L`armée de l`Air face à la menace d`un “cyber Pearl

L’armée de l’Air face à la menace
d’un “cyber Pearl Harbor”
Par Gaëtan Sciacco
La patrouille
Il est sept heures du matin lorsque deux Rafale F3 biplace de l’armée de l’Air
appartenant à l’escadron 1/7 Provence décollent, postcombustion hurlante. Basés à près de
9 000 kilomètres de leur port d’attache,1 les équipages vont prendre leur tour de patrouille
dans une mission d’appui aérien rapproché (close air support – CAS), au profit des forces
au sol. Ces dernières sont engagées par une coalition de pays, sous mandat de l’ONU, pour
combattre un ennemi menaçant la stabilité de toute une région.
Il faut dire que depuis quelques décennies, l’aviation est bien devenue l’instrument
privilégié des autorités confrontées à une crise émergeant à l’autre bout de la planète. Son
utilisation est d’abord un signal politique fort envoyé au camp adverse. En outre, le vecteur
aérien apporte des bénéfices majeurs en termes de vitesse, d’allonge, de puissance, de
précision, de gradation et de réversibilité. Enfin, l’avion réduit, sans la faire disparaître,
l’empreinte à terre, “no boots on the ground ”, comme disent les militaires américains. Car
même si, comme au Moyen-Âge, la guerre est redevenue une affaire de professionnels,
l’intervention aérienne rend les engagements tolérables pour des opinions publiques
occidentales réticentes à tout envoi de troupe in situ.
Les deux appareils multi-rôles frappés des cocardes tricolores emportent chacun
quatre bombes propulsées AASM (Armement air-sol modulaire).2 Compatible avec des
distances de sécurité de plus de 60 kilomètres, cet armement, de type “tir et oublie” (fire
and forget), permet des frappes de très haute précision.3 Autonome et insensible au
brouillage, l’AASM est un dispositif interopérable et modulable grâce à différents kits de
guidage. Pour leur propre défense et celle de leurs ravitailleurs, les Rafale sont aussi
équipés de missile air-air Mica IR.4
Leur altitude de croisière atteinte, les pilotes sont aux ordres d’un J ATC (Joint
Terminal Attack Controller), une équipe de contrôleurs terrains qui gère l’espace aérien,
vérifie le tir d’appui et assure la coordination entre fantassins et aviateurs. Les échanges
radio sur fréquence cryptée sont incessants entre le sol et les avions placés en attente. Le
Rafale est connecté au réseau de données tactiques dit “Liaison 16” (L16) adoptée par
l’OTAN pour l’échange de données en temps réel entre tous les appareils ou stations
1
L’escadron est stationné sur la BA113 de Saint-Dizier.
L’AASM ou A2SM de Sagem Défense Sécurité a été qualifié par la DGA le 3 avril 2013.
3 Dans sa version guidage inertiel hybridé INS/GPS, la précision est décamétrique ; dans un mode de guidage
INS/GPS/Infrarouge, elle est de l’ordre du mètre.
4 Le Mica est un produit de la société M BDA. Il existe en deux versions, l’une à guidage électromagnétique
(EM) et l’autre à guidage infrarouge (IR).
2
Publié in Res Militaris (http://resmilitaris.net), hors-série “Cybersécurité”, juillet 2015
Res Militaris, hors-série “Cybersécurité”, juillet 2015
2
terrestres appartenant à cette organisation. En plus de ces communications, les équipages
français contactent régulièrement un AWACS5 de l’US Air Force pour connaître la situation
des autres vecteurs aériens circulant dans leur zone.6 L’adage anglais “no information, no
war” prend là tout son sens.
Le temps passe, et toujours pas de mission (task). Il est temps de songer à se
ravitailler en carburant. Le radar RBE2-AESA7 du Rafale lui permet de suivre toutes les
machines croisant dans un espace aérien, parfois en limite de saturation du fait des
nombreux aéronefs en action (ravitailleurs, appareils de guerre électronique, PC volant,
hélicoptères, drones…). Le navigateur repère donc rapidement le C135FR de l’escadron
2/91 Bretagne. Les deux jets réduisent leur vitesse à 300 nœuds (550km/h) et se calent
sous le Boeing nourricier qui déroule ses tuyaux flexibles. Les pilotes, qui ont répété cette
manœuvre délicate à maintes reprises, accrochent le panier de ravitaillement et le précieux
carburant vient remplir leurs réservoirs : la mission se gagne aussi avec du pétrole – “no
gas, no war”. Cette opération se répétera plusieurs fois jusqu’au posé final.
Soudain, le JATC annonce un accrochage (Troop in Contact – TIC) proche et “task”
la patrouille. Le pilote a tôt fait de mettre le cap sur le lieu des combats distant de 160
kilomètres, parcourus en moins de dix minutes. Dans ce laps de temps, le navigateur
pianote sur son UMPC8 la combinaison alphanumérique donnant accès aux informations
terrain. Quelques secondes d’attente et les images satellites apparaissent à l’écran, donnant
précisément la situation de l’objectif.
