Par la rédaction le 22/11/2012
Sans surprise, les Etats-Unis démentent être impliqués dans le piratage de l’Elysée qui aurait permis de dérober notes et plans stratégiques. Cela n’a pas empêché le président Obama de signer une directive secrète sur les cyberattaques voici un mois. Cette affaire pose une nouvelle fois le problème de la communication entre professionnels de la sécurité et journalistes spécialisés.
« Ne cherchez plus. C’est nous ! ». Imagine-t-on une seule seconde que les Américains aient pu s’exprimer ainsi et reconnaître être derrière l’attaque qui a visé l’Elysée au printemps dernier ? Dans un précédent article, nous évoquions le monde de bisounours dans lequel certains pouvaient se complaire : assurément les Américains ne se comportent pas comme tels. « Nous réfutons catégoriquement les allégations de sources non identifiées parues dans un article de L’Express selon lesquelles le gouvernement des Etats-Unis aurait participé à une cyberattaque contre le gouvernement français. Ce reportage ne repose pas sur des faits avérés, et l’accusation de L’Express ne dépend que de conclusions d’experts anonymes, fondées sur un faisceau de présomptions », affirme l’ambassade des Etats-Unis dans un communiqué publié hier.
Protection des sources
Au-delà d’une analyse sémantique qui permettrait de dire que ce démenti n’en est pas totalement un, attardons-nous sur quelques éléments. En premier lieu, le communiqué de l’ambassade parle d’allégations de sources non identifiées. La protection des sources est une des règles premières du métier de journaliste. Sur un sujet aussi sensible, on voit mal nos confrères affirmer tenir l’information de Pierre, Paul ou Jacques, particulièrement lorsque l’on sait que cette attaque est loin d’être fictive et a été classée secret-défense voire au-delà, ces deux éléments – mais ce sont les seuls – ayant été indiqués par le patron de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Notons d’ailleurs que, par extension, les différentes propositions de loi notamment celle de Bernard Carayon visant à pénaliser les atteintes au Confidentiel Entreprises pourraient avoir de sérieuses conséquences pour l’exercice de notre profession.
En second lieu, le communiqué parle d’attaque menée par le gouvernement américain contre le gouvernement français. Ce n’est pas de cela dont nous parlons. L’Elysée n’est pas le gouvernement mais la Présidence. Quant aux Etats-Unis, les différentes opérations de ce type sont conduites par différentes organisations voire officines, toutes ne pouvant pas être qualifiées de gouvernementales.
Troisième point : le communiqué stipule que le reportage ne repose pas sur des faits avérés. Tiens donc. Nous aimerions bien savoir quels sont les faits avérés et lesquels ne le sont pas. L’ambassade américaine nous cacherait des choses ? Quant aux conclusions d’experts anonymes, fondées sur un faisceau de présomptions, c’est de même nature. Nos confrères ne vont certainement pas citer des sources qu’ils ont eu certainement du mal à faire parler et, devant le mutisme général, nous en sommes amenés à effectuer des conjectures avec les maigres éléments dont nous disposons sur cette affaire en particulier, que l’on compare à d’autres attaques au sujet desquelles nous sommes mieux informés.
Absence de cloisonnement
Au-delà des arguties sémantiques, allons maintenant au fond des choses. Dans un papier paru ce matin dans Le Figaro, Jean-Marc Leclerc cite un proche conseiller de Nicolas Sarkozy : "Le système informatique de l’Elysée est une cotte mal taillée. Au lieu d’avoir comme à la Maison Blanche deux postes informatiques par collaborateur, l’un ouvert uniquement sur l’extérieur, l’autre interne et protégé. Les conseillers du Président en France disposent d’un seul et même poste tellement sécurisé qu’un ne peut accéder à bien des sites et fonctions usuels. Du coup, les conseillers utilisent gmail, par exemple, pour envoyer et recevoir des documents. Et des pépins peuvent survenir ». Cette phrase confirme l’hypothèse d’une absence de cloisonnement que nous évoquions hier soir en conclusion dans un article signé par Dominique Ciupa et publié sur notre site Mag-Securs à cette adresse. Dans cet article, nous évoquons également que le fait que les Américains ou les Anglais soient nos alliés n’empêche nullement que des opérations d’écoute (pour rester poli) soient mises en œuvre. « La confiance n’exclut pas le contrôle », dit la maxime. Ceci en est une parfaite illustration.
