Si vous éteignez notre réseau électrique, nous nous réservons le droit d’envoyer un missile sur l’une de vos cheminées.

Dix ans après Code is Law (“le code fait loi”, traduit ici par Framasoft) de Lawrence Lessig, formulons une nouvelle hypothèse: et si le code faisait la guerre? En 2000, sur le campus d’Harvard, l’éminent professeur de droit planche sur un article universitaire qui fera date chez les penseurs d’Internet. En définissant le code informatique comme nouvelle architecture de nos sociétés démocratiques, il interpelle tout un chacun sur la nature éminemment modifiable de cette norme.

Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace. Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. Il détermine si l’accès à l’information est global ou sectorisé. Il a un impact sur qui peut voir quoi, ou sur ce qui est surveillé. Lorsqu’on commence à comprendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cyberespace régule.

Pris au dépourvu par les attaques DDoS des Anonymous, traumatisés par le mystérieux virus Stuxnet, exposés à un risque toujours plus important d’espionnage industriel, les pays du G8 – les premiers concernés – sont à la recherche d’un cadre légal (un code) aujourd’hui inexistant. A tel point que Lord Jopling, le rapporteur général de l’OTAN, a commencé à rédiger un rapport sur cette nouvelle guerre de l’information, qui brasse WikiLeaks, hacktivisme et coopération internationale. Soumis à la lecture, ce document pourrait être approuvé avant la fin de l’année.

"La plupart des lois ont été conçues dans et pour un monde d'atomes, pas de bits". N. Negroponte, informaticien au MIT

Nouvelle doctrine

Ce coup de grisou en accompagne bien d’autres. En moins d’un mois, plusieurs puissances mondiales sont sorties du bois. La Chine a reconnu l’existence d’une cellule de guerre électronique, tandis que le Royaume-Uni a annoncé son intention de se doter d’un arsenal offensif pour défendre ses infrastructures critiques. C’est un secret de Polichinelle, certains gouvernements se sont déjà livrés à des attaques qui n’étaient pas des ripostes pour sauvegarder leurs intérêts. En septembre 2007, lors de l’opération Orchard, Israël n’a pas hésité à court-circuiter les défenses aériennes syriennes pour mener un raid contre la centrale nucléaire d’Al-Kibar.

Dans le monde militaire “ouvert”, la cyberguerre n’était jusqu’à présent qu’un levier à crédits actionné par les acteurs du complexe militaro-industriel américain. Des poids lourds comme Raytheon, Northtrop Grumman ou Lockheed Martin, directement affectés par l’arrêt programmé de la production de certains appareils comme le chasseur F-22, ont tous développé une gamme de conseil technologique, jusqu’à en tapisser les couloirs du métro de Washington D.C.

Désormais, non seulement d’autres pays placent leurs pions sur l’échiquier, mais c’est un véritable changement de doctrine qui se dessine à l’horizon. Dans une tribune pour le Guardian, Lord John Reid, ancien secrétaire à la Défense de Tony Blair, appelle de ses voeux une véritable révolution, en insistant sur le fait que les structures d’aujourd’hui ne sont pas suffisamment résilientes pour absorber les chocs du réseau:

Il y a toujours un certain degré de continuité dans le changement, même radical. Mais la nature du cyberespace signifie que nos vieilles doctrines de défense ne marcheront pas. Tant que nous n’aurons pas reconnu ça, nous risquons de succomber à une dangereuse cyber-complaisance.

Sur qui tire-t-on?

De la bulle économique, la “cyberguerre” est en train de glisser vers la gouvernance, un ajustement politique qui n’est pas sans risque. Derek E. Bambauer, de la Brooklyn Law School, s’est récemment penché sur les défis posés aux Etats par la cybersécurité, qu’il considère comme une “énigme” (conundrum en anglais). A ses yeux, les recommandations de l’administration Obama – fondées sur l’identification de l’agresseur pourraient “mettre en péril l’architecture générative d’Internet mais aussi des engagements clés par rapport à la liberté d’expression”.

Bambauer touche ici un point critique: les attaques informatiques ne disent presque jamais leur nom. Leurs commanditaires choisissent cette méthode précisément parce qu’elle offre le triple confort de la rapidité, de la volatilité et de l’anonymat. Dès lors, selon la rhétorique américaine, à qui déclarer la guerre? Au botnet russe par lequel a transité le virus? Au serveur chinois identifié par le Cyber Command?

Le G8 s’intéresse depuis de nombreuses années à ces questions. Elles ont longtemps été traitées – de façon très confidentielle – au sein du Groupe de Lyon (après le G8 de Lyon de 1996) consacré aux échanges informels sur la grande criminalité organisée. À l’intérieur du Groupe de Lyon, un Sous-groupe lié aux risques technologiques s’était créé en réunissant notamment le SGDSN (France), le GCHQ (UK) la NSA (US) où en réalité les uns et les autres discutaient beaucoup de façon informelle des armes de la cyberguerre et de leurs “partenariats” avec les industriels et les réseaux de logiciels libres afin d’harmoniser ces moyens, pour qu’un jour ils répondent aux impératifs normatifs de l’OTAN.