Les Rafale sont sur zone. Pas de précipitation, l’équipage procède d’abord à une
évaluation de la situation. Les coordonnées GPS de la cible fournies par le J ATC sont
saisies dans le système de navigation des AASM. Ils sont vérifiés et revérifiés pour être
certain de ne pas frapper une position alliée ou la population civile. Les choses sont claires.
À 10 kilomètres de l’objectif, l’autorisation de tir (clear hot) est prononcée. Le pilote
sélectionne sa munition et retire les sécurités armement. Un dernier virage pour se placer
dans l’axe d’attaque idéal et il presse la gâchette située sur le mini-manche, à droite dans le
cockpit. La bombe se décroche et file, complètement autonome, vers son but. Trente
secondes s’écoulent avant qu’elle n’atteigne l’objectif et une minute plus tard le JATC
confirme une frappe réussie (target splash). Le “TIC” est fermé et les chasseurs peuvent
reprendre leur patrouille en attendant un nouvel appel. La mission sera débriefée, aussitôt
que rentrée, avec le service de renseignement.
Voilà un résumé très simplifié de ce que peut être une mission de combat en appui
tactique, telle qu’elle a été et est encore menée sur divers théâtres : Afghanistan, Libye ou
5
AWACS pour Airborne Warning and Control System.
À 9000m d’altitude, un AWACS est en mesure de contrôler un espace aérien de 310 000 km².
7 La dernière version du RBE2 de Thales est dotée d’une antenne dite active (Active Electronically-Scanned
Array), juxtaposition de modules qui se comportent comme autant de radars autonomes aux ordres d’un
calculateur central.
8 Ultra Mobile Personal Computer : tablette donnant accès à des cartes aéronautiques, photos satellites ou
aériennes. Elle permet de visualiser et localiser l’objectif dans son environnement géographique et tactique.
6
Res Militaris, hors-série “Cybersécurité”, juillet 2015
3
Mali.9 Ces opérations, et d’autres dont il serait trop long de retracer les étapes ici, relèvent
d’une doctrine définie et mise en œuvre aux États-Unis à la fin des années 80, connue sous
le nom de “network-centric warfare” : conflit info-centré. Une des spécificités de ce
nouvel “art de la guerre” est d’être largement favorisé par l’utilisation du cyberespace.
La guerre
Apparues durant le premier conflit irakien en 1991, les guerres de type info- ou
réseau-centré, sont devenues le modèle d’engagement des armées occidentales du début du
21e siècle.10 Cette nouvelle matrice vise à faire opérer ensemble tous les organes intervenant dans les domaines du commandement, de la conduite et du contrôle des opérations.
Cela inclut les fonctions d’observation, de renseignement et de surveillance par voie aérienne,
navale et terrestre. Le concept repose sur un continuum numérique sans précédent, formé
de télécommunication radio ou filaire (câbles sous-marins), de géolocalisation (GPS),
d’écoute électronique, de brouillage, de cryptage/ décryptage, d’analyse et de simulation
reposant sur un maillage planétaire et exo-atmosphérique. Il reflète, sur le plan militaire, la
mondialisation des sociétés contemporaines. Toute idée de centre a disparu pour laisser
place à un quadrillage où chaque nœud est un cœur au sein de la toile qui parcourt le globe.
Le monde est réticulaire11 et le domaine de la défense n’échappe pas à ce principe.
Cette doctrine a donné naissance à une terminologie et des acronymes, le plus
souvent anglais, où la lettre C prédomine : C comme contrôle, communication, commandement, opération combinée, computer… On parle volontiers de C4ISTAR (Computerized
Command, Control, Communication, Intelligence, Target Acquisition and Reconnaissance),
de CAOC (Combined Air and Space Operations Center) ou de C3I (Command, Control,
Communication and Intelligence12).
Pour conduire des opérations extérieures (OPEX) de cette nature, l’armée de l’Air
s’est dotée d’un ensemble de plates-formes, capables d’assumer le panel complet des
missions au service de toutes les composantes engagées sur le terrain. Ces moyens croisent
à tous les niveaux, de l’espace proche aux très basses altitudes.
En orbite polaire et héliosynchrone à 700 km au-dessus du globe, les satellites
Helios II13 sont les “yeux” des militaires. Leur instrumentation permet de couvrir le
domaine du visible et de l’infrarouge. Du point de vue tactique, les images fournies
permettent la planification, la conduite des opérations et la préparation des missions :
évaluation de la menace et des dommages de combat, cartographie, visualisation 3D pour
le guidage terminal des missiles. Depuis 2011, les deux satellites du programme dual
9
Cf. Capitaine Romain, Scénario librement inspiré des témoignages : Rafale en Afghanistan, Toulouse,
Éditions Cépaduès/ Vario, 2008 ; Frédéric Lert, Pilotes en Afghanistan : Des aviateurs au combat, LevalloisPerret, Éditions Altipresse, 2009.
