Vous êtes ici

EGEABLOG

S'abonner à flux EGEABLOG
2021-07-25T11:58:56+02:00 Olivier Kempf
Mis à jour : il y a 4 jours 22 heures

La cybermenace, jusqu’au cœur des territoires (Guy-Philippe Goldstein)

lun, 29/03/2021 - 19:17

J'ai eu le plaisir de répondre aux questions de Guy-Philippe Goldstein sur la question de la cybersécurité des territoirs. IL a publié cet entretien sur son blog de l'usine nouvelle (https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324). Mille mercis à lui. OK

 

 

 

 

Au cours des douze derniers mois, le nombre, mais aussi le montant des rançongiciels a augmenté [1]. Cette chasse à l’entreprise qui peut payer le plus aurait-elle épargné les entités plus petites et plus désargentées, ou celles du public ? Non. Les collectivités territoriales sont également devenues des proies de choix. En France, la mairie de Toulouse et celle de Marseille et sa métropole ont été victimes de rançongiciels en mars et avril 2020. Après de nombreuses autres victimes, au mois de mars 2021, c’est au tour de la communauté de communes de l’Est lyonnais d’être frappée, avec une demande de rançon de 200 000 euros [2].

Parfois les conséquences dépassent les simples aspects monétaires. Nous avions évoqué sur ce blog la cyberattaque contre l’usine de retraitement d’eaux de la petite ville d’Oldsmar [3], dans la grande banlieue de Tampa, en Floride, gérée par la commune du même nom, et dont le niveau de soude caustique dans l’eau avait été manipulé à distance. Julien Mousqueton, le directeur technique de Computacenter, une entreprise britannique de services du numérique, évoque le cas emblématique de la petite ville d’Aulnoyes-Aymeries (Nord), 9 000 habitants, rançonnée pour 150 000 euros [4]. Entre autres effets, le système informatique du centre administratif de la mairie et de ses satellites (Ehpad, résidence de services, centre aquatique, école maternelle…) se sont retrouvés sans accès téléphonique, le système dédié permettant le lien téléphone étant géré par la mairie [5]. Avec des conséquences sérieuses : le système servait à relayer les appels des malades de l’Ehpad vers les téléphones mobiles des soignants. Comme le remarque Julien Mousqueton, « on ne prend pas toujours en compte tous les risques possibles. Or même une mairie peut gérer les alertes médicales d’un Ehpad. » Et c’est bien un risque tangible, « même s’il s’agissait probablement là d’un dommage collatéral, qui n’avait peut-être même pas été imaginé par l’assaillant ».

L'Institut national pour la cybersécurité et la résilience des territoires (IN.CRT) [6] a été créé en 2020 pour essayer de répondre à cette nouvelle menace. Son vice-président et fondateur, le général de brigade Olivier Kempf, également auteur d’une étude de la Fondation pour la recherche stratégique sur ce sujet (FRS) [7], a répondu à quelques-unes des questions de ce blog sur cette menace grandissante.

Quel est l’état de la menace ?

Une hausse s’est amorcée en 2019, a explosé en 2020 et se poursuit en 2021. Les cibles sont les collectivités territoriales [communes, communautés de communes, communautés d’agglomération, etc., ndla], mais aussi tous les autres acteurs des territoires, des professionnels et artisans aux PME. Ce sont bien les territoires au sens large qui sont attaqués.

Les rançongiciels semblent se focaliser de plus en plus sur les proies qui peuvent payer le plus. Pourquoi alors ces attaques sur de petites cibles ? 

Dans les territoires, nous sommes confrontés à une massification, une « fordisation », du rançonnage. Cette industrialisation est d’autant plus rendue possible que la revente de l’information est facile : on la revend directement au propriétaire initial [plutôt que sur des marchés noirs de l’exploitation de la donnée pour d’autres opérations, ndla] ! À côté de l’industrialisation, il y a également une adaptation de la grille tarifaire. Si je m’attaque à une fromagerie de l’Aubrac, je ne demande « que » 2 000 euros. C’est peu, mais multiplié par 10 000 grâce à l’industrialisation, cela permet au groupe criminel d’atteindre des chiffres intéressants.

Cela traduit-il l’existence de groupes cybercriminels qui se spécialiseraient dans ces cibles faciles, avec gain unitaire minime mais hauts volumes ?

