Barack Obama, commandant en chef de la cyberguerrehttp://www.courrierinternational.com/ar ... yberguerreLe New York Times révèle que de nouvelles règles secrètes permettent désormais au président américain de disposer de tous les pouvoirs pour prévenir ou riposter à une cyberattaque de grande ampleur.
Un rapport secret sur l'utilisation du cyberarsenal américain, de plus en plus fourni, donne à Barack Obama de larges pouvoirs pour lancer des offensives préventives dès lors que les Etats-Unis disposent de preuves solides annonçant une importante attaque informatique venue de l'étranger, selon des responsables ayant participé à l'élaboration du document.
Cette décision s'inscrit dans le droit fil de plusieurs autres mesures prises ces derniers mois. Le gouvernement Obama devrait également approuver dans les prochaines semaines la première réglementation américaine encadrant l'action de l'armée face à une cyberattaque de grande ampleur. De nouvelles règles viendront aussi définir le cadre dans lequel les agences de renseignement pourront pénétrer des réseaux informatiques à distance pour y repérer des signes d'attaque potentielle contre les Etats-Unis et, si le président donne son accord, s'en prendre à leurs adversaires en leur envoyant un programme malveillant - le tout sans qu'il soit nécessaire de déclarer formellement la guerre.
Toutes ces règles seront classées ultrasecrètes, tout comme celles encadrant les frappes de drone. John O. Brennan, ancien conseiller principal de la Maison-Blanche en matière de lutte antiterroriste et récemment nommé par Obama au poste de directeur de la CIA [cette nomination doit encore être confirmée par le Sénat] a joué un rôle central dans l'élaboration de la stratégie du gouvernement, tant en matière de drones que de cyberguerre. Ce sont, de fait, les deux dernières armes en date dont se sont dotés les Etats-Unis, mais aussi les plus délicates à manier politiquement.
La course au cyberarsenal est la grande course aux armements du moment, et sans doute la plus complexe aussi. Le Pentagone s'est doté d'un tout nouveau "Cyber commandement", et les opérations de guerre informatique sont l'un des rares postes du budget militaire qui devraient voir leur dotation augmenter. Selon certains responsables, cette nouvelle cyberpolitique s'inspire des évolutions qu'a connues l'antiterrorisme au cours des dix dernières années, notamment pour ce qui touche à la répartition des pouvoirs entre l'armée et les agences de renseignement dans le déploiement du cyberarsenal.
Piratages en provenance de Chine
Barack Obama n'aurait donné son feu vert au recours à des cyberarmes qu'une seule fois, au tout début de sa présidence, en ordonnant une série de cyberattaques contre les installations d'enrichissement nucléaire en Iran. Une offensive qui avait montré qu'il était possible de détruire les infrastructures d'un pays, sans bombardement ni envoi sur place de saboteurs.
Selon un haut responsable américain, les autorités ont rapidement compris la puissance du cyberarsenal et en ont conclu qu'à l'instar de l'arme nucléaire, son usage ne pouvait être enclenché que sur les ordres directs du commandant en chef de l'armée.
"Pour les cyberopérations, ce n'est que dans de rares cas, de très rares cas, que la décision pourra être prise à un échelon hiérarchique inférieur à celui du président", insiste ce haut responsable. En d'autres termes, le gouvernement a écarté toute possibilité de recours à des représailles "automatiques" en cas de cyberattaque contre des infrastructures américaines, quand bien même le virus se propagerait à la vitesse de l'éclair.
Si les autorités planchent sur ce règlement depuis plus de deux ans, il sort pile au moment où s'intensifient les piratages informatiques contre des entreprises et des infrastructures essentielles aux Etats-Unis. Le ministère de la Sécurité intérieure a ainsi reconnu récemment, sans la nommer, qu'une centrale électrique était paralysée depuis des semaines par des intrusions informatiques. La semaine dernière, le New York Times révélait être la cible depuis plus de quatre mois de piratages en provenance de Chine. Le Wall Street Journal et le Washington Post disent avoir subi des offensives semblables contre leurs systèmes informatiques.
