Cet article de notre collaborateur Olivier Tesquet a été publié sur Owni.fr.
****
«Le piratage du siècle». C'est en ces termes que Ralph Langner, un expert allemand de la sécurité informatique, a décrit le virus Stuxnet sur son site web. Il y a même adjoint la mention, «Hambourg, 13 septembre 2010»,
ainsi qu'une ligne de code acquise de haute lutte, comme pour
économiser une datation au carbone 14 aux archéologues qui
découvriraient son avertissement dans quelques dizaines d'années. Depuis
plusieurs jours, la presse mondiale s'ébroue dans la bile de ce ver
particulièrement complexe. Et pour cause: il saboterait le programme
nucléaire iranien en neutralisant ses systèmes de gestion SCADA
de l'entreprise Siemens, qui administrent notamment la centrale de
Bushehr, dans le sud-ouest du pays. Pourtant, à y regarder de plus loin
(mieux vaut se prémunir contre les explosions soudaines), il semblerait
que l'agitation autour de cette histoire séduisante ne relève que de
la fission induite: un dégagement de chaleur qui divise les expertises
en de tout petits nucléides légers comme l'air.
Dans le Christian Science Monitor, Langner est formel, «Stuxnet
est un cyber-missile à la précision militaire, déployé plus tôt dans
l'année pour trouver et détruire une cible physique d'importance
mondiale, une cible encore inconnue». S'il se garde bien de nommer tous les acteurs de ce wargame grandeur nature, d'autres s'en chargent pour lui. Sur Slate.fr, Jacques Benillouche affirme qu'«Israël a lancé une une attaque électronique contre l'Iran», avant d'ajouter que «les infrastructures du programme nucléaire iranien ont été systématiquement piratées depuis deux mois». Et dans le Guardian, un porte-parole de Symantec, le géant des antivirus, soutient que «le
groupe qui a conçu Stuxnet aurait été très correctement financé,
composé de 5 à 10 personnes travaillant sur la conception du virus
pendant 6 mois».
Problème: tous les termes de cette équation sont inconnus, jusqu'au plus élémentaire. Comme le fait remarquer Daniel Ventre, ingénieur d'études au CNRS et spécialiste français de la cyberguerre*,«Stuxnet
est sur le Net depuis plus d'un an. Il a pu être reprogrammé pour
s'attaquer aux systèmes SCADA, mais la semaine prochaine, nous
découvrirons peut-être qu'il visait une autre cible. Par ailleurs, il
n'y a aucune preuve tangible qu'il s'attaque délibérément à l'Iran».
Jusqu'à maintenant, selon des chiffres du mois d'août fournis par
Microsoft, le virus aurait affecté plus de 45.000 ordinateurs dans le
monde, du Pakistan à l'Inde, de l'Indonésie à l'Iran, en passant par le
Brésil et les États-Unis. Pour justifier leur propos, les experts
affirment que 60% des machines infectées se trouvent au c'ur de la
République islamique. A cela rien d'étonnant. Depuis les années 70, non
sans quelques errements diplomatiques, Siemens (et avant elle, sa
filiale Kraftwerk Union) a signé des contrats avec l'Iran, ce qui rend
les systèmes d'administration de son parc informatique particulièrement
perméables au ver.
La main d'un État' Pas forcément
Aux yeux de bon nombre d'experts, Stuxnet ne peut avoir été conçu
que par un État, ou sous le haut patronage d'un gouvernement qui aurait
délégué auprès de petites mains. Pourquoi' Parce que son objectif à la
précision millimétrée ne viserait pas à voler des données, ni à
extorquer ses victimes. Ce serait oublier à quel point la culture du
hacking érige la performance au rang de finalité. L'attaque pourrait
tout aussi bien avoir été menée par un commando d'Anonymous particulièrement politisés. L'hypothèse est fantaisiste' Pas plus qu'une autre. «Il
ne faut pas oublier que les attaques de déni de service par botnet,
que nous avons pu observer à de nombreuses reprises ces dernières
années, ne cherchent qu'à perturber les fonctionnements d'un système», estime Daniel Ventre. C'est aussi l'avis de Bruce Schneier, éminent cryptologue américain, qui rappelle que «les
programmes informatiques les plus complexes, l'immense majorité
d'entre eux, ont été codés par des organisations non-gouvernementales».