Il y a en gros deux types de groupes qui pratiquent cette activité. Les premiers sont les groupes cybercriminels qui, à côté des opérations contre des cibles « riches », vont s’occuper de manière opportune des cibles dans les territoires – parce qu’après tout, si c’est facile, pourquoi ne pas en profiter ? Et puis il y a un deuxième phénomène, celui d’une grande criminalité classique qui se dit que là, il y a un marché pas compliqué, accessible techniquement et avec très peu de risques. Donc autant s’y mettre. Si on considère les attaquants comme des commerciaux qui cherchent de nouvelles cibles, on a d’un côté des spécialistes de niches qui veulent, sous la pression de la concurrence, étendre leur marché, de l’élitisme au « mass market ». Et on a de « grands distributeurs » traditionnels qui veulent faire « un peu de technologie » et élargissent leur gamme de prestations.

Avez-vous également observé une exploitation politique ?       

Il existe de rares exemples d’effacement de site, de rumeurs sur les maires [avec quelques campagnes d’infox locales – par exemple à Crozon (Finistère), Saint-Maur-des-Fossés (Val-de-Marne) et Metz (Moselle). À ce sujet, lire l’étude FRS [8], ndla]. Mais il s’agit là de manœuvres de subversion au niveau local, par des acteurs locaux. Nous n’avons pas encore vu d’actions organisées comparables, par exemple, à l’ingérence de la Russie dans l’élection présidentielle américaine. Les quelques cas identifiés concernent des initiatives très locales. D’ailleurs, on n’a pas, à ma connaissance, documenté d’actions significatives lors des élections municipales de 2020.

Une récente étude du Club de la sécurité de l’information français (Clusif) [9] note que 35 % seulement des collectivités utilisent le chiffrement des données. Comment expliquer ces efforts encore faibles ?

Élargissons à toutes les cibles dans les territoires. Bien souvent, elles pensent qu’elles sont trop petites pour intéresser les groupes cybercriminels. Donc elles ne font rien, elles se font agresser et elles paient. L’explosion est d’autant plus forte que le phénomène a été renforcé par le choc pandémique, qui a forcé ces acteurs à une transformation numérique brutale. Il faut bien comprendre que pour nombre de ces acteurs, penser cybersécurité s’arrête souvent avec l’achat d’un antivirus. La prise de conscience est encore très très faible, y compris auprès de nombre d’édiles, même dans les villes moyennes, voire assez grandes. La prise de conscience du sujet et des actions à mener n’est pas encore réalisée chez la plupart des responsables des territoires.

Quels sont les risques pour les administrés ?

À force de taper de manière massifiée sur toutes ces cibles, on risque de toucher à des données sensibles. Les données du cadastre, l’état civil, les registres de la cantine (y compris qui mange quoi), les données de l’expert-comptable, celles du médecin : tout ceci constitue un ensemble de données sensibles. Par exemple, imaginez un cadastre ou les registres d’un notaire sans redondance : cela serait extrêmement problématique !

Les réponses actuelles sont-elles adaptées ?

Le terrain n’a pas encore effectué sa prise de conscience. D’un autre côté, certaines organisations centrales pourraient avoir une approche trop jacobine. Des actions pourraient avoir lieu au niveau des régions, par exemple, au niveau des 13 régions métropolitaines françaises. Mais cela risque d’être encore trop élevé par rapport à des situations très locales. Les grands groupes industriels risquent quant à eux d’avoir des réponses technologiques trop sophistiquées. D’autant que le budget cyber d’une agglomération de taille significative, voire d’une métropole régionale, ne dépasse parfois pas les 10 centimes par habitant et par an (quand il y a un budget !). Dans tous les cas, nous n’avons pas de réponse efficace sur le premier enjeu, qui n’est pas une histoire de moyens ou de technologies, mais de prise de conscience. Et pour cela, il faudrait une réponse au plus près du terrain.

Quel(s) type(s) de réponses développer ?

On peut saluer les ambitions de sensibilisation contenues dans le nouveau plan cyber du gouvernement français [10]. Ce qui est important pour la suite, c’est de construire des initiatives locales pour combler certains trous et de les élargir par contagion. Par exemple, l’IN.CRT va mettre en place, avec un partenaire local qui partage ses valeurs, un bachelor de cybersécurité des territoires, avec une première promotion à la rentrée 2021. Les Britanniques offrent d’autres exemples intéressants, avec des initiatives très décentralisés établies sur la base de vrais partenariats public-privé locaux. De manière générale, il faudrait compléter la décision d’en haut en encourageant une diffusion locale par une stratégie en peau de léopard.

 

 

[1] https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/cybersecurite-2021-pire-que-2020.N1056369

[2] https://francenewslive-com.cdn.ampproject.org/c/s/francenewslive.com/le-hacker-reclame-une-rancon-de-200-000-e/184653/amp/

[3] https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324

[4] https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-les-communes-de-plus-en-plus-victimes-du-ranconnage_4192985.html

[5] https://www.canalfm.fr/news/aulnoye-aymeries-un-mois-apres-la-cyberattaque-33559

[6] https://www.cyberterritoires.fr/

[7] https://www.frstrategie.org/publications/notes/cybersecurite-resilience-grandes-oubliees-territoires-2020

[8] Id.