"Tout cela se fait en termes choisis : qu'allons-nous faire face aux cyberattaques ? Mais la question sous-jacente est claire : ‘Qu'allons-nous faire face à la Chine ?'", explicite Richard Falkenrath, chercheur au Council on Foreign Relations, un think tank de Washington spécialisé dans les questions de politique étrangère.
"Un cyber 11-Septembre"
Le droit international autorise tous les Etats à se défendre en cas de menace et les Etats-Unis ont déjà su faire usage de ce principe en menant des attaques préventives. Mais le concept de guerre préventive a toujours été un concept juridique controversé. Et dans le contexte de la cyberguerre, c'est plus épineux encore, puisqu'un pays frappé par une attaque informatique préventive pourra facilement clamer son innocence et ôter toute légitimité à cette offensive. "Il serait alors très compliqué de prouver que vous venez de détruire un programme informatique dévastateur", reconnaît un haut responsable.
Les tenants et les aboutissants de la prévention en matière de guerre informatique ont été examinés en profondeur lors de l'élaboration de la nouvelle réglementation américaine. Le rapport du gouvernement s'est ainsi penché de très près sur la définition d'une "force raisonnable et proportionnée" déployée pour mettre fin à une cyberattaque ou lancer des représailles, précise un proche du dossier.
En vertu de ce nouveau cadre réglementaire, le Pentagone ne participera pas à la défense des entreprises ou des individus qui seraient la cible de piratages informatiques ordinaires, même si c'est bien le ministère de la Défense qui possède le cyberarsenal le mieux fourni.
Mais l'armée, qui ne peut agir sur le territoire des Etats-Unis sans en avoir reçu l'ordre du président, sera mobilisée en cas de cyberattaque de grande ampleur commise sur les réseaux américains. Afin de ne pas dévoiler leur jeu à l'adversaire, les autorités ne précisent pas à partir de quel seuil une attaque sera considérée comme étant de grande ampleur. Pour l'heure, le ministre de la Défense Leon Panetta n'a défini la ligne rouge que par l'expression la plus vague qui soit : "un cyber 11-Septembre."
Spam d’Etathttp://www.presseurop.eu/fr/content/art ... pam-d-etatIl passe pour l’Allemand le plus méchant du Web : Martin Münch fournit des logiciels de surveillance à la police et aux services secrets. Des programmes dont se servent également des dictateurs pour "fliquer" leurs citoyens.
Dans le film Mulan de Disney, tout est tellement simple. L’héroïne se bat contre les Huns dans l’armée chinoise, aux côtés de mâles tapageurs. Le film dépeint les adversaires de Mulan comme des créatures de l’ombre, sans visage. Le bien contre le mal – un classique.
Martin Münch vit dans un film de Disney. Il sait qui sont les méchants. Et il sait qu’il fait partie des gentils. Il n’y a qu’un problème : les autres ne le savent pas.
Le virus affecte la mémoire numérique
Pour eux, Martin Münch se situe du mauvais côté du Printemps arabe, du côté des oppresseurs. Les défenseurs des droits de l’homme l’accusent de fournir, de manière intentionnelle ou bien irréfléchie, des logiciels de surveillance à des dictatures.
Martin Münch, 31 ans, met au point des logiciels-espions pour les ordinateurs et les téléphones portables. Ces programmes infectent la mémoire numérique et fouillent dans la cyber-intimité des victimes. Grâce à eux, la police et les services secrets peuvent savoir de quels symptômes souffre par exemple l’individu “fliqué” en surveillant ses recherches sur Google. Le cheval de Troie qui permet tout cela se nomme Finfisher. C’est parce qu’ils sont dissimulés dans des fichiers d’allure inoffensive que ces programmes sont appelés “chevaux de Troie”.
Martin Münch est fier de son produit. Pour la première fois, il l’a montré à des journalistes allemands. Les portes vitrées de son bureau munichois sont ornées du nom de sa société : Gamma Group.
