|
La Société
de l'information et les logiciels libres
|
Depuis déjà de nombreuses années la prise de conscience des enjeux de la maîtrise de l'information ne fait que croître. Cette préoccupation n'est pas totalement nouvelle : ce qui lui donne une nouvelle dimension, c'est la quantité d'informations disponibles ou accessibles et pouvant être communiquées grâce à l'explosion de ce que l'on appelle les NTIC (Nouvelles Technologies de l'Information et de la Communication). L'introduction de la micro-informatique
et le développement d'Internet ont révolutionné l'informatique.
Toutes ces nouveautés se sont développées aux États-Unis
et se sont répandues dans le reste du monde. Ce n'est pas le moindre
mérite de leurs auteurs que d'avoir rendue ainsi l'informatique
accessible à tous ou presque tous. Au fil du temps de nouvelles
améliorations sont apparues et continuent d'apparaître, permettant
entre autres à la puissance américaine de s'affirmer de plus
en plus. Le procès actuel de Bill Gates, qui risque d'aboutir à
un éclatement de MICROSOFT, démontre néanmoins que
la volonté de puissance qui peut s'exprimer au niveau du pays finit
par devenir inacceptable au niveau d'un acteur économique lorsque,
comme l'explique le juge Jackson chargé de l'affaire, cet acteur
ne respecte plus les règles de l'économie américaine
en jouant de sa position dominante pour en abuser. Il est intéressant
de noter que pour se défendre, Bill Gates fait valoir que le logiciel
libre Linux a marqué des points sur les serveurs Internet où
il dépasse le logiciel de MICROSOFT, et qu'il commence à
avoir une audience dans le grand public. Il fait là une publicité
à ce type de logiciel. Qu'est-ce qu'un logiciel libre ? Éric Raymond, dans
un célèbre article intitulé " La Cathédrale
et le Bazar ", distingue deux catégories de concepteurs de logiciels,
d'un côté " les adeptes du style cathédrale en matière
de développement de logiciel travaillent en petits groupes derrière
des portes closes, pour produire de rares versions majeures de logiciels
qui sont censées être définitives. De l'autre côté,
les adeptes du style bazar, et notamment la communauté des développeurs
de Linux, forment une grande collectivité flottante qui travaille
publiquement pour créer une chaîne de versions incrémentales
qui sont toujours considérées comme faisant partie d'un changement
continuel ". Parler de " style Bazar "
et de " logiciel gratuit " peut inquiéter en laissant penser que
ce n'est pas sérieux, que c'est la pagaille pour ne pas dire le
Bazar ou autre chose, et que de toute façon, si c'est gratuit, c'est
que cela ne vaut rien et donc soit ne fonctionne pas, soit a de mauvaises
performances, soit enfin a peu de fonctionnalités. En fait l'intérêt
ne réside pas particulièrement dans la gratuité du
logiciel pour l'utilisateur, mais justement dans la qualité du logiciel
produit, qualité qui résulte du grand nombre d'utilisateurs
développeurs du fait de la disponibilité gratuite du code
source. Par les nombreux tests très divers qu'ils peuvent exécuter,
ils garantissent cette qualité et ils apportent toutes leurs compétences
pour remédier aux défauts constatés. La disponibilité
du code source donne la possibilité de vérifier la sécurité
et la qualité, ce qui est plus difficile à garantir pour
des logiciels fournis sans leur code source. Le concept de logiciel libre
n'est pas récent, il remonte aux années soixante mais il
a pu réellement se concrétiser avec la fondation d'Arpanet,
l'ancêtre d'Internet. De nombreux logiciels libres autres que Linux
existent désormais. Donc ce concept se développe, ce qui
fournit progressivement une garantie de sérieux, des gages de succès
et des perspectives d'innovations. Développés
selon le " style Bazar ", les logiciels libres apportent une alternative
à la dépendance vis-à-vis des éditeurs en position
de quasi monopole, de par leur philosophie de mise en commun du code source
et de fertilisation mutuelle. Cette alternative gagne en crédibilité
de par sa philosophie de développement même, ouverte et enrichie
par la communauté des utilisateurs actifs répartie partout
dans le monde. Si ce mouvement Open Source prend vraiment une grande ampleur,
on pourra peut-être dire que nous sommes entrés dans la quatrième
ère de l'informatique, l'initiative en revenant une fois de plus
aux États-Unis, pays étonnant où s'affrontent la puissance
collective et la liberté individuelle, où se mélangent
la culture associative et l'individualisme, l'esprit d'entreprise et le
partage. Est-ce gagné pour ce type de logiciel ? On peut tout d'abord remarquer
que dans le monde de l'informatique, le droit est un peu démuni.