10 Michel Forget (général), Nos forces aériennes en OPEX : un demi-siècle d’interventions extérieures, Paris,
Economica, 2013, p.89.
11 Est réticulaire (du latin retis, rets ou filet) ce qui forme un réseau ou ce qui se rapporte à un réseau.
12 Intelligence au sens anglo-saxon peut se traduire par renseignement ou veille.
13 Les satellites Helios IIA et IIB ont été lancés en 2004 et 2009.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
4
(civilo-militaire) Pléiades14 viennent compléter ce dispositif. Ces petits instruments (1 000
kg chacun) sont très agiles. Ils peuvent changer rapidement d’orientation afin d’effectuer
des prises de vues à très haute résolution (50 cm) dans toutes les directions. Leur
positionnement à 180° sur la même orbite polaire basse (694 km d’altitude) permet la
revisite quotidienne d’un objectif en tout point du globe.
L’armée de l’Air joue un rôle important dans l’exploitation des informations
fournies par Helios et Pléiades puisque lui revient la tâche du contrôle opérationnel des
systèmes, ainsi que la gestion des stations terrestres des programmes. Ces activités sont
assurées par le Centre militaire d’observation par satellites (CMOS)15 créé en septembre
2003, et installé sur la BA110 de Creil. Cet organisme, qui dépend du Commandement des
forces aériennes, agit en tant que prestataire de service. Il diffuse les images satellitaires à
ses clients : Direction du renseignement militaire (DRM), Direction générale de la sécurité
extérieure (DGSE), et bien sûr les trois armées.
Restons dans l’espace, mais en orbite géostationnaire cette fois, pour évoquer les
satellites Syracuse 3A et 3B.16 Ils sont “au cœur des opérations info-centrées, en assurant
un transfert des flux d’information de bout en bout”.17 Relié à plus de 500 “segments sol
utilisateurs” (SSU), Syracuse raccorde les réseaux tactiques des zones d’opération avec les
réseaux d’infrastructure, en métropole ou à l’étranger, à terre comme sur mer18. Les deux
systèmes, bénéficient, par rapport à leur prédécesseur (Syracuse 2), d’améliorations
importantes en termes d’augmentation de débit de transmission, de souplesse d’utilisation,
de protection (résistance aux brouillages) et de sécurisation (chiffrement des informations).
De retour dans l’atmosphère, retrouvons deux machines emblématiques de la guerre
info-centrée. Les Transall C160G Gabriel19 assurent les missions de veille stratégique
depuis 1989. Mis en œuvre par l’escadron électronique aéroporté EEA 00.054 Dunkerque,
basé à Évreux, ces “espions du ciel” sont des plates-formes de guerre électronique chargées
du recueil des renseignements d’origine électromagnétiques (ROEM).20 Ils sont équipés de
système ELINT (Electronic Intelligence) et COMINT (Communication Interception) afin de
capter les signaux de radars très perfectionnés.
À côté des “Gaby”, et plus de 20 ans après leur mise en service, les systèmes de
détection et de commandement aéroporté (SDCA) E3F AWACS21 appartiennent à la
catégorie des plates-formes C2 (Command & Control). Les quatre Boeing sont regroupés
au sein de l’Escadron de détection et de contrôle aéroporté (EDCA) 00.036 Berry, basé à
14 Pléiades
1A a été lancé le 17 décembre 2011, suivi le 1 er décembre 2012 de Pléiades 1B.
15 Le CMOS a été baptisé escadron 1/92 Bourgogne en juin 2014.
16 Système de radiocommunications utilisant un satellite, Syracuse 3A et 3B, ont été lancés en 2005 et 2006.
17 Lancement du satellite Syracuse 3B, Ministère de la Défense, Dossier d’information, août 2006, p.13.
18 Illustration de la nécessaire coopération dans ce domaine, la France avec Syracuse, la Grande-Bretagne
avec Skynet et l’Italie avec le système Sicral, partagent depuis septembre 2004, avec les pays membres de
l’OTAN, une partie de leurs capacités de communication spatiale.
19 Gabriel pour Groupement Aérien de Brouillage, Recherche et Identification Électronique.
20 On parle en anglais de SINGIT pour Signals Intelligence.
21 Les AWACS sont opérationnels depuis le ler janvier 1992 dans l’armée de l’Air.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
5
Avord. Cette formation est rattachée à la Brigade aérienne du contrôle de l'espace (BACE),
dépendant du Commandement des forces aériennes (CFA).
L’AWACS, surmonté de son rotodôme, assume les missions de défense aérienne en
apportant une couverture radar homogène et sans discontinuité à très basse altitude et
longue portée. Son système “Electronic Support Measure” (ESM) lui permet de capter les
signaux émis par les radars de surveillance, de poursuite et de conduite de tir. Par l’analyse
de leurs spectres électromagnétiques, il identifie les menaces aériennes, maritimes ou les
batteries sol-air. En opération, l’E3F est pourvoyeur d’information pour tous les appareils
amis évoluant dans son périmètre, leur offrant une perception complète de l’environnement
dans lequel ils se situent. En zone de patrouille, le SDCA devient le poste avancé de
contrôle aérien et guide les avions de combat vers leurs objectifs, leur permettant de rester
en mode silence radar.
