Durant l’été 2013, je m’étais rendu à une conférence consacrée à la cyber-sécurité à l’Université de Tel Aviv. C’est là-bas que j’ai appris pour la première fois que Stuxnet — virus informatique hyper sophistiqué que les Etats Unis et Israël seraient parvenus à insérer dans l’usine d’enrichissement de Natanz en Iran en 2010, pour détraquer les centrifugeuses – était finalement considéré dans le monde de la cyber-guerre comme une terrible erreur.

Plusieurs intervenants, lors de cette conférence, avaient fait cette affirmation, qualifiant le virus Stuxnet d’échec après qu’il a été considéré en Israël comme une réussite éblouissante – une attaque non-militaire qui avait permis de repousser de quelques bons mois le programme iranien et avait semé une vraie incertitude dans l’esprit des techniciens nucléaires.

Et donc, en marge de la conférence, lorsque j’ai interviewé Richard A. Clarke, chef de l’anti-terrorisme pour les administrations de Bill Clinton et de George W. Bush, je lui ai demandé si lui aussi pensait que Stuxnet avait été – pour ne pas dire plus, contre-productif. Absolument, a répondu Clarke, – avec conviction.

Pour une chose : “Le code d’attaque était supposé mourir et ne pas circuler sur Internet”, note-t-il. Mais cela a été le cas. « Il est sorti, il a parcouru le monde ». Il n’a pu nuire à personne d’autre parce qu’il n’avait été programmé que pour frapper les centrifugeuses iraniennes mais il a « néanmoins tenté d’attaquer des choses et des gens s’en sont donc saisi et l’ont décompilé. Cela a forcément appris à beaucoup de gens son mode d’attaque », a dit Clarke.

Richard A. Clarke speaks at the Third Annual International Cyber Security Conference of Tel Aviv University's Yuval Ne’eman Workshop (Photo credit: Courtesy)

Richard A. Clarke speaks at the Third Annual International Cyber Security Conference of Tel Aviv University’s Yuval Ne’eman Workshop (Photo credit: Courtesy)

En d’autres mots, cette présumée percée dans la guerre cyber réalisée par Israël et les Etats Unis est dorénavant bien connue du côté obscur d’Internet, permettant à d’autres – dont, c’est évident, les Iraniens eux-mêmes – d’apprendre comment mener des attaques similaires.

Pire encore, indique Clarke, le fait que l’attaque ait été découverte constitue une forme de légitimation de cette forme de guerre – si les Etats Unis s’y sont prêtés, ils peuvent difficilement déplorer que d’éventuels ennemis s’y prêtent aussi. Et ceci à une époque où les défenses contre les cyber-criminels s’efforcent constamment de se mettre à niveau pour déjouer les tentatives des attaquants.

Comme le dit Clarke, « personne ne sait vraiment comment créer des systèmes de défense. La technologie aujourd’hui ne travaille pas aussi bien en matière de défense qu’en matière d’infraction. Historiquement, c’est un phénomène qualifié dans les sciences militaires comme étant la ‘priorité accordée à l’infraction’, où certaines circonstances sont créées pour que le délit commis soit toujours gagnant… Aujourd’hui et depuis un certain temps maintenant, nous sommes dans cette période de ‘préférence accordée à l’infraction’ dans le domaine de la cyber-sécurité, où cette dernière sort habituellement gagnante ».

Comme l’explique clairement le fascinant documentaire “Zero Days” sorti au début de l’année, nous vivons encore dans une période où “la technologie ne fonctionne pas aussi bien dans la défense que ce n’est le cas pour l’infraction”.

Affiche du documentaire Zero Days (Crédit : autorisation)

Affiche du documentaire Zero Days (Crédit : autorisation)

Le film captivant d’Alex Gibney comprend l’accusation dévastatrice selon laquelle Israël a perdu Stuxnet en l’utilisant de façon trop agressive, ce qui a fait que les Iraniens n’ont guère pu faire autrement que de réaliser qu’ils étaient attaqués.

Il entre aussi dans le détail de la réponse apportée par l’Iran à Stuxnet. Pour commencer, les Iraniens se sont saisis du code et ont étudié son mode de fonctionnement. Et, une fois leurs ordinateurs nettoyés du virus et guéris de ce qui était, relativement parlant, l’un des revers majeurs de l’attaque, ils ont frappé en retour. Et ils l’ont fait deux fois.

Dans le sillage de Stuxnet, raconte “Zero Days”, l’Iran a formé une “cyber-armée” capable de mener une véritable guerre informatique. Et en août 2012, les Iraniens ont ciblé l’entreprise saoudienne Aromco, la plus grande compagnie pétrolière du monde, lors d’une cyber-attaque massive qui a anéanti « toute pièce logicielle, toute ligne de code sur 30 000 ordinateurs ».

Un mois plus tard, ils ont visé une série de banques américaines en ligne lors d’une agression informatique sans précédent qui a touché des millions de consommateurs. Avec un message transmis en filigrane : « Vous essayez de nous entraîner dans une guerre informatique ? Nous sommes plus que capables de vous rendre la pareille, et bien pire”.