Du fait que le droit est un peu démuni, se pose en particulier la
question de la protection de la propriété intellectuelle
pour les logiciels. Deux thèses s'affrontent, celle qui veut imposer
le droit des brevets d'invention et celle qui se réfère au
droit d'auteur ou au copyright et qui a été, jusqu'à
présent, privilégiée pour la protection des logiciels.
On comprend que les développeurs souhaitent disposer d'outils appropriés
et efficaces pour cette protection afin de faire face à deux périls
: le piratage et l'imitation, mais on peut se demander s'il ne s'agit pas
pour certains de conforter des positions dominantes. Le système
de propriété intellectuelle français (depuis 1985)
et le système européen semblent mieux répondre à
ces préoccupations que le système de brevets de logiciels
américain qui peut limiter le développement des logiciels
libres. Que peut-on envisager comme
orientations et comme actions concrètes au ministère de la
Défense ? Il semble utile d'organiser
une veille stratégique dans le domaine des logiciels libres, en
analysant le contexte et l'économie des logiciels libres en Europe
et aux États-Unis, en évaluant les chances et les risques
que représentent ces logiciels pour la Défense, en établissant
un dialogue avec l'industrie d'armement sur ce thème, et en suivant
ce qui se passe dans l'industrie informatique. Un pôle de compétence
sur ce sujet pourrait être créé. Ce pôle de compétence,
pour ne pas être que passif, pourrait jouer un rôle d'animateur
du Ministère tout en restant dans l'esprit de l'Open Source et être
affilié, par exemple, à l'AFUL (Association Française
des Utilisateurs de Linux), en jouant un rôle de représentant
dans cette association ? Il semble aussi utile de
lancer des expérimentations sur quelques sujets ciblés :
c'est ce que fait la DGA. Par ailleurs, la DGA a tout intérêt
à mener une politique de standardisation dans le domaine des systèmes
d'information internes et des systèmes d'information opérationnels.
Il lui serait donc utile d'étudier en particulier les solutions
envisageables pour la certification et l'assurance de la qualité
de ces logiciels libres, ceci en concertation avec les associations, institutions
et industriels concernés. Enfin de manière plus
innovante, ne peut-on pas réfléchir, au sein de la communauté
de Défense, à la transposition ou l'adaptation de la philosophie
de développement et d'évolution des logiciels en Open Source
aux systèmes opérationnels comme les SIC ? En conclusion, nous ne pouvons
pas ne pas participer à l'évolution en cours vers la société
de l'information. Cette évolution est très perceptible dans
les moyens, outils et produits. Elle l'est peut-être moins, pour
le moment encore, dans les modes de vie, les organisations, les modes de
travail, les cultures, les relations et les échanges entre pays,
et pourtant indéniablement elle transformera notre environnement.
Sans tomber dans l'admiration béate, il convient de suivre ce qui
se passe tout particulièrement dans le monde civil, de tester de
manière pragmatique les idées novatrices en les triant afin
de ne pas subir complètement cette transformation et parmi ces idées
novatrices, les nouveaux logiciels libres semblent prometteurs |
Maîtrise de l'Information
: recherche de concepts adaptés au cas de la France
|
Le concept d'information warfare (IW), que l'on traduit en français par maîtrise de l'information (MI), a donné lieu depuis cinq ans aux États-Unis à une profusion d'analyses, d'études, d'articles et de textes doctrinaux souvent liés au vaste thème de la Revolution in Military Affairs (RMA). En France, le même
intérêt se fait jour pour la MI, avec le traditionnel décalage.
Les états-majors, la DGA, les industriels réfléchissent
aux implications du concept sur la guerre future, l'apparition de nouvelles
vulnérabilités, la nécessité de développer
de nouveaux équipements et d'adopter de nouvelles procédures
et de nouvelles organisations de forces. Afin de sensibiliser l'ensemble
des armées et de poser des jalons pour une doctrine française
en la matière, l'EMA a consacré un chapitre à la MI
dans son document doctrinal sur l'emploi des forces . Ce document, essentiellement
évolutif, a le mérite, pour la première fois, de préciser
le contenu du concept et les principes d'action que l'on doit en tirer. Il n'en demeure pas moins
que, aussi bien aux États-Unis qu'en France, il règne une
grande confusion sur le contenu et la portée du concept. Pour certains,
il ne s'agit que d'une évolution des techniques de communication
et de traitement de l'information qui peut conférer à celui
qui les détient un avantage tactique décisif. Il ne s'agirait
somme toute que d'une extension de la guerre électronique. Pour
d'autres, la conduite même des opérations et l'organisation
des forces en seraient affectées. Ce sont les adeptes de la RMA.
