Attribution, science-fiction

Un récent tweet m’a fait réagir sur la question de l’attribution. Vous le voyez ici :

Vous pouvez lire ici l’article du Ouest-France. Si vous n’y connaissez rien à la cyber, vous pouvez toujours le faire regarder par vos enfants en bas âge, ils devraient trouver le sommeil rapidement, comme s’ils avaient regardé bonne nuit les petits.

Une lecture rapide du tweet peut amener à simplement se demander où est le problème. Il est en fait très simple : si le pivot de la stratégie consiste à « tenter d’attribuer l’attaque », alors comment est-on sûr de répondre au véritable agresseur ? Admet-on par anticipation des « dommages collatéraux » dans une frappe cyber, tellement collatéraux d’ailleurs qu’ils sont à côté de la plaque ? A moins que, comme les artilleurs, le CommCyber ait pour devise « je balance et Dieu guide » ? Tout cela ressemble fort à un délit de sale gueule cyber, ou, au vu de l’enthousiasme qui se dégage de la séquence vidéo, à un déficit de gros dodo (et nous revenons à bonne nuit les petits…).

Ce qui m’amène à poser la question qui servira de fil à ce billet : l’attribution ne serait-elle pas comparable à une sentence judiciaire, dans la mesure où, de même qu’après la sentence, la décision est mise à exécution, après l’attribution, les mesures de rétorsion sont mises en œuvre ?

Alors, dans ce cas, « tenter d’attribuer l’attaque » reviendrait à « tenter de rendre une sentence ». Ce qui est pour le moins original, non ?

En première approche, la comparaison n’est pas si absurde qu’elle pourrait paraître.

Mais, m’objecteront certains, est-il bien raisonnable de comparer un acte de justice (sentence) à un acte de guerre (attribution) ?

Et bien oui. Pourquoi ? Simplement parce que notre période et, en même temps, nos gouvernants, sont de moins en moins guerriers, de moins en moins cultivés et donc stratèges, et se veulent de plus en plus juristes, quand bien même le résultat demeure perfectible. Ce qui consacre les propos d’Agamben, dans Moyens sans fin : « l’État spectacle constitue la forme extrême dans l’évolution de la forme État (…) Ce mouvement tend en réalité à la constitution d’un État policier supranational, où les normes du droit international sont tacitement abrogées les unes après les autres. (…) Les services secrets, habitués depuis toujours à agir sans tenir compte des limites des souverainetés nationales, deviennent, dans un tel contexte, le modèle même de l’organisation et de l’action politique réelles. »

Ceci étant posé, poursuivons. Une sentence judiciaire est généralement, souvent, toujours suivie d’une mise à exécution. Reconnaissons qu’il ne faut pas forcément être regardant sur les délais, à moins de chercher la déception. C’est donc en vertu de cette décision qu’un coupable sera châtié, et qu’un innocent obtiendra réparation. Toute sentence est ainsi lourde de conséquences. Dans le cyberespace, c’est un peu pareil avec l’attribution. Lorsqu’on a attribué l’action, donc lorsqu’on désigne l’auteur, on peut alors le lui faire remarquer ou décider de le châtier. Selon que l’auteur a été identifié ou non, il est (im)possible d’obtenir réparation (dans le cas de la cybercriminalité), ou d’exercer des représailles contre lui (conflictualité inter-étatique). L’expérience prouve que l’attribution d’une action cyber est parfois très délicate, pour ne pas dire impossible. Et pourtant, comme pour tout acte criminel, le principe de Locard devrait pouvoir être mis en œuvre : transformer une scène en une scène d’infraction doit laisser des traces. Peut-être ne cherchons-nous pas encore les bonnes.

Si nous décidons de filer la comparaison, il faut être cohérent et analyser quelques éléments qui permettent aux magistrats de prononcer leur sentence, et donc de se poser un certain nombre de questions, dont quelques-unes relatives à la preuve et aux experts puisque ces derniers fournissent  aux juges les éléments d’appréciation leur permettant de bâtir une décision.

La preuve

Parler de preuve nécessite de définir correctement le terme.

Constitue une preuve la démonstration de la réalité d’un fait, d’un état, d’une circonstance ou d’une obligation. L’administration en incombe à la partie qui se prévaut de ce fait ou de l’obligation dont elle se prétend créancière. La preuve doit être pertinente, c’est-à-dire que le juge doit constater un lien entre la preuve que la partie offre d’administrer et la prétention (objet des demandes auxquelles les parties engagées dans une procédure judiciaire, sollicitent qu’il leur soit fait droit) qui est l’objet du litige. Cette définition de la preuve montre déjà les impératifs qui pèsent sur les parties. Il ne s’agit pas d’affirmer, il s’agit de démontrer. Or, on ne peut tenter de démontrer. Soit on démontre, soit on échoue.

Autre point, si l’administration de la preuve est libre, son recueil ne l’est pas. Le déplorer revient à regretter que l’aveu ne soit plus la reine des preuves, quel que soit le moyen de l’obtenir. Se pose donc dans ce cas la question de l’obtention de preuves par la torture et toute autre manipulation attentatoire notamment à la dignité humaine. Pour en savoir plus, vous pourrez consulter utilement ce site, ainsi que ce document. La discussion peut être subtile voire tortueuse, notamment lorsqu’on évoque la question de la provocation à la preuve ou la provocation à la commission de l’infraction. Si nous voulons transposer ce raisonnement au cyberespace, autant commencer à s’échauffer pour un grand écart neuronal. En effet, vu que certains défendent ardemment la légitime défense informatique, il y a du souci à se faire.

Les experts

Généralement, la preuve est apportée ou souvent confirmée par des experts.

