Assemblée parlementaire de l'OTAN
AccueilDOCUMENTSRapports de commission2011 session annuelle171 CDS 11 F rev. 1 final - INFORMATION ET SECURITE NATIONALE

171 CDS 11 F rev. 1 final - INFORMATION ET SECURITE NATIONALE

Facebook
Twitter
Delicious
Google Buzz
diggIt
RSS

LORD JOPING (ROYAUME-UNI), RAPPORTEUR GENERAL

I.  INTRODUCTION 

II.  L’ERE DE L’INFORMATION ET LA NOTION DE CONFIDENTIALITE DANS LES RELATIONS INTERNATIONALES 
A.  LE CABLEGATE 
B.  REACTIONS AUX FUITES 
C.  TRANSPARENCE CONTRE CONFIDENTIALITE 

III.  [H]ACTIVISME NUMERIQUE 
A.  LE PHENOMENE DE L’HACTIVISME 
B.  LE ROLE DES MEDIAS SOCIAUX 

IV.  CYBERATTAQUES ET CYBERDEFENSE 
A.  TYPES DE CYBERATTAQUES 
1.  Attaques DDOS 
2.  Attaques de logiciels malveillants 
3.  Stuxnet 
B.  L’OTAN ET LA CYBERDEFENSE 
1.  Le programme de l’OTAN en matiere de cyberdéfense 
2.  Politiques nationales des Etats membres 

V.  INFORMATION ET CYBERSECURITE : CHOIX POSSIBLES POUR LA COMMUNAUTE INTERNATIONALE ET L’OTAN 

ANNEXE  

 


I. INTRODUCTION

1. La révolution numérique en marche pose une série de défis d’ordre politique, culturel, économique et sur le plan de la sécurité nationale. L’évolution des communications, de l’informatique et des systèmes de stockage des informations remet en question des concepts tels que la confidentialité, l’identité, les frontières nationales et les structures de la société. Les profonds changements inhérents à cette révolution modifient également la façon dont nous envisageons la sécurité, souvent sous des formes assez inattendues, et réclament des solutions innovantes. On dit qu’à cause de cette révolution, le temps nécessaire pour traverser l’Atlantique est désormais de 30 millisecondes, contre 30 minutes pour les missiles balistiques intercontinentaux et plusieurs mois en bateau1. Par ailleurs, une série d’acteurs entièrement nouveaux surgissent sur la scène internationale, dont des groupes d’"hactivistes" virtuels. Il pourrait en résulter un nouveau type de conflits internationaux entre ces groupes et des Etats nations, voire des conflits entre des entités exclusivement virtuelles.

2. L’une des caractéristiques fondamentales de l’ère numérique est sa capacité d’établir des connexions. A cet égard, le principal outil est l’Internet et le fait que, à l’heure actuelle, la largeur de bande et la capacité de stockage doublent tous les 12 mois2. L’interconnectivité est aujourd’hui au centre des services du gouvernement, des infrastructures essentielles, des télécommunications, de la finance, des transports, et des services d’urgence. L’interconnectivité est également essentielle à la culture et à l’éducation. Même lorsque les communications et les échanges de données ne passent pas par l’Internet, ils utilisent néanmoins, dans de nombreux cas, les mêmes câbles de fibre optique3.

3.  Malgré les avantages que cela implique, cette dépendance envers la technologie de l’information rend l’Etat et la société beaucoup plus vulnérables à divers types d’attaques : intrusions informatiques, programmes de brouillage de logiciels, intrus non détectés à l’intérieur des pare-feu, ou cyberterroristes. L’Internet est par nature vulnérable étant donné qu’il a été conçu comme une simple activité d’échange d’informations, une mosaïque décentralisée de systèmes qui assure un relatif anonymat. Il n’est pas armé pour localiser des agresseurs ou pour les empêcher d’abuser de l’ouverture du cyberespace qui en est le corollaire. A cet égard, l’enjeu majeur que pose l’ère électronique pour la sécurité nationale est de savoir comment créer un gouvernement efficace et transparent qui, par ailleurs, est également en mesure de protéger ses citoyens et ses intérêts vitaux. Qui plus est, à l’ère numérique, l’Alliance de l’Atlantique Nord doit relever le défi qui consiste à maintenir sa cohésion dans un contexte où le partage d’informations avec les Alliés augmente les risques qui pèsent sur la sécurité des informations, mais où refuser de le faire compromettrait la pertinence et les capacités de l’Alliance.

4.  L’Alliance ayant très récemment adopté un Plan d’action et une Politique de cybersécurité globale, le moment est bien choisi pour l’Assemblée parlementaire de l’OTAN (AP-OTAN) de se pencher sur la cybersécurité. Les éléments précis concernant ce document ne sont pas accessibles au public pour des raisons évidentes de sécurité. Le domaine cybernétique étant extrêmement dynamique et d’une complexité croissante, la cybersécurité et les stratégies de défense de l’Alliance ainsi que celles des différents Alliés devront constamment être réexaminées et mises à jour.

5.  Ce rapport examine trois aspects de la relation entre ère numérique et sécurité nationale. Premièrement, il étudie la notion, en constante évolution, de la confidentialité des relations internationales. Cette question a été mise en lumière par ce qu’il est convenu d’appeler le scandale du Cablegate. Si la divulgation de télégrammes diplomatiques confidentiels n’était pas le résultat d’une cyberattaque, elle n’en est pas moins directement liée à la révolution numérique : les progrès remarquables des technologies de stockage de données ont permis à un individu de télécharger sans problème des volumes colossaux de données que la presse met des mois, et sans doute des années, à digérer et à publier. 

6.  Deuxièmement, la montée en flèche de l’utilisation d’Internet a donné naissance à un phénomène que l’on désigne sous le nom d’"hactivisme numérique". Les médias sociaux et autres communautés fondées sur l’Internet forment de nouvelles allégeances ponctuelles et transfrontières qui prennent une multitude de formes, les unes positives (renforcer les sociétés civiles dans des pays autoritaires) et d’autres négatives (donnant des moyens d’action à des groupes de hackers qui agissent contre ceux qui ne partagent pas leurs visions politiques du monde).

7.  Troisièmement, ce rapport se penche sur le problème des cybermenaces directes contre les Etats et, notamment, sur le rôle de l’OTAN en matière de cyberdéfense qui est l’un des principaux enjeux pour la communauté euro-atlantique, particulièrement au lendemain du Sommet de Lisbonne.

8.  Nous n’aborderons pas la question de la cybercriminalité. Si le cybervol et la pornographie enfantine sont des questions très préoccupantes pour la communauté internationale4, elles n’ont pas d’implications directes pour la sécurité nationale et sont traitées par plusieurs autres organisations internationales, dont l’ONU, l’UE, l’OSCE, l’OCDE et le G8. La Convention sur la Cybercriminalité du Conseil de l’Europe – qui demande à ses Etats parties de criminaliser plusieurs activités dans le cyberespace ayant trait aux atteintes à la propriété intellectuelle, à la fraude informatique et à la pornographie enfantine – est une initiative remarquable qui doit encore être ratifiée par plusieurs Etats membres de l’OTAN5.

9.  Ce rapport rend compte également des efforts sans relâche que déploie la Commission sur la dimension civile de la sécurité pour traiter la question de la protection des infrastructures essentielles au sein de l’Alliance. Les cybertechnologies sont non seulement des outils indispensables pour des systèmes comme la production énergétique et les transports, mais peuvent elles-mêmes être considérées comme des infrastructures nationales essentielles. 

10.  Ce rapport s’inspire par ailleurs de documents établis par d’autres commissions de l’APOTAN, notamment sur le rapport établi en 2009 par la Sous-commission sur l’avenir de la sécurité et des capacités de défense "L’OTAN et la Cyberdéfense" de Sverre Myrli (Norvège) [173 DSC FC 09 F bis] et sur le rapport de la Commission des sciences et des technologies de 2007 "Transformer la guerre de demain : capacités réseaucentriques et systèmes sans pilote" du sénateur Pierre Claude Nolin (Canada) [175 STC 07 F bis].

 

 

II. L’ERE DE L’INFORMATION ET LA NOTION DE CONFIDENTIALITE DANS LES RELATIONS INTERNATIONALES

11.  Nous allons nous pencher sur les défis que pose la protection des informations classifiées à l’ère de l’Internet. Nous étudierons également les implications politiques et sur le plan de la sécurité du scandale du Cablegate qui a mis en lumière le dilemme entre la coopération interinstitutions et internationale et la sécurité d’informations sensibles.

 

A. LE CABLEGATE

12.  Selon l’enquête sur les attaques du 11 septembre 2001, si le gouvernement américain n’avait pas refusé de partager les informations adéquates, les attaques auraient pu être évitées (le FBI a refusé de partager des renseignements concernant un agent d’al-Qaïda, qui se sont révélés par la suite essentiels à la découverte de la conspiration). En conséquence, des représentants de l’élite politique, de l’armée, et du monde financier ont tous exercé des pressions en faveur d’un partage plus large des informations classifiées afin d’accroître l’efficacité opérationnelle de la protection du pays. Le gouvernement américain a donc adopté une politique de partage de l’information qu’il a appliquée à plusieurs agences et organismes du gouvernement dont le département de la Défense et le département d’Etat.

13.  En conséquence de cette politique, un nombre exponentiel de personnes ont eu accès à des informations classifiées. Environ 854 000 personnes détiennent aujourd’hui le droit d’accès à des informations ultra-secrètes6. Cela fait maintenant près de 10 ans que des télégrammes diplomatiques sont distribués via SIPRNet (Secret Internet Protocol Router Network utilisé par le département de la Défense), les rendant accessibles à tous les employés du Département d’Etat du monde entier, à tous les membres de l’armée américaine et aux contractants ayant l’habilitation de sécurité requise. Au bout du compte, plusieurs millions de personnes ont eu accès à des documents, notamment des télégrammes diplomatiques américains7. D’après des experts de la sécurité des informations connaissant bien le réseau SIPRNet, le système de partage de données n’était pas programmé pour détecter le téléchargement non autorisé par une personne ayant accès à cet ensemble de données. Ainsi, les responsables qui ont conçu le réseau partaient du principe que ceux qui avaient accès à ces données sensibles les protègeraient de tout abus. Ces utilisateurs n’ont jamais été soumis à un examen approfondi des services fédéraux chargés du système de partage des données8.

14.  La politique des pouvoirs publics en matière de partage de l’information après les attaques du 11 septembre a été sérieusement ébranlée lorsque l’organisation « anti-confidentialité » WikiLeaks a commencé à publier des documents de différents niveaux de confidentialité. Une vidéo d’un hélicoptère américain tirant sur une foule à Bagdad en 2007, tuant 18 personnes, dont deux journalistes de Reuters, est le premier document choc divulgué en avril 2010. Peu après, 77 000 documents censés révéler les réalités de la guerre afghane ont été divulgués, ainsi que près de 400 000 documents secrets du Pentagone sur la guerre en Iraq.9 En novembre 2010, WikiLeaks a commencé à publier environ 250 000 télégrammes diplomatiques américains, dont un grand nombre étaient confidentiels. Ces télégrammes disaient sans détour  ce que des diplomates américains pensaient des menaces terroristes et du comportement des dirigeants du monde entier.10 Les autorités américaines soupçonnent aujourd’hui que le soldat Bradley Manning, en poste dans le golf Persique, est l’auteur des fuites, lequel a téléchargé les informations à partir d’un ordinateur au Koweït. Il aurait ensuite transféré ces fichiers sur le site de l’organisation  whistleblower (dénonciateur), qui les a divulgués. 