Une directive secrète signée en octobre
Les Américains ne sont donc pour rien dans cette cyberattaque. Fort bien. Cela n’a pas empêché le président Obama de signer voici un mois une directive secrète autorisant les militaires à agir de manière plus agressive pour contrecarrer les cyberattaques dont pourraient être victimes les ordinateurs gouvernementaux ou de sociétés privées aux Etats-Unis. Certes, il s’agit ici d'une stratégie défensive mais le pas pourrait être allègrement franchi. Cette directive intitulée Presidential Policy Directive 20 « met également en place un processus d’examen des réseaux informatiques gouvernementaux et de défense pour s’assurer que les données des citoyens américains et de leurs alliés étrangers soient protégées et que les lois internationales de la guerre soient respectées », écrivait le Washington Post le 14 novembre dernier. Dans ces conditions, pourquoi ne pas imaginer que l’attaque aurait bien été menée par les Américains mais avec un objectif de « stress test », ceci afin de vérifier que les systèmes de l’Elysée étaient correctement ou non protégés. Toutefois, nos confères du Post affirment dans le même article que « les cyber opérations offensives, en dehors des zones de guerre, continuent (et continueront) à requérir un examen plus minutieux de la part des agences et généralement l’autorisation de la Maison Blanche. ».
Le PR Gap
Finalement, cette affaire soulève une question qui pourrait devenir cruciale dans les mois et les années à venir à mesure que se développe la cyberguerre. Cet enjeu est le décalage croissant entre les informations dont disposent les agences de sécurité et les acteurs de ce marché, d’un côté, et les observateurs, analystes et journalistes, de l’autre. Art Coviello, Président de RSA, appelle cela le PR Gap - l’écart avec les relations publiques - et illustre ce propos avec un iceberg dont chacun sait que les 8 ou 9 dixièmes sont immergés. Certes, il n’est pas question que l’ANSSI ou des acteurs de la sécurité des SI nous déballent tout ce qu’ils savent mais il devient nécessaire que nous soyons mieux informés sur des cas précis. D’une part pour éviter de raconter trop de bêtises ou se perdre en conjectures oiseuses voire fumeuses. En effet chacun sait qu’un journaliste cherche toujours à « vendre » son histoire le mieux possible. Ce n’est pas un défaut à condition que ladite « histoire » repose sur des faits avérés et pour ce faire, nous avons besoin de faits.
Information & formation
Le second point est encore plus important. Patrick Pailloux, directeur de l’ANSSI, et d’autres mettent en garde en permanence contre les pratiques douteuses auxquelles se livrent certains responsables de la sécurité des SI. Quant au grand public, son ignorance de ces choses est quasi-totale. Pour sensibiliser et informer, nous avons besoin de matière. L’histoire n’est pas crue lorsqu’elle n’es pas réelle. Nous ne pouvons démarrer nos articles à la manière des contes : « il était une fois ». Notre métier exige des faits précis, saillants et percutants si nous souhaitons bien évidemment être lus ou vus. Mais ce bénéfice que nous pourrions retirer serait également un bénéfice pour les acteurs cités plus haut. C’est avec de bonnes et vraies histoires que nous pourrons faire comprendre au plus large public les dangers des cyberattaques et les nécessités de se protéger. L’Omerta entre ceux qui savent, d'un côté, et ceux qui imaginent et spéculent, de l'autre, ne peut plus continuer. Nous ne demandons pas que l’on nous livre les codes d’accès à l’Intranet de l’Elysée ou de toute autre institution mais tout le monde se porterait mieux à savoir comment de telles intrusions ont pu être rendues possibles.