Les attaques virtuelles peuvent avoir des conséquences physiques: suite au piratage du pipeline Colonial en mai 2021, la majorité des stations-service de la région de Benson aux Etats-Unis n’avaient plus d’essence. Là où il en restait, on a assisté à des achats de panique. Photo: Sean Rayford / Getty Images

La stratégie militaire adoptée par la Russie lors de l’attaque de l’Ukraine rappelle celle de la Deuxième Guerre mondiale. Pourtant, les analystes prédisaient un tout autre conflit: une cyberguerre. Des attaques de pirates informatiques russes sur les infrastructures critiques devaient laisser l’Ukraine sans défense.

Or, tout s’est déroulé autrement. Certes, des batailles ont été menées sur le plan numérique. En janvier, déjà, des pirates informatiques présumés ont pris le contrôle des sites Internet du gouvernement ukrainien et y ont inséré des menaces. A l’inverse, le collectif «hacktiviste» Anonymous a ciblé la Russie et bloqué les sites du Kremlin, du Ministère de la défense russe et du groupe énergétique Gazprom, et prétend avoir piraté la télévision d’Etat. Mais ces assauts n’ont ni duré ni eu d’effets notables.

«C’est le problème de ces cyberopérations. On peut attaquer, mais on ignore si la cible dispose d’une sauvegarde de sécurité pour la restauration rapide de ses réseaux», explique Myriam Dunn Cavelty. Senior Scientist à l’ETH Zurich, membre du centre de compétence dans le domaine de la cybersécurité de l’Académie suisse des sciences techniques SATW, elle conseille les autorités fédérales ainsi que l’armée suisse. «Nous ne sommes pas mieux ou moins bien protégés que d’autres, affirme-telle. Internet est une technologie peu sécurisée. Son développement visait à l’échange d’informations et n’a pas du tout pris en compte l’aspect de la confidentialité.» Certes, il existe des projets, telle la technologie de réseau «Scion», développée à l’ETH Zurich, capable de crypter la communication numérique. «Mais cela ne rend pas Internet fondamentalement plus sûr.» C’est pourquoi notre avenir sera marqué par des chocs: «Des actes de piratage vont avoir lieu et nous devons apprendre à les gérer. Nous devrions déjà nous demander comment maîtriser l’incident. Et comment rétablir le fonctionnement des systèmes, qu’ils soient techniques ou sociaux.» Malgré ses nombreux aspects positifs, la numérisation a en effet surtout augmenté les risques. «Chacun peut être la cible de cyberattaques, car nous faisons déjà tous partie d’un système bien plus large», ajoute Myriam Dunn Cavelty.

Et qu’en est-il du si redouté «Electronic Pearl Harbor», la cyberattaque d’envergure, capable de paralyser par une seule frappe toute l’infrastructure critique d’un pays? «Pour l’instant, cela relève du mythe», constate Myriam Dunn Cavelty. Bien entendu, il existe des scénarios de menaces théoriques dans lesquels les systèmes logistiques, le trafic des paiements, l’approvisionnement en carburant ou les services médicaux seraient visés. «Mais je ne suis pas si pessimiste, car je constate régulièrement que nous sommes capables de nous tourner vers d’autres systèmes ou d’improviser. » Par exemple, le réseau de satellites Starlink d’Elon Musk, qui fournit actuellement l’Ukraine en accès Internet depuis l’orbite terrestre basse. Pour Myriam Dunn Cavelty, la guerre en Ukraine prouve surtout une chose: «L’utilité des cyberarmes pour l’armée est bien moindre que nous ne le pensions il y a plus de vingt ans. Il en va tout autrement des services de renseignement et du crime organisé.»

Outre les Etats, les entreprises et les particuliers sont donc dans le collimateur. On l’observe également en Suisse, où les attaques de ransomware ont augmenté, c’est-à-dire des attaques avec des logiciels malveillants qui cryptent des données à grande échelle. Ce n’est qu’en payant une rançon («ransom») aux pirates que l’on peut éventuellement accéder à nouveau aux données. «Avec l’augmentation des attaques de ransomware, on peut parler d’une tendance au sens large», explique Pascal Lamia du Centre national pour la cybersécurité (NCSC). «Malheureusement, l’affaire est rentable pour les attaquants tant que la rançon est payée.» Les systèmes mal sécurisés offrent des portes d’entrée aux pirates, qui peuvent ainsi se faire de l’argent rapidement et sans trop d’efforts. Depuis 2020, le NCSC évalue statistiquement les cyberincidents signalés. Il y en avait 11 000 la première année, le double en 2021. Comme il n’y a pas d’obligation de déclaration dans notre pays, le nombre de cas non déclarés peut être bien plus haut. Tous les rapports ne concernent pas des attaques réussies, mais aussi des tentatives de hameçonnage.

