I – Le Cyberterrorisme : définition(s) et enjeux

A/ Un terme récent et sujet à controverse

Introduit en 1996, le terme de « cyberterrorisme » a été défini par l’américain Barry Collin[1] comme « la convergence du monde physique et du monde virtuel » (en référence à des menaces nouvelles et graves affectant les réseaux de communication numérique). Le cyberterrorisme peut se définir comme l’ensemble des attaques graves (virus, piratage, etc.) et à grande échelle, des ordinateurs, des réseaux et des systèmes informatiques d’une entreprise, d’une institution ou d’un État, commises dans le but d’entraîner une désorganisation générale susceptible de créer la panique. Les systèmes informatiques des centrales nucléaires, des tours de contrôles du transport aérien, de certains médias etc., en constituent autant de cibles stratégiques. Cette définition s’avère cependant sujette à controverse, les spécialistes ne s’accordant pas sur son périmètre. En effet, deux approches tendent à se distinguer :

– Une définition extensive considérant le cyberterrorisme comme l’ensemble des pratiques en ligne initiées par des groupes terroristes ;

– Une définition restrictive dans laquelle le cyberterrorisme concerne uniquement les attaques commises via le réseau Internet comme arme et/ou cible.

Il convient également de différencier cyberterrorisme et cybercriminalité. En juin 2015, un rapport du Parlement européen[2] précise que « la cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet ».

Au vu de ces éléments, la cybercriminalité est une notion plus vaste, désignant l’ensemble des délits et actes criminels commis par l’intermédiaire des réseaux. En ce sens, la cybercriminalité inclut le cyberterrorisme qui n’en est que l’une des composantes. Certains auteurs préfèrent toutefois au terme général de « cyberterrorisme » des termes plus spécifiques, notamment pour l’étude des réseaux djihadistes[3].

Au-delà de l’éventail des définitions, on pourrait s’accorder sur une définition minimale pour aborder une notion qui reflète la situation complexe de l’utilisation des réseaux informatiques par des groupes terroristes, et révèle l’angoisse des Etats de voir leur bon fonctionnement altéré par des attaques.

B/ Les différentes formes de cyberterrorisme

Bien que protéiformes, les principaux types d’attaques sont au nombre de trois : le cyber-sabotage, l’espionnage et la déstabilisation.

1) Le sabotage informatique ou cyber-sabotage

C’est le fait de rendre inopérant tout ou partie d’un système d’information d’une organisation via une attaque informatique. La menace de sabotage est identifiée par le Livre blanc sur la défense et la sécurité nationale de 2013 et la prise en compte de cette menace est une priorité pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI), notamment à travers ses travaux avec les opérateurs d’importance vitale[4] (OIV). Le sabotage s’apparente à une « panne organisée », frappant tout ou partie des systèmes, selon le type d’atteinte recherché – désorganisation durable ou non, médiatisée ou non, plus ou moins coûteuse à réparer. Pour y parvenir, les moyens d’attaque sont d’autant plus nombreux que les organisations ne sont pas toujours préparées à faire face à des actes de malveillance.

Selon Patrick Pailloux, ex-Directeur général de l’ANSSI, « Le pire serait une cyberattaque contre un système critique. […] Un hôpital, un barrage, une centrale, des trains, des avions, des banques, des opérateurs télécoms, des fabricants de médicaments… tout est sensible. […] La loi de programmation militaire dont certains articles permettent à l’État de réguler la sécurité des systèmes informatiques critiques, c’est-à-dire les systèmes qui, s’ils étaient attaqués, seraient synonyme de morts, nous permet d’imposer des règles de sécurité, de vérifier leur niveau de sécurité. Elle oblige aussi à nous notifier toute attaque qui surviendrait. » En France, « On n’a jamais connu d’attaque massive, comme ça a pu être le cas à l’étranger. Il y a eu la célèbre affaire Stuxnet en Iran, mais aussi le groupe pétrolier saoudien AramCo qui a eu 30 000 ordinateurs détruits d’un seul coup, ou le sabotage de banques en Corée du Sud ».