Déjà, on commence à parler de «troisième âge du cybercrime»,
sans qu'on sache vraiment à quelles phases correspondaient les deux
premiers. Alors que Stuxnet est à deux doigts d'entrer dans l'Histoire
comme «le premier virus informatique conçu par un État à des fins politiques»
? ce qui permettrait de verbaliser confortablement une cyberguerre «ouverte» ?il n'est pas inutile de convoquer quelques précédents. A
l'emballement, Daniel Ventre répond par la mise en garde:
«Quand l'aspect futuriste de la guerre informatique
se double d'une dimension diplomatique, c'est attirant, bien sûr. Mais
ce n'est pas parce qu'une attaque touche aux intérêts d'un État qu'elle
a été lancée par un autre État. En 2007, on écrivait les mêmes choses
qu'aujourd'hui à propos des incidents estoniens, et à l'été 2008, c'était autour des affrontements entre la Russie et la Géorgie.»
«Don't believe the hype»
A défaut de circonscrire le virus ou de l'analyser par strates comme
le ferait un géologue avec ses sédiments, si on désossait la hype'
Quand les ballons-sondes n'offrent aucun résultat, il est peut-être
temps de dégonfler la baudruche. Au royaume de la supputation, les
observateurs pointent la responsabilité d'un acteur étatique. Bien.
Mais dans le même temps, ils reconnaissent qu'il est presque impossible
d'identifier le commanditaire de l'attaque, encore plus les dividendes
qu'il pourrait récolter. Drôle de syllogisme. Pour Daniel Ventre, «ce phénomène relève plus de l'inculture que de la paranoïa», que le jeu d'accusation et de démenti permanent avec l'Iran alimente. Sans surprise, le régime des mollahs s'est empressé d'accuser Washington, tout en laissant planer le doute sur son degré d'infection.
Evgeny Morozov, le blogueur technologique et ombrageux de Foreign Policy, estime de son côté que:
«Chacun voit ce qu'il veut dans Stuxnet. C'est le
problème avec les débats autour de la cyberguerre: ils sont si
difficiles à cerner qu'ils ouvrent la porte à une infinité
d'interprétations. A ce stade, n'importe qui peut invoquer la
responsabilité de n'importe quoi, qu'elle relève d'un gouvernement, des
aliens ou des Roms»
Reste la question du timing. Alors que se tient à Vienne une
Conférence Générale de l'Agence Internationale de l'Energie Atomique
(AIEA), quelques informateurs fiables, comme le site Arms Control Wonk,
relèvent les tensions entre l'Iran, les pays non-alignés, les
Etats-Unis et Israël, tout en soulignant la volonté américaine d'un
consensus. L'administration Obama souhaite en effet organiser une
conférence sur le désarmement nucléaire au Moyen-Orient dans le courant
de l'année 2012. Alors, dans ce schéma brouillé, à qui profite le
crime' Aux Etats-Unis' A Israël' A l'Iran' Dans l'immédiat, Stuxnet
sert surtout les intérêts de Symantec, comme l'explique en creux Le Monde.
Mais pas seulement. Il est un formidable levier pour tous les experts
en cybersécurité de la planète, et notamment ceux qui cherchent à
monnayer leurs services auprès du Pentagone.
Avant de fantasmer sur la fin du monde 2.0 ou le grand retour en ligne des cellules stay-behind
de la Guerre Froide, pourquoi ne pas s'asseoir devant nos moniteurs et
attendre quelques mois' Il ne sert à rien de guetter les codes binaires
façon Matrix. Devant le rythme accélérateur du web, la cyberguerre
impose une contrainte: prendre son temps.
Olivier Tesquet (article publié le 29 septembre 2010 sur Owni.fr)
* Auteur de Cyberguerre et guerre de l'information. Stratégie, règles, enjeux (Hermès-Lavoisier, septembre 2010)