Produire à nouveau en Europe La compétence médiatique comme matière scolaire, Hernâni Marques l’exige. Il est membre du comité et porte-parole du Chaos Computer Club, une association de hackeuses suisse qui s’engage pour davantage de sécurité et de sphère privée. Il estime que tout le monde devrait assumer une plus grande responsabilité en matière de cybersécurité, car «le réseau imprègne toute la société». Il observe l’évolution en la matière avec grande prudence, et voit un risque central dans la mainmise de la Chine et des Etats-Unis sur les logiciels et le matériel. «Les produits Apple portent la mention: Designed by Apple in California. Assembled in China, tout comme la majorité des PC, relève-t-il. Quand nous commandons des composants pour notre infrastructure critique, le fournisseur le sait. Je ne prétends pas que tous les PC sont infiltrés. Mais la Chine peut mettre sur écoute certaines lignes de production. Les Etats européens doivent donc se réapproprier l’expertise technique nécessaire pour développer et fabriquer les appareils.»

La transparence représente un autre facteur clé aux yeux du spécialiste. La plupart des systèmes d’exploitation travaillent avec des logiciels propriétaires au code inaccessible. Contrairement aux logiciels au code source ouvert, ils ne permettent donc pas de «vérifier si le logiciel a accès à nos données ou si une porte dérobée a été prévue dans le système», note Hernâni Marques. Mais les gouvernements, et surtout leurs services secrets, n’ont que peu d’intérêts à le faire. Car ils ont besoin de ces portes dérobées pour leurs surveillances. Selon le porte-parole du CCC, certains Etats achètent même des failles de sécurité sur le marché noir et financent ainsi le crime organisé avec l’argent des contribuables.

Hernâni Marques verrait une solution à cela dans la séparation des autorités responsables de la cybersécurité et des services secrets, soit le partage des intérêts offensifs d’une nation et de sa défense. En Suisse, le Service de renseignement de la Confédération a ainsi un contact étroit avec le NCSC.

Mais la Suisse compte aussi des coopérations au-dessus de tout soupçon avec des services secrets, à l’image du projet abuse.ch. La plateforme identifie et analyse les sites Internet nuisibles et soutient ainsi les expertes et les experts en matière de sécurité à grand renfort d’informations techniques sur les cybermenaces actuelles. Point clé: la mise à disposition publique et gratuite des données – ce qu’on appelle «Open Source Threat Intelligence» (Renseignement sur la cybermenace open source). Cela profite aux autorités internationales, tel le FBI, qui ont déjà mené des procédures pénales contre des cybercriminels grâce à ces données.

Bien plus que de la technique

«Mais les fabricants de produits de sécurité informatique misent aussi sur les données d’abuse.ch», note le fondateur du projet Roman Hüssy de l’Institut de cybersécurité et d’engineering de la Haute Ecole spécialisée bernoise (BFH). Depuis juin 2021, celle-ci collabore avec abuse.ch et assure le financement de son infrastructure par des dons. En contrepartie, abuse.ch partage des données brutes pour la recherche et l’enseignement. Cela permet par exemple une meilleure étude des réseaux de robots ou de la façon dont les logiciels malveillants se propagent. Les sujets ne manquent pas: «En deux ans, nous avons découvert plus de 2 millions de pages de logiciels malveillants et ainsi largement contribué à leur élimination», raconte Roman Hüssy.

Quatre hautes écoles et universités suisses proposent désormais des filières d’études en cybercriminalité. «L’accent est surtout mis sur les aspects techniques», observe Myriam Dunn Cavelty, qui enseigne à l’ETH. «Il manque des interfaces entre la politique et la technologie informatique, ainsi qu’entre le droit et la science médico-légale.» Le domaine de la cybernétique doit en effet être abordé dans sa globalité. Avec le développement des algorithmes dans le contexte de l’avènement de l’intelligence artificielle, l’avenir de la numérisation ne sera plus seulement de nature technique, estime-t-elle. «Toutes les questions qui se posent au sein de la société auront aussi des aspects sociotechniques. Pour y répondre, nous devons d’ores et déjà créer des possibilités de formation.»