La possession d’armes nucléaires et de vecteurs fiables rend crédible une opération extérieure conventionnelle, acte politique. En effet, les forces nucléaires résultent aussi d’un savoir-faire en matière de communications et de précision des systèmes de navigation.

Philippe Wodka-Gallien, membre de l’Institut français d’analyse stratégique et auteur du « Dictionnaire de la dissuasion », l’a expliqué au cours d’une conférence-débat organisée, le 25 juin 2013 à Paris, par l’Association de l’armement terrestre.

L’arme nucléaire. La puissante bombe thermonucléaire (H), dérivée des bombes atomiques à uranium 235 et au plutonium 239, dégage une chaleur intense. Son petit volume permet de l’installer sur un missile de croisière de type air-sol moyenne portée (ASMP/A). L’URSS a construit la plus grosse bombe connue, la « Tsar Bomba » de 50 mégatonnes, capable de vitrifier un territoire grand comme la Belgique. Les Etats-Unis ont réalisé la plus petite, dite « Davy Crockett » (0,01 kilotonne), transportable à dos d’homme et destinée à arrêter une éventuelle invasion soviétique de la Corée du Sud. Ils ont aussi mis au point des mines nucléaires terrestres, que les forces spéciales devaient enterrer sur les passages prévus des armées du Pacte de Varsovie. Ils ont déployé des canons atomiques M-65 de 280 mm en Europe et en Corée du Sud (opération « Upshot Knothole »). Aujourd’hui, les Etats-Unis et la Russie disposent d’environ 90 % des armes nucléaires dans le monde (voir encadré). La Chine déploie une grande variété de vecteurs : sous-marins, bombardiers, missiles de croisière et missiles lançables à partir d’un tunnel. L’Inde et le Pakistan ne disposent pas encore d’arme thermonucléaire. L’Iran s’achemine vers la bombe à uranium 235. La Corée du Nord a acquis son savoir-faire auprès de la Chine et de l’URSS. Selon Philippe Wodka-Gallien, le tabou de la dissuasion varie selon les pays. Les Etats-Unis, l’Inde et la France en parlent beaucoup, contrairement à la Grande-Bretagne. En Russie, cela commence. Par contre, en Israël, ne pas en parler fait partie de la dissuasion.

Du « technique » au « politique ». Le missile balistique s’impose comme vecteur de l’arme nucléaire au tournant des années 1960. Les Etats-Unis disposent alors de 1.505 bombardiers porteurs d’armes nucléaires et de 174 missiles intercontinentaux (ICBM) et l’Union soviétique de 182 bombardiers et 56 ICBM. Les projets fusent tous azimuts : bombardiers et missiles à propulsion nucléaire ; bombardier supersonique « B-70 Valkyrie » ; armes nucléaires en orbite ou installées sous la mer ; dissémination des charges ; bombes pour le génie civil (programme « Plowshare ») ; patrouilles d’avions armés (accidents de Palomares en 1966 et Thulé en 1968) ; initiative de défense stratégique du président Ronald Reagan (1983). En France, le programme nucléaire, entrepris dès 1945 avec la création du Commissariat à l’énergie atomique, se développe parallèlement à un consensus politique sur la dissuasion. En 1960, la première explosion a lieu et la décision est prise de former une triade : avions, missiles sol/sol et sous-marins. Le premier bombardier Mirage IV est mis en alerte quatre ans plus tard. En 1972, les missiles sol/sol balistiques sont opérationnels au plateau d’Albion et le premier sous-marin lanceur d’engins (SNLE) part en patrouille. Dès 1965, un système de navigation inertielle équipe la fusée « Diamant », ancêtre des engins balistiques (1971) et du lanceur de satellites européen « Ariane » (1979). Sur le plan politique, le pouvoir égalisateur de l’atome s’affirme. Lors de la crise de Cuba en 1962, le président Kennedy s’oppose à ses conseillers et refuse de bombarder l’URSS, à cause des représailles possibles évaluées à 40 millions de victimes américaines. En 1965, le président De Gaulle, fort de la technologie française, fait de l’arme nucléaire une affirmation de souveraineté. Il prend prétexte du survol d’un avion de chasse américain au dessus de l’usine d’enrichissement d’uranium à des fins militaires de Pierrelatte pour quitter le commandement militaire intégré de l’OTAN en 1966. Le président Sarkozy prend la décision inverse en 2009, mais la France n’intègre pas le comité des plans nucléaires afin de préserver sa dissuasion. En 2013, le Livre blanc sur la défense et la sécurité nationale rappelle que la dissuasion a pour objet de protéger la France contre toute agression d’origine étatique contre ses intérêts vitaux, d’où qu’elle vienne et quelle qu’en soit la forme. « La dissuasion française contribue, par son existence, à la sécurité de l’Alliance Atlantique et à celle de l’Europe. L’exercice de la dissuasion nucléaire est de la responsabilité du président de la République », écrit le Livre blanc. Il ajoute que la complémentarité des forces nucléaires françaises permet « le maintien d’un outil qui, dans un contexte stratégique évolutif, demeure crédible à long terme, tout en restant au niveau de la stricte suffisance. Les capacités de simulation, dont la France s’est dotée après l’arrêt de ses essais nucléaires, assurent la fiabilité et la sûreté des armes nucléaires ».

