Le bâtiment du commandement de la cyberdéfense (Comcyber) à Rennes. ©Maxppp - Marc Ollivier
Le bâtiment du commandement de la cyberdéfense (Comcyber) à Rennes. ©Maxppp - Marc Ollivier
Le bâtiment du commandement de la cyberdéfense (Comcyber) à Rennes. ©Maxppp - Marc Ollivier
Publicité
Résumé

Depuis 2017, la France dispose d'un commandement militaire de la cyberdéfense, le Comcyber, avec des soldats formés au combat dans l'espace numérique.

En savoir plus

"La guerre cyber est lancée, nous devons nous défendre, nous devons répliquer. Nous devons affirmer haut et fort que l'arme cyber fait déjà partie des capacités de nos armées et que nous sommes prêts à l'utiliser", déclarait la ministre des Armées Florence Parly lors de ses vœux le 21 janvier 2019 (vidéo ci-dessous à partir de 32'00'').

Pour afficher ce contenu Youtube, vous devez accepter les cookies Publicité.

Ces cookies permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d'intérêt.

Avant ce discours, la France s'était déjà dotée d'une nouvelle entité en 2017 : le Comcyber, qui compte aujourd'hui 3 600 cyber-combattants. Une partie de ces soldats est située à Rennes, quartier Stéphant. C'est une base militaire fermée avec au centre un bâtiment neuf, entouré de barbelés. Un immeuble austère, beige et noir, de quatre étages, aux fenêtres grillagées à l’intérieur. C’est une cage de Faraday, qui isole des ondes électromagnétiques. Mais de l’intérieur, on ne verra qu’une salle de réunion, le reste est classé secret défense…

Publicité

Le lieutenant Quentin, cyber-combattant

Le lieutenant Quentin nous reçoit : "Un cyber-combattant est un militaire spécialisé dans l'espace numérique, au même titre que d'autres le sont dans l'espace terrestre, maritime, l'armée de l'air ou extra-atmosphérique. Mon domaine de spécialité est la lutte informatique défensive, la LID".

Le logo du Comcyber sur l'épaule du lieutenant Quentin, qui doit rester anonyme.
Le logo du Comcyber sur l'épaule du lieutenant Quentin, qui doit rester anonyme.
© Radio France - Maxime Tellier

J'interviens quand on détecte quelque chose de bizarre et d'étrange sur un réseau, si l'on soupçonne qu'un attaquant a pris pied dans un système d'information du ministère des Armées. Notre rôle est d'intervenir, de comprendre ce qui s'est passé, de récupérer les traces d'attaques et d'expulser l'attaquant de notre système d'information. On peut être amené à intervenir sur des avions, sur des bâtiments de la Marine nationale ou sur des bases françaises à l'étranger.

Et ici, l'ennemi est désigné par trois initiales : APT, pour "Advanced persistent threat", menace persistante avancée en français.

L'idée, c'est de dire qu'on est face à des attaquants qui ont des moyens, de la motivation et qui vont chercher à rentrer sur le système d'information. Tant qu'ils n'auront pas atteint leur objectif, ils vont réessayer. Cela peut être le fait de groupes cybercriminels de type financier qui vont chercher à pénétrer des systèmes d'informations bancaires, par exemple. Mais une part importante de ces groupes ont forcément un financement étatique.

Il s'agit d'Etats ennemis ou adversaires de la France qui cherchent à espionner, à voler des données ou à se prépositionner en vue d'un conflit futur. Pour les détecter, les techniques sont variées mais prennent beaucoup de temps et de moyens : coopération avec les pays alliés, agences de renseignement, analyses des réseaux. En 2021, le Comcyber a compté plus de 12 000 événements de sécurité, dont 14 incidents sont remontés au plus haut niveau jusqu'à l'Élysée.

Ça ne paraît pas forcément important mais il faut comprendre ce qu'on appelle "incident" : le niveau de compromission du système d'information potentiel, le niveau où l'attaquant a réussi à prendre pied, etc. Un incident prend du temps à être traité, avec un vrai travail de police scientifique derrière. L'analyse d'un fichier de plusieurs mégaoctets peut prendre plusieurs semaines, voire plusieurs mois de travail. On a une surface à défendre qui est immense mais l'attaquant a juste à trouver une vulnérabilité pour rentrer.

"Aujourd'hui, la guerre est aussi numérique, clairement", affirme le lieutenant Quentin. "C'est un espace de conflictualité important. On le voit avec le nombre d'événements de sécurité : il ne se passe pas une seule journée sans qu'on n'ait de nouvelles choses à regarder, à analyser". Parmi les attaques, une a été médiatisée en 2019, attribuée au groupe Turla, spécialisé dans le cyber espionnage et proche des services de renseignement russes. L'attaque visait la chaîne d'approvisionnement en carburant de la Marine nationale et le ministère des Armées affirme l'avoir déjoué.

"La France dispose d'armes cyber"

Face à la menace la France s'appuie aussi sur des capacités offensives : on l'appelle la LIO, la Lutte informatique offensive. Un sujet très sensible abordé par le général Didier Tisseyre, commandant du Comcyber, au siège du ministère des Armées à l'Hexagone de Balard à Paris.