Pour d'autres enfin, ce serait une remise en cause fondamentale des objectifs
de la guerre et de la façon de la mener. De plus chacun place sous
ce vocable les moyens et les modes d'action les plus divers qui vont du
moyen de leurrage d'un autodirecteur de missile aux techniques de "management
de la perception" destinées à influer sur le processus de
décision adverse. Certes, la découverte
du rôle de l'information dans l'art de la guerre n'est pas nouvelle.
Les grands stratèges du passé l'avaient amplement souligné.
Les notions clausewitziennes de brouillard et de friction du champ de bataille
se réfèrent déjà à la difficulté
pour le commandement d'apprécier une situation opérationnelle.
Les concepts de la MI se relient aisément à chacun des principes
de l'art de la guerre (clarté des objectifs, exploitation de l'initiative,
effet de masse, économie des forces, importance de la manoeuvre,
unité de commandement, surprise, etc.). Au demeurant, il n'est pas
étonnant que le concept de MI soit mal précisé puisque
la notion d'information, elle-même, est des plus floues. Parle-t-on
d'éléments binaires d'information au sens de SHANNON, du
signal issu d'un capteurs, des données brutes issues d'un radar,
de la connaissance acquise sur une situation tactique, du jugement que
l'on peut porter sur cette situation ou de valeurs culturelles ou éthiques
? Que s'agit-il donc de maîtriser ? Au reste, le terme maîtriser
prête aussi à interprétation. S'agit-il de connaître
et de contrôler pour conserver une marge d'initiative ou s'agit-il
de dominer en imposant sa loi ? Une étude menée
en 1999 par la FRS pour le compte de la DGA a permis de préciser
cette problématique et de dégager et classer les concepts
qu'implique la maîtrise de l'information pour la défense d'un
pays comme la France. Dans le jeu d'une coalition,
le rôle d'un pays comme la France est plus complexe que le rôle
de la puissance dominante, puisqu'il s'agit de coopérer tout en
préservant une certaine autonomie de décision. Tirant les
conséquences de ce constat, on a jugé nécessaire d'adjoindre
aux postures "classiques", Défensive et Offensive, deux postures
fortement couplées, Coopérative et Autonome. Ces postures,
dans le domaine de la maîtrise de l'information qui nous concerne
ici, doivent gérer un équilibre subtil entre des informations
partagées et des informations exclusives. L'approche utilisée
était essentiellement multicibles et centrée sur les sept
cibles suivantes : 
- Forces : unités déployées sur le terrain et considérées
sous l'angle de l'information (signatures, comportement, renseignement),
- Économie : grands secteurs créateurs de richesse de la
production et de la distribution (usines, centres commerciaux, centrales
électriques, etc.), infrastructures (transports, télécommunications),
marchés financiers, etc.,
- Population : opinion publique, médias, etc.,
- Centres de décision : administrations centrales et locales, syndicats,
etc.,
- Politique : organisme du pouvoir politique, parlement, conseils régionaux,
partis politiques, hommes politiques, etc.,
- Droit/Éthique : lois et jurisprudences, tribunaux, juges, autorités
morales et religieuses, échelles de valeurs, etc. La pertinence de ces cibles
peut être discutée, mais elles ont paru couvrir la majeure
partie du domaine d'action de la maîtrise de l'information. La notion de "cible", utilisée
ici, a l'avantage :
- de s'affranchir du clivage classique en niveaux polico-stratégique,
opératif et tactique que les technologies de l'information rendent
de plus en plus artificiel,
- de déboucher directement sur des moyens et des modes d'action
concrets existant ou à développer. Les notes attribuées
par l'atelier aux fonctions, pour chacune des 7 cibles et des 4 postures,
permettent de porter un jugement sur les capacités actuelles de
la France en matière de maîtrise de l'information. L'analyse confirme certaines
impressions intuitives :
- la posture défensive est actuellement privilégiée
par rapport à la posture offensive, pourtant souvent nécessaire
pour réaliser un niveau minimum de capacité,
- la posture coopérative, qui est au centre de toute opération
en coalition, semble prise en compte, mais la posture autonome qui lui
est antagoniste reste mal cernée,
- les cibles les mieux traitées actuellement sont le C4I et les
Forces ; les cibles Population, Centres de décision et Politique,
pourtant jugées aussi critiques, correspondent à des capacités
insuffisantes et parfois inexistantes. L'analyse milite donc en
faveur de l'étude de moyens défensifs mais aussi offensifs
dans ces domaines. Ces moyens, que l'on peut rattacher à la guerre
de l'information et à la guerre psychologique, bousculent les cadres
juridiques actuels et les traditions culturelles de la France. C'est le cas, notamment,
des actions informatiques offensives et des opérations psychologiques
qui posent des problèmes juridiques et éthiques que l'on
ne sait pas surmonter actuellement. En matière d'opérations
psychologiques, d'autres pays sont plus avancés que nous, comme
la Grande-Bretagne, l'Allemagne et surtout les États-Unis. Les possibilités
techniques existent (ressources des sciences cognitives et de l'ingénierie
linguistique), mais la réflexion sur les concepts d'emploi reste
bloquée. Pour ce qui concerne les
aspects fonctionnels, nos capacités de renseignement sont correctes
et même bonnes dans certains domaines, mais nous donnent-elles pour
autant les moyens d'une véritable autonomie stratégique ?
