L'auteur consid・e l'application des lois comme le domaine principal dans lequel la s・urit?mondiale de l'information peut ・re renforc・. Il pr・onise l'harmonisation des lois nationales contre les attaques cybern・iques, la coop・ation multinationale pour d・ister ces attaques ?travers les fronti・es, la conclusion de trait・ internationaux sur l'extradition des auteurs de telles attaques et l'imposition de sanctions ?ceux qui prot・ent ces derniers. Selon lui, la volont?de partager des renseignements sur la recherche et le d・eloppement, les signes avant-coureurs d'attaques et les attaques elles-m・es ainsi que la r・ction qu'elles suscitent peuvent ・alement am・iorer l'efficacit?des mesures de protection de chaque pays.

Quiconque est ?la recherche d'une nouvelle raison de s'inqui・er n'a pas besoin d'aller tr・ loin. Partout, les ordinateurs et autres appareils num・iques se sont immisc・ dans notre existence. Ce qui ・ait autrefois manuel est maintenant automatique. Ce qui ・ait analogue est ?pr・ent num・ique ; ce qui ・ait isol?est d・ormais reli??tout le reste. Il s'av・e de plus en plus que nous n'avons d'autre option que de faire confiance ?l'informatique. Si elle nous faisait d・aut, nous serions perdus.

La foi qu'inspire la d・endance serait m・it・ si ces appareils ne faisaient que ce qu'ils sont cens・ faire. Certains tombent en panne d'eux-m・es et nous y rem・ions. Mais il est ・alement possible qu'ils nous fassent d・aut parce qu'ils sont tomb・ aux mains d'individus aux intentions malveillantes. Dans de telles circonstances, ils risquent non seulement de cesser de fonctionner, mais aussi de r・・er des secrets que nous leur avons confi・ ou de produire une information corrompue, ce dont on s'aper・it parfois trop tard pour annuler les mesures qu'il ont d・lench・s.

Comment s'explique cette vuln・abilit?nbsp;? Les ordinateurs sont rapides, peu co・eux, efficaces et ils oublient rarement ce qu'on leur dit. Mais ils sont aussi terriblement litt・aux et manquent g・・alement du discernement n・essaire pour comprendre les cons・uences de ce qu'on leur demande de faire ou l'honn・et?de ceux qui leur donnent de tels ordres.

Les cons・uences ・entuelles de pannes ou de corruption d・ib・・s des syst・es sont vastes. En prenant les commandes des r・eaux de base sur lesquels repose la soci・? les gens qui s'attaquent aux ordinateurs peuvent, en th・rie, ・outer les conversations t・・honiques, d・outer les connexions et compl・ement paralyser les liaisons t・・honiques ; provoquer une panne d'・ectricit?nbsp;; bloquer des mouvements de fonds portant sur les billions de dollars qui changent de main chaque semaine ; entraver les services d'urgence ; emp・her l'arm・ am・icaine de r・gir rapidement ? des crises ?l'・ranger ; r・・er des secrets m・icaux personnels ; perturber les r・eaux de transport et mettre les voyageurs en danger ; et bien d'autres choses encore. La vie telle que nous la connaissons pourrait s'arr・er.

Les attaques cybern・iques, si elles ・aient suffisamment syst・atiques, pourraient ・re une forme de guerre, d'o?la guerre de l'information ・ectronique en tant que concept. Mais prise dans son sens le plus large, la guerre de l'information, c'est-?dire une attaque dirig・ contre les processus d'information et de d・ision d'un pays, est aussi vieille que la guerre elle-m・e. De telles tactiques comprennent les op・ations psychologiques, les attaques contre l'appareil de commandement de l'ennemi, l'espionnage et le contre- espionnage, et les op・ations contre les infrastructures et r・eaux de surveillance de l'adversaire. Aux ・ats-Unis, durant la guerre de s・ession (1861-1865), il y a eu des activit・ de propagande, des tireurs embarqu・ ?bord de montgolfi・es visant des g・・aux et des observateurs, des maraudeurs arrachant les lignes t・・raphiques, des d・achements et contre-attaques de cavalerie, c'est-?dire des activit・ entrant toutes dans le cadre de la guerre de l'information. La Seconde Guerre mondiale a vu l'apparition de la guerre ・ectronique sous forme de radar, de supercherie ・ectronique, de brouillage des fr・uences radio, et m・e de codage et de d・odage assist・ par ordinateur.

Les attaques cybern・iques cadrent parfaitement avec ce concept. Si on peut d・ruire le quartier g・・al de l'ennemi ?coups de canon, qu'y a-t-il de r・r・ensible ?utiliser des moyens moins violents pour p・・rer et d・ruire les syst・es informatiques qui g・eront les batailles de demain ? ?partir de 1920, les strat・es ont pr・endu qu'en utilisant la puissance a・ienne contre des cibles civiles, on ・iterait la boucherie de la guerre de tranch・s. La guerre de l'information ・ectronique fait encore mieux.