 

B. REACTIONS AUX FUITES

15.  Si chaque divulgation de WikiLeaks provoque un débat public, la diffusion en novembre 2010 de télégrammes diplomatiques américains a déclenché des réactions particulièrement agressives d’hommes politiques du monde entier. Avant les fuites, la secrétaire d’Etat Hillary Clinton et son équipe ont prévenu des agents étrangers de la divulgation imminente de documents, et ce, plusieurs jours avant qu’elle ne se produise. Après la divulgation, la Maison Blanche11  ainsi que le département d’Etat l’ont dénoncée sans attendre et, pour reprendre les termes d’Hillary Clinton, l’ont qualifiée « d’attaque contre les Etats-Unis et contre l’ensemble de la communauté internationale»12. En conséquence, plusieurs pays dont la Turquie, l’Iraq, l’Afghanistan, la Chine ainsi que des membres de l’OTAN se sont empressés de dénoncer les fuites13.

16.  Le jour de la fuite, la Maison Blanche a demandé aux services gouvernementaux de réviser leurs procédures de sécurité et de faire en sorte que seuls les usagers indispensables aient accès à leurs documents14. Peu après, le Bureau du président a également nommé un Comité interadministrations pour WikiLeaks, chargé d’évaluer les dégâts causés par les fuites, de coordonner les réactions des différents organismes, et d’améliorer la sécurité des documents confidentiels15. Le département de la Défense américain a procédé à un examen interne de 60 jours des procédures de sécurité. Il a également désactivé  différents moyens de stockage et la capacité de consigner ou de graver des systèmes amovibles de stockage sur les ordinateurs confidentiels du département de la Défense16. L’Agence des systèmes informatiques en matière de défense a par ailleurs lancé un nouveau Système de sécurité (Host-based Security System), qui est censé évaluer les règles en matière de logiciel et de politique afin de détecter tout comportement suspect et alerter les autorités compétentes. Par exemple, le logiciel déclenche une alarme si de grandes quantités de données sont téléchargées. Aujourd’hui, environ 60 % du réseau SIPRNet est protégé par le logiciel. Cela étant, pour une efficacité optimale, une compartimentalisation renforcée des informations sera sans doute nécessaire17. Un mécanisme de suivi similaire est en cours d’adoption par les agences de renseignement américaines (désigné sous le nom de « enhanced automated, on-line audit capability », capacité automatique renforcée de surveillance en ligne).18

17.  Le département d’Etat a limité le nombre de personnes ayant accès à la base de données Net Centric Diplomacy, qui contient des rapports diplomatiques19, a suspendu l’accès au réseau SIPRNet et à deux sites confidentiels ClassNet et SharePoint, et a interdit l’utilisation de tous systèmes amovibles de stockage de données.20  Après les fuites, l’armée de l’air américaine a bloqué l’accès de ses employés à au moins 20 sites internet contenant les documents divulgués, dont les quotidiens The New York Times et The Guardian. Le Pentagone a interdit à ses employés l’accès au site internet WikiLeaks à partir des ordinateurs du gouvernement « car les informations qui s’y trouvent sont toujours jugées confidentielles »21. Enfin, l’administration a interdit à des centaines de milliers d’employés de l’administration fédérale du Département de l’Education, du Département du Commerce, et d’autres organismes du gouvernement de se connecter au site. La Bibliothèque du Congrès, l’une des plus grandes au monde, a également publié une déclaration informant qu’elle bloquerait l’accès à WikiLeaks22.

18.  Quant au site WikiLeaks, il a fait l’objet d’attaques répétées par déni de service distribué, ce qui l’a poussé à changer de serveur. Des sociétés comme Visa, Mastercard ou Paypal ont par ailleurs suspendu tous leurs services envers cette organisation, laquelle dépend largement de donations faites en ligne par des donateurs du monde entier23.

 

C. TRANSPARENCE CONTRE CONFIDENTIALITE

19.  Le dilemme entre transparence et confidentialité demeure au coeur de l’ère numérique et domine les médias du monde entier, notamment depuis le scandale provoqué par WikiLeaks. D’une part, les défenseurs de la transparence font valoir que l’existence de WikiLeaks atteste que la transparence des gouvernements et d’autres organisations est ce que souhaite le public. D’après eux, c’est précisément l’ère de l’Internet  qui est propice à la réforme des institutions, qui augmente la confiance du public dans les actions du gouvernement et qui renforce la coopération24. Et, comme le font valoir les partisans de la transparence, il ne faut pas répondre à ce phénomène en limitant la portée des technologies et des informations, mais plutôt s’efforcer d’adapter la conduite de la diplomatie, des affaires militaires et du renseignement au nouveau concept25.

20.  Cela étant, selon le rapporteur, quel que soit le désir de transparence, les opérations militaires et de renseignement, ne peuvent pas être programmées et commentées avec le public. Sans un certain degré de confidentialité, il serait impossible aux gouvernements et notamment aux services de sécurité de mener à bien leurs fonctions et de protéger les citoyens. De surcroît, la transparence peut être utilisée à mauvais escient à plusieurs niveaux – via une interprétation non professionnelle ou médiocre d’informations ou de documents, un manque d’expérience en la matière ou pour servir un dessein politique. Ainsi, toute action menée au nom de la « transparence » n’est pas forcément bonne pour le gouvernement ou pour les citoyens. De plus, le principe même de la transparence peut également amener des personnalités en vue à faire preuve d’une discrétion encore plus grande. L’ère numérique  et sa nature transparente peuvent, par exemple, empêcher les diplomates « d’agir comme avant », notamment faire des déclarations non officielles ou avoir des discussions franches avec leurs collègues26. Autre conséquence : une pression accrue sur les décideurs, qui doivent identifier, évaluer, et réagir face aux informations auxquelles ont immédiatement et largement accès d’autres gouvernements, organisations ainsi que le public27, pression inutile et qui peut être dangereuse surtout lorsque des questions de sécurité sont en jeu.

 


III. [H]ACTIVISME NUMERIQUE

21.  Ce chapitre traite de l’émergence de réseaux et de communautés sans frontière, la plupart étant de bon aloi mais certaines étant extrêmement dangereuses. Des communautés virtuelles opérant en ligne représentent de nouvelles possibilités pour la société civile mais augmentent par ailleurs le risque d’attaques asymétriques.

 

A.   LE PHENOMENE DE L’HACTIVISME

22.  Outre les dégâts, les destructions ou les opérations d’espionnage, la plupart des cyberattaques récentes sont également un moyen de poursuivre un objectif assez différent. « L’[h]activisme » est une forme assez récente de protestation sociale ou d’expression d’une idéologie via des techniques de hackers. Les [h]activistes lancent diverses attaques par déni de service distribué (DdoS) et via des logiciels malware ( logiciel malveillant) pour faire connaître la cause qu’ils défendent et non pour commettre des crimes. Ces attaques, les premières datant de 1989, se sont multipliées ces dix dernières années. Les [h]activistes ont jusqu’à présent attaqué la NASA, les gouvernements indonésien et israélien, des sites républicains ainsi que l’Université de East Anglia28.

23.  L’un des groupes les plus importants de hackers en ligne – Anonymous – a lancé une campagne contre l’Iran, l’Australie et l’Eglise de scientologie29. Leur campagne la plus notable toutefois a démarré en 2010 après la divulgation par WikiLeaks des télégrammes diplomatiques américains. Dans son manifeste en sept points diffusé en ligne, Anonymous annonce son engagement dans « la première guerre de l’information jamais livrée » et désigne Paypal comme ennemi30. Des attaques par déni de service distribué ont par la suite été perpétrées contre Mastercard, Visa, PayPal et contre d’autres sociétés qui avaient décidé d’arrêter de fournir des services à WikiLeaks (elles s’occupaient auparavant de gérer les donations en ligne pour le site) : la banque suisse PostFinance, après que cette dernière a fermé le compte bancaire de Julian Assange, et le parquet suédois31. Le groupe a également attaqué Amazon.com qui hébergeait auparavant WikiLeaks32.

24.  Aux dires d’observateurs, le collectif Anonymous, de plus en plus perfectionné, serait en mesure de pirater des fichiers sensibles du gouvernement, de l’armée et d’entreprises. Selon des informations datant de février 2011, Anonymous a démontré qu’il en était tout à fait capable. Après l’annonce par WikiLeaks de son intention de divulguer des informations concernant une grande banque, le collectif Anonymous a piraté les serveurs d’une société de sécurité Internet apparentée à HBGary Federal et s’est emparé du compte twitter du PDG en réponse à la déclaration de ce dernier indiquant qu’il allait dévoiler l’identité des membres d’Anonymous. A ce jour, le collectif international ad hoc de hackers et d’activistes compterait des milliers de membres et fonctionne sans règlement ni adhésion33. La mise en oeuvre de mesures efficaces pour lutter contre ce genre de communautés transfrontières virtuelles qui se font et se défont pour les besoins de la cause est de toute évidence extrêmement difficile.

 

B. LE ROLE DES MEDIAS SOCIAUX

25.  Le débat sur l’ère de l’information et les nouveaux médias sociaux s’est intensifié début 2011, de nombreux pays d’Afrique du Nord et du Moyen-Orient étant secoués par des soulèvements populaires contre leur gouvernement. C’est l’Internet, associé à d’autres moyens, certains nouveaux, d’autres anciens, comme les téléphones portables et la télévision, qui ont rendu possible cette résistance collective face aux régimes autoritaires dans la région. Des images de manifestants brandissant des panneaux « Merci, Facebook ! » sont courantes en Egypte et en Tunisie34. Les journalistes, experts et hommes politiques utilisent de plus en plus des expressions telles que « Révolution Facebook », « Diplomatie Twitter », ou « Cyberactivisme »35. Aujourd’hui, Facebook est une communauté qui réunit plus de personnes que n’importe quel pays au monde, hormis la Chine et l’Inde et, si la tendance se poursuit, le site du réseau social comptera bientôt plus d’usagers que l’Inde n’a d’habitants36.

26.  Les médias sociaux, au premier rang desquels Facebook, aident les militants de plusieurs de ces pays à organiser les manifestations anti-gouvernementales, à échapper à la surveillance, à discuter de sujets tabous depuis des décennies comme la torture, les violences policières ou la censure des médias, et permettent d’échanger des conseils pratiques sur la façon de résister aux balles en caoutchouc et d’organiser des barricades37.  Pour preuve du rôle central des nouveaux médias sociaux dans le succès des mouvements de résistance populaire : deux jours après le début des manifestations en Egypte, Facebook, les téléphones et Internet ont été interrompus sur l’ensemble du territoire. Quelques jours plus tard, la connexion internet étant rétablie et les usagers de Facebook ayant de nouveau accès à leur compte, ils se sont rendu compte que le régime avait tenté d’utiliser ces outils pour diffuser de la propagande pro-Moubarak. Plus récemment, des pages Facebook, des groupes et des blogs s’efforçant de mobiliser les manifestants, ont vu le jour en Algérie, au Bahreïn, au Maroc et en Syrie. En guise de soutien aux manifestants, le groupe en ligne Anonymous a lancé des attaques contre les sites des gouvernements tunisien et égyptien, le Parti national démocratique de Moubarak et la bourse tunisienne, les rendant inaccessibles à plusieurs reprises38.

