La société de l'information: des risques, encore des risques...
 
 
La Société de l'information et les logiciels libres
 

Depuis déjà de nombreuses années la prise de conscience des enjeux de la maîtrise de l'information ne fait que croître. Cette préoccupation n'est pas totalement nouvelle : ce qui lui donne une nouvelle dimension, c'est la quantité d'informations disponibles ou accessibles et pouvant être communiquées grâce à l'explosion de ce que l'on appelle les NTIC (Nouvelles Technologies de l'Information et de la Communication). 

L'introduction de la micro-informatique et le développement d'Internet ont révolutionné l'informatique. Toutes ces nouveautés se sont développées aux États-Unis et se sont répandues dans le reste du monde. Ce n'est pas le moindre mérite de leurs auteurs que d'avoir rendue ainsi l'informatique accessible à tous ou presque tous. Au fil du temps de nouvelles améliorations sont apparues et continuent d'apparaître, permettant entre autres à la puissance américaine de s'affirmer de plus en plus. Le procès actuel de Bill Gates, qui risque d'aboutir à un éclatement de MICROSOFT, démontre néanmoins que la volonté de puissance qui peut s'exprimer au niveau du pays finit par devenir inacceptable au niveau d'un acteur économique lorsque, comme l'explique le juge Jackson chargé de l'affaire, cet acteur ne respecte plus les règles de l'économie américaine en jouant de sa position dominante pour en abuser. Il est intéressant de noter que pour se défendre, Bill Gates fait valoir que le logiciel libre Linux a marqué des points sur les serveurs Internet où il dépasse le logiciel de MICROSOFT, et qu'il commence à avoir une audience dans le grand public. Il fait là une publicité à ce type de logiciel. 
 

Qu'est-ce qu'un logiciel libre ? 

Éric Raymond, dans un célèbre article intitulé " La Cathédrale et le Bazar ", distingue deux catégories de concepteurs de logiciels, d'un côté " les adeptes du style cathédrale en matière de développement de logiciel travaillent en petits groupes derrière des portes closes, pour produire de rares versions majeures de logiciels qui sont censées être définitives. De l'autre côté, les adeptes du style bazar, et notamment la communauté des développeurs de Linux, forment une grande collectivité flottante qui travaille publiquement pour créer une chaîne de versions incrémentales qui sont toujours considérées comme faisant partie d'un changement continuel ". 

Parler de " style Bazar " et de " logiciel gratuit " peut inquiéter en laissant penser que ce n'est pas sérieux, que c'est la pagaille pour ne pas dire le Bazar ou autre chose, et que de toute façon, si c'est gratuit, c'est que cela ne vaut rien et donc soit ne fonctionne pas, soit a de mauvaises performances, soit enfin a peu de fonctionnalités. En fait l'intérêt ne réside pas particulièrement dans la gratuité du logiciel pour l'utilisateur, mais justement dans la qualité du logiciel produit, qualité qui résulte du grand nombre d'utilisateurs développeurs du fait de la disponibilité gratuite du code source. Par les nombreux tests très divers qu'ils peuvent exécuter, ils garantissent cette qualité et ils apportent toutes leurs compétences pour remédier aux défauts constatés. La disponibilité du code source donne la possibilité de vérifier la sécurité et la qualité, ce qui est plus difficile à garantir pour des logiciels fournis sans leur code source. 

Le concept de logiciel libre n'est pas récent, il remonte aux années soixante mais il a pu réellement se concrétiser avec la fondation d'Arpanet, l'ancêtre d'Internet. De nombreux logiciels libres autres que Linux existent désormais. Donc ce concept se développe, ce qui fournit progressivement une garantie de sérieux, des gages de succès et des perspectives d'innovations. 

Développés selon le " style Bazar ", les logiciels libres apportent une alternative à la dépendance vis-à-vis des éditeurs en position de quasi monopole, de par leur philosophie de mise en commun du code source et de fertilisation mutuelle. Cette alternative gagne en crédibilité de par sa philosophie de développement même, ouverte et enrichie par la communauté des utilisateurs actifs répartie partout dans le monde. Si ce mouvement Open Source prend vraiment une grande ampleur, on pourra peut-être dire que nous sommes entrés dans la quatrième ère de l'informatique, l'initiative en revenant une fois de plus aux États-Unis, pays étonnant où s'affrontent la puissance collective et la liberté individuelle, où se mélangent la culture associative et l'individualisme, l'esprit d'entreprise et le partage. 
 

