L'espace numérique est devenu un terrain central pour les révoltes, le terrorisme et les conflits armés, influençant directement les tactiques militaires et les décisions stratégiques. Le phénomène de cyberconflictualité est en constante augmentation, avec une hausse marquée des cyberattaques et une nécessité croissante de cybersécurité pour les entreprises. Les organisations terroristes, comme l'État islamique, exploitent également ces espaces pour leur propagande et le recrutement, rendant ainsi la responsabilité géostratégique des acteurs numériques essentielle.

2. Projections des conflits sur l’espace
numérique
Thierry Berthier
Chaire de cyberdéfense & cybersécurité Saint-Cyr – Thales - Sogeti

3. Thierry Berthier
Chaire de Cybersécurité & Cyberdéfense Saint-Cyr
Sogeti Thales
http://www.chaire-cyber.fr/
Chaire GCAC – IIRCO
http://fondation.unilim.fr/chaire-gcac/
http://echoradar.eu/
http://cyberland.centerblog.net

4. Thierry Berthier est chercheur au sein de la Chaire de
Cyberdéfense & Cybersécurité des écoles Saint-Cyr – Thales,
membre de l’Institut Fredrik Bull et membre du Comité d’Etudes de
la Défense Nationale.
Il est maître de conférences en mathématiques à l’Université de
Limoges, membre de la Chaire GCAC et de l’Institut international de
recherche sur la conflictualité (IiRCO) de l’Université de Limoges.
Il est également rédacteur régulier pour le Huffington Post, pour Le
Plus, pour Contrepoints et d’autres revues en ligne.
Il est cofondateur du site d’analyse stratégique EchoRadar et a créé
en 2013 le blog Cyberland.

5. Résumé
En quelques décennies, l’espace numérique est devenu le lieu de projection privilégié des
révoltes, des insurrections, du terrorisme et des conflits armés. Toute guerre possède
désormais sa composante « cyber » qui détermine sa conduite, tant au niveau tactique que
stratégique. L’avant et l’après conflit n’échappent pas à cette évolution. De nature
transversale et « interarmées », le cyberespace ne se limite pas au simple rôle de
« mémoire numérique » archivant les données de guerre. Au contraire, il influence et agit
très directement sur les décisions d’engagement des forces et sur l’ensemble des
interactions qui opèrent entre les différents belligérants. La guerre en Syrie et en Irak et le
conflit russo-ukrainien nous ont montré l’importance stratégique du cyberespace.
L’endoctrinement religieux, la radicalisation et le recrutement de combattants terroristes
s’appuient aujourd’hui sur la puissance d’impact de l’espace numérique et d’Internet en
particulier. Chacun sait que les réseaux sociaux ont joué et jouent encore un rôle
déterminant dans le recrutement de milliers de jeunes combattants étrangers engagés aux
côtés de l’Etat Islamique en Syrie et en Irak. Cette capacité à fédérer une armée doit nous
interroger sur la responsabilité « géostratégique » des grands acteurs mondiaux du
numérique. Sur un autre plan, les armées occidentales, américaine, russe et chinoise
s’orientent toutes vers la « dronification » de leurs systèmes d’armes et vers la robotisation
du combat. Cette évolution profonde qui s’appuie encore sur le cyberespace transforme
radicalement l’art de la guerre.

6. Le constat initial :
Les duels et les conflits humains
s’exportent aujourd’hui
systématiquement sur le
cyberespace.

7. L’approche :
Nous évoquons la projection des duels et des
conflits sur l’espace numérique selon trois axes :
1 - La cybersécurité et son impact économique.
2 - La cyberdéfense et le conflit projeté.
3 – La robotisation du champ de bataille.