Les perspectives. La simulation, souligne Philippe Wodka-Gallien, constitue un terrain de compétition pour les grandes nations nucléaires, en matière de haute performance scientifique grâce aux supercalculateurs et lasers de forte puissance. Avec son Laser Mégajoule, la France se trouve au même rang que les Etats-Unis, la Grande-Bretagne, la Russie et la Chine. La dissuasion peut s’exercer aussi à l’encontre d’Etats belliqueux susceptibles d’utiliser des armes chimiques ou biologiques. Les ogives à têtes nucléaires multiples, mises au point dans les années 1960 pour contrer les défenses antimissiles, élargissent la zone possible de destruction. La Chine n’a pas encore cette capacité, contrairement aux Etats-Unis, à la Russie et à la France. Enfin, l’avenir de la dissuasion française dépendra des décisions à prendre d’ici à 2020 : lancement des travaux sur les SNLE de la 3ème génération et le remplacement des missiles balistiques M 51 ; mise en service d’un missile hypersonique ASMP/A vers 2035 ; renouvellement de la flotte d’avions ravitailleurs ; nouveau supercalculateur.

Loïc Salmon

La sûreté nucléaire des installations de défense

Au 12 février 2013, le nombre de charges nucléaires se répartit ainsi : Etats-Unis, 5.513 ; Russie, 4.850 ; France, 300 ; Grande-Bretagne, 160 ; Chine, 250 ; Israël, 70 à 200 ; Inde, 100 ; Pakistan, 70 à 90 ; Corée du Nord, 10 à 12. A la même date, 2.074 essais nucléaires auraient été réalisés : Etats-Unis, 1.030 ou 1.031 dont 215 aériens et 2 opérationnels (Hiroshima et Nagasaki en 1945) ; Russie, 715 ; France, 210 ; Grande-Bretagne, 57 ; Chine, 45 ; Inde, 7 ; Pakistan, 6 ; Corée du Nord, 2 ou 3 ; Afrique du Sud, 1 avec la collaboration probable d’Israël. Les forces nucléaires françaises incluent quatre sous-marins nucléaires lanceurs d’engins (missiles balistiques M 51) et une composante aéroportée (missiles air/sol moyenne portée). Celle-ci compte : deux escadrons de Mirage 2000N et Rafale ; un groupe aéronaval de deux flottilles opérationnelles sur Rafale, dont une embarquée sur le porte-avions Charles-De-Gaulle ; un escadron de ravitaillement en vol.

Représentation d’un territoire lié à la technologie informatique, le cyberespace présente des aspects stratégiques : lieu commun à préserver mais aussi menace pour les usagers et même champ de bataille entre Etats.

La Chaire Castex de cyberstratégie a examiné les stratégies des Etats dans le cyberespace, au cours de la journée d’étude qu’elle a organisée le 18 avril 2013 à Paris. Sont notamment intervenus : Frédérick Douzet, titulaire de la chaire et directrice adjointe de l’Institut français de géopolitique, Université Paris 8; Jean-Loup Samaan, maître de conférences au département Moyen-Orient du Collège de défense de l’OTAN ; David Sanger, correspondant en chef du New York Times à la Maison Blanche ; Sophie Lefeez, doctorante en socio-anthropologie des techniques, Université Paris 1.