Est-ce gagné pour ce type de logiciel ? 

On peut tout d'abord remarquer que dans le monde de l'informatique, le droit est un peu démuni. Du fait que le droit est un peu démuni, se pose en particulier la question de la protection de la propriété intellectuelle pour les logiciels. Deux thèses s'affrontent, celle qui veut imposer le droit des brevets d'invention et celle qui se réfère au droit d'auteur ou au copyright et qui a été, jusqu'à présent, privilégiée pour la protection des logiciels. On comprend que les développeurs souhaitent disposer d'outils appropriés et efficaces pour cette protection afin de faire face à deux périls : le piratage et l'imitation, mais on peut se demander s'il ne s'agit pas pour certains de conforter des positions dominantes. Le système de propriété intellectuelle français (depuis 1985) et le système européen semblent mieux répondre à ces préoccupations que le système de brevets de logiciels américain qui peut limiter le développement des logiciels libres. 
 

Que peut-on envisager comme orientations et comme actions concrètes au ministère de la Défense ? 

Il semble utile d'organiser une veille stratégique dans le domaine des logiciels libres, en analysant le contexte et l'économie des logiciels libres en Europe et aux États-Unis, en évaluant les chances et les risques que représentent ces logiciels pour la Défense, en établissant un dialogue avec l'industrie d'armement sur ce thème, et en suivant ce qui se passe dans l'industrie informatique. Un pôle de compétence sur ce sujet pourrait être créé. Ce pôle de compétence, pour ne pas être que passif, pourrait jouer un rôle d'animateur du Ministère tout en restant dans l'esprit de l'Open Source et être affilié, par exemple, à l'AFUL (Association Française des Utilisateurs de Linux), en jouant un rôle de représentant dans cette association ? 

Il semble aussi utile de lancer des expérimentations sur quelques sujets ciblés : c'est ce que fait la DGA. Par ailleurs, la DGA a tout intérêt à mener une politique de standardisation dans le domaine des systèmes d'information internes et des systèmes d'information opérationnels. Il lui serait donc utile d'étudier en particulier les solutions envisageables pour la certification et l'assurance de la qualité de ces logiciels libres, ceci en concertation avec les associations, institutions et industriels concernés. 

Enfin de manière plus innovante, ne peut-on pas réfléchir, au sein de la communauté de Défense, à la transposition ou l'adaptation de la philosophie de développement et d'évolution des logiciels en Open Source aux systèmes opérationnels comme les SIC ? 

En conclusion, nous ne pouvons pas ne pas participer à l'évolution en cours vers la société de l'information. Cette évolution est très perceptible dans les moyens, outils et produits. Elle l'est peut-être moins, pour le moment encore, dans les modes de vie, les organisations, les modes de travail, les cultures, les relations et les échanges entre pays, et pourtant indéniablement elle transformera notre environnement. Sans tomber dans l'admiration béate, il convient de suivre ce qui se passe tout particulièrement dans le monde civil, de tester de manière pragmatique les idées novatrices en les triant afin de ne pas subir complètement cette transformation et parmi ces idées novatrices, les nouveaux logiciels libres semblent prometteurs
 

 
Maîtrise de l'Information : recherche de concepts adaptés au cas de la France
 

Le concept d'information warfare (IW), que l'on traduit en français par maîtrise de l'information (MI), a donné lieu depuis cinq ans aux États-Unis à une profusion d'analyses, d'études, d'articles et de textes doctrinaux souvent liés au vaste thème de la Revolution in Military Affairs (RMA). 

En France, le même intérêt se fait jour pour la MI, avec le traditionnel décalage. Les états-majors, la DGA, les industriels réfléchissent aux implications du concept sur la guerre future, l'apparition de nouvelles vulnérabilités, la nécessité de développer de nouveaux équipements et d'adopter de nouvelles procédures et de nouvelles organisations de forces. Afin de sensibiliser l'ensemble des armées et de poser des jalons pour une doctrine française en la matière, l'EMA a consacré un chapitre à la MI dans son document doctrinal sur l'emploi des forces . Ce document, essentiellement évolutif, a le mérite, pour la première fois, de préciser le contenu du concept et les principes d'action que l'on doit en tirer. 

