la boite de Pandore
Il y a une raison pour laquelle nous croyions que l’erreur pouvait nous protéger: l’attaque était un chef-d’œuvre sanglant.
À partir de 2007, les États-Unis, avec Israël, ont lancé une attaque contre la centrale nucléaire iranienne de Natanz, qui a détruit environ un cinquième des centrifugeuses iraniennes. Cette attaque, connue sous le nom de Stuxnet, s’est propagée à l’aide de sept trous, appelés «zéro jour», dans les logiciels industriels de Microsoft et de Siemens. (Un seul avait déjà été divulgué, mais jamais corrigé). À court terme, Stuxnet a été un succès retentissant. Il a fait reculer les ambitions nucléaires de l’Iran des années en arrière et a empêché les Israéliens de bombarder Natanz et de déclencher la troisième guerre mondiale. À long terme, il a montré aux alliés et aux adversaires ce qui manquait et a changé l’ordre mondial numérique.
Dans la décennie suivante, une course aux armements est née.
Les analystes de la NSA ont quitté l’agence pour démarrer des usines de cyberarmes, telles que Vulnerability Research Labs, en Virginie, qui vendait des outils de clic et de tir aux agences américaines et à nos plus proches alliés anglophones de Five Eyes. Un entrepreneur, Immunity Inc., fondé par un ancien analyste de la NSA, s’est engagé sur une voie plus glissante. Tout d’abord, disent les employés, Immunity a formé des consultants tels que Booz Allen, puis l’entrepreneur de défense Raytheon, puis les gouvernements néerlandais et norvégien. Mais bientôt l’armée turque a frappé.
Des entreprises comme CyberPoint sont allées plus loin en s’installant à l’étranger, en partageant les outils et les activités commerciales que les EAU apporteraient à terme à leurs employés. En Europe, les vendeurs de logiciels espions du Pentagone, comme Hacking Team, ont commencé à échanger ces mêmes outils avec la Russie, puis le Soudan, qui les a utilisés avec des résultats impitoyables.
Au fur et à mesure que le marché s’est développé au-delà du contrôle direct de la NSA, la concentration de l’agence est restée sur l’infraction. La NSA savait que les mêmes vulnérabilités qu’elle découvrait et exploitait ailleurs seraient un jour renvoyées aux Américains. Sa réponse à ce dilemme a été de réduire l’exceptionnalisme américain à un acronyme – NOBUS – qui signifie «Nobody But Us». Si l’agence découvrait une vulnérabilité qu’elle pensait ne pouvoir qu’exploiter, elle la stockait.
Cette stratégie faisait partie de ce que le général Paul Nakasone, l’actuel directeur de la NSA – et George Washington et le stratège chinois Sun Tzu avant lui – appellent «la défense active».
Dans la guerre moderne, la «défense active» équivaut à pirater les réseaux ennemis. C’est une destruction mutuellement assurée pour l’ère numérique: nous sommes entrés dans les réseaux de trolls de la Russie et son réseau comme une démonstration de force; Les centrales nucléaires iraniennes, pour extraire ses centrifugeuses; et le code source de Huawei, pour pénétrer ses clients en Iran, en Syrie et en Corée du Nord, pour l’espionnage et pour mettre en place un système d’alerte précoce pour la NSA, en théorie, pour éviter les attaques avant qu’elles ne frappent.