En outre le problème de la détection des attaques adverses
reste un problème difficile où presque tout reste à
faire. Mais nous ne sommes pas les seuls ! Le domaine défriché
par l'étude devrait être approfondi pour aboutir à
la spécification d'une trame cohérente et suffisante de moyens
pour la maîtrise de l'information, applicable à la France. |
Cyberterrorisme : entre
mythe et réalité
|
Le concept politique d'" Autoroutes de l'information " est né aux États-Unis lors de la première campagne présidentielle de Bill Clinton de 1992. Son initiateur, Al Gore, l'a popularisé au profit du candidat démocrate. L'objectif était clair : faire circuler rapidement et à très grande échelle des services et tout type d'informations contenant textes, sons, images. Ce développement va
trouver un écho international favorable. Et par ce réseau
mondial créé d'Internet aux satellites de communication,
une nouvelle dimension apparaît que l'on nomme le cyberespace. Cependant,
les instituts de recherche américains découvrent avec lui
un nouveau type de menace : le cyberterrorisme. Clé de voûte
de la sécurité pour toute entité publique ou privée,
la protection de l'information devient alors stratégique. Mais la notion de cyberterrorisme
a été dénaturée par amalgame avec la cybercriminalité.
Pour cette dernière le mobile de l'acte peut être le gain
pécunier, la vengeance,...etc. Alors que le cyberterrorisme, tel qu'il
a été défini par Mark Pollitt, du FBI, est " une attaque
préméditée, politiquement motivée contre l'information,
les systèmes d'information, les programmes informatiques et les
données, contre des cibles combattantes ou non combattantes, par
des groupes subnationaux ou des agents clandestins ". Son objectif est
d'altérer, de neutraliser ou de détruire l'information en
tant que valeur stratégique. Le terrorisme connaît ainsi de
nouvelles applications et utilise de nouveaux moyens par ces procédés
technologiques innovants. Le cyberterrorisme utilise
des instruments technologiques permettant d'agir sous couvert d'anonymat
et de manière imprévisible. Tout d'abord, l'anonymat est
rendu possible par certains sites Internet : les remailers (réexpéditions
électroniques) qui sont des serveurs anonymes protégeant
l'identité de ceux qui s'y connectent. L'exemple récent de
la saturation du serveur Yahoo démontre parfaitement la difficulté
pour les opérateurs informatiques de prévenir ce type d'action.
L'imprévisibilité de la menace, quant à elle, est
liée au temps, au lieu, à l'intensité et à
la manière dont l'offensive sera menée. Les actions cyberterroristes
présentent deux degrés de gravité. Le premier consiste
en une opération de déstabilisation. Il s'agit de paralyser
partiellement un système d'information. Cette neutralisation peut
s'avérer temporaire afin d'affaiblir le système visé,
ou permet de s'y introduire dans le but de l'utiliser, ou pour y déposer
des composants spécifiques (des cookies, un cheval de Troie, des
traceurs électroniques, ...). Le second degré porte
sur la destruction totale d'un système de protection, et sort du
domaine de l'intimidation et de l'espionnage, pour rentrer dans une manifestation
physique caractérisée. Le résultat recherché
et l'intensité de l'agression sont alors l'expression de la revendication
cyberterroriste. Quant à l'évolution
de la gestion des infrastructures stratégiques, elle a considérablement
modifié les formes de sécurité incombant à
la fois à l'autorité nationale et aux partenaires privés.
