Close
  • Français
  • English

12/07/2012Olympic Games, la « guerre secrète d’Obama » [Par Barbara Louis-Sidney, CEIS]

L’affaire Stuxnet n’a pas fini de faire parler d’elle. L’ouvrage du journaliste David E. Sanger, « Confront and Conceal : Obama’s secret wars and surprising use of american power », l’a en effet replacée au cœur de l’actualité. Il relate avec une précision déroutante les coulisses de l’affaire Stuxnet, ou devrait-on dire Olympic Games (le nom Stuxnet ne correspondant en effet qu’à des extraits découverts dans le code du virus éponyme). Il nous confirme ainsi, grâce à des sources anonymes gouvernementales américaines, européennes et israéliennes, que l’opération a bien été orchestrée par les Etats-Unis et Israël afin d’empêcher Téhéran de se doter de l’arme nucléaire.

Les informations contenues dans l’ouvrage sont essentielles. Loin de se contenter de nous rapporter les faits anecdotiques entourant le projet Olympic Games, David E. Sanger nous livre des détails croustillants qui soulèvent des problématiques clés quant à l’utilisation des cyberarmes.

En mai 2012, l’éditeur d’antivirus Kaspersky dévoilait l’existence du virus d’espionnage Flame. Selon des sources du Washington Post, le malware serait également l’œuvre des Etats-Unis et d’Israël. Si rien ne permet d’affirmer avec certitude que Flame faisait partie de l’opération Olympic games, de nombreux éléments indiquent une parenté entre ce virus et Stuxnet : même zone géographique ciblée, éléments de codes partagés… Diffusé deux ans avant Stuxnet, le virus a pour mission principalede glaner des informations (emails, frappes du clavier…) ayant trait aux infrastructures critiques iraniennes.

L’histoire contée par David E. Sanger

L’ouvrage révèle tout d’abord que Barack Obama aurait expressément donné l’ordre de poursuivre l’opération Olympic Games, et même, d’accroitre les offensives, malgré la diffusion incontrôlée du ver sur Internet et les risques de dégâts collatéraux difficiles à évaluer.

« The most elegant cyberattacks are a lot like the most elegant bank frauds […] They work best when the victim doesn’t even know he’s been robbed ».

Pendant près de trois ans en effet, Stuxnet a réalisé sa mission avec brio, discrètement et anonymement. Frappant chirurgicalement les centrifugeuses de la centrale de Natanz, il faisait passer pour de simples dysfonctionnements internes ce qui constituait en réalité une opération de sabotage. Après chaque « frappe », le président Obama et ses conseillers se seraient réunis en « salle de situation » pour faire le bilan : quelle est l’étendue des dommages ? De combien de mois les projets iraniens d’enrichissement nucléaire ont-ils été retardés ?

« We think there was a modification done by the Israelis », aurait-on dit à Barack Obama, lors d’une réunion de crise après la propagation du ver.

Les choses se sont envenimées lorsqu’un chercheur a involontairement diffusé le ver sur Internet après avoir connecté son ordinateur au système d’information de Natanz. Selon l’ouvrage de Sanger, les « cyberguerriers » auraient péché par excès d’ambition : une modification opérée par les israéliens dans le code du ver serait à l’origine de ce débordement.

Les éléments de contexte à retenir

La question de la sécurité des SCADAs au cœur de l’affaire Stuxnet

Les faits rapportés par Sanger soulignent la place essentielle et trop souvent négligée de la sécurité physique en matière de sécurité des SCADAs. Le mode opératoire ayant conduit à la compromission des ordinateurs de la centrale de Natanz est sans équivoque. En cause, notamment, l’illusion de sécurité qu’offrent ces systèmes en raison de leur absence de connexion à internet. Une telle séparation ne résiste pas longtemps face aux besoins de maintenance ou aux traditionnelles méthodes de pénétration physique.

La place du droit des conflits armés dans la cyberstratégie américaine

L’ouvrage relate que le personnel chargé de l’élaboration d’Olympic Games aurait passé une majeure partie de son temps à s’assurer que le virus ne violerait pas le droit des conflits armés. Cette information surprenante n’est pas sans rappeler le débat désormais récurrent portant sur la qualification d’une cyberattaque en agression armée. Les instigateurs d’Olympic Games auraient ainsi écarté, un à un, tous les critères de cette agression, en se garantissant : l’anonymat (pas d’imputabilité à un acteur étatique) ; la discrétion des effets du virus qui, passant pour de simples dysfonctionnements, évitaient de causer des dommages suffisamment graves et quantifiables pour atteindre le seuil exigé par la qualification d’agression telle que perçue par le Conseil de sécurité de l’ONU.