27.  Selon les partisans des médias sociaux « le simple fait de savoir que des dynamiques sociales existent influe sur ces dynamiques mêmes ». On sait quelle influence peut exercer le groupe sur les décisions prises et c’est grâce à ces nouveaux médias sociaux que l’effet de groupe a donné naissance à diverses manifestations d’ampleur nationale. D’autres, en revanche, font valoir que l’influence des nouveaux médias sociaux s’agissant des révolutions de 2011 est surestimée. D’après les critiques, les médias sociaux permettent seulement d’assurer une coordination rapide des masses mais ils leur manquent le discours et la détermination qui sont essentiels pour déclencher et entretenir un mouvement populaire39. A titre indicatif, en Egypte, les manifestations ont véritablement pris de l’ampleur après que le gouvernement a coupé Internet. Les médias sociaux n’empêchent pas non plus que les manifestations populaires soient réprimées par les pouvoirs publics et par les services de sécurité. En d’autres termes, ils n’en déterminent pas l’issue.

28.  Au lendemain des soulèvements populaires en Afrique du Nord et au Moyen-Orient, les représentants des médias sociaux ont réagi très diversement face aux événements. Des représentants de Facebook ont refusé de parler du rôle de Facebook dans les soulèvements et n’ont fait qu’une très courte déclaration : « Nous avons vu des gens courageux de tous les âges s’associer pour réaliser un profond changement dans leur pays. A n’en pas douter, la technologie a été un outil essentiel dans leurs efforts mais nous pensons que c’est leur courage et leur détermination qui ont fait la différence ». Twitter et YouTube (propriété de Google) ont reconnu plus ouvertement le rôle qu’ils ont joué dans les manifestations. Contrairement à Facebook, ils ont pris l’initiative après la coupure d’internet en Egypte en aidant les manifestants à établir un nouveau service, "speak2tweet", permettant aux gens de communiquer et de s’organiser40. Le fondateur de WikiLeaks, Julian Assange, s’est montré encore plus catégorique en attribuant le succès de ces récents mouvements de résistance à son site. D’après lui, ce sont les télégrammes diplomatiques américains divulgués par WikiLeaks qui, ont donné à l’armée "la confiance nécessaire  dont elle avait besoin pour attaquer l’élite politique au pouvoir"41.

29.  Plus récemment, en juin, la dernière dictature européenne a également été frappée par une vague de manifestations anti-gouvernementales. Suite à une pénurie de réserves en dollars et en euros, le gouvernement biélorusse a dévalué sa monnaie, le niveau de vie en subissant immédiatement le contrecoup. Pour protester contre ces mesures, les gens se sont organisés de manière anonyme par le biais de réseaux sociaux comme Facebook et son équivalent russophone vKontakte42. Après une première vague d’arrestations, les organisateurs ont opté pour des formes dites « silencieuses » de protestation. Via des instructions diffusées en ligne, ils ont appelé à se rendre en masse dans les parcs ou les squares sans rien faire hormis taper dans les mains, faire sonner leurs téléphones ou diffuser de la musique à heure dite, ou à conduire tout doucement dans les rues des villes de Biélorussie et chanter la chanson en vogue sous le régime soviétique appelée « Nous attendons des changements »43. La police n’a pas réussi jusqu’à présent à identifier les personnes qui diffusent des instructions via les réseaux sociaux. Qui plus est, le nouveau concept de « manifestations silencieuses » fait que la police a du mal à savoir qui prend vraiment part à la manifestation. Si ces manifestations, jusqu’à présent, ne mobilisent pas un grand nombre de sympathisants ni ne représentent une véritable menace pour les élites au pouvoir, elles ont réussi en revanche, via les réseaux sociaux, à impliquer plusieurs milliers de personnes d’horizons professionnels très divers ainsi que de groupes d’âge différents44.

 


IV. CYBERATTAQUES ET CYBERDEFENSE

30.  Comme il est dit plus haut, l’ère de l’information et les conditions qui l’entourent font que l’Etat et la société sont davantage exposés aux attaques numériques. Et ce, parce que nous ne rangeons plus nos dossiers et nos données sur une étagère mais dans un monde virtuel auquel tout le monde peut accéder aux quatre coins du monde. Comme dans le cas de WikiLeaks, ces dossiers peuvent être matériellement enlevés d’un ordinateur, remis entre des mains ennemies, ou simplement divulgués. Par ailleurs, l’une des plus grandes forces et faiblesses de l’ère numérique est qu’il est possible, à distance, d’accéder à des dossiers et de perturber des services en ligne au moyen de diverses « cyberattaques ». Le terme "cyberattaque" recouvre une myriade d’activités allant du vol de mot de passe à l’accès aux comptes, en passant par la perturbation d’infrastructures essentielles d’un pays ou l’espionnage d’un ennemi45. Comme l’ont déclaré des experts du cyberespace aux membres de deux sous-commissions de l’AP-OTAN durant la visite qui s’est déroulée du 18 au 20 avril 2011 à La Haye, aucun accord n’existe encore au sein de la communauté internationale sur la question de savoir lesquelles de ces activités constituent un crime. Le maître de recherche principal de l’Agence des C3 (consultation, commandement et contrôle) de l’OTAN, Brian Christiansen, a suggéré de remédier aux « trous noirs » juridiques au niveau multinational vu la nature transnationale de la menace, argument dont plusieurs spécialistes de la cybersécurité se sont fait l’écho46.

31.  Etant par nature décentralisé, l’Internet est en fait extrêmement solide et résistant car il a été conçu pour résister à une guerre nucléaire. Pour autant, des portions séparées de ce réseau de réseaux sont vulnérables aux cyberattaques. L’aspect le plus inquiétant du cyberespace est que l’attaquant a l’avantage sur le défenseur. Il suffit aux attaquants d’un seul maillon faible pour pénétrer dans le réseau, alors que les défenseurs doivent parer à toutes les failles. Par ailleurs, ces attaques vont à la vitesse de la lumière, ce qui laisse peu ou pas de temps pour réagir. Qui plus est, la nature même d’Internet permet à un attaquant de contrefaire l’adresse de l’expéditeur ou d’utiliser des botnets (ordinateurs zombies souvent situés dans différents pays), dissimulant ainsi la véritable identité de l’agresseur et amenant à attribuer l’attaque à quelqu’un d’autres47. D’après les estimations, environ 1 200 botnets sont situés sur le territoire américain48.

32.  Savoir à qui attribuer l’attaque est, de l’avis général, le plus gros obstacle à une cyberdéfense efficace. Des hackers professionnels peuvent facilement effacer leurs traces et ainsi éviter toute sanction. La dissuasion, élément essentiel de la conception classique de la défense,  est hasardeuse dans l’espace cybernétique. De plus, la plupart des cyberattaques sont réalisées par des groupes civils de hackers et il est donc très difficile de prouver l’implication d’un gouvernement. Par exemple, d’après certains experts, la communauté chinoise de hackers, en plein essor, n’est pas directement supervisée par les administrations compétentes mais seulement encouragée financièrement ou par le biais de mécanismes d’éducation ‘patriotique’ dont le système de milice populaire et de réserve de l’Armée populaire de Libération.  Il est par conséquent difficile d’accuser Beijing pour des attaques comme celle de 2007 lorsqu’au Pentagone49 quelque 25 – 27 teraoctets de données (l’équivalent d’environ 5 000 DVD) ont été illégalement copiés.

33.  D’après Kenneth Geers, affecté au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (CCD COE), Estonie, qui a traité cette question devant la Commission sur la dimension civile de la sécurité à la session de printemps, qui s’est déroulée du 27 au 30 mai 2011 à Varna en Bulgarie, les programmes informatiques et Internet sont d’une telle complexité qu’ils sont quasiment impossibles à protéger. Il n’est pas totalement impossible de localiser les auteurs d’attaques cybernétiques. Cela dit, il faut tout d’abord mettre au point un système de coopération internationale entre les gouvernements et les experts, se doter d’un réseau de renseignement de source humaine efficace et réaliser des enquêtes de police approfondies. Toutes ces mesures sont essentielles car se contenter d’interdire le piratage informatique ou n’utiliser que des moyens cybernétiques pour trouver la source d’attaques ne suffit pas. D’après M. Geers, l’OTAN qui est une alliance puissante dont les membres sont dotés de capacités de pointe et de moyens financiers importants, est l’organisation idéale pour traiter cette question. Deuxièmement, la nouvelle version 6 (IPv6) du Protocole Internet, dotée d’une technologie d’authentification, permet de limiter l’interaction aux seuls ID confirmés – usagers figurant sur une liste blanche au sein de votre réseau. Cette technique limite les possibilités d’interconnexion de l’Internet mais, en revanche, assure un nouveau niveau de protection.
 
34.  Les sources des cyberattaques demeurent néanmoins, pour le moment, quasiment  impossibles à localiser. Quoi qu’il en soit, s’agissant de l’implication d’Etats dans des cyberattaques, la Russie et la Chine seraient les suspects traditionnels.50 D’après ce que nous savons aujourd’hui, des groupes terroristes tels que al-Qaïda n’ont pas encore la capacité de mener des attaques de ce type. Cela étant, les terroristes connaissent de plus en plus les possibilités qu’offre l’Internet. Les extrémistes se servent depuis longtemps de l’Internet pour diffuser leurs idées ainsi que des informations détaillées relatives aux tactiques, techniques et procédures utilisées dans les attaques terroristes. Depuis 2001, nombre de sites Internet ont été contrôlés et fermés aux Etats-Unis51. Mais les sites changent sans arrêt et les spécialistes de la sécurité doivent faire preuve de rapidité et d’adaptabilité pour les localiser. Qui plus est, les sites de discussion et les publications en ligne sont utilisés non seulement pour galvaniser leurs partisans mais aussi pour radicaliser et recruter de nouveaux membres. A noter la mise en ligne du magazine d’al-Qaïda ‘Inspire’ qui aurait été récemment piraté par des agents britanniques de la sécurité52.

35.  Comme  nous l’avons déjà signalé, le domaine cybernétique est extrêmement dynamique et se développe rapidement ; les experts en cybersécurité ont donc du mal à réagir de manière appropriée et rapide aux nouveautés. Par exemple, l’une des dernières tendances est l’émergence de ce que l’on appelle « informatique en nuage ». Il s’agit d’une mise en réseau où le logiciel, le stockage de données et autres ressources sont fournies par le biais d’un réseau partagé. Les usagers peuvent ainsi avoir accès aux applications de gestion de leur entreprise en toute sécurité par le biais du ‘nuage’53. Les pouvoirs publics tout comme le secteur privé bénéficient des avantages qu’offre l’informatique ‘en nuage’, ce qui contribue à accroître la productivité, diminue les coûts (selon des estimations du Brookings Institute, le gouvernement américain peut économiser entre 25 et 50% de ses coûts informatiques, se tenir au courant des innovations technologiques et faire preuve d’une plus grande transparence envers ses citoyens54. Cela étant, ce procédé pose certains problèmes quant à la sécurité des données, à savoir : l’usage par les prestataires de pratiques de sécurité inefficaces, le fait que les agences ne sont pas capables de vérifier les contrôles de sécurité des prestataires, le fait que les cybercriminels ciblent des ‘nuages’ riches en données, et que des agences perdent l’accès à leurs données dès lors que la relation avec un prestataire prend fin55. Ainsi, des normes pour réglementer ce nouvel espace cybernétique doivent être fixées et mises en oeuvre56. Or, d’après Gregory Wilshusen, directeur des questions de sécurité de l’information au GAO (Government Accountability Office), des administrations américaines transfèrent leurs données vers le ‘nuage’ avant qu’une stratégie de sécurité à l’échelle du gouvernement n’ait été mise au point par des services compétents. « Ces risques sont liés en général au fait que l’on dépend des pratiques et des garanties en matière de sécurité d’un fournisseur de services et du partage de ressources informatiques ».