Martin Münch s’y rend pour décrire ses “joujoux” technologiques. Peut-être parce qu’il est autodidacte. Il n’a aucune formation spécialisée et n’a pas étudié l’informatique – il a simplement fait un an et demi de piano-jazz et de guitare.
Pour les enquêteurs, Martin Münch ressemble un peu à Mushu, le petit dragon décontracté qui seconde Mulan au combat. Martin Münch a une société par l’intermédiaire de laquelle il possède 15% des parts de Gamma International GmbH. Il a baptisé sa société Mushun, du nom du dragon du film. Il a simplement rajouté un “n” à la fin, confie-t-il avec un rire gêné. Il est aussi le directeur général de Gamma.
Le produit-vedette de Gamma appartient à la gamme Finfisher et se nomme Finspy. Martin Münch se penche sur son ordinateur portable Apple et nous montre ce que sait faire son programme. Pour commencer, l’utilisateur choisit le système d’exploitation qu’il souhaite attaquer : s’agit-il d’un iPhone d’Apple, d’un smartphone équipé du système d’exploitation de Google, Android, d’un PC ? Tourne-t-il sous Windows, sous le système d’exploitation gratuit Linux ?
Des attaques dignes des films d'action
L’enquêteur peut entrer le nombre de serveurs par lesquels le cheval de Troie transitera pour que même des victimes versées dans l’informatique soient incapables de savoir qui les surveille.
Ensuite, l’enquêteur peut sélectionner la virulence du cheval de Troie, c’est-à-dire ce qu’il peut faire : se servir d’un micro comme mouchard. Consulter les données enregistrées et les sauvegarder avant qu’elles ne soient effacées ou modifiées. Lire ce que l’utilisateur est en train d’écrire. Enregistrer des conversations sur Skype. Allumer la webcam de l’ordinateur pour voir où est situé le matériel. Se servir de la fonction de localisation par GPS d’un smartphone comme d’un émetteur. Même si la plupart des fonctions de Finspy sont illégales en Allemagne.
Et Finspy n’est pas donné. De 150 000 euros environ, le prix peut grimper jusqu’à une somme à sept chiffres, confie Martin Münch. Car Gamma conçoit pour chacun de ses clients une version personnalisée du cheval de Troie, qui doit être conforme à la législation du pays en question. “L’objectif, ce sont les contrevenants isolés”. Martin Münch ne parle pas de “contrevenants présumés”, il emploie les termes “délinquants” et “contrevenants” comme s’ils étaient synonymes de “suspects” et de “personnes surveillées”.
Le Barheïn utilise son logiciel
Alaa Shehabi est l’une de ces personnes surveillées. Son tort : avoir critiqué le gouvernement de son pays. La jeune femme est née au Bahreïn, un Etat insulaire du golfe Persique. Une monarchie – et un Etat policier. Le Sunnite Hamad Ben Issa al-Khalifa règne sur une population majoritairement chiite. Lorsque le Printemps arabe a déferlé sur le pays voilà deux ans et qu’Alaa Shehabi s’est jointe à des milliers d’autres personnes pour réclamer des réformes, le roi a demandé à l’armée saoudienne de lui venir en aide. Des photos et des vidéos postées sur Internet montrent des yeux brûlés par les gaz lacrymogènes et des membres lacérés par des volées de plomb.
Les organisateurs du prix de Formule 1 n’y ont vu aucun problème et ont lancé leurs invitations pour le Grand prix de Manama. L’opposition a essayé de raconter la vérité à quelques journalistes qui avaient fait le déplacement. Même Alaa Shehabi, qui dissimule ses cheveux noirs sous un voile, a rencontré des journalistes. Elle a parlé des violences policières, des blessés et des morts. Elle a brisé un tabou.
Alaa Shehabi se montrait prudente, regardait si elle était observée, a éteint son téléphone pendant l’interview. Pourtant, la police lui a rendu visite peu de temps après. Les policiers ne l’ont pas arrêtée, mais elle a reçu un premier e-mail intitulé “torture report on Nabeel Rajab”. Avec, en pièce jointe, des photos censées représenter les sévices subis par Nabeel Rajab. Nabeel est un ami d’Alaa, un opposant comme elle. Alaa a essayé d’ouvrir le fichier. En vain. Tant mieux pour elle, car la pièce jointe en question dissimulait un cheval de Troie de la société Gamma. L’Etat policier du Bahreïn avait Alaa dans le collimateur et s’est servi du logiciel de Martin Münch.