Depuis le retrait du service du Mirage F1CR,22 les missions de reconnaissance
aérienne tactique sont prises en charge par les Rafale F3 de l’armée de l’Air et de
l’Aéronavale, dotés de la nacelle AREOS Reco-NG.23 Ce système de reconnaissance de
nouvelle génération appartient à la composante renseignement opératif du système de force
C3R (Commandement, conduite, communications et renseignement). La nacelle Reco-NG
permet le recueil d’images numériques dans une large plage de distances, de vitesses et
d’altitudes, grâce à ces capteurs optiques. Elle opère dans les deux domaines du visible et
de l’infrarouge, pour réaliser des prises de vue de jour comme de nuit. Les données
récoltées peuvent être transmises en temps réel aux analystes et interprétateurs photos via
des stations de réception mobiles et aérotransportables. Ce matériel a subi son baptême du
feu durant l’opération Agapanthe (novembre-décembre 2010), qui a vu le déploiement du
groupe aéronaval réunit autour du porte-avions nucléaire Charles de Gaulle en mer
d’Arabie, au bénéfice des troupes engagées en Afghanistan.
Achevons ce tour d’horizon des instruments aériens de la guerre info-centrée par
évoquer un agent récemment arrivé sur le champ de bataille: le drone. Croisant au-dessus
de 15 000 mètres, les UAV24 de type MALE (moyenne altitude – longue endurance),
présentent des avantages indéniables au regard de leurs capacités opérationnelles : permanence sur le terrain,25 rayon d’action supérieur à 500 kilomètres, transmission en temps réel
des informations accélérant la prise de décision. Ces équipements n’ont cessé de prendre
de plus en plus de place, au point de devenir une composante à part entière de la panoplie
des forces armées dans les missions de renseignement, surveillance et reconnaissance
(Intelligence, Surveillance & Reconnaissance – ISR). Certains peuvent même être armés.
22
Cet appareil mis en service en 1983 a pris sa retraite le 13 juin 2014.
23
Cette nacelle mise au point par Thalès Optronique, a été qualifiée en octobre 2009 pour entrer en service
opérationnelle le 29 novembre 2010.
24
Unmanned aerial vehicle.
25
Leur autonomie est de 24 à 48 heures.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
6
L’armée de l’Air met actuellement en œuvre deux types de drone MALE. Le
rebaptisé Harphang, est entré en service le 1er juillet 2009, au sein de l’escadron
1/33 Belfort, basé à Cognac. Il emporte une boule optronique capable de filmer en
condition diurne/ nocturne et un radar pour détecter tous les mouvements à terre. Depuis
janvier 2014, l’armée de l’Air dispose de MQ-9 Reaper. Cette machine est deux fois plus
rapide et vole deux fois plus haut que l’Harphang. Elle rend le recueil d’information
persistant grâce à son autonomie de plus de 30 heures. Les premiers Reaper ont été
déployés à Niamey (Niger) pour surveiller la zone sahélo-saharienne.
SIDM,26
Tous ces appareils sont reliés entre eux par des canaux satellitaires, radios ou
télécom. Parmi tous ces réseaux, les liaisons de données tactiques (LDT), sont le système
nerveux des opérations aériennes. Elles permettent de partager les renseignements collectés
sur le terrain et de créer une “bulle” informationnelle, où chacun dispose d’une meilleure
compréhension de la situation générale (Situation Awareness – SA). Au sein de l’Alliance
Atlantique, la « Liaison 16 » (L16) incarne cette interconnexion qui instaure un dialogue
numérique entre tous les aéronefs ou les personnels au sol, qu’il s’agisse des contrôleurs
aériens avancés (Forward Air Controller – FAC), ou de la cellule de commandement et de
contrôle des opérations.
La guerre info-centrée rend l’aviation plus exposée que toute autre force aux attaques
cybernétiques. La dépendance des armées modernes et tout particulièrement des forces
aériennes à l’égard des systèmes C4ISTAR (géolocalisation, observation à toute altitude,
collecte de renseignements, acquisition de cibles, transmission de données, précision des
frappes…) rend toutes menaces exercées dans le cyberespace particulièrement redoutables.
Alors se pose immanquablement la question : et si, à l’image de la flotte américaine
du Pacifique, le 7 décembre 1941, l’armée de l’Air était frappée de cécité, incapable de
communiquer, de se projeter, attaquée dans le cyberespace, assisterait-on à un “cyber Pearl
Harbor” dont l’aviation aurait beaucoup de mal à se relever ?