36.  Certains toutefois se déclarent convaincus que l’informatique ‘en nuage’ améliorera la sécurité. D’après Mike Bradshaw, directeur de Google Federal, « les prestataires d’informatique ‘en nuage’ stockant des données sur de multiples serveurs dans de multiples endroits, il est difficile pour les cybercriminels de cibler un endroit précis ». D’autre part, les vulnérabilités peuvent être gérées de façon plus rapide et plus uniforme57.


A. TYPES DE CYBERATTAQUES

37.   Il existe, en gros, deux types de cyberattaques : déni de service distribué (DDoS) et logiciels malveillants.

1.  Attaques DDoS

38.  Les attaques DDoS ont pour but d’inonder une cible en envoyant de grandes quantités de paquets réseau vers une machine. Les attaquants s’emparent de plusieurs ordinateurs (botnets) et les utilisent à l’insu de leurs propriétaires – par exemple, dans le cadre de l’attaque contre l’Estonie, environ 1 million d’ordinateurs ont été piratés dans 75 pays58. L’objectif est d’empêcher les usagers légitimes d’accéder à des informations et des services, notamment l’ordinateur luimême, la messagerie électronique, les sites web, les comptes en ligne (banque, etc.). Il est extrêmement difficile de parer à des attaques DDoS car elles ne cherchent pas à tirer parti des failles d’un système. On peut remédier à des failles, mais généralement on ne peut pas faire grand-chose pour empêcher des attaques DDoS 59.

39.  L’une des attaques les plus importantes destinées à paralyser les infrastructures essentielles d’un pays a frappé l’Estonie en mai 2007. Le pays, doté d’une importante infrastructure électronique, a subi des attaques DDoS coordonnées contre les sites du parlement et du président estoniens, contre presque tous ses services ministériels, partis politiques, grands organes de presse, deux banques et plusieurs entreprises de communication. Les attaques ont eu lieu peu après que les autorités estoniennes eurent changé d’emplacement un monument aux morts soviétique à Tallinn – une initiative qui a suscité des protestations de la part des Russes de souche vivant en Estonie. Les séries de cyberattaques, lancées plusieurs semaines après l’événement et provenant apparemment de Russie, auraient été hébergées par des serveurs du gouvernement russe. La Russie a nié ces allégations mais, en mars 2009, un militant des jeunes patriotes pro-Kremlin, Nashis, a revendiqué les attaques contre l’Estonie. Il faut noter que l’Estonie est fortement tributaire de l’Internet. Lors des dernières élections législatives, un quart des électeurs ont voté via Internet.

40.  Une autre attaque DDoS de grande envergure a été lancée contre la Géorgie durant l’été 2008. Fait remarquable : elle était associée à des forces militaires conventionnelles, phénomène qui, selon plusieurs experts, sera de plus en plus courant. La Géorgie a accusé la Russie d’être responsable de l’attaque mais la Russie a bien sûr nié toute implication60. Un an plus tard, une cyberattaque, combinée à des forces conventionnelles, auraient également été employées dans l’affaire du bombardement du réacteur nucléaire syrien, le tout aurait été orchestré par Israël61.

2.  Attaques de logiciels malveillants

41.  Attaques malware – ou “logiciel malveillant ” – il s’agit de techniques capables d’infiltrer un ordinateur à l’insu de son utilisateur et d’en prendre le contrôle, collecter des informations, ou d’effacer ses fichiers (voir en annexe les exemples de logiciels malveillants). De tels logiciels pourraient être achetés en ligne pour quelques centaines de dollars ou même être téléchargés gratuitement62.

42.  Des cyberattaques du type malware sont devenues courantes pour l’espionnage. En 2008, les Etats-Unis ont subi une attaque importante contre les réseaux classifiés du Commandement central américain en charge du suivi des opérations militaires au Moyen-Orient et en Asie centrale. D’après les informations dont nous disposons, l’attaque a été menée par un service de renseignements étranger, qui a diffusé le logiciel malveillant via un système de stockage de données amovible. En 2009, d’après l’étude sur le réseau de cyberespionnage GhostNet, conduite par Information Warfare Monitor, 1 295 ordinateurs dans 103 pays ont été piratés par le logiciel malveillant GhostNet qui a permis de surveiller et, le cas échéant, de prendre le contrôle d’infrastructures publiques critiques du domaine cybernétique. Fait assez préoccupant, 30% des cibles du logiciel GhostNet peuvent être considérées comme de grande valeur63.

43.  Les cyberattaques aux fins d’espionnage, toutefois, peuvent également viser des acteurs non étatiques tels que des entreprises privées ou des groupes de réflexion. « Opération Aurora » menée fin 2009/début 2010 en est une bonne illustration. Durant plusieurs mois, des hackers chinois ont réussi à s’introduire dans les systèmes informatiques d’au moins 34 sociétés financière, technologique et de défense en exploitant des failles des fichiers joints aux messages électroniques64. L’une des cibles, le puissant moteur de recherche Google, a reconnu que des hackers avaient piraté les comptes Gmail de défenseurs chinois des droits humains aux EtatsUnis, en Europe et en Chine. Plusieurs organisations de défense des droits humains et des groupes de réflexion basés à Washington, axés sur les relations sino-américaines, ont également été la cible des attaques. D’après les experts, l’attaque est encore plus perfectionnée car les hackers exploitent plusieurs failles de différents logiciels – de multiples types de codes malveillants auraient été utilisés contre plusieurs cibles et l’ensemble du processus était rigoureusement coordonné. Cette série d’attaques avait pour but d’obtenir des informations sur les derniers systèmes d’armes de défense, des codes sources de logiciels de puissantes entreprises technologiques, ainsi que des renseignements sur les dissidents65.

 

3 .  Stuxnet

44.  Si le ver Stuxnet est du point de vue technique un malware, sa spécificité et le pouvoir de nuisance qui le caractérisent sont si nouveaux qu’il mérite que l’on s’y attarde. Le ver Stuxnet est décrit comme « l’arme cybernétique la  plus sophistiquée jamais déployée » 66 et le rôle qu’il a joué, que personne ne conteste, dans l’endommagement du réacteur nucléaire Bushehr et de la centrale d’enrichissement d’uranium de Natanz l’ont propulsé sur le devant de la scène67. En substance, le ver est une cyberattaque ciblée : « il renifle » le système d’exploitation de sa cible et n’attaque que si ce système correspond à ses critères de cible, rendant de ce fait la détection plus difficile pour d’autres défenses. Une fois sa cible repérée, Stuxnet déploie deux charges utiles, à la programmation extrêmement compliquée, pour les « bombarder ». Dans l’exemple iranien, la première de ces cyberbombes a attaqué les centrifugeuses de la centrale nucléaire, les déphasant lentement jusqu’à ce qu’elles entrent en collision, causant des dégâts considérables. La deuxième cyberbombe a perturbé les systèmes numériques d’alerte, affichage et arrêt qui contrôlent les centrifugeuses, rendant de ce fait ces systèmes aveugles à ce qui se passait. 

45.  C’est parce que Stuxnet  attaque spécifiquement et met en échec les systèmes SCADA (télésurveillance et acquisition de données) des infrastructures critiques qu’il est à nul autre pareil. Si l’attaque en Iran était spécifiquement ciblée, cette méthode pourrait être utilisée pour attaquer pratiquement tout système informatique de n’importe quelle infrastructure critique dans le monde entier, d’où le véritable danger de Stuxnet. C’est pourquoi Stuxnet a été qualifié de « cyber-arme de destruction massive »68. N’oublions pas que la grande majorité des systèmes informatiques complexes dont sont équipées les infrastructures nationales critiques qui sont potentiellement vulnérables à Stuxnet sont situés dans des pays de l’OTAN et dans des pays partenaires de l’OTAN. A ce sujet, British Telecom estime que 65 % des cyberattaques contre des infrastructures critiques exploitent des erreurs de configuration préexistantes du logiciel des systèmes de contrôle, mettant en évidence le besoin de standardisation dans l’ensemble de l’Alliance69.


B. L’OTAN ET LA CYBERDEFENSE

1 .  Le programme de l’OTAN en matière de cyberdéfense

46.  Le cyberespace est souvent qualifié de « 5e dimension de l’espace de combat » ; à la fois source de possibilités et de risque pour les forces armées. Dans le cadre de la révolution des technologies de l’information et des communications, les institutions militaires des grandes puissances se sont employées sans relâche à connecter entre eux commandants, soldats, capteurs et plateformes pour en augmenter la maniabilité et permettre une meilleure compréhension de la situation. Aujourd’hui, aux Etats-Unis, plus d’un cinquième des acquisitions en matière de défense et de sécurité relèvent du secteur cybernétique70. « Les capacités réseaucentriques » est désormais l’expression à la mode dans l’armée, tandis que de nouvelles technologies permettent aux commandants de prendre des décisions en toute connaissance de cause et de réduire les pertes humaines, notamment en envoyant d’une base du Nevada un véhicule aérien sans pilote en Afghanistan.

47.  Cela étant, nos forces armées sont aujourd’hui exposées à des risques qu’elles n’ont jamais connus, comme le montre l’incident dont le Wall Street Journal s’est fait l’écho en décembre 2009, lorsque des rebelles iraquiens ont réussi à intercepter des informations provenant de véhicules aériens sans pilote américains au moyen d’un logiciel bon marché que l’on trouve sur Internet71. Les systèmes informatiques du Pentagone sont testés pas moins de six millions de fois par jour, d’après le commandement cybernétique américain. 

48.  Le rôle croissant de l’OTAN en matière de cybersécurité est donc inévitable. Comme l’a déclaré le Secrétaire général de l’OTAN, Anders Fogh Rasmussen : « Il ne peut y avoir de véritable sécurité sans cybersécurité ». Cette question figure à l’ordre du jour de l’Alliance depuis 2002 lorsqu’elle a approuvé un Programme de cyberdéfense – « un plan global pour rendre l’Alliance plus apte à se défendre contre des cyberattaques en renforçant les capacités de l’OTAN ». Cela étant, il a fallu attendre les attaques de 2007 contre l’Estonie pour que l’OTAN décide de mettre au point une politique globale de cyberdéfense qui prévoit non seulement la protection des propres réseaux de l’Alliance mais qui renforce la cybersécurité de chacun des Etats membres. Le Rapport du groupe d’experts (le « rapport Albright ») demande que l’OTAN intensifie ses efforts destinés à répondre aux dangers des cyberattaques. Il recommande de privilégier la protection des systèmes de communications et de commandement de l’OTAN, aidant les Alliés à accroître leur capacité à prévenir les attaques et à en effacer les effets, et de mettre au point une série de capacités de cyberdéfense en vue d’une détection et d’une dissuasion efficaces.