Il n'en demeure pas moins que, aussi bien aux États-Unis qu'en France, il règne une grande confusion sur le contenu et la portée du concept. Pour certains, il ne s'agit que d'une évolution des techniques de communication et de traitement de l'information qui peut conférer à celui qui les détient un avantage tactique décisif. Il ne s'agirait somme toute que d'une extension de la guerre électronique. Pour d'autres, la conduite même des opérations et l'organisation des forces en seraient affectées. Ce sont les adeptes de la RMA. Pour d'autres enfin, ce serait une remise en cause fondamentale des objectifs de la guerre et de la façon de la mener. De plus chacun place sous ce vocable les moyens et les modes d'action les plus divers qui vont du moyen de leurrage d'un autodirecteur de missile aux techniques de "management de la perception" destinées à influer sur le processus de décision adverse. 

Certes, la découverte du rôle de l'information dans l'art de la guerre n'est pas nouvelle. Les grands stratèges du passé l'avaient amplement souligné. Les notions clausewitziennes de brouillard et de friction du champ de bataille se réfèrent déjà à la difficulté pour le commandement d'apprécier une situation opérationnelle. Les concepts de la MI se relient aisément à chacun des principes de l'art de la guerre (clarté des objectifs, exploitation de l'initiative, effet de masse, économie des forces, importance de la manoeuvre, unité de commandement, surprise, etc.). 

Au demeurant, il n'est pas étonnant que le concept de MI soit mal précisé puisque la notion d'information, elle-même, est des plus floues. Parle-t-on d'éléments binaires d'information au sens de SHANNON, du signal issu d'un capteurs, des données brutes issues d'un radar, de la connaissance acquise sur une situation tactique, du jugement que l'on peut porter sur cette situation ou de valeurs culturelles ou éthiques ? Que s'agit-il donc de maîtriser ? Au reste, le terme maîtriser prête aussi à interprétation. S'agit-il de connaître et de contrôler pour conserver une marge d'initiative ou s'agit-il de dominer en imposant sa loi ? 

Une étude menée en 1999 par la FRS pour le compte de la DGA a permis de préciser cette problématique et de dégager et classer les concepts qu'implique la maîtrise de l'information pour la défense d'un pays comme la France. 

Dans le jeu d'une coalition, le rôle d'un pays comme la France est plus complexe que le rôle de la puissance dominante, puisqu'il s'agit de coopérer tout en préservant une certaine autonomie de décision. Tirant les conséquences de ce constat, on a jugé nécessaire d'adjoindre aux postures "classiques", Défensive et Offensive, deux postures fortement couplées, Coopérative et Autonome. Ces postures, dans le domaine de la maîtrise de l'information qui nous concerne ici, doivent gérer un équilibre subtil entre des informations partagées et des informations exclusives. 

L'approche utilisée était essentiellement multicibles et centrée sur les sept cibles suivantes : 

          - C4I : systèmes d'information militaires (commandement et communication), 

          - Forces : unités déployées sur le terrain et considérées sous l'angle de l'information (signatures, comportement, renseignement), 

          - Économie : grands secteurs créateurs de richesse de la production et de la distribution (usines, centres commerciaux, centrales électriques, etc.), infrastructures (transports, télécommunications), marchés financiers, etc., 

          - Population : opinion publique, médias, etc., 

          - Centres de décision : administrations centrales et locales, syndicats, etc., 

          - Politique : organisme du pouvoir politique, parlement, conseils régionaux, partis politiques, hommes politiques, etc., 

          - Droit/Éthique : lois et jurisprudences, tribunaux, juges, autorités morales et religieuses, échelles de valeurs, etc. 

La pertinence de ces cibles peut être discutée, mais elles ont paru couvrir la majeure partie du domaine d'action de la maîtrise de l'information. 

La notion de "cible", utilisée ici, a l'avantage : 

          - de s'affranchir du clivage classique en niveaux polico-stratégique, opératif et tactique que les technologies de l'information rendent de plus en plus artificiel, 

          - de déboucher directement sur des moyens et des modes d'action concrets existant ou à développer. 

Les notes attribuées par l'atelier aux fonctions, pour chacune des 7 cibles et des 4 postures, permettent de porter un jugement sur les capacités actuelles de la France en matière de maîtrise de l'information. 