La menace
L’ensemble des vecteurs mis en œuvre par l’aviation : l’avion de combat et son
système d’armes, les appareils d’observation et de renseignement (satellites, avions de
guerre électronique ou drones), les systèmes d’information (SI) de commandement et de
conduite des opérations…, reposent sur des moyens habités et animés par l’électronique et
l’informatique. Cela rend ces instruments extrêmement vulnérables aux agents de la
cyberguerre. Nul besoin pour les agresseurs d’investir dans de lourds moyens pour contrer
la suprématie aérienne (flottes d’intercepteurs ou moyens anti-aérien, missiles à courte ou
moyenne portée). Il leur faut s’assurer la maîtrise du développement d’outils logiciels
complexes et onéreux (programme informatique, capacité de brouillage ou de saturation
des réseaux…) pour, a minima, perturber les forces de la troisième dimension, les rendre
aveugles, voire les annihiler avant même qu’elles n’aient décollé pour accomplir leur
26
Système intérimaire de drone MALE.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
7
mission. Ces menaces de nature protéiforme, permanentes et évolutives, peuvent atteindre
tous les segments de cette chaîne numérique.
Contrairement aux idées reçues, les agressions directes contre les systèmes d’exploitation des aéronefs ne sont pas les plus à craindre. À ce niveau, les connexions physiques
par câbles ou par cartouche (clés USB), sont bien sécurisées. D’après les experts, c’est
plutôt une frappe à l’encontre de l’environnement technologique des appareils qui est à
redouter. Les logiciels de préparation de missions, de transmission des instructions de vol
et de maintenance, sont aujourd’hui des points de vulnérabilité. Cela est d’autant plus vrai
qu’un certain nombre de briques technologiques de ces matériels proviennent du monde
civil.27 Ce sont les mêmes qui, installées sur les ordinateurs de monsieur-tout-le-monde
subissent quotidiennement des milliers d’agressions.28 Le vocable médical d’“hygiène
informatique” est d’ailleurs volontiers adopté pour se prémunir contre ces menaces à
prendre en compte bien en amont de leur intégration.29
L’exemple le plus flagrant de ce type d’attaque à l’encontre des forces françaises
est sans doute l’infection via Intramar, le canal interne de la Marine nationale, des réseaux
du ministère de la Défense les 15 et 16 janvier 2009. Le virus Downadup/ Conficker,
exploitant une faille du service serveur de Windows,30 a semble-t-il touché par ricochet
certains systèmes d’armes, allant jusqu’à immobiliser momentanément les Rafale M et
bloquer les ordinateurs de la base aérienne BA107 de Villacoublay,31 qui abrite entre autres
le Commandement des forces spéciales (COS) et des unités de transmission dépendant de
la DIRISI Île-de-France.32
Même si les progiciels sont bien “étanches”, les cybercriminels peuvent profiter des
défauts de la cuirasse que sont les interconnexions aux réseaux, Internet bien sûr, mais
aussi et surtout interalliés. Ces liens, vitaux pour l’échange d’information, présentent de
réelles faiblesses pour les forces aériennes, tant leur contrôle se heurte à la question de
confiance et de maîtrise technologique de tous les acteurs. Pour achever ce tableau (non
exhaustif) des menaces, n’oublions pas de dire que c’est encore l’humain qui est le véritable
talon d’Achille du cyberespace. Il est en effet communément admis que 80% des fuites de
données ou des négligences sont le fait de personnes autorisées.33
27
En octobre 2013, la DIRISI (voir note 29 ci-dessous) a renouvelé le contrat avec Microsoft pour l’utilisation
d’une banque de logiciels par le ministère de la Défense. Lire à ce propos l’article de Reynald Fléchaux, “Le
ministère de la Défense poursuit sa lune de miel avec Microsoft”, LeMagiIT, 18 avril 2013 :
http://www.lemagit.fr/actualites/2240200398/Le-ministere-de-la-Defense-poursuit-sa-lune-de-miel-avec-Microsoft.
28 Sénat, Rapport d’information n°681, fait au nom de la Commission des Affaires étrangères, de la Défense
et des forces armées sur la cyberdéfense, Jean-Marie Boeckel, 18 juillet 2012, p.31.
29 C. Brustlein, E. de Durand & E. Tenenbaum, La suprématie aérienne en péril : Menaces et contre-stratégie
à l’horizon 2030, Paris, La Documentation française, 2014, p.105.
30 La faille dont fait l’objet le Windows Server Service a été corrigée en octobre 2008.
31 Cf. http://www.silicon.fr/le-virus-conficker-touche-la-marine-francaise-et-ses-rafales-33931.html.
32 La Direction Interarmées des Réseaux d’Infrastructure et des Systèmes d'Informations (DIRISI) de la
Défense, est un service interarmées dépendant du Chef d’État-Major des Armées (CEMA). Elle est
l’opérateur unique des systèmes d’information et de communication (SIC) du ministère de la Défense.
33 Compte-rendu, séminaire “Cyberconflictualité et forces armées”, DGA, École des transmissions, 2014.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
8
Déni d’accès et interdiction de zone,34 “désanctuarisation” ou aveuglement et
saturation (A&S), les modes d’action cybernétique se déclinent à l’aune des stratégies
antiforces aériennes. Quel que soit l’échelon spatial ou fonctionnel engagé, le but est
toujours identique, réduire ou annihiler l’impact de l’aviation sur un théâtre d’opérations.