49.  Au Sommet de Lisbonne, les Etats membres de l’OTAN ont pris l’engagement que l’Alliance  mettrait au point une politique révisée de cyberdéfense, laquelle a été adoptée en  juin 2011, ainsi qu’un Plan d’action qui fixe les modalités de mise en œuvre de cette politique. Si la teneur de cette politique demeure confidentielle, selon le communiqué de presse de l’OTAN, elle traite tous les aspects clés de la cybersécurité de l’Alliance, à savoir placer toutes les structures de l’OTAN sous une protection centralisée, clarifier les mécanismes de réaction de l’OTAN face aux cyberattaques, intégrer la cyberdéfense au processus OTAN de planification de défense (NDPP), mettre en place le cadre permettant de contribuer aux efforts déployés au niveau national par les différents alliés, faciliter un meilleur partage des informations et fixer les principes d’une coopération plus étroite avec les pays non membres de l’OTAN, les organisations internationales et le secteur privé. Cette stratégie devra sans doute être réexaminée et mise à jour de façon régulière compte tenu de l’évolution extrêmement rapide du monde cybernétique.

50.  Actuellement, il revient à chacun des membres d’assumer la responsabilité de la sécurité de ses réseaux, tandis que les structures de l’OTAN pertinentes, outre le fait d’assurer la protection de leurs propres réseaux et d’apporter un soutien aux opérations de l’OTAN, sont censées aider les Etats membres en mutualisant les meilleures pratiques et en envoyant des Equipes de réaction rapide en cas d’urgence. Aujourd’hui les efforts que déploie l’OTAN en matière de cyberdéfense sont de nature strictement défensive et sont axés sur la protection des infrastructures critiques des pays membres.

51.  Les institutions clés de l’OTAN dans le domaine de la cybersécurité sont notamment :

* L’Autorité de gestion de la cyberdéfense de l’OTAN (CDMA), chargée de coordonner les systèmes de cyberdéfense au sein de l’OTAN et de donner des conseils à des Etats membres sur tous les principaux aspects de la cyberdéfense. La CDMA de l’OTAN exerce des activités sous l’égide de la nouvelle Division Défis de sécurité émergents au siège de l’OTAN.
* Le Centre d’Excellence de l’OTAN pour la cyberdéfense en coopération (CCDCOE) à Tallinn, Estonie, établi en 2008, chargé de mener des activités de recherche et de formation en matière de cyberguerre. 
* Le Bureau de consultation, contrôle et commandement de l’OTAN (NC3) et l’Agence de consultation, contrôle et commandement de l’OTAN (NC3A) chargés de contrôler les aspects techniques et les besoins opérationnels des capacités de cyberdéfense de l’OTAN.
* L’Agence OTAN de services de systèmes d’information et de communication (NCSA), par l’intermédiaire du Centre technique NCIRC (Capacité OTAN de réaction aux incidents informatiques), chargée de fournir des services techniques et opérationnels en matière de cybersécurité pour l’OTAN et ses opérations et de réagir à toute cyberattaque qui pourrait être lancée contre les réseaux de l’Alliance.

52.  L’OTAN procède tous les ans à des exerci, , ces ayant pour but de mieux faire comprendre les capacités de l’OTAN en matière de cyberdéfense et d’identifier les domaines pouvant être améliorés. L’exercice de cette année, Cyber Endeavor, doit se dérouler du 5 au 22 septembre 2011 à Grafenwöhr, Allemagne. 

53  Beaucoup reste à faire cependant. La principale unité informatique de l’OTAN – NCIRC – n’est qu’en partie opérationnelle et n’assure pas encore la sécurité de tous les réseaux de l’OTAN, 24 heures sur 24, 7 jours sur 7. Une capacité opérationnelle totale devrait être atteinte en 2012. Le NCIRC, d’autre part, ne s’occupe que de défense passive, surveillant les activités des réseaux et parant aux incidents.  

54  La politique OTAN sur la cyberdéfense étant confidentielle, les débats se poursuivent sur la question de savoir comment l’OTAN doit répondre  aux cyberattaques lancées contre l’un de ses Etats membres. Notamment, savoir s’il convient et s’il est possible d’invoquer l’article 5 du Traité de Washington en cas de cyberattaque. Le Traité de Washington se réfère expressément aux « attaques armées » mais le nouveau Concept stratégique est plus vague et le terme « armés » n’est pas utilisé s’agissant de la défense collective. Si cela ne change rien au Traité de Washington, on peut supposer que l’Alliance est plus ouverte à l’idée d’appliquer l’article 5 au cas où une cyberattaque contre des Etats membres ferait un grand nombre de victimes. Toutefois, reste la question de savoir quels mécanismes d’intervention l’Alliance devra employer contre des attaquants. Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou des frappes militaires conventionnelles peuvent-elles être envisagées ? De plus, l’Alliance doit décider jusqu’où elle peut aller en matière de coopération avec des pays partenaires comme la Russie sur des questions liées à la cyberdéfense.

2.  Politiques nationales des Etats membres

55.  Comme indiqué plus haut, il revient en grande partie aux Etats membres d’assumer la responsabilité de leur cybersécurité. Avant les attaques de 2007 contre l’Estonie, la plupart des pays européens élaboraient des stratégies nationales pour promouvoir la société de l’information en privilégiant les avantages économiques et culturels qu’offrent les nouvelles technologies informatiques et en matière de communication, négligeant en grande partie les risques possibles. Après 2007, il est devenu de plus en plus évident qu’une approche plus nuancée s’imposait72.

56.  D’après le rapport de 2010 de la Chambre des Lords britannique sur la cybersécurité, les situations sont très différentes d’un pays européen à l’autre s’agissant de la capacité à faire face aux cybermenaces. Etant donné que dans le cyberespace, la solidité de tout système est celle de son maillon le plus faible, le rapport fait valoir que les pays européens « ont intérêt à mettre les défenses du maillon le plus faible au niveau de celles du maillon le plus fort »73. Le niveau d’état de préparation est toutefois difficile à établir car l’on ne saisit pas dans toute sa dimension la complexité du cyberespace.

57.  C’est aux Etats-Unis et au Royaume-Uni que l’on trouve le plus haut niveau de capacité de réaction de l’Alliance. Les Etats-Unis se sentent plus menacés par des cyberattaques que n’importe quel autre pays étant donné l’usage très répandu des technologies de l’information et de la communication ainsi que son statut de superpuissance. Le président Obama a qualifié la cybersécurité de priorité stratégique. De 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à ses cyberdéfenses74. Les départements de la Défense et de la Sécurité nationale qui partagent la responsabilité d’assurer la sécurité des réseaux publics du pays, accomplissent cette mission par le biais de plusieurs agences comme l’Agence de sécurité nationale et le Commandement cybernétique (inauguré en 2010 et chargé plus particulièrement de protéger les réseaux militaires américains). Sur le plan législatif, trois lois distinctes simplifient les interventions de l’exécutif en cas de cyberattaques contre des infrastructures énergétiques critiques, tandis qu’un autre texte de loi  assure la coordination des efforts accrus en matière de cybersécurité, dont ceux concernant les institutions financières et l’industrie75. En juillet 2011, le Pentagone a publié sa nouvelle Stratégie cybernétique (surnommée « Cyber 3.0 »). Le document qui envisage le cyberespace comme un domaine opérationnel, est centré sur la « défense active », à savoir renforcer les mesures traditionnelles de protection du réseau par d’autres capacités comme le renseignement électronique. On ne sait pas très bien toutefois si le document dote les institutions de cyberdéfense des moyens nécessaires pour poursuive un attaquant. La nouvelle Stratégie souligne par ailleurs l’importance d’une coopération plus étroite au niveau inter-institutionnel, international ainsi que public-privé76. La Stratégie, axée sur les mesures de défense, dément en outre les allégations selon lesquelles les Etats-Unis envisageaient de militariser le cyberespace et de privilégier la mise au point d’armes cybernétiques offensives.

58.  Le principal organisme chargé de la cybersécurité au Royaume-Uni est le Government Communications Headquarters (GCHQ) (Service de renseignement électronique du Gouvernement britannique). La cybersécurité est au cœur de la Stratégie de sécurité nationale et de l’Etude de défense et sécurité stratégiques publiée en octobre 2010. D’après les experts, « l’étude comporte tous les signes d’une stratégie équilibrée et (désormais) dotée d’un budget approprié s’agissant de la cybersécurité britannique »77. La loi sur les malversations informatiques est par ailleurs saluée comme « une loi énergique et souple pour lutter contre la cybercriminalité »78.

59.  Pour autant, même aux Etats-Unis et au Royaume-Uni, des questions importantes restent à résoudre. En particulier, des experts signalent le niveau insuffisant de coopération entre les agences de l’Etat et le secteur privé qui détient la plupart des infrastructures et des capacités de l’information – plus de 90 % des communications pour le renseignement et l’armée américaine passent par des réseaux de télécommunications privés.79 Cela dit, les entreprises privées sont peu disposées à l’idée d’autoriser une surveillance et une participation plus importante du gouvernement. D’après le rapport de la Chambre des Lords britannique, les professionnels de l’Internet se sont montrés peu disposés à contribuer à ce rapport. Nombre de spécialistes font valoir que les décisions que prend l’industrie privée en matière de cybersécurité sont régies par des motifs financiers plus que de sécurité nationale.

60.  Si les Etats-Unis et le Royaume-Uni semblent montrer la voie en la matière, d’autres membres de l’OTAN ont également mis à jour leur cadre juridique et accordent une place de plus en plus importante à la cybersécurité dans leurs stratégies de sécurité. En particulier, des progrès importants ont été accomplis avec la création des CERT (Computer Emergency Response Teams - Structure d’intervention informatique d’urgence). Une CERT est un organisme qui étudie la sécurité des installations et des réseaux informatiques pour assurer aux victimes d’attaques des services d’intervention en cas d’incident, publier des alertes concernant les vulnérabilités et les menaces, et offrir d’autres informations pour améliorer la sécurité des installations et des réseaux. Le rapport 2010 de la Chambre des Lords jugeait très préoccupante l’absence de CERT dans certains pays européens. Toutefois, la situation s’est nettement améliorée en 2011. D’après le registre de l’Agence européenne chargée  de la sécurité des réseaux et de l’information (ENISA), des CERT ont été créés dans tous les pays de l’OTAN. Qui plus est, une structure plus sophistiquée CSIRT (Centre d’alerte et de réaction aux attaques informatiques) est en cours de formation. Les CSIRT sont des CERT offrant davantage de services : ils ne sont plus une simple force de réaction mais fournissent des services plus complets en matière de sécurité, dont des services de prévention tels que des services de gestion d’alerte et de sécurité.80 

61.  Il est toutefois trop tôt pour crier victoire. L’établissement de nouvelles structures doit être suivi d’un programme plus intensif d’exercices conjoints. Il faut également revoir et mettre à jour la base juridique pour prendre en compte les nouvelles réalités de la planète cybernétique. D’après le Secrétaire général adjoint de l’OTAN, Jamie Shea, les dispositions juridiques dans nombre de pays de l’OTAN ne sont pas à jour s’agissant des réalités du cyberespace81. Lors de la réunion des parlementaires de l’OTAN tenue à La Haye le 19 avril 2011, le directeur général de l’Agence des C3 de l’OTAN, Georges D’hollander, a déclaré que certains Etats membres de l’OTAN n’ont toujours pas adopté une loi rendant obligatoire pour les acteurs du secteur privé de protéger leurs données et leurs réseaux. Par exemple, il devrait être obligatoire d’installer des protections empêchant les ordinateurs ou les réseaux d’être piratés et utilisés comme ‘botnet’. Le maître de recherche de l’Agence des C3 de l’OTAN, Brian Christiansen, a également suggéré que tous les pays de l’OTAN devraient employer ce qu’il est convenu d’appeler les « équipes rouges » qui utilisent les méthodes de hackers pour tester les niveaux de sécurité de divers réseaux nationaux (sans intention malveillante, bien entendu). 