L'analyse confirme certaines impressions intuitives : 

          - la posture défensive est actuellement privilégiée par rapport à la posture offensive, pourtant souvent nécessaire pour réaliser un niveau minimum de capacité, 

          - la posture coopérative, qui est au centre de toute opération en coalition, semble prise en compte, mais la posture autonome qui lui est antagoniste reste mal cernée, 

          - les cibles les mieux traitées actuellement sont le C4I et les Forces ; les cibles Population, Centres de décision et Politique, pourtant jugées aussi critiques, correspondent à des capacités insuffisantes et parfois inexistantes. 

L'analyse milite donc en faveur de l'étude de moyens défensifs mais aussi offensifs dans ces domaines. Ces moyens, que l'on peut rattacher à la guerre de l'information et à la guerre psychologique, bousculent les cadres juridiques actuels et les traditions culturelles de la France. 

C'est le cas, notamment, des actions informatiques offensives et des opérations psychologiques qui posent des problèmes juridiques et éthiques que l'on ne sait pas surmonter actuellement. 

En matière d'opérations psychologiques, d'autres pays sont plus avancés que nous, comme la Grande-Bretagne, l'Allemagne et surtout les États-Unis. Les possibilités techniques existent (ressources des sciences cognitives et de l'ingénierie linguistique), mais la réflexion sur les concepts d'emploi reste bloquée. 

Pour ce qui concerne les aspects fonctionnels, nos capacités de renseignement sont correctes et même bonnes dans certains domaines, mais nous donnent-elles pour autant les moyens d'une véritable autonomie stratégique ? En outre le problème de la détection des attaques adverses reste un problème difficile où presque tout reste à faire. Mais nous ne sommes pas les seuls ! 

Le domaine défriché par l'étude devrait être approfondi pour aboutir à la spécification d'une trame cohérente et suffisante de moyens pour la maîtrise de l'information, applicable à la France. 
 

 
Cyberterrorisme : entre mythe et réalité
 

Le concept politique d'" Autoroutes de l'information " est né aux États-Unis lors de la première campagne présidentielle de Bill Clinton de 1992. Son initiateur, Al Gore, l'a popularisé au profit du candidat démocrate. L'objectif était clair : faire circuler rapidement et à très grande échelle des services et tout type d'informations contenant textes, sons, images. 

Ce développement va trouver un écho international favorable. Et par ce réseau mondial créé d'Internet aux satellites de communication, une nouvelle dimension apparaît que l'on nomme le cyberespace. Cependant, les instituts de recherche américains découvrent avec lui un nouveau type de menace : le cyberterrorisme. Clé de voûte de la sécurité pour toute entité publique ou privée, la protection de l'information devient alors stratégique. 
 

Mais la notion de cyberterrorisme a été dénaturée par amalgame avec la cybercriminalité. Pour cette dernière le mobile de l'acte peut être le gain pécunier, la vengeance,...etc. Alors que le cyberterrorisme, tel qu'il a été défini par Mark Pollitt, du FBI, est " une attaque préméditée, politiquement motivée contre l'information, les systèmes d'information, les programmes informatiques et les données, contre des cibles combattantes ou non combattantes, par des groupes subnationaux ou des agents clandestins ". Son objectif est d'altérer, de neutraliser ou de détruire l'information en tant que valeur stratégique. Le terrorisme connaît ainsi de nouvelles applications et utilise de nouveaux moyens par ces procédés technologiques innovants. 
 

Le cyberterrorisme utilise des instruments technologiques permettant d'agir sous couvert d'anonymat et de manière imprévisible. Tout d'abord, l'anonymat est rendu possible par certains sites Internet : les remailers (réexpéditions électroniques) qui sont des serveurs anonymes protégeant l'identité de ceux qui s'y connectent. L'exemple récent de la saturation du serveur Yahoo démontre parfaitement la difficulté pour les opérateurs informatiques de prévenir ce type d'action. L'imprévisibilité de la menace, quant à elle, est liée au temps, au lieu, à l'intensité et à la manière dont l'offensive sera menée. 

Les actions cyberterroristes présentent deux degrés de gravité. Le premier consiste en une opération de déstabilisation. Il s'agit de paralyser partiellement un système d'information. Cette neutralisation peut s'avérer temporaire afin d'affaiblir le système visé, ou permet de s'y introduire dans le but de l'utiliser, ou pour y déposer des composants spécifiques (des cookies, un cheval de Troie, des traceurs électroniques, ...). 
 

Le second degré porte sur la destruction totale d'un système de protection, et sort du domaine de l'intimidation et de l'espionnage, pour rentrer dans une manifestation physique caractérisée. Le résultat recherché et l'intensité de l'agression sont alors l'expression de la revendication cyberterroriste. 
 