8. 1 - La cybersécurité et son impact
économique

9. La cyberconflictualité est en constante augmentation.
On compte une APT dans le monde toutes les 2 secondes !
Carte des cyberattaques en temps réel : https://cybermap.kaspersky.com/

11. Une multiplication des cyberattaques en 2014 en Europe :
TF1, BNP, Sony, Google, Le Monde, Associated Press, TV5 Monde en 2015 et les
suivants, sous attaques aujourd’hui sans le savoir !
42,8 Millions de cyberattaques recensées dans le monde en 2014 selon les chiffres
de l’étude PwC-2015. Une hausse de 48 % par rapport à 2013 avec près de 120
000 attaques-jours.
Le coût annuel moyen d’une cyberattaque pour une entreprise s’élevait en 2014 à
2,7 millions de dollars.
94 % des entreprises mondiales ont été victimes d’un incident de sécurité
provenant d’une attaque externe, selon l’étude 2015 – Kaspersky Lab.
Une attaque entrainant la violation des données d’une entreprise lui coûte en
moyenne 720 000 dollars en 2014 et 2,54 millions de dollars lorsque l’attaque est
ciblée (type APT).
Les attaques par dénis de service DDoS, qui bloquent partiellement ou totalement
l’accès au système d’information de l’entreprise, lui coûtent entre 52 000 et 444
000 dollars. Les victimes perdent l’accès à des données critiques dans 61 % des cas
et perdent des opportunités de contrats dans 33 % des cas.

12. Le budget moyen consacré à la cybersécurité dans l’entreprise s’élevait à 4,1
millions de dollars en 2014 soit une baisse de 4 % par rapport à 2013 (étude
PwC).
D’après le Gartner Group, le pourcentage d’organisations possédant un plan
formel de gestion d’une cyberattaque agressive est proche de…. 0 %.
Ce chiffre devrait passer d’ici 2018 (toujours selon Gartner Group) à 40 % …
En un mot, la cyber-résilience généralisée va s’installer et les entreprises seront
forcées d’investir par la seule hausse du niveau d’agressivité et de complexité
des attaques.
On se dirige aussi vers l’externalisation du risque financier dû aux cyberattaques :
Le marché de l’assurance « cyber » est en évolution exponentielle en 2015.
En un an, la compagnie AIG a enregistré autant de souscriptions de contrats de
couverture du cyber-risque que durant les trois dernières années…
La difficulté est d’évaluer précisément le risque : quelle est la valeur de la
donnée ? Quelle est sa valeur d’impact ?

13. Les grandes tendances 2015 des cyber-agressions

14. Les Ransomwares
CTB Locker (en janvier 2015) : c’est un Ransomware ou Rançongiciel qui
chiffre le disque de sa cible et demande une rançon pour décrypter les
données.
Il a fortement évolué depuis 2013 avec les premières versions de
Cryptolockers.
Le vecteur d’infection est souvent un email frauduleux contenant une
fausse facture en archive .zip ou .cab
L’archive contient un binaire (Dalexis dropper) qui, une fois lancé affiche
un document leurre puis exécute CTB Locker. Il trouve ensuite son serveur
de contrôle et demande une clé de chiffrement. Muni de cette clé, il peut
alors chiffrer la totalité des données du disque.
CTB Locker évolue. Il sait éviter les machines virtuelles, il sait utiliser Tor
pour éviter les défenses classiques qui connaissent en général les adresses
des cryptolockers.
Il existe une variante spécifiquement destinée à la France.

17. Les malwares bancaires

18. Carbanak (février 2015) : ce malware est une évolution des malwares Zbot,
Carberp et Quadars Un gang de cybercriminels l’a utilisé pour voler près d’un
milliard de dollars à de nombreuses banques réparties sur 25 pays et en
seulement deux ans !
Il y a eu d’abord une phase de « social engeneering » ciblant les établissements
bancaires afin de comprendre les habitudes numériques de certains employés.
Les ordinateurs de ces banques ont ensuite été infectés par le malware via une
campagne de spear –phishing consistant en l’envoi de courriels ciblés contenant
des pièces jointes et des liens corrompus.
L’exécution de Carbanak a déclenché des transferts de fond (en utilisant une
banque en ligne ou un système de paiement électronique) vers les comptes du
gang aux Etats-Unis et en Chine. Dans d’autres cas d’exploitation du malware, les
attaquants sont parvenus à prendre le contrôle des systèmes comptables des
banques ciblées en gonflant les soldes afin de masquer les vols. Le malware
portait le solde d’un compte à 10 000 dollars alors qu’il n’en contenait que 1000
puis réalisait à partir de ce compte un virement de 9000 dollars sans que l’alarme
ne se déclenche. Enfin, les distributeurs automatiques de billets ont également
été visés par Carbanak.