La menace informatique. Selon Frédérick Douzet, une prise de conscience est apparue dans les discours politiques et les médias américains après les attaques informatiques contre l’Estonie en 2007 et la Géorgie deux ans plus tard. Ces attaques, pour lesquelles la Russie a été soupçonnée, ont provoqué peu de dommages matériels graves, mais de sévères perturbations dans un contexte de tensions politiques fortes. La cyberguerre est entrée dans le domaine public avec, pour conséquences, la hausse du budget de la protection informatique aux Etats-Unis et la mise en place de l’Agence nationale de la sécurité des systèmes d’information en France. Les attaques multipliées contre les organismes gouvernementaux et les grandes entreprises (4.000 par an chez Alcatel) font craindre des risques d’espionnage industriel et de destruction de données et d’infrastructures vitales sur le territoire. Les attentats terroristes du 11 septembre 2001 avaient déjà montré la vulnérabilité des Etats-Unis à des guerres asymétriques. Ensuite, la Russie et la Chine ont manifesté leur volonté de projection de puissance. La représentation de la menace revêt une importance stratégique, car elle peut être instrumentalisée pour servir des intérêts. Plus la menace prend de l’importance et plus la légitimité populaire est indispensable pour financer des dispositifs sécuritaires onéreux dans un contexte budgétaire contraint. Les Etats-Unis sont passés de la guerre globale contre le terrorisme à celle contre l’ennemi asymétrique, capable de frapper n’importe où, sans préavis et sans être identifié à coup sûr. Les efforts de défense contre Al Qaïda ont été transférés vers la cyberguerre avec des moyens budgétaires accrus, du fait que des puissances adverses (Russie, Chine et Iran) peuvent accueillir des cyberattaquants. Le discours sur la cyberguerre est lié à la rivalité de pouvoir géopolitique : exagération de la menace chinoise (montée en puissance de la Marine et attaques informatiques) ; analogie avec la menace nucléaire ; risque de destruction des services de renseignement.

La saga « Stuxnet ». L’existence du ver israélo-américain « Stuxnet », utilisé contre les centrifugeuses iraniennes d’enrichissement nucléaire, a été révélée en 2012 par le quotidien américain New York Times. Il s’agissait d’une vaste opération dénommée en réalité « Olympic Games », déclenchée par l’administration Bush en 2006 et poursuivie par l’administration Obama en 2008. Jean-Loup Samaan présente le contexte : impasse du processus diplomatique avec l’Iran ; rumeur d’une opération aérienne préventive par Israël avec l’aide des Etats-Unis ; absence de consensus au sein de l’Union européenne, car la Grèce, l’Italie et l’Espagne ont besoin du pétrole iranien. Empêtrée dans la guerre d’Irak, l’administration Bush choisit la cyberattaque contre l’Iran. L’Agence de sécurité nationale (NSA), chargée de la lutte informatique, entreprend une vaste opération avec les services de renseignement israéliens, qui apportent une valeur ajoutée. Les recherches vont porter sur les centrifugeuses vendues à l’Iran et à la Corée du Nord par la Libye en 2003, après son abandon des armes de destruction massive. Mais, les Etats-Unis en ont récupéré quelques unes. La saga de ce qui sera plus tard connu sous le nom de « Stuxnet » se déroule en neuf phases : essai du programme dit NSA/Unit 8200 ; programme infiltré dans le système iranien ; collecte et transmission de données ; conception et propagation du ver ; propagation du ver dans le système de contrôle des centrifugeuses ; altération des opérations des centrifugeuses ; exportation involontaire du ver sur internet via l’ordinateur d’un ingénieur iranien et infection de 30.000 ordinateurs dans le monde ;  poursuite de l’opération avec une version améliorée du ver ; découverte du ver par les Iraniens, qui mettent au point un anti-virus. Les décideurs ont perdu le contrôle de l’opération lors du dérapage sur internet. D’après Jean-Loup Samaan, le Stuxnet s’apparente à un outil de diplomatie « coercitive » et une opération de sabotage aux objectifs stratégiques limités, dont il faut ensuite gérer l’escalade. Mais, dit-il, « une cyberattaque qui marche est celle dont on n’a jamais parlé » ! Enfin, David Sanger a souligné qu’Obama a développé un autre programme de Bush pour les opérations clandestines : les drones !