Le général Didier Tisseyre, commandant du Comcyber.
Le général Didier Tisseyre, commandant du Comcyber.
© AFP - Eric Piermont

Une arme cyber est un mécanisme qui va permettre de rentrer dans le système de l'adversaire, et de pouvoir provoquer un effet. On peut récupérer des informations : si l'adversaire est en train de planifier une opération et qu'on récupère les plans de cette opération, cela peut bien évidemment nous aider. C'est ce qu'on appelle du renseignement d'intérêt militaire. Mais on peut aussi essayer, par exemple, d'intervenir sur des systèmes d'armes, qu'ils soient terre, air ou mer, et de les bloquer. [Nous restons secrets sur nos capacités] pour préserver l'efficacité de ces moyens. Quand on utilise un code informatique pour produire un effet, l'adversaire peut voir ce code et peut le comprendre. Il peut stopper l'attaque et réutiliser ce code. Cela peut se retourner contre vous et il peut l'utiliser contre d'autres personnes.

C'est l'une des caractéristiques des armes cyber : elles peuvent être proliférantes et avoir des effets collatéraux bien plus larges que la cible d'origine. En 2017, deux cyberattaques, Wannacry et NotPetya ont eu un impact mondial, bloquant l'informatique d'hôpitaux britanniques, de la police de Shanghaï ou de multinationales comme le français Saint-Gobain, avec des pertes globales estimées à plusieurs milliards d'euros. En matière cyber, il n'y a pas de ligne de front, ou alors elle est partout. Tout le monde est visé.

Il n'y a pas de paix dans le cyberespace. Aujourd'hui, on le voit bien, le nombre de cyberattaques explose : elles augmentent en quantité et en qualité. Au sein du ministère des Armées, on le voit à nos portes : des cyberattaques très élaborées nous visent, avec une intentionnalité. Et même si le ministère n'est pas visé, je me dois d'être paranoïaque pour pouvoir anticiper toutes les menaces. Tout ce qui se passe dans le monde peut, à un moment ou un autre, nous arriver. Il faut qu'on monte en gamme, qu'on se prépare à une confrontation avec d'autres Etats dans le cadre de conflits à haute intensité. Il faut être capable d'identifier les signaux faibles car souvent, dans le cyberespace, on observe un pré-positionnement : quand l'attaque se déclenche, c'est trop tard. On n'a jamais d'attaque qui, d'un seul coup, apparaît de rien, c'est toute une démarche, une intentionnalité et des petits pas qu'il faut être capable de déceler. C'est ce qu'on essaie de faire. Aujourd'hui, on passe énormément de temps à faire des levées de doute pour s'il n'y a pas des menaces plus pointues ou plus élaborées derrière ce qui semble être des petites attaques, quelqu'un qui se positionne pour pouvoir un jour agir.

Au niveau mondial, une militarisation du cyberespace

Et ces cyberattaques requièrent d'immenses moyens. Trois ans de développement par exemple pour Stuxnet, ce ver informatique développé par Israël et les Etats-Unis qui a attaqué les centrifugeuses d'uranium du programme nucléaire iranien en 2010. Dans un univers qu'on qualifie parfois de Far West, le cyber est l'un de ces territoires sans maître, comme l'espace ou les océans, où les Etats s'affrontent. Aucun ne s'entend d'ailleurs sur ce qu'est une arme cyber, explique Julien Nocetti, chercheur associé à l'Ifri, l'Institut français des relations internationales, l'un des meilleurs spécialistes du sujet.

Il n'y a pas de définition consensuelle d'une arme cyber et c'est bien là le problème. Depuis une bonne quinzaine d'années, Russes, Américains, Chinois et d'autres cyber puissances se réunissent de façon très régulière dans différentes enceintes diplomatiques pour discuter des grands enjeux de terminologie. Cette absence de consensus fait qu'aujourd'hui, on assiste à une militarisation du cyberespace, avec des doctrines et des logiques cyber offensives très présentes chez les Russes et Chinois, mais aussi du côté américain depuis 2017, avec un vrai tournant offensif initié sous Trump. En Europe aussi, avec la France ou la Grande-Bretagne, les doctrines mettent l'accent sur ce versant offensif.

Les Etats-Unis restent la cyber puissance par excellence. Ils ont créé internet et en maîtrisent les principales infrastructures, avec les acteurs privés les plus puissants et les plus diffusés à l'échelle planétaire, offrant des capacités de renseignement évidentes pour l'Etat fédéral américain. Les États-Unis détiennent aussi des capacités cyber militaires tout à fait notables, ce qui ne les a pas empêchés de négliger leur propre cyberdéfense, on a vu leur vulnérabilité dans différentes affaires, Solar Winds ou Colonial Pipeline en 2020 et 2021, révélant crûment certaines failles de la défense américaine.

Au delà du cas américain, il y a 2 pays qu'on a trop rapidement tendance à mettre dans un même panier cyber : la Chine et la Russie. La Chine se différencie surtout de la Russie par un tissu économique beaucoup plus en verve que celui de la Russie en matière numérique et cyber, avec un accent placé essentiellement sur le cyberespionnage, ce qui, évidemment, a été très bien appréhendé par les Etats-Unis depuis une bonne dizaine d'années. La Russie a avant tout montré son potentiel de nuisance via le cyberespace avec un couplage bien étroit entre la dimension cyber et informationnelle. Derrière ce trio de tête, on distingue certaines puissances cyber intermédiaires avec la France, le Royaume-Uni, Israël, l'Iran et la Corée du Nord, qui peuvent avoir des impacts bien réels dans le cyber.

Mais les cyberattaques ne visent pas que les infrastructures physiques. La Russie, notamment, est passé maître dans ce qu'on appelle les attaques hybrides, qui mêlent hacking classique et opérations d'influence. Les élections et le processus démocratique sont alors ciblés. C'est le sujet du prochain épisode.

Références

L'équipe

Maxime Tellier
Collaboration
Annie Brault
Réalisation