Évoquer cette question revient à évoquer celle, délicate, de leur formation et de leur qualification. Chacun se souvient du procès d’Outreau où est apparu le concept d’expertise de femme de ménage « Quand on paie les expertises au tarif d’une femme de ménage, on a des expertises de femmes de ménage ! » même si cette phrase s’explique aisément. Cette question de la formation et du contrôle périodique des connaissances et savoir-faire des experts n’est pas anecdotique, dans la mesure où ils doivent se prémunir de biais en tout genre.

Outre le biais cognitif (mécanisme de la pensée, qui cause une déviation du jugement) qui peut faire attribuer toujours au même groupe de personnes la responsabilité de faits observés, d’autres, non négligeables, existent. Citons notamment le biais méthodologique (erreur dans la méthode scientifique, le non-respect des règles de protocole, qui engendre des résultats erronés), celui de mesure (les techniques de mesures sont incorrectes), celui d’évaluation (lorsque la mesure du critère de jugement n’est pas réalisée de la même manière dans les 2 groupes d’étude), sans oublier celui de confirmation (biais cognitif qui consiste à privilégier les informations confirmant ses idées préconçues ou ses hypothèses).

Ceci nous amène donc à évoquer la question du contrôle qualité du recueil des éléments supposés probants et de leur analyse. Mieux vaut ne pas trop s’attarder dessus, il me semble. Car j’ai l’impression que l’ensemble des questions évoquées dans ce paragraphe est quelque peu mis de côté, au motif que nos analystes sont bons et que cela suffit. Pourquoi pas. Mais peut-être est-il sage de s’entourer de précautions avant de déclencher des opérations offensives.

Processus de décision

Enfin, un dernier point indispensable à évoquer est celui du processus de décision.

Une fois que les experts ont achevé leur travail, comment leurs résultats sont-ils transmis aux décideurs, et comment ces derniers prennent-ils leur décision ? Poser cette question présuppose que les experts et les décideurs ne sont pas les mêmes personnes. Et que les décideurs ne se contentent pas d’avaliser purement et simplement, par paresse intellectuelle ou par ignorance, les conclusions des experts. L’affaire d’Outreau précédemment évoquée permet de jeter un regard particulier sur les liens entre l’expert et le décideur, en l’espèce le magistrat. En effet, l’expert incriminé qui a déploré le fait que « l’institution judiciaire me faisait porter, seul, le poids d’un dysfonctionnement » montre à quel point les relations entre le décideur et l’expert peuvent être aberrantes. Pour paraphraser Jacques Chirac (un chef, c’est fait pour cheffer), un expert doit expertiser, et un décideur décider. Ce qui signifie que le chef doit savoir apprécier les résultats de l’expertise qui lui est transmise pour prendre la décision qu’il estime la plus appropriée.

Et n’oublions pas que toute décision doit être argumenté. Cette argumentation n’est pas inutile, car elle permet de savoir ce qui a poussé à agir. Reconnaissons qu’un minimum d’esprit critique s’avère indispensable pour éviter de titrer des âneries : Moscou a cherché à favoriser Trump. La belle affaire ! Ce qui importe n’est pas de savoir s’il a cherché, mais s’il a réussi. Et nous voilà au point de départ de cet article : faut-il tenter d’attribuer, ou attribuer ? Dit autrement, dans un autre domaine : quel élément doit baser la stratégie d’un sportif : tenter de gagner les JO ou les gagner ? Ne nous leurrons pas, le premier cas revient simplement à magnifier l’esprit sportif : l’essentiel c’est de participer.

Exemple

Reprenons le cas de l’élection de Trump pour illustrer ces propos.

Selon le WaPo, Intelligence agencies have identified individuals with connections to the Russian government who provided WikiLeaks with thousands of hacked emails from the Democratic National Committee and others, including Hillary Clinton’s campaign chairman, according to U.S. officials. Those officials described the individuals as actors known to the intelligence community and part of a wider Russian operation to boost Trump and hurt Clinton’s chances.

Bien. Donc des membres liés au gouvernement russe ont fourni à wikileaks des courriels du DNC récupérés frauduleusement. Quelques questions se posent si l’on veut fournir à ces éléments une véritable force probante : qui sont ces personnes, avec quels membres du gouvernement russe sont-ils liés, quelle est la nature de ces liens, comment ont-ils eu connaissance de ces courriels, sommes-nous certains que ces courriels sont authentiques, quel est le moyen frauduleux qui a été utilisé ?

Poursuivons.

“It is the assessment of the intelligence community that Russia’s goal here was to favor one candidate over the other, to help Trump get elected,” said a senior U.S. official briefed on an intelligence presentation made to U.S. senators. “That’s the consensus view.”

Et donc ? Lors d’élections nationales, tous les gouvernements cherchent à favoriser un camp qu’ils supposent le plus favorable à leur égard. On pourrait aussi se poser la question de l’influence du sortant sur le sort des élections.

Julian Assange, the founder of WikiLeaks, has said in a television interview that the “Russian government is not the source.” The White House and CIA officials declined to comment.

Voici, de la part de la maison blanche et de la CIA, une attitude peu scientifique ou, pour le moins, peu rigoureuse.

Conclusion

Si la qualité de la vidéo (forme et fond) qui a initié cet article est perfectible, reconnaissons qu’elle s’est avérée un intéressant aiguillon à la réflexion.

La question de l’attribution reste centrale dans le cyberespace, mais il ne suffit pas de tenter, mon général, il faut réussir.

Car à la guerre, comme le dit le général Yakovleff dans Tactique théorique, on ne peut se contenter d’arriver deuxième. Il faut être le premier. Et pour cela, ne pas se tromper d’objectif.

Donc attribuer !

Informatiques orphelines

Share/Partage

Informatiques Orphelines

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

un + quinze =