20. Les botnets

21. Ramnit (février 2015) : C’est un botnet géant démantelé par Europol
EC3 et la NCA Agence Nationale de Criminalité en février 2015.
Ramnit avait infecté plus 3,2 millions d’ordinateurs devenus des
machines zombies sous contrôle d’un unique attaquant.
Portion de code composant Ramnit

22. Les spywares

23. Babar (février 2015) : C’est un spyware (logiciel espion) découvert
par une agence de renseignement canadienne et étudié par la
société de cybersécurité Gdata.
Documents classifiés issus des révélations de l’affaire Snowden.
D’après cette étude (rétro ingeneering) le logiciel espion pourrait
être attribué à une agence de renseignement française. Une seconde
version « Casper » a été découverte en mars 2015.
La tendance est à la multiplication des logiciels espions souvent
développés par les états.
Ils servent à la surveillance ciblée et à la lutte contre le terrorisme.
Lorsqu’ils tombent dans de mauvaises mains, ils peuvent être utilisés
à des fins criminelles.

24. L’exploitation de vulnérabilités « hardware »

25. Le piratage massif des cartes SIM par la NSA
La NSA (US) et le CGHQ (UK) sont entrés dans les réseaux de
fabriquants de cartes SIM pour dérober des clés de cryptage afin
de faciliter les interceptions de communications d’utilisateurs.
L’affaire est révélée en février 2015 (The Intercept & Snowden
leaks) .
Immédiatement, le cours de l’action Gemalto dévisse de 8 %.
Démenti publié par Gemalto fin février.
Gemalto confirme deux attaques réussies en 2010 et 2011 contre
ses systèmes.

26. Et les cyberattaques qui ciblent la sécurité nationale ….

27. Le vol de données coûte de plus en plus cher à
l’entreprise.
Les spywares et solutions de cyberespionnage sont de
plus en plus nombreuses sur le marché, accessibles,
efficaces, furtives et faciles à mettre en œuvre par une
cellule de hackers.
La prolifération de fausses données produites pour
mener une cyberattaque provoque de fortes turbulences
et pose le problème de leur détection.

29. L’arrivée massive des objets connectés fournit une multitude de
nouveaux vecteurs d’entrée aux futures cyberattaques.
En 2014, on a vu apparaitre des premiers botnets constitués
d’objets connectés (une armée de réfrigérateurs connectés – « un
monde de Thingbots »).
La voiture connectée, semi autonome puis autonome devient la
cible de hackings provoquant le prise de contrôle du véhicule par
l’attaquant. La cyberattaque peut devenir létale.

30. Les trois piliers de la cyberconflictualité sont bien
identifiés :
- Les infrastructures matérielles avec leurs failles de
sécurité,
- La couche logicielle avec ses vulnérabilités
algorithmiques,
- Le facteur humain, les fragilités et les biais cognitifs.
La montée en puissance de l’intelligence artificielle et la
production massive de données (40 Zetaoctets à
l’horizon 2020) augmentent l’intensité et la complexité
des cyberattaques.

31. Le guide des bonnes pratiques ne suffit plus à assurer la sécurité
numérique…

32. En France, c’est l’ANSSI qui est chargée de la protection des
intérêts numériques nationaux et plus particulièrement des
OIV Opérateurs d’Importance Vitale.
http://www.ssi.gouv.fr/

33. 2 - La cyberdéfense et le conflit
projeté

34. Des cyberarmées ont été créées au sein de toutes
les armées, petites ou grandes.
Aux Etats-Unis, on trouve le célèbre « U.S. Cyber Command »
(USCYBERCOM) qui est situé à Fort Meade.
En Chine, on trouve la très discrète « PLA Unit 61398 »
encore appelée APT1 pour « Advanced Persistent Threat 1 » à
l’origine de très nombreuses cyberattaques furtives (APT).
En Israël, on trouve l’ultra performante « Unité 8200 » qui est
certainement à l’origine de l’opération Stuxnet (?).