Une activité placée sous le sceau du secret
Des logiciels-espions pour un Etat policier ? Face à cette accusation, Gamma a une réaction étrange. Martin Münch envoie un communiqué de presse expliquant qu’une version d’évaluation destinée à ses clients a été subtilisée. Pas un mot sur le Bahreïn. Martin Münch ne révèle pas l’identité des clients de Gamma. Il ne dit pas non plus qui n’est pas client. Toute son activité est placée sous le sceau du secret. La société doit donc s’accommoder de la plainte officielle déposée auprès du ministère de l’Economie allemand par des membres de Reporters sans frontières et des défenseurs des droits de l’homme, qui exigent un durcissement des contrôles sur les destinataires des produits Gamma en se référant aux recommandations – certes facultatives – de l’Organisation de coopération et de développement économique (OCDE).
A la moindre occasion, Martin Münch rappelle que sa société respecte les lois allemandes en vigueur en matière d’exportations. Même si les produits Finfisher sont expédiés depuis l’Angleterre.
La Grande-Bretagne et l’Allemagne sont soumises au même règlement de l’Union européenne sur l’exportation de technologies de surveillance. Selon les termes de ce texte, les technologies de surveillance ne sont pas des armes, mais des matériels qui peuvent être utilisés à des fins civiles ou militaires. Dans le jargon, on parle de dual use [double usage]. Les conditions régissant leur exportation sont donc nettement moins sévères que pour des ventes de blindés. En fin de compte, c’est comme si Gamma recevait de ses clients un certificat stipulant que le logiciel Finfisher a bien été installé chez le bon destinataire, que l’Etat apposait lui-même son tampon dessus et que Gamma archivait ensuite le document.
Depuis le Printemps arabe, Gamma n’est pas en odeur de sainteté. Dans les bureaux d’une administration, les opposants égyptiens ont découvert une offre de la société adressée au gouvernement qu’ils venaient de renverser : un devis pour des logiciels, du matériel et des séances de formation, pour un total de 287 137 euros. La livraison n’a jamais eu lieu, assure Martin Münch.
Vers plus de transparence ?
L’homme semble sincèrement scandalisé par l’attitude de ses détracteurs : “On nous fait toujours endosser le mauvais rôle. Ce n’est pas agréable”. D’autant que ce n’est pas mérité, selon lui : “Beaucoup de gens disent : ‘cela ne me plaît pas, c’est une ingérence dans la vie privée’. Mais le fait que cela ne leur plaise pas ne veut pas dire que nous fassions quoi que ce soit d’illégal”.
Pour autant, Martin Münch promet aujourd’hui un changement, davantage de transparence, des actes concrets. Un représentant des droits de l’homme devrait siéger d’ici peu au conseil d’administration de Gamma. Un titre qui pourrait revenir à Martin Münch lui-même. Après un entretien de plusieurs heures, on a le sentiment que la boussole morale de Martin Münch a perdu le nord.
Il fait tout de même rédiger un code de conduite qui excluera l’exportation vers des pays qui bafouent les droits de l’homme. Gamma serait en contact avec deux organisations de défense des droits de l’homme – dont il tait les noms. Dans les cas litigieux, ils auraient le statut de consultants. Car lui-même n’ose pas tracer de ligne claire : après tout, les Etats-Unis ont fait usage de la torture à Guantanamo – sont-ils pour autant un Etat de non-droit ?
Le scandale, affirme Martin Münch, l’a littéralement stupéfait : “Les logiciels ne torturent personne”. Il ne parvient pas à comprendre le tollé. “Je trouve cela bien que la police puisse faire son travail”. Traquer les méchants. Au Bahreïn, ce sont les opposants politiques.