Selon l’axe adopté, les coups portés revêtent maints aspects et frappent des cibles variées :
industrie aéronautique, bases de défense, centres de contrôle et de défense aérien, postes de
commandement ou de coordination… L’ennemi peut mener une guérilla informatique pour
exploiter les failles des réseaux, saturer de données les ordinateurs, brouiller les ondes du
spectre électromagnétique qui portent les informations, propager virus et cheval de Troie,
franchir les “trous d’air” dresser pour les arrêter, usurper les identités, saboter les réseaux
interconnectés…. Les effets sont dévastateurs: vol de données, désorganisation de la conduite
des opérations, neutralisation des systèmes de détection, jusqu’au potentiel blocage au sol
des avions. Le cas des plates-formes non habitées est encore plus problématique. Leur
dépendance à l’égard du système d’information, pour le pilotage, l’observation et la
transmission des renseignements recueillis, les met en première ligne de la menace
cybernétique. Pour l’exemple, l’Iran affirme, en décembre 2011, être parvenu à faire
atterrir un drone furtif américain RQ-170 Sentinel alors que celui-ci menait une mission
d’espionnage au-dessus d’une centrale nucléaire.
Voilà bien le véritable cauchemar des états-majors, que les avions soient incapables
de prendre l’air, les missiles stoppés net dans leur course ou les drones détournés lors de
leurs interventions. Les attaques cybernétiques offrent on le voit un champ de
confrontation quasi illimité et peuvent causer des dégâts irréversibles en s’attaquant aux
intérêts vitaux d’une nation, à ses forces industrielles et militaires. Il en résulte que ce
milieu doit être pris en compte et que des solutions, défensives mais aussi offensives,
doivent être apportées. L’armée de l’Air, avec ses spécificités, ne peut délaisser ce nouveau
terrain de conflit. Au même titre que la supériorité aérienne est devenue une condition sine
qua non de la manœuvre aéroterrestre, le contrôle du cyberespace fait dorénavant partie
des missions des aviateurs, car prendre le réseau c’est prendre le pouvoir.
Les remèdes
Le cyberespace est bien, après la terre, l’air, la mer et l’espace, le cinquième
élément, dans lequel la Défense nationale se doit d’agir pour assurer la “posture permanente
de sécurité” (PPS). Comment se protéger d’un ennemi invisible, qui peut prendre les
aspects les plus divers, et porter l’estocade à tout moment et en tout lieu ? Pour répondre à
cette question, l’aviation s’est dotée de structures, de moyens et de compétences à même
de faire face à ces menaces.
Mais pour commencer, observons ce qui s’est fait outre-Atlantique. Aux États-Unis,
initiateur du concept de network-centric warfare, la doctrine militaire a progressivement
intégré le cyberespace comme terrain d’action à part entière, jusqu’à la création d’un Cyber
34
Anti-Access/Area Denial ou A2/AD.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
9
Command35 en mai 2010. Mais c’est l’US Air Force qui a été la plus précoce en la matière.
Elle annonce, dès novembre 2006, la constitution d’un grand commandement : l’USAF
Cyber Command (AFCyber). Contraints de renoncer à ce projet,36 les aviateurs américains
n’en créent pas moins, le 18 août 2009, la 24th Air Force qui doit “operate, extend, and
defend the Air Force Information Network, defend key mission systems, and provide full
spectrum cyberspace capabilities for the joint warfighter in, though, and from
cyberspace”.37 Cette unité constitue l’apport de l’aviation à l’USCyberCom.38 La nouvelle
devise de l’USAF, “To fly, fight and win in air, space and cyberspace”, est révélatrice de la
prise en compte de ce nouveau théâtre d’opérations.
Comme son homologue américain, l’armée de l’Air s’est très tôt attelée à relever le
défi cybernétique. Il est vrai que les caractéristiques des espaces aériens et cyber sont assez
voisines : absence de frontières géographiques, vitesse de déplacement des principaux
vecteurs, fluidité des milieux, technologies de pointe engagées…39 Cela a rendu les
aviateurs plus sensibles au domaine de la cyberdéfense.
Dès 1992, une équipe d’évaluation de la vulnérabilité des systèmes d’information
(EEVSI)40 est créée au sein du CASSIC.41 Elle est chargée de former les personnels à
l’identification des intrusions sur les réseaux informatiques. Elle mène également des
audits sur la sécurité des systèmes d’information (SSI) dans un cadre interarmées.
Aujourd’hui, les aviateurs prennent leur place dans la chaîne opérationnelle de la
Défense nationale. L’état-major de l’armée de l’Air compte ainsi un “officier de lutte informatique défensive” (OLID Air). Le commandement de la défense aérienne et des opérations
aériennes (CDAOA),42 qui a en charge la sûreté, la gestion de l’espace aérien et la surveillance de l’espace exo-atmosphérique, est doté d’un centre technique LID Air. Ici, des “geeks”
militaires, penchés sur leurs écrans de contrôle, guettent la moindre trace d’intrusion.