2) L’espionnage

L’espionnage consiste à s’insérer au sein de sites d’Etats ou d’entreprises pour y prendre des contenus sensibles concernant des projets secrets, des brevets, etc. Sont qualifiées d’opérations d’espionnage : la violation de correspondance et de communication électronique, la commercialisation illicite d’appareils conçus pour intercepter les communications électroniques ou conversations, et même la publicité pour ces appareils. Le cyberespionnage concerne davantage les Etats entre eux qu’un Etat et un groupe terroriste. Néanmoins, il est difficile de les dissocier puisque les groupes terroristes sont majoritairement soutenus par des Etats. Les réseaux se servent des matériels informatiques, de plus en plus performants, pour communiquer rapidement dans le monde entier et ce de manière discrète.

Les atteintes informationnelles concernent les informations sensibles. Elles consistent soit à troubler l’ordre public au sein même du territoire en diffusant ou propageant des informations sensibles, soit à impacter la sphère d’influence de l’Etat sur la scène internationale en procédant au recueil ou à la soustraction d’informations sensibles. Elles concernent les domaines tant économique que militaire. Le recueil ou la soustraction d’informations sensibles consistent essentiellement à récolter des informations confidentielles de manière frauduleuse à des fins concurrentielles notamment. Ainsi, par exemple, en 1994, l’éditeur de logiciels de sécurité McAfee avait relevé que les ordinateurs du Département de la Défense américaine avaient été visités plus de 300 000 fois, avant que la section du commerce du département américain ne soit piratée en 2006. Depuis la loi n°68-678 du 26 juillet 1968[5], « le fait de communiquer à des autorités publiques étrangères, des renseignements d’ordre économique, commercial ou industriel, financier ou technique de nature à porter atteinte à la souveraineté ou aux intérêts économiques essentiels de la France » est puni de 6 mois d’emprisonnement et de 18 000€ d’amende.

3) La déstabilisation

Elle est plus généralement attribuée aux hacktivistes et aux mouvements idéologiques. Leurs cibles sont le plus souvent les gouvernements et les entreprises, ces attaques pouvant toucher énormément de victimes potentielles en peu de temps. Leurs actions visent essentiellement à porter atteinte à la crédibilité de l’organisation victime ainsi qu’à son image mais aussi à déstructurer ou désorganiser le site attaqué. Les actions de déstabilisation les plus courantes sont les suivantes :

La saturation ou le déni de service (DoS). Il s’agit de rendre un site web indisponible en l’inondant de requêtes informatiques afin de le saturer et de l’empêcher de répondre aux requêtes légitimes. Les attaquants peuvent utiliser des « Botnets » (Robot Networks) pour leur faire exécuter des actions prédéfinies. En 2007, l’Estonie (dont la e-administration est alors l’une des plus développée d’Europe) a subi des attaques Dos de grande ampleur. L’administration, les médias, les banques et les opérateurs téléphoniques ont été paralysés pendant plusieurs semaines.

La défiguration ou le défilement. Cette action est le plus souvent utilisée pour des motifs politiques ou idéologiques ou à des fins de défi technologique. Un site peut être piraté pour ajouter des informations dans une page web ou remplacer la page web par des revendications. En France, en 2006, une attaque a visé des centaines de sites dont celui du Ministère de l’Éducation Nationale, alors qu’une autre, menée par des hackers turcs contestant le projet de loi sur la négation du génocide arménien, a visé le compte Twitter du Ministère des affaires étrangères en 2010.

Le vol et la divulgation de données par l’infiltration et l’exfiltration de données confidentielles pour les publier. Les cybercriminels menacent leurs victimes de divulguer leurs données si elles ne s’acquittent pas d’une rançon et/ou de porter atteinte à l’image de la victime en montrant que son site est peu sécurisé. En 2014, Sony Pictures a été victime d’un vol d’informations confidentielles relatives à des employés et des films inédits. Cette attaque est la conséquence de la colère des dirigeants de la Corée du Nord suite à la production du film « The interview » (deux agents de la CIA ont pour projet de tuer le dirigeant nord-coréen). La même année, ce sont les coordonnées de plus de 1,3 million de clients Orange qui ont été divulguées.