La supériorité technique. La recherche de la supériorité technique stimule l’industrie d’armement, conclut Sophie Lefeez à l’issue d’entretiens avec les concepteurs (Direction générale de l’armement) et fabricants d’armement. Il s’agit d’avoir un temps d’avance sur « l’autre », de ne pas chercher à l’imiter, mais de concevoir des systèmes d’armes plus évolués. Connaissance, vitesse, allonge et protection constituent les idées directrices. Par ailleurs, la supériorité de l’information permet d’obtenir la supériorité tactique. L’évolution technique définit l’efficacité opérationnelle, qui repose sur des moyens d’information accrus. Il s’agit d’aller plus vite, plus loin, plus haut et de détecter l’ennemi le premier. Pourquoi continuer dans cette voie s’interroge Sophie Lefeez ? « Parce que la technique rassure » !  Depuis la fin de la guerre froide (1991) et ses scénarios prévisibles, le monde fait face à une incertitude déstabilisante, avec la perte des anciens repères et la recherche de nouveaux. Le calcul des probabilités au moyen d’algorithmes doit permettre de maîtriser les risques, en vue du « zéro aléa » dans la détection de la menace.

Loïc Salmon

Le cyberespace : enjeux géopolitiques

Le journaliste américain David Sanger a publié deux livres sur l’administration américaine actuelle. Dans le second, intitulé « Obama : guerres et secrets », il dévoile des informations inédites sur le programme « Olympic Games » relatif à l’utilisation de l’arme informatique, par le gouvernement américain, contre le programme nucléaire iranien. Pour la première fois, un Etat a pu réaliser une cyberattaque de longue durée contre un autre Etat, en vue d’éviter un nouvel engagement militaire et de ne pas conduire une opération clandestine sur le terrain.

Les « maliciels », programmes destinés à piller des données confidentielles, perturber ou même détruire le fonctionnement des systèmes informatiques, se multiplient avec un perfectionnement accru. Les constructeurs de logiciels de protection ont beaucoup de mal à suivre leur évolution et le nombre de leurs attaques.

Laurent Heslault, directeur des stratégies de sécurité de Symantec Europe, a présenté la situation au cours d’une conférence-débat organisée, le 21 mars 2013 à Paris, par l’Association des auditeurs jeunes de l’Institut des hautes études de défense nationale.

Cibles et objectifs. Dans un monde très connecté (ordinateurs, téléphones mobiles et réseaux sociaux), compétitif et complexe, les cyberattaques se concentrent sur les personnes, processus et technologies. Toutes les organisations ou entreprises, quelle que soit leur taille, constituent des cibles : 50 % comptent moins de 2.500 personnes ! Par secteur d’activité, sont visés en ordre décroissant : l’Etat et le secteur  public, la production industrielle, les établissements financiers, les services informatiques, les fabricants de produits chimiques et pharmaceutiques, les transports, les organisations à but non lucratif, les média, les sociétés de marketing, les centres d’enseignement et les points de vente au détail. Par fonction, les cadres de haut niveau arrivent en tête des victimes, devant les destinataires de courriels partagés, les commerciaux, les personnels affectés à la recherche et au développement, et même les responsables des ressources humaines chargés du recrutement. Les données confidentielles volées peuvent être revendues ou simplement rendues publiques au journal télévisé… avec de graves conséquences financières, juridiques et pour la réputation des entreprises ! En matière de cyberattaques, d’autres pays ont les mêmes capacités que la Chine, souvent montrée du doigt. Ainsi, des « vers », venus de 115 pays, ont infecté plus 40.000 adresses informatiques (IP). La plupart des cibles font partie du panorama de l’industrie de défense au sens large : construction navale militaire, aéronautique, armement, énergie, électronique et recherche. Ainsi en 2011, Symantec a détecté 677 infections par le maliciel « Stuxnet » aux Etats-Unis, 86 au Canada, 53 en Chine, 31 à Hong Kong et 31 en Australie. Taïwan, la Grande-Bretagne, la France, la Suisse, l’Inde et le Danemark ont également été touchés. Stuxnet, actif pendant au moins cinq ans contre l’Iran, a modifié les programmes de ses centrifugeuses d’enrichissement de l’uranium, sans que les consoles de contrôle s’en aperçoivent : il a fallu remplacer 1.000 centrifugeuses ! Un autre maliciel dénommé « Jokra », découvert le 20 mars 2013, a attaqué 3 chaînes de télévision, 2 banques et 1 centre de télécommunications en Corée du Sud, modifiant la présentation de sites internet et effaçant 32.000 machines. Les « serveurs » sont particulièrement visés. Toutefois, Laurent Heslault met en garde contre cet emballement médiatique : « Information ou intoxication ? On est dans le domaine du renseignement avec du faux ».