Une autre organisation rattachée à l’aviation, est au cœur de la cyberdéfense. Il
s’agit du Centre des systèmes d’information opérationnels (CSIO) et plus particulièrement
de sa composante dénommée Centre technique de lutte informatique défensive (CTLID).
Stationnée sur la BA118 de Mont-de-Marsan, cette unité est en charge du suivi et du
35
Le United States Cyber Command (USCyberCom) a été officiellement activé sur la base de Fort Meade le
21 mai 2010. Il est rattaché au commandement stratégique américain : US Strategic Command. Cf.
http://www.defense.gov/home/features/2013/0713_cyberdomain/.
36 Face à
la levée de bouclier des autres composantes de la Défense, l’USAF met fin à cette initiative en 2008.
Cf. http://www.24af.af.mil/library/factsheets/factsheet.asp?id=15663.
38 Les autres composantes naissent un peu plus tard : l’US Fleet Cyber Command le 29 janvier 2010 et l’US
Army Cyber Command le 1er octobre de la même année.
39 Aymeric Bonnemaison & Stéphane Dossé, Attention, cyber ! : Vers le combat cyber-électronique, Paris,
Economica, 2014, p.89.
37
40
Cdt. Didier Looten, De la sécurité des systèmes d’information à la lutte informatique offensive, PLAF n°3,
mai 2004, pp.45-49.
41 Commandement air des systèmes de surveillance, d’information et de communication. Cette formation a
été agrégée à la DIRISI en 2006.
42
Le CDAOA, créé en 1994, est établi sur la base BA942 à Lyon-Mont-Verdun.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
10
maintien en condition opérationnelle de la sécurité des systèmes métiers de l’armée de
l’Air. Son chef, le lieutenant-colonel Stéphane Agdaian, explique :
Nous assurons des missions de lutte informatique défensive et d’expertise,
notamment lors de la réalisation de mesures de contournement consécutives à la
détection de vulnérabilités. Nous sommes également amenés à réaliser des analyses
de sécurité dans le cadre de la recherche de vulnérabilités conceptuelles.43
Le CTLID, dépositaire du combat cybernétique pour les équipements air, sert de
point d’appui au Centre interarmées d’analyse en lutte informatique défensive (CALID).44
Dans le domaine qui nous intéresse, l’acquisition des savoirs est primordiale. Il faut
souligner l’importance de la formation des hommes et des femmes en charge de lutter dans
le cyberespace, ainsi que la mise en pratique, lors d’exercices interarmées, de cet apprentissage. La lutte est ici, comme tout engagement militaire, affaire d’opposition entre l’épée
et la cuirasse. Il est vital, face à la gamme étendue des menaces, de se doter de compétences entretenues et de procéder à des simulations pour se familiariser avec les attaques et
les techniques à même de leur résister. La création d’une première chaire de cyberdéfense
aux Écoles de Saint-Cyr-Coëtquidan en 2012, répond à ces impératifs. Elle doit être suivie
par d’autres cours de ce type, dont un au sein des écoles d’officiers de l’armée de l’Air à
Salon-de-Provence en 2015.45
En complément de tout enseignement, où la couleur théorique prédomine, vient
l’organisation d’entraînements en mesure de développer les pratiques et les réflexes. Sans
prétendre à l’exhaustivité, on peut citer l’exercice Basex46 de novembre 2013, durant lequel
les bases aériennes de métropole se sont entraînées contre les cybermenaces. Pour la
première fois, le CDAOA activait une cellule LID47 composée des personnels de l’armée de
l’Air (LID Air et CSIO) et du CALID. Mais ce sont surtout les exercices interarmées
DefNet, dont le premier volet a eu lieu à l’automne 2014, qui concentrent l’activité de
cyberdéfense. Le scénario de la seconde édition, du 16 au 27 mars 2015, associant des
acteurs des trois armées, a permis de simuler, dans un contexte international fictif, des
menaces et des attaques cyber multiples contre plusieurs sites, au plus proche de la réalité.
Pour l‘armée de l’Air, sur la base de Mont-de-Marsan, le CTLID a mis en œuvre des modes
opératoires de cyberattaques, dont les détails sont bien entendus tenus secrets. Il est à noter
43
“Unis pour faire face”, Air Actualités, Hors-série, 2014, p.23.
44
Le CALID, créé en 2011, est la pièce maîtresse des forces armées en matière de lutte dans le cyberespace.
Il est le bras armé de l’officier général en charge de la cyberdéfense (OG Cyber) et travaille en étroite
collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Centre
opérationnel des systèmes d’information (COSSI). Le CALID surveille et recherche les parades contre les
cyberattaques susceptibles de paralyser les systèmes d’armes ou détourner l’information.