62.  Les pays les moins avancés de l’OTAN doivent se rendre compte que dans le cyberespace, il n’y a pas d’avantage sans contrepartie. Selon une étude, les pays qui ne sont pas dotés du cadre législatif et institutionnel nécessaire pour protéger leurs biens cyber-ressources sont moins aptes à recevoir l’aide de la communauté internationale car « dans une situation d’urgence, des procédures en place sont plus à même d’appuyer une coopération efficace (…) dans la mesure où existe un certain « travail de préparation » qui ne peut être fait que par la victime »82.


 
V. INFORMATION ET CYBERSECURITE : CHOIX POSSIBLES POUR LA COMMUNAUTE INTERNATIONALE ET L’OTAN

63.  Les problèmes que l’ère de l’information pose à la sécurité nationale et internationale sont complexes et demandent les efforts conjugués des autorités internationales, régionales et nationales et du secteur privé, ainsi que de groupes d’individus dynamiques au niveau local et transnational. Certes, l’OTAN ne peut pas faire face à tous les aspects de ce problème, mais son rôle est central, ne serait-ce que parce qu’elle unit des pays dotés des infrastructures les plus perfectionnées dans le domaine de l’information et de la communication (infrastructure, matériel et logiciel, soit tout ce qui constitue l’Internet, sont encore aujourd’hui conçus et produits pour l’essentiel en Occident ; plus de 50 % des communications sur le réseau Internet passent par les Etats-Unis)83.

64.  A l’échelle mondiale, l’OTAN devrait appuyer les initiatives qui visent à établir certaines règles de comportement acceptable pour le cyberespace. Ce cadre doit décourager la course au cyberarmement et clairement interdire le recours aux cyberattaques contre des infrastructures civiles. Les principes du droit international doivent également établir que c’est à l’Etat d’assumer la responsabilité indirecte de faire en sorte que son territoire ne soit pas utilisé par des acteurs non étatiques pour lancer des attaques contre un pays tiers. Si un pays omet systématiquement de le faire ou offre des sanctuaires aux agresseurs, il doit être considéré comme violant le droit international et donc être passible de sanctions84. Dans l’exposé qu’il a fait devant notre commission à la session de l’Assemblée, qui s’est tenue à Varna, Kenneth Geers, du Centre d’excellence pour la cyberdéfense en coopération (CCD COE) a proposé que le cybertraité universel suive le modèle de la Convention sur les armes chimiques, à savoir qu’il privilégie la promotion des meilleures pratiques, l’aide à la recherche rapide de données ponctuelles, et l’envoi d’équipes chargées de recueillir des données d’expertise judiciaire et le moment venu la protection des réseaux.  

65.  Cet accord ne sera pas aisé à obtenir étant donné que certains acteurs de premier plan – notamment la Chine – envisagent la cybersécurité du point de vue de « la sécurité de l’information », et ce parce qu’ils veulent limiter l’opposition et l’accès à des informations jugées menaçantes pour leur régime. Ces pays ont proposé des mécanismes de suivi internes sur tous les paquets du protocole Internet qui permettraient de retrouver la trace de toutes les actions sur Internet. Or, d’après des experts occidentaux, ces mécanismes seraient compliqués, onéreux et facilement réduits à néant par les groupes criminels, les agences du renseignement et les armées. Par conséquent, la véritable cible n’est autre que l’internaute moyen qui a accès à des informations et peut engager un dialogue politique de façon anonyme.85 Une telle stratégie à des fins de surveillance est interdite par les lois relatives à la surveillance, à la propagande et à la lutte contre le terrorisme, en vigueur dans nombre d’Etats membres de l’OTAN.

66.  Autres méthodes pour surveiller les activités du cyberespace : trouver des solutions techniques au sein même de l’infrastructure Internet pour contribuer à maintenir la sécurité. Internet ayant été conçu à l’origine pour être interopérable, les aspects liés à la sécurité n’étaient guère importants. La Stratégie nationale américaine de 2003 pour la sécurité du cyberespace identifiait des vulnérabilités au sein de trois « principaux protocoles Internet » : le Protocole Internet, qui guide les données de la source à la destination au travers d’Internet ; le Système de noms de domaine, qui traduit les numéros du protocole Internet en adresses web reconnaissables ; et le Border Gateway Protocol (Protocole pour le routage inter-domaine), qui assure la connexion entre les réseaux pour créer le « réseau des réseaux »86. Aucun de ces protocoles n’est pourvu de mécanismes intégrés pour vérifier l’origine ou l’authenticité des informations qui leur sont envoyées, ce qui les rend vulnérables à toute manipulation d’individus  malveillants. Par conséquent, financer et mettre au point des solutions techniques en vue d’un nouvel ensemble de protocoles sûrs qui remédient à nombre des vulnérabilités dont pâtit l’infrastructure actuelle d’Internet tout en restant en deçà de la surveillance des citoyens des Etats membres pourraient être utiles à l’OTAN.

67.  Par ailleurs, les Etats membres de l’OTAN doivent encourager la ratification de traités internationaux contraignants, comme la Convention sur la cybercriminalité du Conseil de l’Europe, car mettre hors la loi les activités cybercriminelles permettrait également de neutraliser les cyberterroristes ainsi que les cyberattaques soutenues par des Etats qui utilisent souvent les mêmes techniques que les cybercriminels.  Le caractère vérifiable de ces conventions pose toutefois un réel problème.

68.  Quant à la coopération public-privé, les autorités compétentes des pays de l’OTAN devraient faire participer plus activement des compagnies privées d’informatique s’agissant d’établir des règles plus strictes pour l’utilisation du cyberespace. Le dialogue est essentiel car les sociétés de services et d’ingénierie en informatique comme Microsoft et Google sont encore capables aujourd’hui, en mettant au point diverses options de logiciel, d’exercer une influence au-delà de ce à quoi un Etat, quel qu’il soit, peut prétendre au moyen de ses pouvoirs législatifs. Des mesures d’incitation doivent être mises en place pour encourager les sociétés privées, notamment celles à la tête d’infrastructures nationales critiques et celles concevant le matériel et les logiciels, à améliorer leurs systèmes de sécurité au-delà de la simple équation profits contre pertes. Il est par ailleurs important que nos pays collaborent étroitement avec les Fournisseurs de services Internet afin d’identifier et d’isoler les ordinateurs infectés (botnets) situés sur leur territoire.

69.  L’Alliance doit par ailleurs resserrer sa coopération avec l’Union européenne, sur la base d’accords existants. Même si l’OTAN met au point des capacités de cyberdéfense, elle a toujours besoin de l’UE car cette dernière adopte des lois sur les normes globales pour le cyberespace, ce que ne fait pas l’OTAN. Il serait toutefois utile que l’UE créé la fonction de « cyber tsar » afin d’avoir un interlocuteur désigné pour l’OTAN.

70.  S’agissant de sa propre contribution, le premier objectif de l’Alliance est d’assurer  une mise en œuvre rapide et efficace de la Politique de cybersécurité et du Plan d’action récemment adoptés. L’OTAN devrait intégrer ses cyber-politiques (et encourager ses Etats membres à faire de même) dans un cadre plus large pour adapter l’armée aux réalités de l’ère de l’information. La cybersécurité n’est pas une valeur en soi, elle doit être vue au regard du concept de capacité infocentrée, lequel est en constante évolution. En d’autres termes, nous avons besoin de trouver un juste milieu entre les avantages que les nouvelles technologies de l’information et de la communication offrent à nos forces armées, et la mise en place de mesures de protection plus strictes contre les cybermenaces, mesures susceptibles de réduire l’efficacité des armées.

71.  Il va également de soi que l’OTAN doit déterminer au juste les mécanismes d’intervention qu’elle peut faire jouer en cas de cyberattaque contre un ou plusieurs de ses membres, sans pour autant les rendre publiques pour éviter que les adversaires sachent comment y parer. Certains font valoir que l’article 5 ne doit pas être appliqué s’agissant des cyberattaques car elles n’ont causé jusqu’à présent que des désagréments et non la perte de vies humaines et parce qu’il est difficile de déterminer qui est l’attaquant. A ce jour, il n’y a aucune preuve que les cyberattaques ont engendré la mort d’êtres humains. Pour autant, le rapporteur pense que l’application de l’article 5 ne doit pas être écartée, étant donné que l’évolution récente des cyberarmes comme le Stuxnet pourrait provoquer des dommages comparables à ceux d’une attaque militaire conventionnelle.

72.  Sur le plan pratique, l’OTAN devrait se pencher sur le rôle qu’elle peut jouer pour protéger les infrastructures physiques associées au cyberespace. La vulnérabilité matérielle des câbles en fibre optique et des plateformes informatiques représente un important défi à relever au sein du cyberespace. La plupart des points d’atterrissement des câbles en fibre optique à grande distance  sont des zones de passage évident, ce qui les rend vulnérables aux attaques ou dégradations. A noter la zone de passage obligé des câbles transatlantiques Widemouth Bay, Cornouailles, au Royaume-Uni, où quatre câbles majeurs entre l’UE et les Etats-Unis atterrissent87. Cette zone  aurait été qualifiée « d’essentielle à la sécurité des Etats-Unis » en raison de la présence de ces câbles.88 Par ailleurs, la majorité des câbles matériels qui relient les Etats-Unis et l’Asie passent par le détroit de Luzon, passage obligé entre Taïwan et les Philippines.89 Les câbles dans le détroit de Malacca sont aussi très denses, et les pays insulaires, membres ou partenaires de l’OTAN, comme l’Islande, le Japon et l’Australie, sont particulièrement vulnérables.90 A ce jour, la meilleure forme de protection pour ces câbles immergés est leur anonymat. Mais cela ne suffit pas toujours, comme en témoigne le fait que 75 % de la capacité du réseau Internet entre l’Europe et une grande partie de l’Asie ont été temporairement interrompus lorsque, en 2008, des navires au large de la côte égyptienne ont tranché deux câbles intercontinentaux en fibre optiques en tirant  leur ancre91. Une Géorgienne a privé d’accès Internet 90 % d’Arméniens pendant 5 heures en sectionnant par inadvertance un câble avec une bêche.92 D’autres interruptions importantes d’internet ont été provoquées par des ruptures de câble à Malte, en Sicile, aux Etats-Unis et en Asie. 93 D’où la possibilité d’actes de sabotage par des acteurs étatiques ou non-étatiques. S’agissant de capacité de la bande passante, les Etats membres de l’OTAN sont largement tributaires des infrastructures présentes au Royaume-Uni pour leurs communications transatlantiques. La plupart des principaux points d’interconnexion Internet sont basés à Londres et dans ses environs et ont déjà été menacés par des inondations94. Toute perturbation de ces infrastructures pourrait avoir des conséquences économiques et militaires de grande envergure.