Les soci・・ modernes sont-elles vuln・ables ? La plupart des syst・es d'information sont beaucoup moins s・s qu'ils ne pourraient ou ne devraient l'・re. Des r・eaux et syst・es de nombreux types ont ・?attaqu・ - Internet, le service t・・honique, certains services de transport, des institutions financi・es et des r・eaux d'entreprises.

Les attaques cybern・iques sont, ?tous points de vue, un grave probl・e. En fait, le Bureau f・・al d'enqu・e (FBI) des ・ats-Unis a r・emment estim?qu'elles co・aient ?l'・onomie am・icaine de un demi-milliard ?cinq milliards de dollars par an, la marge d'erreur de ce chiffre ・ant importante et tr・ r・・atrice. En effet, personne ne sait exactement combien d'attaques se produisent. La plupart des preuves sont anecdotiques et il faut donc extrapoler en recourant ? des pr・eptes populaires tels que ?nbsp;seuls les amateurs laissent des empreintes, pas les professionnels ?ou encore : ?nbsp;les gens ne veulent jamais parler de tous les torts qui leur ont ・?caus・ ? C'est pourquoi les attaques cybern・iques sont compar・s ?des icebergs, les ・ats-Unis ・ant cens・ jouer le r・e du Titanic.

C'est du moins la th・rie. Mais que nous r・erve l'avenir ? Contrairement ?ce qui se passe dans presque toutes les autres formes de guerre, il n'y pas d'infraction dans le cyberespace. Si les pirates de l'informatique (les ?nbsp;hackers ? s'introduisent dans un syst・e, ils le font en suivant des voies d・?trac・s dans ce syst・e ; certaines sont des caract・istiques et d'autres des d・auts (c'est-?dire des caract・istiques non document・s) jamais supprim・. Quoi qu'il en soit, la navigation le long de ces voies est sous le contr・e complet de la personne qui g・e le syst・e. Ceci ・ant, la vigilance suffit pour assurer sa protection.

En fait, les moyens de protection existent. Un grand nombre de syst・es informatiques op・ent ?plusieurs niveaux. Il existe des moyens de d・ister les utilisateurs ill・itimes, des verrouillages pour emp・her les usagers l・itimes de prendre d・ib・・ent ou par inadvertance le contr・e de syst・es informatiques, ainsi que des dispositifs de s・urit?qui permettent d'・iter que l'usurpation du contr・e ne cr・ un danger public.

Les pirates, pour leur part, doivent d'abord tromper un syst・e en se faisant passer pour des usagers l・itimes (en volant ou en devinant un mot de passe, par exemple), puis acqu・ir des privil・es de contr・e (souvent en exploitant des d・auts end・iques) refus・ ? la plupart des usagers courants. Gr・e ?de tels privil・es exceptionnels, ils peuvent ・iminer des fichiers cl・, y ins・er des inepties, ou encore se m・ager une petite porte qui leur permettra de p・・rer de nouveau dans le syst・e.

Il ne fait aucune doute que les d・enses dont on peut avoir besoin pourraient ・re meilleures qu'elles ne le sont en g・・al ? l'heure actuelle.

La plupart des syst・es utilisent des mots de passe pour limiter l'entr・, mais ces mots de passe ont de nombreux probl・es bien connus : trop d'entre eux sont facilement devinables, ils peuvent ・re vol・ s'ils circulent sur le r・eau, et sont trop souvent conserv・ dans des endroits pr・isibles sur un serveur. Les m・hodes cryptographiques telles que les signatures num・iques permettent d'・iter ces probl・es (l'astuce consistant ?capter et r・tiliser les messages d'acc・ ne marche pas.) Les signatures num・iques aident m・e ?assurer que tout changement apport??une base de donn・s ou ? un programme, une fois sign?・ectroniquement, permet de remonter ? son auteur, ce qui est ・alement utile si le pirate est dans la place, s'il s'agit de quelqu'un ?qui on a accord?des privil・es d'acc・ au syst・e.

Les syst・es d'ordinateurs et d'exploitation de r・eaux sont vuln・ables ?l'insertion par les pirates de programmes comme les virus (logiciels qui infectent les programmes qui, ?leur tour, en contaminent d'autres) les chevaux de Troie (logiciels en apparence utiles, mais contenant des pi・es cach・), et des bombes logiques (logiciels qui restent en sommeil jusqu'?ce qu'on les active). Les programmes de protection contre les virus peuvent ・re efficaces, mais si on craint ces derniers, pourquoi ne pas conserver tous les fichiers importants sur un dispositif inalt・able (par exemple un CD- ROM) ? Un tel dispositif peut aussi emp・her l'effacement ou la corruption de l'information par les empreintes num・iques d'un pirate en puissance. En fait, ・ant donne le faible co・ de tels dispositifs, la perte de l'information n'a plus d'excuse l・itime.