45
Elisa Braun, “Entretien avec l’OG Cyber, le vice-amiral Arnaud Coustillière”, Regards sur le numérique,
22 janvier 2015 : http://www.rslnmag.fr/post/2015/01/22/La-cyberguerre-un-abus-de-langage-Interview-duVice-Amiral-Coustilliere-officier-general-a-la-Cyberdefense.aspx.
46
Deux fois par an, à l’occasion de Basex, les bases aériennes sont mises en situation opérationnelle réelle.
47
Rétrospective 2013 du CDAOA, ministère de la Défense, armée de l’Air, 2014, p 28.
Res Militaris, hors-série “Cybersécurité”, juillet 2015
11
que le pacte Défense Cyber prône l’introduction du composant cyberdéfense dans tous les
exercices des forces armées.48
Pour clore ce chapitre, mentionnons que les efforts en matière de LID, doivent être
conjugués avec la mise en place d’une politique de lutte informatique offensive (LIO),
c’est-à-dire de capacité à attaquer dans le cyberespace. Prôné par les deux derniers Livres
Blancs sur la défense et la sécurité nationale, ce volet doit conduire l’armée de l’Air à
intervenir militairement dans ce milieu, afin de garantir l’action des forces aériennes, et
s’assurer de l’état de cybersécurité de ses missions essentielles. Plus encore que la défense,
cette phase agressive fait l’objet de réflexions et d’initiatives qui demeurent confidentielles.
Conclusion
La guerre info-centrée, fille de la guerre électronique, met en relation des capteurs,
des décideurs et des systèmes d’armes, liés entre eux par un maillage de communication.
Elle produit des actions coordonnées, synchronisées et définitives, fondées sur une forte
implication aérienne et spatiale. Pensée et mise en pratique par les stratèges du Pentagone,
elle implique une “suprématie informationnelle”, accélérateur du cycle de décision. Mais le
revers de la médaille des opérations en réseau, facteur démultiplicateur des forces, est bien
leur vulnérabilité aux menaces cybernétiques, qui peuvent briser la continuité de la chaîne
opérationnelle.
Par essence, l’aviation fonde sa puissance et son efficacité sur un recours massif
aux systèmes d’information. Du capteur au tireur, cette précieuse ressource circule toujours
plus vite au travers de liaisons et de réseaux de plus en plus imbriqués, à tous les niveaux
de commandement. La corruption, même imperceptible, de ces fonctions par une cyberattaque peut entraîner de sérieuses répercussions sur la faculté de l’armée de l’Air à opérer
ses missions.
Le Livre Blanc de 2008 et plus encore celui de 2013 ont fait entrer les forces
armées françaises dans l’ère de la cyberdéfense, qui est devenue un espace de bataille à
part entière. Chaque armée doit décliner les moyens et les structures adaptés à ses propres
spécificités. “L’armée de l’Air dispose d’une véritable capacité d’intervention dans un
large spectre de crises”, réaffirmait en 2013 le général Denis Mercier, son chef d’étatmajor.49 Cela comprend bien évidemment la cybersphère. À ce niveau, les aviateurs ont
pris l’initiative de traduire leur approche au sein du plan stratégique “Unis pour faire
face”.50 Le projet Cyb’Air “inscrit la cyberdéfense dans les opérations aériennes, que ce
48
Pacte Défense Cyber : 50 mesures pour changer d’échelle, Ministère de la Défense-DGA, 2014, p.9.
Sénat, Compte-rendu de la Commission des Affaires étrangères, de la Défense et des forces armées, Loi de
finances pour 2014. Audition du général Denis Mercier (CEMAA), mardi 5 novembre 2013.
50 Lancé en 2013, le plan stratégique “Unis pour Faire Face” a pour ambition de renforcer la gouvernance du
domaine cyber dans l’armée de l’Air et de développer une stratégie d’influence pour devenir force de
proposition en la matière. Rappelons, au passage, que “Faire face” était la devise de Georges Guynemer,
reprise par l’École de l’Air de Salon de Provence.
49
Res Militaris, hors-série “Cybersécurité”, juillet 2015
12
soit dans son volet préventif, défensif ou encore offensif ”, déclare le lieutenant-colonel
Sébastien Vinçon, coordinateur cybersécurité de l’armée de l’Air.51 Ce plan quinquennal
conjugue un enseignement générique prodigué à tous les militaires, une formation d’experts
capable de penser d’autres moyens de défense ou d’attaque et le renforcement des
structures telle le CSIO, appelé à devenir centre d’expertise cyberdéfense.
Achevons notre propos par une question qui mérite d’être posée sans détour : à
l’heure où l’avion piloté est remis en cause, entre autres par le drone, se pourrait-il que
dans un avenir plus ou moins proche, les aviateurs cèdent du terrain dans la troisième
dimension, mais compensent ce phénomène par le développement d’un ascendant plus
grand sur le monde spatial et surtout sur le cyberespace ?
51
Lt. Alexandra Lesur-Tambuté, “Passage en mode Cyber”, Air Actualités, n°677, décembre-janvier 2015,
pp.28-29.