36. PLA Unit 61398

37. Dès 2011, le conflit syrien a été projeté sur le cyberespace

38. Durant le conflit syrien, le régime de Bachar el Assad et l’EI ont
massivement utilisé les réseaux sociaux comme instruments de
propagande, de contre-information, d’endoctrinement et de
recrutement. D’une façon générale, la projection algorithmique du
combattant reflète son engagement et ses actions.

39. L’histoire du faux tweet de la SEA qui valait 136 milliards
Le 24 avril 2013, la SEA attaque le compte Twitter de l'agence
Associated Press (AP). Elle en prend momentanément le contrôle et
publie à 13h07 le message suivant : « Breaking : Two Explosions in
the White House and Barack Obama is injured »
Les 1.9 millions d'abonnés au compte Twitter d'Associated Press
reçoivent le faux message posté par la SEA en le considérant comme
authentique. La réaction des marchés financiers est presque
immédiate : entre 13h08 et 13h10, l'indice principal de Wallstreet, le
Dow Jones (DJIA) perd 145 points soit l'équivalent de 136 milliards de
dollars (105 milliards d'euros) en raison notamment du trading haute
fréquence (HFT) qui a interprété et « réagi » au faux tweet. Les
actions Microsoft, Apple, Mobil perdent plus de 1% presque
instantanément. Quelques minutes plus tard, Associated Press
reprend le contrôle de son compte et publie immédiatement un
tweet annonçant que le message précédent était un faux et qu'il
résultait du piratage de son compte.

40. Le faux tweet de la SEA qui valait 136 milliards de dollars

41. En quelques minutes, tous les indices dévissent…

42. Morale : Véracité et Valeur d’impact d’une donnée sont
INDEPENDANTES

43. L’Etat Islamique (EI) a intégré l’espace numérique à sa stratégie

44. L’EI applique le « Management de la Sauvagerie », l’étape
la plus critique que franchira l’Oumma (2004 – publication
sur internet d’Abu Bakr Naji, membre d’AlQaeda).

45. L’EI s’appuie sur l’ensemble des vecteurs numériques pour diffuser
un message de terreur auprès de ses opposants, de ses ennemis, de
ses propres troupes et de ses futures recrues.
La mise en ligne de milliers de vidéos d’exécutions sommaires, de
décapitations, et d’actes contraires à la convention de Genève
révèle aux ennemis de l’EI comment ils seront traités lorsqu’ils
seront capturés. Il s’agit d’une stratégie militaire très ancienne mais
efficace pour se montrer plus puissant qu’on ne l’est…).
Par ses vidéos postées sur tous les supports disponibles, l’EI montre
à ses combattants qu’elle est une organisation « sans pitié », qui ne
craint personne et qui peut tenir tête à l’ensemble de la
communauté internationale.

46. Il existe des milliers de comptes « pro-EI » sur Twitter. Depuis un an
Twitter les supprime en général au bout d’un ou deux jours. Ils sont
ensuite immédiatement recréés sous un autre nom par leurs
titulaires.
Une lutte pour la persistance de l’information est engagée entre les
combattants (et cybercombattants) de l’EI et les équipes de
modération de Twitter, Facebook, Youtube, Google, LinkedIn…
Une vidéo d’exécution de prisonniers postée sur Youtube est
supprimée en moins d’une heure aujourd’hui. Il faut donc la
dupliquer rapidement et la stocker sur d’autres supports (peu ou
pas maintenus, dans le Cloud) tout en assurant sa promotion par
des liens mis à jour. C’est typiquement un contexte de duel
algorithmique dans lequel on cherche à maximiser d’un côté la
durée de vie d’une information et de l’autre à la minimiser…

47. Cyber-subversion, Cyber-manipulation,
& Cyber-renseignement

48. Cyber-subversion, Cyber-manipulation,
& Cyber-renseignement
On voit apparaitre des opérations de cybermanipulation et
cybersubversion complexes, efficaces, qui s’inscrivent dans la durée.
Elles s’appuient toutes sur des structures de données fictives.
Cf. article : « Les structures de données fictives utilisées en ingénierie sociale » Revue
de la Gendarmerie Nationale N° 254 – décembre 2015 -
https://fr.calameo.com/read/002719292cc116672a5f7?page=79https://fr.calameo.com/read/002719292cc116672a5f7?page=79
Exemple récent : l’OP Newscaster 2011(?) - 2014
Type : cyber-renseignement
Supervision : Iran (selon étude iSight Partners)
Cibles : USA, Israël, CE (?)
Plus de 2000 individus impactés.