Les syst・es peuvent aussi ・re menac・ par d'autres syst・es consid・・ comme fiables. Deux pr・autions peuvent ・re prises contre ce danger : s・ectionner les syst・es dignes de foi et limiter le nombre de messages auxquels un syst・e r・gira. C'est ce que font les banques, par exemple, pour emp・her la corruption de leurs ordinateurs par les distributeurs automatiques de billets. L'ordinateur ne tient compte d'aucun message d'un distributeur qui ne serait pas une transaction l・itime. Aucune transaction l・itime ne peut corrompre l'ordinateur de la banque.

Une pr・aution finale consiste ?d・rancher les ordinateurs du r・eau. En dernier ressort, un grand nombre de syst・es informatiques (comme ceux des centrales nucl・ires) fonctionnent presque aussi bien s'ils ne sont pas reli・ au monde ext・ieur.

Jusqu'o?les propri・aires d'un syst・e doivent-ils aller ? Des mesures de s・urit?peu co・euses (filtres s・uritaires et d・ecteurs d'intrusion) peuvent para・re suffisantes pour l'environnement courant. Apr・ tout, d・enser des sommes ・ormes pour prot・er un syst・e est injustifi?si une attaque ne ferait que perturber temporairement le service. Un grand nombre d'entreprises ne s'attendent ?aucune menace grave et investissent en cons・uence. Elles ont peut-・re raison. Mais si elles avaient tort ? Si les menaces s'accentuent, les propri・aires de syst・es peuvent accro・re la s・urit? m・e ?court terme (par exemple en emp・hant les utilisateurs d'entrer dans le syst・e ?partir de chez eux ou de proc・er ?certaines man・uvres une fois entr・).

En fait, c'est pr・is・ent l'absence de bons ・・ents de s・urit? dans l'infrastructure nationale de l'information qui incite ? penser que les syst・es pourraient, en cas de besoin, ・re s・uris・ davantage. (En revanche, les moyens efficaces de d・ense contre la guerre nucl・ire ont ・?techniquement inexistants pendant des d・ennies et, s'ils existent aujourd'hui, ils sont n・nmoins tr・ co・eux.) M・e si le fonctionnement de nombreux syst・es peut ・re temporairement paralys? faire durer la panne tandis que ses gestionnaires s'emploient fi・reusement ?r・ablir les services essentiels est une autre histoire. Quiconque pense que l'infrastructure informatique des ・ats-Unis est en p・il doit savoir que la simple menace d'une attaque, si elle est prise au s・ieux, s'estompe peu apr・ avoir ・?prof・・, aussit・ qu'on y r・git.

Quel devrait ・re le r・e du gouvernement ? Les services responsables de la protection du pays au sol, sur mer, dans les airs et dans l'espace extra-atmosph・ique peuvent-ils aussi prot・er le pays dans le cyberespace ? Devraient-ils le faire ?

Le gouvernement peut ・re utile dans ce domaine, mais il y a beaucoup de choses qu'il ne peut ou ne devrait pas faire. Certes, l'・ectricit?est indispensable, mais mettre son approvisionnement ? l'abri des pirates d・end presque enti・ement de la fa・n dont les compagnies d'・ectricit?g・ent leurs syst・es informatiques. Ceci comprend le r・eau et les logiciels qu'elles acqui・ent, la configuration de ces logiciels, la fa・n dont les privil・es d'acc・ au r・eau sont accord・ et prot・・ et dont les divers m・anismes ? s・et?int・r・ et manuels sont diss・in・ ?travers le r・eau de production et de distribution des compagnies. Il est inconcevable qu'une compagnie d'・ectricit?quelconque puisse souhaiter que le gouvernement la prot・e en lui disant comment proc・er. Sur un plan plus g・・al, le gouvernement ne peut entourer les ・ats-Unis d'un coupe-feu, ne serait-ce qu'en raison de la multiplicit?des r・eaux internes qui sillonnent le globe.

Le gouvernement peut r・rimer les attaques cybern・iques, ce qu'il fait d'ailleurs, et il a remport?d'importants succ・ dans ce domaine compte tenu de l'anonymat et de l'・oignement de leurs auteurs. Jusqu'?maintenant, la plupart des attaques qui ont ・?d・ect・s et ont d・ray?la chronique ont ・?le fait d'amateurs et non de professionnels.