Modes opératoires. Les attaquants de l’internet se répartissent en trois catégories : les  jeunes pirates (« hackers »), motivés par le défi technologique, les cybercriminels par un retour financier sur investissement et les activistes par l’idéologie ou l’action politique. Les  groupes, bien organisés et compétents, visent plus la propriété intellectuelle que la destruction des appareils des « cibles ». Ils disposent d’importants moyens financiers, vu l’échelle et la durée de leurs opérations. Il s’agit donc probablement d’organisations criminelles, de groupes soutenus par un Etat, des services de renseignement d’un Etat ou même d’organisations non gouvernementales. Ainsi, Amnesty International a admis avoir procédé à des cyberattaques.  Selon Symantec, une attaque informatique ciblée se déroule en quatre phases : incursion par envoi d’une pièce jointe « piège » avec un message crédible ; cartographie des réseaux et systèmes avec recherche des données confidentielles ; accès aux données des systèmes vulnérables et installations de maliciels pour les capturer ;  renvoi de ces données confidentielles en clair, chiffrées et/ou compressées vers l’équipe attaquante. Les maliciels volent aussi les informations sonores et videos et tentent de prendre le contrôle de machines des dirigeants. Toutefois, ils finissent tôt ou tard par être découverts : Stuxnet et Jokra, mais aussi « Duqu », « Flamer », « Sofacy », « Nitro », « Shamoon », « Elderwood », « Spear Phishing », Watering Hole » « Sykipot » et « Narilam ».  Plus grave, la « menace persistante avancée » ou APT, pour « Advanced Persistant Threat », est une campagne active d’attaques ciblées et à long terme. Elle peut utiliser des techniques de renseignement (écoutes), tente de rester indétectable le plus longtemps possible, inclut des menaces multiples et possède plusieurs moyens de contrôle pour assurer son succès. Enfin, elle connaît des mutations et s’adapte pour contourner détections et mesures de sécurité.

Contre-mesures. Une seule technologie ne suffit pas pour se prémunir contre l’APT. Le maliciel n’est qu’une composante de l’APT et l’individu restera toujours le maillon faible. Symantec propose diverses mesures pour chacune des quatre phases d’une attaque informatique, dont notamment : l’éducation des personnes à risques, la surveillance des sources externes et l’évaluation du niveau de vulnérabilité ; la validation des politiques de sécurité (mots de passe) et la détection des incidents de sécurité récurrents ; la classification de l’information sensible et la détection de maliciels dits « uniques » ; la conformité des règles de communication, la surveillance et éventuellement le blocage des communications sortantes, la détection des flux atypiques et le filtrage des contenus sortants. Toutefois, l’emploi d’armes informatiques « offensives » se heurte, en France, à des obstacles juridiques…qui n’existent pas dans d’autres pays, indique Symantec. Enfin, alors que le cyberespionnage se produit tous les jours, qu’en est-il d’une véritable cyberguerre causant des pertes en vies humaines, comme la guerre tout court ? Laurent Heslault l’estime possible dans un avenir lointain. Il recommande donc la vigilance : « Il y a de vrais risques, mais pas encore de vrais dangers ».

Loïc Salmon

La société américaine Symantec est spécialisée dans l’édition de logiciels de sécurité et de protection des données. Présente dans plus de 40 pays, elle consacre 17 % de son chiffre d’affaires en recherche et développement et y fait travailler 500 analystes. Sa couverture mondiale et permanente lui permet de détecter rapidement : plus de 240.000 attaques dans près de 200 pays ; des « maliciels » auprès de 133 millions de clients ; plus de 35.000 vulnérabilités dans 11.000 « éditeurs » et 80.000 technologies ; 5 millions de comptes leurres (« spams/phishings ») parmi plus de 8 milliards de messages par jour et 1 milliard de requêtes journalières par internet.