Le Pentagone prépare depuis près de 8 ans ces évolutions. En 2002, le US Space Command a été intégré au US Strategic Command car, précisément, le Space Command, en raison de son importance sur la gestion de la guerre de l’information avait vocation à devenir un centre de décision stratégique.

En France, lors du piratage de Bercy – qui constitue difficilement un casus belli - le patron de l’Agence nationale de sécurité des systèmes d’information (ANSSI), Patrick Pailloux a lourdement insisté sur la difficulté de l’attribution des attaques. Dès lors, on imagine mal un Etat s’affranchir des conventions de Genève pour riposter de manière conventionnelle et aveugle à un hacker dont il ignore tout. Dans la dialectique de Lessig, le code est une loi, il ne s’en affranchit pas.

Sans ouvrir les vannes d’un nouveau scandale dans les couloirs du Pentagone et ceux de la Maison-Blanche, les trois pages publiées par WikiLeaks ne sont pas totalement dénuées d’intérêt. Alors que Barack Obama a décidé d’abandonner la terminologie bushiste “guerre contre la terreur” depuis plus d’un an au profit d’un “opérations internationales contingentées” de facture technocrate, ce mémo vient poser un nouveau regard, interne, sur la doctrine américaine en matière de terrorisme.

Pakistan d’Amérique

Ce court document a été rédigé par la Red Cell, une émanation de la CIA créée sur les décombres du 11-Septembre. A l’instar du Government Accountability Office (la Cour des Comptes américaine), son avis est purement consultatif, ce qui en fait une sorte de think tank interne, chargé de fournir des recommandations aux cadres de l’agence, comme a pu le faire la RAND Corporation en son temps.

Et dans ce résumé NOFORN (Not Releasable to Foreign Nationals: non destiné aux gouvernements étrangers), les experts du renseignement américain insistent sur une dégradation des relations diplomatiques dans l’hypothèse où les États-Unis seraient considérés comme l’un des principaux pourvoyeurs de la planète en matière de bombes humaines et autres candidats au martyr. Pour accréditer cette thèse, la cellule de la CIA cite plusieurs exemples, des militants de l’IRA délocalisés sur le sol américain à David Headley, le Pakistano-Américain qui a joué le facilitateur dans les attentats de Bombay en novembre 2008. “Si les États-Unis étaient considérés comme un ‘exportateur du terrorisme’, les gouvernements étrangers pourraient s’entendre entre eux sur un des accords multilatéraux qui impacteraient la souveraineté américaine”, peut-on lire.

De la rupture des accords d’extradition aux assassinats ciblés en passant par les exfiltrations sur le sol américain, le scénario élaboré par la Red Cell trace les contours d’un pays ostracisé, comme si les États-Unis devenaient soudainement le Pakistan d’Amérique. Invariablement dans le rapport, l’expression “exporter la terreur” ne se départit jamais des ses guillemets. Pourquoi? Parce que cette notion (cette doctrine?) vieille de plus de 25 ans a été élaborée par… l’administration de Ronald Reagan, et perpétuée par ses successeurs. Jusqu’à la fin de son mandat, George W. Bush dénonçait l’Irak comme un “foyer exportateur du terrorisme”.

Directive de 1984

La National Security Archive, une institution indépendante de l’Université George Washington qui passe au crible des documents déclassifiés dans le cadre du Freedom of Information Act, nous rappelle les fondements de cette politique:

“Le 3 avril 1984, le président Reagan a signé [la directive] NSDD 138, Combattre le terrorisme, qui allait bien plus loin que la simple allocation de responsabilités aux différentes agences. La directive en elle-même n’a jamais été publiée, mais un extrait préparé par les archives de la sécurité nationale en divulgue certains éléments – mener des missions de renseignement contre les groupes ou les pays impliqués dans le terrorisme, ou étendre les sanctions à l’encontre des organisations et États qui supportent ou exportent le terrorisme.”

Mais celui qui en parle le mieux, c’est encore Ronald Reagan lui-même (ou ses conseillers diplomatiques de l’époque):

“Ces dernières années, une nouvelle forme de terrorisme particulièrement inquiétante s’est développée: l’emploi de la terreur par des pays étrangers [...] Sont également perturbants l’entraînement, le financement et le soutien logistique à des groupes terroristes. Ces activités sont extrêmement sérieuses et représentent une source exponentielle de danger pour nous, nos amis et nos alliés, en même temps qu’un défi pour la politique étrangère de l’Amérique.”

Ce défi est toujours d’actualité pour Barack Obama, à ce détail près: la peur a changé de camp.

Illustration CC FlickR par Hazel Motes, sarihuella