Le gouvernement devrait-il tenter d'enrayer la guerre de l'information ・ectronique en mena・nt ses auteurs de repr・ailles, ? supposer que l'identit?des agresseurs puisse ・re ・ablie ? Le gouvernement am・icain peut menacer l'agresseur de lui rendre la pareille, mais un grand nombre d'・ats hors-la-loi n'ont gu・e de syst・es comparables susceptibles d'・re an・ntis (La Cor・ du Nord, par exemple, n'a pas de march?financier). De m・e, il serait probl・atique de r・ondre violemment ?une attaque cybern・ique qui aurait fait perdre du temps et de l'argent ?sa victime, mais n'aurait bless?personne.

Bien que la plupart des mesures que le gouvernement peut prendre pour accro・re la s・urit?informatique soient indirectes, la Commission pr・identielle pour la protection de l'infrastructure de base et d'autres organismes ont fait les recommandations suivantes :

s'assurer que les syst・es informatiques du gouvernement soient prot・・ parce qu'ils sont importants pour la s・urit?nationale et pour l'・ablissement de normes en g・・al,

utiliser la recherche, le d・eloppement et l'acquisition des syst・es par leurs premiers usagers pour promouvoir la mise au point rapide de dispositifs de s・urit?

diffuser des avertissements en cas d'attaque imminente (? condition qu'une telle menace puisse ・re d・ect・ - ce qui n'est pas facile),

promouvoir un cadre juridique qui encourage le secteur priv?? partager son exp・ience et ses contre-mesures sur une base confidentielle.

L'adoption de telles mesures progresse, dans l'ensemble.

Malheureusement les restrictions gouvernementales existantes et celles que le gouvernement menace de prendre sur le cryptage ? d・ision formelle ont entrav?l'un des meilleurs outils qui existent pour la protection des syst・es et entam?la cr・ibilit?de l'action gouvernementale dans le domaine de les pirates de l'informatique.

Activit・ internationales : Etendre la plupart de ces mesures gouvernementales ?l'・ranger implique l'・aboration d'un programme pour guider la lutte internationale contre la guerre de l'information.

L'application des lois est un vaste domaine. L'harmonisation des lois nationales contre les attaques cybern・iques, la coop・ation nationale visant ?entraver les attaques en provenance de l'・ranger, les trait・ internationaux sur l'extradition des pirates et la volont? d'infliger des sanctions ?ceux qui prot・ent ces derniers peuvent toutes accro・re la s・urit?mondiale de l'information.

La volont?de partager les informations sur la recherche et le d・eloppement, sur les signes avant-coureurs d'attaques, les avertissements et les attaques elles-m・es ainsi que les r・ctions qu'elles suscitent peuvent ・alement accro・re l'efficacit?des mesures de protection de tous les pays. Cependant ces domaines sont souvent du ressort des agences de renseignement, qui ne sont gu・e connues pour leur transparence.

Conclusions et pronostics : Dans le monde de l'apr・-guerre froide, on assiste ?un accroissement de menaces nouvelles et peu conventionnelles (par exemple des terroristes ・uip・ d'armes nucl・ires) qui sont inqui・antes, mais jusqu'?pr・ent th・riques. La guerre de l'information en fait partie. Plus les syst・es d'information envahissent la soci・?- sa d・ense, son commerce, sa vie au quotidien - et plus leur sauvegarde rev・ d'importance. L'・entualit?d'actes de malveillance extr・e existe, particuli・ement quand ils risquent d'・re perp・r・ syst・atiquement par un adversaire disposant de gros moyens financiers. Mais ce qui frappe aussi, c'est le fait que bien que la guerre de l'information soit relativement peu co・euse, les incidents r・llement pr・udiciables ont ・?rares, jusqu'?maintenant.

Deux indices peuvent nous renseigner ?fond sur la probabilit? d'une attaque cybern・ique. L'un d'eux est la fa・n dont les gens r・giront au bogue de l'an 2000. Supposons qu'une grande partie des syst・es informatiques du monde s'effondrent ?minuit, le 31 d・embre 1999. La panique et la paralysie en r・ulteront-ils ou les gens trouveront-ils rapidement des moyens de contourner le probl・e ou de se passer pendant un certain temps de l'informatique ? Si les proc・ se multiplient, quels pr・・ents va-t-on ・ablir pour attribuer la responsabilit?des torts caus・ par l'effondrement du syst・e ?

L'autre pronostic est d'origine plus r・ente. L'auteur le plus plausible de graves actes de terrorisme cybern・ique serait quelqu'un qui n'aurait rien ?perdre (c'est-?dire pas un pays), poss・erait plusieurs centaines de millions de dollars de fonds cach・, des connaissances techniques, un r・eau d'amis malhonn・es et qui aurait un compte (r・l ou imaginaire) ?r・ler avec les ・ats-Unis ou un autre pays. Cela vous para・-il familier ? Dans l'affirmative, ce qui se passera l'ann・ prochaine montrera peut-・re si des individus ou groupes puissants pourront tenter de ruiner un pays en recourant ? la guerre de l'information ou s'ils dirigeront leurs efforts ailleurs.