celui de la guerre.
On appelle cela en chinois le Pingzhan Heyi.
La prime à l’agresseur, plonge une fois de plus ses racines dans le vieux concept chinois de la zone grise ni guerre ni paix. En établissant un « Great firewall », la Chine renforce sa position de diplomatie coercitive. Comment ? Le paradoxe de la cyber déterrence et donc de la cyber war c’est que plus une société est puissante dans le numérique, plus elle dispose de cyber connexions, plus elle est vulnérable. C’est le cas des USA. Certes la Chine est désormais hyper connectée. A la réserve près que les autorités ont su cadenasser ses réseaux mieux que les démocraties occidentales. Elle a ainsi édifié un cyber mur renvoyant des cyber messages sur site adverse en les paralysant.
Elle a noyé les sites américains tels que Github que Beijing voulait punir pour avoir publié des contenus indésirables. Deux sites américains se sont aperçus qu’ils ne pouvaient plus franchir la frontière chinoise car ils avaient été attaqués par un DDOS (distributed denial of device) attack. Le site chinois Baïdu leur avait envoyé un script virussé. Les spécialistes américains l’ont appelé : « The Great Cannon », système défensif couplé à un système offensif caché.
La cyber war se moque, en tout cas jusqu’à plus ample percée technologique, de la théorie de la dissuasion. L’on pourrait presque dire qu’elle nargue la dissuasion tant la cyber-guerre permet d’intervenir dans des événements surgissant dès le bas du spectre des conflits.
Son élasticité est sans pareille !
Songeons à un scénario où une puissance a une revendication territoriale forte et vigoureusement inscrite dans son narratif historique (ce qui ne veut pas dire que nous considérons les revendications de ces Etats comme légitimes). Pour faire vivre et prospérer son ambition, ce pays doit jouir de l’ensemble des attributs permettant un conflit :
- une puissance économique
- une puissance militaire classique, et nucléaire
- une capacité de projection de ses troupes au-delà de son étranger proche
- une cible proche de l’agresseur
- une capacité cyber pour détruire les systèmes centraux ennemis et lui inséminer les messages l’amenant à penser à l’inanité d’une victoire et lui inoculer les mirages des avantages économiques qu’il aurait à réintégrer la maison commune désormais puissance économique 1 bis. Sun Tzu : « Celui qui pousse l’ennemi à se déplacer, en lui faisant miroiter une opportunité s’assure la supériorité. »
- mais surtout, last but not the least, une adhésion totale de sa population avec cet objectif.
Ce pays aura essentiellement trois choix de cyber attaque :
- provocation contrôlée
- escalade brutale
- ou plus vraisemblablement par micro-attaques qui reste le plus sûr moyen de contourner toute déterrence. C’est le scénario Taïwan.
Pour les Chinois cela relève de la parousie. Un seul pays aurait et intérêt et la capacité à s’opposer à ce qui n’est même plus le heping jueqi visant à se conformer au Tianxi chinois : les USA.
Même pour l’armée chinoise, Taiwan, surtout protégé par les Américains, est une opération risquée, dont les effets collatéraux sur les bénéfices escomptés des routes de la soie hasarderaient leur réussite. Le succès de l’opération réside donc dans une non-intervention américaine. Rien ne garantit que les USA respecteront le vœu – chimérique ? – chinois.
Imaginons donc le scénario suivant qui illustre la quatorzième caractéristique et qui redonne ses lettres de noblesse à la compellence. Beijing, sans même chercher à détruire les satellites américains, a désormais les moyens de brouiller leurs communications, de les dérouter, d’envoyer des signaux amis-ennemis, bref de les incapaciter provisoirement pour limiter l’escalade. C’est le « jamming » ou le brouillage des communications. Puis, ce qui est beaucoup plus subtil, il pratique le « spoofing » qui consiste en un copié-collé de fake news numériques. L’État agresseur va adresser des informations fausses que le satellite ennemi – beaucoup plus compliqué que contre un avion – va enregistrer comme vraies. La course informations fausses/vraies est d’ailleurs sans fin. Il suffit alors aux Chinois de profiter d’un aveuglement permanent ou temporaire des cybers capacités américaines pour lancer une attaque conventionnelle sur Taiwan. Les Américains privés de leurs yeux et de leurs oreilles, ne peuvent donc réagir correctement en temps nécessaire.
Dans un conflit régional, et nous insistons sur le terme régional, ayant désactivé au moins temporairement la cyber rétaliation américaine, les Chinois joueraient simplement sur le plan conventionnel. Une opération qui aurait débuté avec une agression ASAT aurait une suite logique avec l’Anti Access Air Denial. « Fortress in, fleet being in »
La cyber doctrine chinoise n’a pas pour but de défaire militairement la puissance américaine, toujours aussi impressionnante mais bien d’interdire la présence américaine dans ce qu’ils considèrent comme leur mare nostrum.
La cyber guerre chinoise a pour objet de prouver à l’ensemble de ses voisins, proches et lointains, que les Américains ne sont plus capables et/ou désireux de les protéger.
La compellence est à mettre à l’actif de la cyber war. Plus que dans toute autre forme conflictuelle.
La problématique de la défense
Enonçons la problématique que tout responsable politique doit se poser en cas de cyber attaque :
- Savons-nous qui est l’auteur de l’agression ?
- Définition du treshold ?
- Avons-nous bien cerné les buts de l’adversaire ? Volonté de conquête de territoire ? Ou d’influence ? Sachant que bien souvent en termes géopolitiques volonté de puissance vaut puissance ? Buts économiques ? Militaires ? Court, moyen ou long terme ?