73.  Autres éléments contribuant à accroître la capacité de réaction de l’OTAN face aux cyberattaques : renforcement au niveau national des équipes d’intervention en cas d’incident, capacité opérationnelle totale du NCIRC, intensification des exercices communs, échange plus efficace des meilleures pratiques entre les Alliés et usage généralisé des « équipes rouges ». Avant d’investir dans des systèmes très sophistiqués de cyberdéfense, les Alliés devraient tout d’abord veiller à ce qu’un minimum de règles élémentaires « d’hygiène informatique » soient observées.

74.  La sécurité des réseaux dont sont équipées les infrastructures critiques des pays doit rester une priorité. Pour ce faire, les solutions techniques envisagées sont notamment l’introduction de capteurs haute fidélité pour surveiller les activités de piratage des réseaux, et le renforcement des techniques de tolérance aux pannes95. Toutefois, pour mettre en place une méthode véritablement globale de résilience des infrastructures, les solutions techniques à elles seules ne suffiront pas. Une stratégie de collaboration entre les citoyens/usagers des systèmes, les entreprises, les services chargés de l’application de la loi et du maintien de l’ordre et les institutions civiles constitue le meilleur moyen d’assurer la cybersécurité de ces éléments96. 

75.  Le rapporteur propose également que l’OTAN envisage d’appliquer des procédures communes de financement pour l’acquisition de certaines capacités vitales de cyberdéfense pour ses Etats membres. L’Alliance et ses pays membres devraient également redoubler d’efforts pour investir dans les ressources humaines car, de l’avis général, les pays occidentaux sont en train de perdre leur avantage dans le cyberespace sur le plan du nombre de cyberexperts et du personnel qualifié.

76.  D’autres mesures concrètes doivent inclure un réexamen de nos politiques relatives aux informations critiques devant être stockées en ligne. Le Cablegate a révélé certains documents qui remontaient à 1966. Selon Nigel Inkster, éminent expert britannique, cela « semble indiquer un excès de zèle de la part des personnes chargées de mettre les données du Département d’Etat sur SIPRNet, étant donné que ces dernières ne sont plus utiles aux besoins opérationnels actuels ». Il faut également revoir les systèmes d’exploitation des infrastructures nationales critiques en vue de limiter leur vulnérabilité inutile aux connexions en ligne. Qui plus est, de nouveaux mécanismes de sauvegarde doivent être mis en place pour empêcher tout téléchargement non autorisé de données sensibles sur des unités de stockage numériques. Les procédures de vérification du personnel compétent doivent également être revues.

77.  Pour autant, le rapporteur tient à préciser que toutes les mesures de sécurité nécessaires ne doivent pas franchir la ligne au-delà de laquelle elles violeraient les principes fondamentaux et les valeurs auxquelles sont profondément attachés les pays de la communauté euro-atlantique. C’est également important pour nos intérêts en matière de sécurité nationale : étant donné que le cyberespace est dans une large mesure régi par les citoyens, il est important d’obtenir l’appui de la majorité de la communauté virtuelle. Pour prévenir tout abus de la part des pouvoirs publics, des règles de sécurité plus rigoureuses devraient s’accompagner de mesures visant à assurer un contrôle démocratique. Par exemple, les Etats-Unis ont récemment annoncé l’établissement du Conseil de contrôle des libertés civiles et de la vie privée (PCLOB) pour garantir la protection de la vie privée et des libertés civiles.97

78.  Dernier point, mais non le moindre, le rapporteur tient à souligner le rôle des parlementaires, non seulement s’agissant de l’adoption des textes législatifs nécessaires, mais aussi pour communiquer avec le public qui est souvent peu informé de l’ampleur des possibilités et des risques que représente l’ère de l’information.


 

ANNEXE


Types de logiciels malveillants
Bombe logique
La première et la plus simple des formes de logiciel malveillant. Il ne s’agit pas d’un virus mais d’un code informatique qui doit être inséré à l’insu de l’utilisateur du logiciel. Une fois activée (activation positive – heure ou date d’activation de la bombe, notamment effacer les noms d’employés de la liste des salariés ; ou activation négative – ne pas insérer certaines données ou codes à une date ou heure données), la bombe peut provoquer une interruption du système, effacer des fichiers, envoyer des informations secrètes à des personnes auxquelles elles ne sont pas destinées, etc. 
Cheval de Troie
 

Créer une « porte dérobée » dans un ordinateur, ce qui peut se faire via Internet de n’importe quel coin du monde. Il peut effacer, voler ou contrôler des données de n’importe quel l’ordinateur. Il peut transformer l’ordinateur en « zombie » et l’utiliser  pour dissimuler la véritable identité de l’auteur et endommager d’autres systèmes98.
Logiciel enregistreur de frappe (Key-logger)

Contrôle et enregistre des séquences de caractères tapés sur un ordinateur, en général à l’insu de l’utilisateur. Les informations peuvent être sauvegardées dans un dossier et envoyées à un autre ordinateur. Acquérir des données privées comme des noms d’utilisateur et des mots de passe sont le plus souvent ce que vise le programme.
Virus

Infecte les fichiers une fois ces derniers ouverts ou exécutés et peut se répliquer. Se manifeste souvent sous la forme d’une bombe logique ou un cheval de Troie. Les virus sont difficiles à repérer et peuvent se propager très rapidement. En 2000, le virus ILOVEYOU a causé environ 10 millions de dollars de dégâts.
Logiciel malveillant intégré
Il s’agit d’un logiciel malveillant intégré qui accepte des commandes clandestines dans les systèmes d’exploitation de machines, allant de téléphones à des systèmes d’armement. D’après le général Wesley Clark et Peter Levin, un exemple d’une telle opération aurait pu être l’attaque présumée des Israéliens contre les sites nucléaires syriens en 2007, qui aurait été facilitée grâce à un logiciel malveillant intégré qui a coupé les radars de défense syriens.

 

_______________

 