49. NewsOnAir : un site d’information fictif

50. Une architecture complexe qui s’inscrit dans la durée…

51. Les ingrédients de l’Op Newscaster
- Un site d’information avec une Rédaction fictive
- Un noyau cohérent construit sur un réseau de profils fictifs
(la Rédaction du journal)
-La confiance qui s’installe sur le long terme avec les lecteurs
et les futures cibles
Newscaster a ciblé des décideurs, des officiers, généraux,
amiraux américains, des membres du congrès.
C’est aussi la réponse iranienne à l’opération Stuxnet :
La ruse perse projetée sur l’espace numérique.

53. Comment va évoluer le hacking ?

54. L’augmentation des puissances de calcul, le déferlement
des objets connectés, la montée en puissance de
l’autonomie des systèmes et de l’IA fournissent de
nouvelles portes d’entrée aux hackers.
La convergence NBIC (Nanotechnologies, Biotechnologies,
Informatique, Sciences Cognitives) transforme la nature
des attaques en rapprochant les espaces numérique et
physique.
La convergence NBIC induira certainement le neuro-
hacking…
Comment va évoluer le hacking ?

55. Nos projections algorithmiques deviendront alors la
cible de cyberattaques massives.
Les individus seront physiquement impactés.
Le niveau global de cyberconflictualité augmentera
de façon exponentielle, accompagnant l’élévation
de l’IA et le mouvement de convergence NBIC…
Comment va évoluer le hacking ?

56. 3 - La robotisation du champ de bataille

57. La robotisation du champ de bataille touche aujourd’hui toutes les
armées, petites et grandes.
Les américains sont les leaders dans le domaine des drones
d’observation et de combat. Ils ont d’ailleurs fondé leur doctrine de
lutte contre le terrorisme sur l’utilisation de ces drones en
Afghanistan, dans les zones tribales du Pakistan, en Irak, en Libye, au
Mali et au Nord Cameroun.
Prédator tirant un
missile Hellfire

58. Defense Advanced Research Projects Agency

63. Du côté de la Fédération de Russie…

64. Les systèmes d'armes semi-autonomes et autonomes
seront largement employés par les troupes russes d'ici
2018. Ils devraient représenter plus de 30 % de
l'ensemble du matériel mis en service d'ici 2025.
Le Général Valeri Guérassimov, chef d’État-major des
forces armées de la Fédération de Russie et vice-ministre
russe de la Défense vient de déclarer que son pays
cherche à développer des unités de combat robotisées
capables d'intervenir sur toutes les zones de crises.

65. L’Unité de combat robotisée Platform-M

66. Robot sentinelle russe Volk-2

67. Robot démineur russe Ouran-6

68. Robot russe Argo
Poids : environ 1000 kg ; dimensions : longeur 3,4m ; largeur 1m ; hauteur 1,65m
Vitesse de déplacement 20km ; durée opérationnelle : 20 heures ;
Armement : mitrailleuse, grenade anti-char RPG26, grenades RSG2

69. Robot tireur russe Strelok

70. Char russe T14 Armata
A tourelle automatisée – vers une « dronification » du T14

71. A la frontière des deux Corées : SGR A1 développé par Samsung

72. La « dronification » et la robotisation font évoluer les systèmes
d’armes vers la semi-autonomie puis vers l’autonomie.
Cette évolution pose des questions à la fois éthiques et
stratégiques.
L’intelligence artificielle occupe désormais un rôle central dans la
révolution de l’armement moderne. Elle participe à la projection du
combat sur l’espace numérique.
Le problème du contrôle du système d’arme, transféré sur le
cyberespace, nous interroge à nouveau sur les risques de hacking et
de détournement.
Les défis technologiques et les enjeux stratégiques ne doivent
pas être sous-estimés… Ils engagent notre sécurité.

73. Merci
Retrouvez-nous sur
http://cyberland.centerblog.net/
http://echoradar.eu/
Sur Twitter :
https://twitter.com/echo_radar