- Comment gérer l’agression et la rétaliation sur sa propre population ?
- Sommes-nous capables de prendre les assets de l’agresseur en otage et exercer notre droit de rétaliation, la déterrence ayant échoué ? Et comment éviter l’escalade ?
- Que peut faire l’État agressé, s’il échoue à nouveau dans sa rétaliation ?
Quelles sont les conditions nécessaires pour protéger ses alliés et éventuellement les enrôler ?
Le premier nœud bloquant – pour le moment – toute dissuasion et donc toute retaliation c’est l’extrême difficulté d’identifier l’origine de l’attaque. Si juridiquement, il est extrêmement complexe de dénoncer l’attaquant, il existe néanmoins des zones de probabilité sur lesquelles l’agressé peut braquer les projecteurs. Il faut donc être capable de dire qui est le responsable, puis le fustiger. To name and to shame ! Name and shame, formule magique, qui est le sésame permettant de pouvoir qualifier une attaque et de se couvrir juridiquement, politiquement et militairement en recourant aux articles 39 et 51 du chapître VII de la Charte de l’ONU. Ce n’est pas tout ; ce n’est pas rien !
Il faut donc déclarer clairement que toute cyber attaque létale entraînera des ripostes militaires. Les Américains doivent donc d’abord renforcer leur cyber défense ne serait-ce que lors des prochaines élections. Mais cela n’est pas suffisant. Ils doivent aussi quitter la seule position défensive pour être, eux aussi, plus agressifs et ce à tous les niveaux. La cyber déterrence a l’inconvénient majeur d’être toujours sur la défensive.
En matière de rétaliation, le temps est un facteur important. Trop court, la riposte est brouillonne ; trop long, la riposte perd son lien. Tantôt trop faible et donc de peu d’intérêt, tantôt trop forte et donc peu crédible. Mal utilisée, elle risque d’être perçue à son tour comme une agression. C’était d’ailleurs la fulgurance de Henry Kissinger lorsqu’il mit en doute au début des années 57/60 la politique nucléaire américaine.
Pour exercer une cyber rétaliation convaincante, l’exigence numéro 1 est de comprendre les raisons de l’attaque de l’Etat agresseur.
Ne serait-ce que parce que l’attaquant perçoit alors la rétaliation comme « légitime » – au sens kissingérien et ayant franchi une ligne rouge.
D’autre part comment la cible sait-elle qu’elle a réussi dans sa rétaliation ? Elle peut frapper alors que l’attaquant a jugé son agression suffisante ayant atteint ses buts qui étaient limités. Elle peut aussi permettre à l’attaquant de mieux calibrer sa prochaine attaque. Autant de facteurs inhibant une rétaliation. Il faudra donc que les Américains apprennent à hacker les hackers et surtout les providers ennemis. L’on voit tout de suite les problèmes constitutionnels posés avec les war powers du président.
La politique déclaratoire de dissuasion est déjà en elle-même l’élément déterminant. Elle doit partir du principe que l’agresseur est capable de choisir entre le fait d’être frappé ou non et à quel niveau ? Car la moindre faille dans la politique déclaratoire peut se révéler une prime à l’agresseur. Rappelez-vous Dean Acheson. En cyber-guerre, une fois de plus, la prime à l’agresseur est la plus forte car la probabilité de ne pas être puni est très grande.
Se pose donc le problème : Quand, comment, où et à quel niveau la cible intervient-elle ? Un piratage de banque va-t-il rester impuni ? Provient-il d’une source étatique ou pas ? Entrainera- t-il des représailles disproportionnées ? La question de la proportionnalité est centrale.
Les USA, commençant à se doter des outils adéquats, doivent se préparer à quitter la seule contre-attaque cyber ou ils sont plus vulnérables.
Cette problématique est la raison pour laquelle l’arme conventionnelle et la dissuasion nucléaire, même obsolètes, ne disparaîtront jamais.
Il existe certes une voie intermédiaire qui contrairement à la bombe à neutrons ne détruit pas la vie humaine. Ce sont les High Power microwaves weapons (HPMW). Ces armes non seulement ne tuent pas les hommes, ce qui représente quand même un énorme avantage, mais en plus elles laissent intactes toutes les constructions. Elles se contentent juste de détruire les communications électroniques, informatiques, laser et toutes celles qui utilisent les ondes. En quelque sorte on pourrait les assimiler à la riposte nucléaire graduée.
Il existe un autre moyen de défense, c’est le « air gapping system », qui consiste à isoler et déconnecter les principaux systèmes et centres nerveux. En effet si ceux-ci fonctionnent de façon autonome, ils sont difficilement pénétrables. Ce moyen n’est à mon avis qu’un pis-aller. D’abord parce qu’il est aussi possible de « jumper » le gap avec les résonances acoustiques et les fréquences radio. Outre le fait que le « Air gapping system » n’est pas sûr à 100 % car tout système est aussi alimenté à un instant T par des informations extérieures. De plus il affaiblit forcément la connectivité, source de progrès, d’un pays. La protection risquerait d’avoir un coût exorbitant. Les Israéliens ont ainsi réussi à infecter les centrifugeuses iraniennes qui étaient pourtant isolées informatiquement du reste du monde, par une simple clé USB hébergeant le malware Stuxnet conçu par la NSA.
Léo Keller
Directeur du blog de géopolitique Blogazoi
Professeur à Kedge Business School