1   Comme souligné par Craig Mondie, Chief Research and Strategy Officer, Microsoft. Cybersecurity: Is Technology Moving Faster than Policy? Security & Defence Agenda Report. 31 janvier 2011. http://www.securitydefenceagenda.org/Portals/14/Documents/Publications/2011/Cybersecurity_Dinner_report_Final2.pdf
2   Reducing Systemic Cybersecurity Risk, OECD/IFP projet sur “Future Global Shocks”. Peter Sommer et Ian Brown. Janvier 2011.
3   Cyber war and cyber power. Issues for NATO doctrine. Jeffrey Hunker. Collège de défense de l’OTAN, Etude n° 62, novembre 2010.
4   Le président Obama a declaré que les cybercriminels ont causé en un an des dégâts s’élevant à environ un milliard de dollars.
5   Tous les pays de l’OTAN (y compris les pays non membres du Conseil de l’Europe, à savoir le Canada et les Etats-Unis) ont signé la Convention, mais la Belgique, le Canada, la République tchèque, la Grèce, le Luxembourg, la Pologne, l’Espagne et la Turquie  ne l’ont pas ratifiée. La Russie, membre du Conseil de l’Europe, n’a pas signé la Convention.
6  A hidden world, growing beyond control. Dana Priest et William M. Arkin. A Washington Post Investigation. 19 juillet 2010.
7  WikiLeaks: the price of sharing data. IISS Strategic Comments. Volume 17, Comment 3, janvier 2011.
8  Cables leak reveals flaws of information-sharing tool. Joby Warrick. The Washington Post. 31 décembre 2010.
9   WikiLeaks Founder on the Run, Chased by Turmoil. John F.Burns et Ravoi Somaiya. The New York Times. 23 octobre 2010.
10   Leaked Cables Offer Raw Look at U.S. Diplomacy. Scott Shane et Andrew W.Lehren. The New York Times. 28 novembre 2010.
11   WikiLeaks: Saudi King Abdullah Encouraged U.S. to Attack Iran; Chinese Politburo Hacked Into Google. New York News & Features. 28 novembre 2010.
12   Reaction to Leak of U.S. Diplomatic Cables, Day 2. Robert Mackey. The New York Times. 29 novembre 2010.
13   Reaction to Leak of U.S. Diplomatic Cables, Day 2. Robert Mackey. The New York Times. 29 novembre 2010.
14   Pentagon revamps security in wake of Wikileaks. Homeland Security Newswire. 29 décembre 2010.
15   White House memo outlines new anti-leak measures. Reuters. 2 décembre 2010.
16   Pentagon revamps security in wake of Wikileaks. Homeland Security Newswire. 29 décembre 2010.
17   U.S. Clamps Down on Info Sharing. Defense News. 6 décembre 2010.
18   WikiLeaks fallout leads to an info-sharing clampdown. Par Sean Railey. FederalTimes.com. 5 décembre 2010, http://www.federaltimes.com/article/20101205/IT03/12050306/
19   U.S. Clamps Down on Info Sharing. Defense News. 6 décembre 2010.
20   WikiLeaks fallout leads to an info-sharing clampdown. Sean Railey. FederalTimes.com. 5 décembre 2010, http://www.federaltimes.com/article/20101205/IT03/12050306/
21   U.S. Air Force blocks NYT, Guardian over WikiLeaks. Reuters. 14 décembre 2010.
22   US blocks access to WikiLeaks for federal workers. Ewen MacAskill. The Guardian. 3 décembre 2010.
23   The arrest of Julian Assange: as it happened. The Guardian. Décembre 2010.
24   Le jour de sa prise de fonction, le Président Obama a demandé aux agences américaines de faire preuve d’une plus grande ouverture et d’une plus grande transparence. Peu après, il a fait procéder à une révision des procédures de classification, demandé que soit réalisée une formation pour le personnel responsable des classifications, et que les personnes chargées du classement donne leur identification sur chaque document classifié. Voir Wikileaks’ War on Secrecy: Truth’s Consequences. Massimo Calabresi. Time. 2 décembre 2010.
25   Intelligence in the Information Age; Spy Data For Sale. Kevin O’Connell. Commentary. RAND Corporation. 8 avril 2001. http://www.rand.org/commentary/2001/04/08/ND.html
26   Analysis: WikiLeaks will kill transparency. C.M. Sennott. Globalpost.com. 29 novembre 2010.  http://www.globalpost.com/dispatch/worldview/101129/opinion-wikileaks-will-kill-transparency
27   Intelligence in the Information Age; Spy Data For Sale. Kevin O’Connell. Commentary. RAND Corporation. 8 avril 2001. http://www.rand.org/commentary/2001/04/08/ND.html
28  Reducing Systemic Cybersecurity Risk, OECD/IFP projet sur “Future Global Shocks”. Peter Sommer et Ian Brown. Janvier 2011.
29   Why Are Hactivists “Anonymous” Defending WikiLeaks? Interview par Debbie Randle. BBC Newsbeat. 9 décembre 2010.
30  Operation Avenge Assange, http://i.imgur.com/C35Ty.png
31  Reducing Systemic Cybersecurity Risk, OECD/IFP projet sur “Future Global Shocks”. Peter Sommer et Ian Brown. Janvier 2011; Hackers Rise for WikiLeaks. Par Cassell Bryan-Low et Sven Grundberg. Wall Street Journal. 8 décembre 2010.
32  Hundreds of WikiLeaks Mirror Sites Appear. Ravi Somaiya. The New York Times,
  5 décembre 2010.
33  Anonymous vows to take leaking to the next level. Ashley Fantz. CNN. 24 février 2011.
34  Drop the Case Against Assange. Tim Wu. Foreign Policy. 4 février 2011.
35  These Revolutions Are Not All Twitter. Andrew K.Woods. The New York Times. 1 février 2011.
36  Yet another Facebook revolution: why are we so surprised? John Naughton. The Guardian, 23 janvier 2011.
37  A Tunisian-Egyptian Link That Shook Arab History. David D. Kirkpatrick and David E.Sanger. The New York Times. 13 février 2011.
38  Hackers Shut Down Government Sites. Ravi Somaiya. The New York Times. 2 février 2011.
39  These Revolutions Are Not All Twitter. Andrew K.Woods. The New York Times. 1 février 2011.
40  Facebook Officials Keep Quiet on Its Role in Revolts. Jennifer Preston. The New York Times,. 14 février 2011.
41  Wikileaks' Julian Assange takes credit for Tunisian and Egyptian revolutions. Daily Mail online, 14 février 2011, http://www.dailymail.co.uk/news/article-1356754/WikiLeaks-Julian-Assange-takes-credit-Tunisian-Egyptian-revolutions.html
42   Belarusians organize flash mob protests, Global Post, juillet 2011. http://www.globalpost.com/dispatch/news/regions/europe/110701/belarus-flash-mob-protests-facebook
43   ‘Belarus Cuts Social Media Access Amid Protests’, Office for a Democratic Belarus, juillet 2011, http://democraticbelarus.eu/node/13105
  44   Sound of Post-Soviet Protest : Claps and Beeps, The New York Times, 14 juillet 2011.
45  The Perpetrators of Cyber Attacks. Mary Watkins. Financial Times. 17 février 2011.
46   The Information Polity : Social and Legal frameworks for Critical Cyber Infrastructure Protection. M. Losavio et coll. In Cyber Infrastructure Protection, T. Saadawi et L. Jordan (eds) Strategic Studies Institute, 2011.
47  Cyber war and cyber power. Issues for NATO doctrine. Jeffrey Hunker. Collège de défense de l’OTAN Etude No. 62. novembre 2010.
  48   On Cyber Peace. Par Les Bloom et John E. Savage. Issue Brief. Conseil de l’Atlantique, août 2011.
49   Mobilising Cyber Power. Alexander Klimburg. Survival. 28 janvier 2011.
50  Tackling the Cyber Threat. Par Margaret Gilmore. RUSI commentary.
  http://www.rusi.org/analysis/commentary/ref:C4CBD84EDE6ACB
51   T. Thomas, « Al Qaeda and the internet : The danger of ‘cyberplanning », Foreign Military Studies Office, Fort Leavenworth, KS., 2003.
52   J. Wilson, « Operation Cupcake : British Spies Hack Al Qaeda’s Magazine to Replace Bombs with Cupcakes » Time Magazine Online, 4 juin 2011, http://newsfeed.time.com/2011/06/04/operation-cupcake-british-spies-hack-al-qaedas-magazine-to-replace-bombs-with-cupcakes/
53   PLDT, Microsoft team up for cloud computing. Malaya Business Insight 2009, http://www.malaya.com.ph/apr11/busi7.html
54   Google Apps and Government Official Google Enterprise Blog septembre 2009 http://googleenterprise.blogspot.com/2009/09/google-apps-and-government.html
55       Lawmakers question the security of cloud computing. Reuters, 1 juillet 2010.
56   Open Networking Foundation Pursues New Standards. John Markoff. The New York Times, 22 mars 2011.
57   Lawmakers question the security of cloud computing. Reuters, 1 juillet 2010.
58   A Treaty for Cyberspace. Rex Hughes. International Affairs. mars 2010.
59  Cyber war and cyber power. Issues for NATO doctrine. Jeffrey Hunker. Etude du Collège de défense de l’OTAN No. 62. Novembre 2010.
60  Before the Gunfire, Cyberattacks. John Markoff. The New York Times. 12 août 2008.
61  Stuxnet and the Future Cyber War. Farwell, James P. et Rohozinski. IISS. Survival,
  Févriermars 2011.
62  Cyber-war a growing threat warn experts. Clark Boyd. BBC. 17 juin 2010.
63   The Information Polity : Social and Legal frameworks for Critical Cyber Infrastructure Protection. M. Losavio et coll. Dans Cyber Infrastructure Protection, T. Saadawi and L. Jordan (eds) Strategic Studies Institute, 2011, p. 131.
64  Un internaute ouvre un message électronique, provenant apparemment de quelqu’un qu’il ou elle connaît, ouvre une pièce jointe renfermant un programme ‘dormant’ qui s’intègre dans l’ordinateur du destinataire. Le pirate peut alors contrôler le programme à distance – accéder aux courriers électroniques, envoyer des documents confidentiels ou brancher une web caméra ou un microphone et enregistrer.
65  Google China cyberattack part of vast espionage campaign, experts say. Ariana Eunjung et Ellen Nakashima. The Washington Post. 14 janvier 2010.
66  Israeli Test on Worm Called Crucial in Iran Nuclear Delay. William J.Broad, John Markoff et David E.Sanger. The New York Times. 15 janvier 2011.
67  Stuxnet and the Future Cyber War. Farwell, James P. et Rohozinski. IISS. Survival. Févriermars 2011; et Israeli Test on Worm Called Crucial in Iran Nuclear Delay. William J.Broad, John Markoff et David E.Sanger. The New York Times. 15 janvier 2011.
68  Cracking Stuxnet: A 21st century cyber weapon. Ralph Langner. Ted.com brief. 29 mars 2011. http://www.youtube.com/watch?v=CS01Hmjv1pQ
69   Toward Foolproof IP Network Configuration Assessments. R. Talpade. Cyber Infrastructure Protection, T. Saadawi et L. Jordan (eds) Strategic Studies Institute, 2011. p. 265.
70  Cyber-security: the corporate gold rush. Jane’s Defence Weekly. 29 septembre 2010.
71  The Cyber-war. Eleanor Keymer. Jane’s Defence Weekly. 29 septembre 2010.
72  Global Cybersecurity-Thinking About the Niche for NATO. Eneken Tikk. SAIS Review, Vol. 30, No. 2, Eté-automne 2010.
73   Protecting Europe Against Large-Scale Cyber-Attacks. European Union Committee – Fifth report. UK Chambre des lords. mars 2010.
74  On Cyber Warfare. Paul Cornish, David Livingstone, Dave Clemente et Claire York. Chatham House Report. Novembre 2010.
75  Cyber Security Enhancement Act Redux. Eric Chabrow. Government Information Security Articles.10 février 2011. http://www.govinfosecurity.com/articles.php?art_id=3340
  76   Pentagon’s New Cyber Strategy, Jason Healey, Conseil Atlantique, 14 juillet 2011.
77  Evaluating the 2010 Strategy Review. Dave Clemente. Chatham House.  http://www.chathamhouse.org.uk/files/17631_1010sdsr_clemente.pdf
78  IISS Global Perspectives – Power in Cyberspace. Q&A with Nigel Inkster, Directeur, Transnational Threats and Political Risk, IISS. 18 janvier 2011.
79  The New Vulnerability. Jack Goldsmith. The New Republic. 7 juin 2010.
80   Extrait de “Inventory of CERT activities in Europe”. Publication ENISA. Mars 2011.
81  Cybersecurity: Is Technology Moving Faster than Policy? Rapport Security & Defence Agenda. 31 janvier 2011.
   http://www.securitydefenceagenda.org/Portals/14/Documents/Publications/ 2011/Cybersecurity_Dinner_report_Final2.pdf
82  Global Cybersecurity-Thinking About the Niche for NATO. Eneken Tikk. SAIS Review, Vol. 30, No. 2, Eté-automne 2010.
83  Power in Cyberspace. Intervention de  Nigel Inkster, Directeur de Transnational Threats and Political Risk, IISS. 18 janvier 2011. http://www.iiss.org/middle-east/global-perspectives-series/power-in-cyberspace/read-the-speech/
84  Cyber war and cyber power. Issues for NATO doctrine. Jeffrey Hunker. Collège de défense de l’OTAN Etude No. 62. novembre 2010.
85  Internet Governance in an Age of Cyber Insecurity. Robert Knake. Council on Foreign Relations Rapport Spécial  no.56, septembre  2010.
86  The National Strategy to Secure Cyberspace. La Maison Blanche . Février 2003.
87  ‘Internet’s undersea world’
   http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/alcatel_large.gif
  88   Devon and Cornwall locations “vital to US security”. BBC. 6 décembre 2010.
89   Points of weakness in Internet cable network. Adam Wolfe. Asiaone Digital. 17 janvier 2007 http://digital.asiaone.com/Digital/Features/Story/A1Story20070523-7003.html
90   Points of weakness in Internet cable network. Adam Wolfe. Asiaone Digital. 17 janvier 2007 http://digital.asiaone.com/Digital/Features/Story/A1Story20070523-7003.html
91   Protecting Europe Against Large-Scale Cyber-Attacks. European Union Committee – Fifth report. UK House of Lords. mars 2010.
92   Georgian pensioner facing jail for cutting off Armenia’s Internet by snipping cable. UE  Times, 8 avril 2011.
93   Severed Cables in Mediterranean Disrupt Communication. Bloomberg. 19 décembre 2008; et, Physical protection for the Internet. AlphaGalileo Institute. 14 décembre 2010.
94   Floods threaten UK Internet infrastructure. Robert Jaques. V3.co.uk. 31 juillet 2007.  http://www.v3.co.uk/v3-uk/news/1942516/floods-threaten-uk-internet-infrastructure
95   Developing High Fidelity Sensors for Intrusion Activity on Enterprise Networks. E. Wagner et A. Ghosh. Cyber Infrastructure Protection, T. Saadawi et L. Jordan (eds) Strategic Studies Institute, 2011.
96   « The Information Polity : Social and Legal frameworks for Critical Cyber Infrastructure Protection ». M. Losavio et coll. Cyber Infrastructure Protection, T. Saadawi et L. Jordan (eds) Strategic Studies Institute, 2011.
97  Cybersecurity Two Years Later. Rapport de la Commission CSIS sur la cybersécurité pour la 44e Présidence. Janvier 2011.
98  How does a logic bomb work? Julia Layton. http://computer.howstuffworks.com/logic-bomb.htm; et Reducing Systemic Cybersecurity Risk, OECD/IFP projet sur “Future Global Shocks”. Peter Sommer et Ian Brown. Janvier 2011.


Téléchargements
Cliquez sur un de ces fichiers pour le télécharger sur votre ordinateur.
171 CDS 11 F rev. 1 - INFORMATION ET SECURITE NATI ... 9 Nov 2011  Download (230,242 kb)
Type your Description Here

Partager