En effet, la majorité d'entre elles appartiennent au domaine privé.
Il s'agit des moyens de télécommunication, des réseaux
de distribution (eau, électricité, gaz, pétrole),
des services d'urgence, des moyens de transport, des services gouvernementaux
et de l'armée. Ainsi, les cyberterroristes disposent de cibles plus
importantes car stratégiques, devenues accessibles par des réseaux
qui peuvent être piratés à distance. Si les cibles sont diverses,
les acteurs de ces agressions le sont aussi. Un individu isolé,
comme le hacker sur Internet, peut être qualifié de cybercriminel.
C'est le cas de l'intrusion dans la base de données confidentielles
d'une banque (numéros de comptes, numéros de cartes bancaires,
...) afin d'obtenir une rançon sous menace de sa destruction. Les
affaires abondent dans ce domaine mais elles ne sont pas médiatisées
pour des raisons de renommée et de sécurité de l'établissement
victime. Le risque cyberterroriste
peut aussi résulter d'un engagement collectif et coordonné.
Les enquêtes menées dans ce domaine ont démontré
que certaines associations de hackers avaient été manipulées
par des organisations subversives, afin d'obtenir des renseignements confidentiels
ou de pirater certains sites Internet. Ce genre d'action facilite la cyberpropagande
car les revendications sont répercutées très rapidement
au niveau international. De même, avec le développement des
moyens technologiques, l'approvisionnement en armes et en explosifs très
coûteux n'est plus nécessaire pour chaque opération.
De plus, chaque organisation terroriste dispose d'une intelligentsia de
bon niveau qui, conjuguée aux armes technologiques, permet de mener
secrètement de nouvelles actions, toujours plus performantes. Enfin, en dernier lieu, un
État (ou un groupe d'États) qui attaque un autre État,
uniquement par des vecteurs technologiques, est, ce qui est appelé
dans le jargon des spécialistes, un cyberconflit. Cette hypothèse
a été soulevée dès 1995 sous le nom de " Pearl
Harbour Electronic ". Dans une simulation informatique, les États-Unis
devaient ainsi faire face à une attaque soudaine. Les conclusions
de cette simulation ont permis de démontrer que la réussite
de l'attaque est conditionnée par la combinaison des moyens employés
par l'assaillant, mais également par la capacité de réaction
du défenseur. Comme le cyberterrorisme, le cyberconflit fait intervenir
l'ensemble des moyens technologiques (électronique, informatique,
télécom, ...). Cependant, leur utilisation nécessite
des fonds financiers importants, à l'image d'un canon opto-électronique
utilisé pour la captation des données transmises dans les
câbles sous-marins. De même, la possession de satellites d'interception
et de surveillance des communications (comme les Sigint et les Comint américains)
n'est à la portée que d'une petite minorité d'États.
Ainsi, un cyberconflit engageant des pays technologiquement développés
a relativement peu de chances de se produire. En conclusion, le cyberterrorisme
est un fait bien réel. L'évolution des modes de communication
va accroître ce phénomène qui risque de devenir très
préoccupant dans un avenir proche. La vulnérabilité
de la société devrait croître avec son niveau de développement,
et donc de dépendance technologique. Or, les organisations terroristes
telles que l'ETA, l'IRA, ou bien encore le GIA, sont déjà
présentes sur Internet pour y effectuer de la cyberpropagande. Cependant,
leur action aborde surtout l'aspect psychologique pour obtenir plus d'impact
sur les populations dans leur ensemble, et n'ont pas utilisé les
moyens technologiques correspondants. C'est pourquoi, si les potentialités
de ces agressions sont connues et étudiées, certains spécialistes
doutent encore de la gravité de ces assauts qui sont à la
fois mineurs et dispersés. Pourtant, John Deutch, ancien
directeur de la CIA, a affirmé que le Hezbollah avait déjà
la possibilité de porter de telles attaques. Et l'on peut légitimement
interpréter les récentes agressions contre les sites Internet
de Yahoo et Amazon comme un test pour d'autres agressions de plus grande
envergure. Avec l'hypothèse inquiétante de n'avoir entrevu,
dans ce cas, que la partie immergée de l'iceberg du Cyberterrorisme. |
Source: F.R.S (1er trimestre 2000) |