Quels enseignements ? Quelles problématiques ?

La perte de l’anonymat, prémices d’un éventuel « strike back » ?

L’un des principaux avantages de l’attaque informatique est l’anonymat qu’elle procure. Anonymat qui réduit presqu’à néant tout espoir de riposte justifiée de la part de la victime. Si les informations divulguées par David E. Sanger sont vérifiées, ou suffisamment fiables, elles remettent en cause l’anonymat des instigateurs, allant jusqu’à frôler la justification d’une éventuelle riposte de la part de l’Iran.

Les risques de reverse engineering

Que penser également de la « fuite » de Stuxnet sur Internet ? La question du reverse engineering de malware et des conséquences de la récupération et de l’amélioration du code à des fins, soit de riposte contre son créateur, soit d’exploitation par d’autres pays ou des groupes cybercriminels ne pourrait-elle pas, à elle seule, dissuader d’attaquer dans le cyberespace ?

Un éclairage sur la stratégie des Etats-Unis ?

La diffusion de ces informations à caractère hautement confidentiel soulève d’importantes interrogations. Est-il de l’intérêt des Etats-Unis de dévoiler les dessous de ce que Sanger considère comme la cyberattaque la plus sophistiquée et complexe que les Etats-Unis ont pu élaborer ?

La réponse à cette question ne peut être aisément tranchée. Les Etats-Unis chercheraient peut-être à légitimer ce qu’on appellerait une « cyberguerre juste », « tolérable », en choisissant « la troisième option ». Objectif : éviter la première option (« laisser l’Iran se doter de la bombe ») ou la seconde (« entrer en guerre pour l’en empêcher »). En décidant de poursuivre l’opération Olympic Games, Obama aurait ainsi évité le choix de méthodes plus conventionnelles, « à l’ancienne » : une frappe aérienne, qui aurait plongé les trois Etats dans une guerre sans précédent. Selon les propres termes de David E. Sanger :

« Olympic games was a new president’s best shot at avoiding a new war, just as he was trying to end two others ».

Certains avancent également que les fuites ayant conduit Sanger à révéler les dessous du programme Olympic Games ne peuvent qu’avoir été approuvées par l’administration Obama qui, en période d’année électorale, cherche à renforcer son leadership et sa fermeté contre le programme nucléaire iranien.

Quelles conséquences ?

Cette radicalisation pourrait stimuler la course à l’armement informatique en encourageant certains Etats à poursuivre leur course à l’armement informatique et l’adoption de cybercapacités offensives. Certains experts comme Mikko Hyponnen de F-Secure considèrent en effet que les Etats-Unis ont ouvert la « boîte de Pandore » en lançant Stuxnet (aucun démenti de la part des Américains ni des Israéliens) et qu’ils regretteront cette décision tôt ou tard.

La logique de dissuasion telle que perçue auparavant, axée sur la discrétion des acteurs, tend à se renverser. Les Etats-Unis se dirigeraient-ils vers une stratégie plus « ouverte » consistant à assumer l’adoption de cybercapacités offensives ? La publication de ce livre, la diffusion d’offres d’emploi explicitement tournées vers l’offensif ou les récents projets de la DARPA abondent en ce sens. Certains évoquent même l’apparition d’une nouvelle « forme alternative de dissuasion, plus proche des modèles connus et conçue comme un objectif à long-terme où les instruments classiques de la diplomatie pourraient également être utilisés évacuant également les questions d’attributions des attaques » ; dissuasion qui encouragerait certaines cyberpuissances émergentes à assumer, à leur tour, l’élévation de leurs capacités offensives dans le cyberespace.

Le général des Marines à la retraite, James Cartwright, l’a affirmé :

« Pour que la cyberdissuasion fonctionne, il faut réunir certaines croyances : un, que nous sommes résolus à passer à l’action ; deux, que nous avons les capacités techniques de le faire ; et trois, que nous l’avons déjà fait – et tout le monde sait que nous l’avons déjà fait. ».

Par Barbara Louis-Sidney

CEIS