C/ Les enjeux de la lutte contre le cyberterrorisme

1) Le contexte

Le développement des connexions Internet a généré des risques en matière de sécurité des données informatiques. D’ici 2025, 10 milliards d’ordinateurs seront connectés, alors qu’ils n’étaient que 200 000 en 1987[6]. En 2014, la France était placée au 14e rang mondial et 6e rang européen des pays les plus touchés par la cybercriminalité. Les Etats-Unis, la Chine et l’Inde occupent quant à elles les premières places du classement.

Les formes et les illustrations du cyberterrorisme précédemment évoquées présagent de la difficulté à apporter une réponse efficace à un phénomène d’ampleur, parfois décrit comme insaisissable et agissant sans frontières. Pour le combattre, les schémas traditionnels sont inopérants car ils nécessitent le plus souvent une intrusion dans les libertés individuelles. La menace cyberterroriste est plus que jamais d’actualité. Elle n’est plus liée uniquement aux hackers solitaires et peut prendre la forme d’opérations militaires organisées. La lutte contre le cyberterrorisme revêt ainsi des enjeux complexes auxquels devront répondre des modalités d’action variées en termes  d’anticipation, de détection et de réaction. 

2) Enjeux pour l’Etat

Il s’agit en premier lieu pour l’État d’apporter des réponses à des questions de sécurité informatique (cybersécurité) alors que ce domaine est encore peu régulé. De la sécurité informatique découlent des enjeux économiques forts, s’agissant notamment, outre les administrations de l’État elles-mêmes, des OIV. Les petites et moyennes entreprises (PME) sont particulièrement concernées. Moins protégées, elles apparaissent comme des cibles plus faciles. En 2014, selon une étude américaine[7], 77% des PME françaises ont fait l’objet d’une attaque cybercriminelle ; les PME étant souvent considérées comme des portes d’entrée vers de plus grands groupes. Les principaux secteurs visés par les cyberterroristes sont les administrations, le secteur industriel et les filières banque-finance-immobilier.

En outre, la lutte contre le cyberterrorisme implique un nécessaire renforcement de la coordination entre services de l’État, chacun possédant en propre une cellule dédiée. A cette fin, Jean-Yves Latournerie a été nommé cyberpréfet en 2014. Mais au-delà d’un fonctionnement plus transversal des services de l’Etat, la collaboration entre Etats Membres de l’UE doit être intensifiée.  Par ailleurs, la France étant tributaire de sociétés de sécurité informatique, souvent américaines, la coopération sera aussi transatlantique. Le partenariat public/privé en la matière est également à consolider. 

Ainsi, la lutte contre le cyberterrorisme ne saurait être engagée sans une stratégie globale de lutte à la fois préventive et répressive. Les politiques publiques doivent s’atteler à endiguer un phénomène qui risque de se multiplier, à l’instar de l’évolution pandémique de la cybercriminalité et alors que la dépendance au numérique toujours plus grande suppose une vigilance accrue en termes de sécurité. 

II – Lutte contre le cyberterrorisme


Références

[1] Organisation américaine Institute for Security and Intelligence

[2] Rapport de la commission de la culture, de la science, de l’éducation et des médias au Conseil européen, Renforcer la coopération contre le cyberterrorisme et d’autres attaques de grande ampleur sur Internet, juin 2015.

[3] Les termes « e-djihad » ou « cyber-djihad » sont largement répandus pour désigner les pratiques en ligne d’Al-Qaïda et de ses réseaux.

[4] Organisation qui : « exerce des activités comprises dans un secteur d’activités d’importance vitale » ; « gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement , d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population » article R. 1332-1 du Code de la défense

[5] Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères.

[6] Etude de l’Institut national des Hautes études de la Sécurité et de la Justice services du Premier ministre : « Enjeux et difficultés de la lutte contre la cybercriminalité » (Juillet 2015).

[7] Rapport de la société américaine Symantec (Avril 2014)