Quant à l'évolution de la gestion des infrastructures stratégiques, elle a considérablement modifié les formes de sécurité incombant à la fois à l'autorité nationale et aux partenaires privés. En effet, la majorité d'entre elles appartiennent au domaine privé. Il s'agit des moyens de télécommunication, des réseaux de distribution (eau, électricité, gaz, pétrole), des services d'urgence, des moyens de transport, des services gouvernementaux et de l'armée. Ainsi, les cyberterroristes disposent de cibles plus importantes car stratégiques, devenues accessibles par des réseaux qui peuvent être piratés à distance. 
 

Si les cibles sont diverses, les acteurs de ces agressions le sont aussi. Un individu isolé, comme le hacker sur Internet, peut être qualifié de cybercriminel. C'est le cas de l'intrusion dans la base de données confidentielles d'une banque (numéros de comptes, numéros de cartes bancaires, ...) afin d'obtenir une rançon sous menace de sa destruction. Les affaires abondent dans ce domaine mais elles ne sont pas médiatisées pour des raisons de renommée et de sécurité de l'établissement victime. 
 

Le risque cyberterroriste peut aussi résulter d'un engagement collectif et coordonné. Les enquêtes menées dans ce domaine ont démontré que certaines associations de hackers avaient été manipulées par des organisations subversives, afin d'obtenir des renseignements confidentiels ou de pirater certains sites Internet. Ce genre d'action facilite la cyberpropagande car les revendications sont répercutées très rapidement au niveau international. De même, avec le développement des moyens technologiques, l'approvisionnement en armes et en explosifs très coûteux n'est plus nécessaire pour chaque opération. De plus, chaque organisation terroriste dispose d'une intelligentsia de bon niveau qui, conjuguée aux armes technologiques, permet de mener secrètement de nouvelles actions, toujours plus performantes. 
 

Enfin, en dernier lieu, un État (ou un groupe d'États) qui attaque un autre État, uniquement par des vecteurs technologiques, est, ce qui est appelé dans le jargon des spécialistes, un cyberconflit. Cette hypothèse a été soulevée dès 1995 sous le nom de " Pearl Harbour Electronic ". Dans une simulation informatique, les États-Unis devaient ainsi faire face à une attaque soudaine. Les conclusions de cette simulation ont permis de démontrer que la réussite de l'attaque est conditionnée par la combinaison des moyens employés par l'assaillant, mais également par la capacité de réaction du défenseur. Comme le cyberterrorisme, le cyberconflit fait intervenir l'ensemble des moyens technologiques (électronique, informatique, télécom, ...). Cependant, leur utilisation nécessite des fonds financiers importants, à l'image d'un canon opto-électronique utilisé pour la captation des données transmises dans les câbles sous-marins. De même, la possession de satellites d'interception et de surveillance des communications (comme les Sigint et les Comint américains) n'est à la portée que d'une petite minorité d'États. Ainsi, un cyberconflit engageant des pays technologiquement développés a relativement peu de chances de se produire. 
 

En conclusion, le cyberterrorisme est un fait bien réel. L'évolution des modes de communication va accroître ce phénomène qui risque de devenir très préoccupant dans un avenir proche. La vulnérabilité de la société devrait croître avec son niveau de développement, et donc de dépendance technologique. Or, les organisations terroristes telles que l'ETA, l'IRA, ou bien encore le GIA, sont déjà présentes sur Internet pour y effectuer de la cyberpropagande. Cependant, leur action aborde surtout l'aspect psychologique pour obtenir plus d'impact sur les populations dans leur ensemble, et n'ont pas utilisé les moyens technologiques correspondants. C'est pourquoi, si les potentialités de ces agressions sont connues et étudiées, certains spécialistes doutent encore de la gravité de ces assauts qui sont à la fois mineurs et dispersés. 

Pourtant, John Deutch, ancien directeur de la CIA, a affirmé que le Hezbollah avait déjà la possibilité de porter de telles attaques. Et l'on peut légitimement interpréter les récentes agressions contre les sites Internet de Yahoo et Amazon comme un test pour d'autres agressions de plus grande envergure. Avec l'hypothèse inquiétante de n'avoir entrevu, dans ce cas, que la partie immergée de l'iceberg du Cyberterrorisme. 
 

 

Source: F.R.S (1er trimestre 2000)