Le président iranien Mahmoud Ahmadinejad visite Natanz en 2008 (Crédit : capture d'écran Zero Days)

Le président iranien Mahmoud Ahmadinejad visite Natanz en 2008 (Crédit : capture d’écran Zero Days)

Citant des sources proches de la CIA et des Agences nationales de Sécurité, “Zero Days” estime que Stuxnet n’a été qu’une toute petite partie d’une mission anti-iranienne immensément plus vaste – une cyber-guerre totale, essentiellement créé pour stopper complètement l’Iran.

La mission, connue sous le nom de “Nitro Zeus,” a été initiée dans un contexte de crainte, de la part des Américains, qu’Israël puisse attaquer les sites nucléaires iraniens et que, si une telle chose devait arriver, les Etats Unis soient projetés dans ce conflit.

Au prix de centaines de millions, peut-être de milliards selon les sources, les cyber-guerriers du gouvernement américain ont développé des capacités permettant d’infiltrer les systèmes informatiques de l’Iran. Ils ont appris comment attaquer les systèmes de commandement et de contrôle iraniens, « de manière à ce que les Iraniens ne puissent plus communiquer entre eux lors d’un combat ».

Ils ont développé la capacité de prendre le contrôle des défenses aériennes iraniennes, “de façon à ce qu’ils ne puissent pas abattre nos avions si nous volions dans leur espace aérien”.

Une ‘source’ interprétée par une actrice parle dans Zero Days (Crédit : capture d'écran Zero Days)

Une ‘source’ interprétée par une actrice parle dans Zero Days (Crédit : capture d’écran Zero Days)

Et bien, bien au-delà de ça, les Etats Unis ont également développé la capacité de pénétrer dans les réseaux de contrôle informatique civils. « Nous nous sommes aussi intéressés à leurs systèmes de soutien civils, à leurs réseaux électrique, de transport, de communications, à leurs systèmes financiers », ont expliqué des sources proches de la CIA et de la NSA. « Nous étions à l’intérieur, nous observions, nous attendions, prêts à perturber, dégrader et détruire ces systèmes par des cyber-attaques ».

En comparaison, ont déclaré ces sources, “Stuxnet était une opération de petite délinquance. ‘Nitro Zeus’ a été une cyber-guerre totale, sans attribution… Un scénario de science-fiction de ce que peut être une cyber-guerre ».

Ce que les Etats Unis ont développé, pour faire court, c’est cette capacité à portée de tout arrêter en Iran.

Qu’est devenue cette capacité à la fois éblouissante et terrifiante ? Il n’y a aucune raison de penser que les Etats Unis l’auraient démantelée. Et, pendant ce temps, selon un expert de l’entreprise de cyber-sécurité Symantec qui a beaucoup oeuvré dans la compréhension de Stuxnet, d’autres nations, ce n’est pas une surprise, ont travaillé au développement de leurs propres capacités parallèles de cyber-guerre totale – avec leurs propres programmes permettant la neutralisation de l’ennemi à portée de main.

Eric Chien de Symantec (Crédit : capture d'écran Zero Days)

Eric Chien de Symantec (Crédit : capture d’écran Zero Days)

Depuis la réalisation du documentaire “Zero Days”, “nous avons vu des campagnes de la part de potentiels acteurs d’état différents et multiples faisant tous des choses très similaires – plaçant basiquement leurs implants, leurs codes malicieux, dans des endroits clés des infrastructures des différents pays”, a dit Eric Chien de Symantec dans une interview accordée au Daily Beast le mois dernier.

Ils « attendent le bon moment », a-t-il mis en garde. « Alors potentiellement, un événement politique majeur peut survenir et ces gens pourront littéralement appuyer sur l’interrupteur ».

Et que se passerait-t-il si on appuyait sur l’interrupteur ? Dans « Zero Days », des sources proches de la NSA et de la CIA disent à Gibney : « Lorsque vous arrêtez le réseau d’électricité d’un pays, cela ne repart pas simplement après. C’est plus une sorte de ‘Humpty Dumpty’. Et si les hommes ne parviennent pas à remettre la lumière ou à filtrer l’eau pendant des semaines, alors un grand nombre de gens vont mourir. Et quelque chose que nous pouvons faire aux autres, les autres peuvent nous le faire subir aussi ».

Si d’autres pays ont dorénavant réussi à s’approprier une capacité similaire à celle “Nitro Zeus” aux Etats Unis, si le monde libre et ses ennemis ont dorénavant développé la capacité d’interrompre la vie de pays entiers, alors nous pourrions bien avoir atteint l’équivalent cyber de la destruction mutuelle assurée.

Stuxnet avait été créé par ses inventeurs pour bouleverser les capacités nucléaires de l’Iran, en tant qu’initiative permettant de garantir que les Ayatollahs n’auraient jamais pu atteindre la bombe atomique. La course à la cyber-guerre que le virus a entraîné semble avoir compliqué singulièrement le challenge.

Ce n’est pas surprenant que les experts aient depuis lors tiré de lugubres conclusions sur Stuxnet. Et on peut seulement se demander si les progrès réalisés dans le secteur de la cyber-guerre qui ont suivi sa découverte n’ont pas rendu plus complexe l’impératif de mettre un terme aux avancées de l’Iran vers la bombe.