Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Master Classes de Cybersécurité au FIC 2017
Les cyberattaques sont-elles solubles dans l’armement cinétique ?
Arrangement de Wassenaar et logiciels d’intrusion : quelles conséquences pour la stabilité internationale ?
Article mis en ligne le 26 janvier 2017
dernière modification le 27 janvier 2017

par Laurent Bloch

Le Forum International de Cybersécurité, à Lille comme chaque année, offrait aux chercheurs l’occasion de s’exprimer dans des Master Classes. Voici un compte-rendu de la première, dont le thème était clairement géostratégique : Arrangement de Wassenaar et logiciels d’intrusion : quelles conséquences pour la stabilité internationale ?.

Obstacles à la définition juridique des choses informatiques

Aude Géry, doctorante en droit international public sur les nouvelles technologies et chercheuse associée à la Chaire Castex de l’IHEDN [1], nous a donné une synthèse aussi claire que possible des différentes tentatives d’encadrement réglementaire des moyens de cyberattaque : article 6 de la Convention de Budapest, extension de l’arrangement de Wassenaar aux moyens d’action dans le cyberespace, décision 1202 de mars 2016 et réunion de décembre 2016 de l’OSCE, etc.

En effet la nature particulière des moyens d’action offensifs dans le cyberespace, la multiplicité des acteurs et la volatilité des outils semblent avoir troublé la réflexion des instances habituées à statuer sur les armements cinétiques, qui sont des objets matériels. Pour citer une réflexion de Kavé Salamatian, un pilote de char d’assaut ne rentre pas à la maison le soir avec son char, tandis que le cybercombattant peut très bien le faire, avec sa cyberarme sur une clé USB. Et en outre les civils disposent des mêmes moyens offensifs et défensifs s’ils veulent s’en donner la peine.

Il résulte de ceci que les périmètres envisagés par les différents textes à vocation réglementaire diffèrent, que la définition des logiciels d’intrusion, par exemple, ajoute aux éléments substantiels des critères d’intentionnalité et de résultats obtenus. De surcroît, les extensions de ces textes au cyberespace envisagées lors de la réunion de décembre 2016, déjà contestables et imprécises, n’ont pas été ratifiées par les États-Unis, ce qui en limite singulièrement la portée.

Difficultés d’une approche informatique

Rémy Géraud, membre du laboratoire de Sécurité informatique de l’École normale supérieure [2], a donné une réplique informatique à Aude Géry, en confirmant que les difficultés pour définir les objets auxquels il faudrait appliquer des réglementations de non-prolifération n’étaient pas le fruit du hasard, de la négligence ou de l’incompétence, mais bien inhérentes à la nature des choses informatiques.

En fait, les entités informatiques qui servent aux attaques dans le cyberespace, et plus encore les entités qui servent à les confectionner, ne se distinguent en rien, ou presque rien, de celles qu’utilisent tous les jours les informaticiens pacifiques pour leur travail : ordinateurs, compilateurs, éditeurs de texte, logiciels de pilotage et de supervision de réseaux, machines virtuelles, etc. Vu sous cet angle, un rootkit (logiciel qui permet de prendre durablement le contrôle d’un ordinateur à l’insu de son propriétaire) n’est pas autre chose qu’un hyperviseur (logiciel qui simule le fonctionnement d’un ordinateur physique et qui ainsi permet de faire fonctionner un système d’exploitation dans un environnement virtuel) malfaisant, à peine différent de son collègue légitime.

Mais il faut décidément abandonner tout espoir : la science informatique, telle qu’enseignée en première année de licence, nous apprend qu’il est impossible de mettre au point un test qui permettrait de déterminer le caractère malveillant d’un logiciel, parce que l’on ne sait pas prédire le résultat de l’exécution d’un programme, et ce pour des raisons logiques irréversibles. Il ne reste donc que des méthodes heuristiques ou le recours aux agences de renseignement.

De toute façon...

Après que Rémy Géraud eut anéanti nos espoirs de solution déterministe, Aude Géry reprit la parole pour nous enseigner que de toute façon certaines mesures destinées à contrecarrer les cyberattaques pourraient être plus néfastes que salutaires, en risquant d’accroître l’instabilité internationale plutôt que de la diminuer.

Ainsi du problème de l’attribution : il est le plus souvent impossible de déterminer l’origine d’une cyberattaque. Par exemple les attaques les plus fréquentes depuis quelque temps sont les dénis de service distribués (DDOS), qui lancent leurs charges nuisibles depuis des milliers d’ordinateurs dont l’attaquant a pris le contrôle à l’insu de leurs propriétaires pour constituer ce que l’on appelle un botnet. Riposter serait frapper des innocents, qui pourraient alors être tentés par une escalade.

La conclusion de nos deux orateurs fut que la lutte contre les cyberattaques en vue d’améliorer la stabilité internationale ne saurait passer par le contrôle des technologies, mais bien plutôt par la création d’une culture mondiale de cybersécurité.

Les logiciels diffèrent fondamentalement des armes cinétiques

Après l’audition de ces deux chercheurs, je suis persuadé que les règlements de contrôle des armes et de non-prolifération élaborés pour des armes cinétiques ne pourront jamais être appliqués aux moyens de combat informatiques.

Les armements à effets cinétiques, chimiques ou biologiques sont des entités matérielles concrètes, observables, fût-ce au microscope ou au télescope, dont la production nécessite un processus industriel. Une usine de matériel civil ne peut pas, sans un certain travail, se transformer en usine d’armement.

Les moyens de combat dans le cyberespace sont essentiellement des logiciels, généralement conçus pour s’installer dans les équipements matériels de l’adversaire et éventuellement pour s’y reproduire. Les logiciels sont par nature invisibles, une fois créés leur recopie est très facile, à coût pratiquement nul. Ils peuvent être déplacés d’un bout à l’autre de la planète pratiquement instantanément. Les moyens de leur production sont exactement les mêmes que pour les logiciels ordinaires, ainsi que les compétences nécessaires. Mais surtout, leur conception, leur réalisation et leur utilisation reposent sur des modes de pensée différents, nouveaux.

Contrairement à un canon ou à un porte-avions, objets complexes mais à usage déterminé, un ordinateur est un automate programmable universel, en mesure de calculer tout ce qui est calculable, d’obtenir les résultats de tout algorithme, ce qui engendre une complexité d’un autre ordre, qu’il est parfaitement vain d’espérer faire entrer dans le lit de Procuste des réglementations existantes.