[9] https://clusif.fr/publications/restitution-de-letude-mips-2020-collectivites/

[10] https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/le-plan-cyber-pour-la-france-un-nouvel-elan-sur-une-route-encore-inachevee.N1069304

Catégories: Défense

Quelle puissance relative de la France

jeu, 25/03/2021 - 15:59

Voic le lien vidéo (cliquez ici) d'une conférence que j'ai donnée à l'automne dernier sur la puissance de la France.

Texte du résumé ci-dessous grâce à Diploweb (https://www.diploweb.com/Video-O-Kempf-Quelle-puissance-relative-de-la-France.html) . Enfin, on peut aller plus loin en lisant mon ouvrage Géopolitique de la France (ici)

 

O. Kempf débute cette intervention en définissant la géopolitique comme une question de représentations. La première représentation est cartographique. La seconde est celle qu’un peuple se fait de lui-même et celle que les autres peuples se font de lui, ce peuple pouvant être incarné ou non dans un État. Selon lui, il existe trois angles majeurs à la puissance relative française.

La caractérisation de la puissance française

En effet, la France est une grande puissance géographique, économique, militaire, politique et d’influence. A tort définie comme une puissance moyenne, elle n’est pas pour autant une « hyper » [1] puissance de nos jours.

Dans un premier temps, la France est une puissance géographique mais n’est pas une géographie. La France s’est construite malgré sa géographie. Elle a su tirer profit de sa géographie à partir d’un petit noyau, l’Ile-de-France, anciennement le Vexin. Ce noyau s’est progressivement étendu vers le sud. Il faut prendre en compte la grande verticale entre la Picardie et le Languedoc et rappeler également les nombreuses volontés historiques françaises de repousser les frontières. Ces dernières ne sont d’ailleurs pas forcément naturelles. La notion de frontière naturelle fut inventée durant la Révolution et fut réaffirmée suite à la mort du Roi, ce n’est pas un hasard. En effet, tout au long de l’Ancien régime, il était question de repousser l’Anglais à l’Ouest, l’Espagnol au Nord (les Pays-Bas espagnol) comme au Sud et d’agrandir le territoire à l’Est. La frontière originale était celle suivant le Rhône et la Saône, puis le territoire français s’est étendu d’environ 200 à 300 kilomètres à l’Est. La France est encore le plus grand pays d’Europe - si l’on écarte la Russie et l’Ukraine - de par sa taille et sa population projetée à 67 millions d’ici 2050. Elle est aussi un unique espace au carrefour du continent européen grâce à ces deux isthmes. Le premier est entre la Méditerranée et l’Atlantique et le second, rarement souligné, est entre la Méditerranée et la Mer du Nord. Enfin, la France est dotée de nombreux et divers écotypes. Une complexité naît de la double diversité des écotypes et du peuple français. Le fil rouge de l’histoire de la France est selon lui, le désir de construire un peuple commun comprenant ces diversités.

Dans un second temps, la France est une grande puissance économique, classée au 6 ou 7ème rang mondial, selon les critères mondiaux retenus. Pourtant, depuis cinquante ans, il nous est répété que la France est en déclin. Finalement, ce n’est pas tant le cas, selon O. Kempf, et ce malgré, l’émergence. Cette puissance est agricole, notamment en raison de son industrie agroalimentaire. Certes, celle-ci est devenue plus faible mais elle reste une grande richesse. Elle est également industrielle, elle compte de très beaux champions, à l’instar d’Airbus et Total. Ces derniers sont une force mais également une faiblesse car ce besoin de champions diminue l’intérêt accordé aux entreprises de taille moyenne. Cette puissance est enfin représentée par le secteur du luxe. LVMH, Kering et l’Oréal sont de grands groupes français mais sont également dans le top 10 mondial.

Dans un troisième temps, elle est une puissance militaire affirmée. La France est incontestablement la première armée de l’UE, une armée d’emploi, n’hésitant pas à aller en opération. Elle bluffe parfois les Américains, notamment lors de la réussite de l’opération Serval, qu’ils n’ont jamais comprise. Enfin, la France possède la bombe atomique et une industrie de défense imposante et respectée à l’échelle du monde. Ces atouts sont majeurs dans le critère de la puissance.

Dans un quatrième temps, la France se caractérise par sa puissance politique aux multiples noms, la « France terre d’asile », la « France des droits de l’Homme », la « France universaliste ». Elle est également l’un des cinq membres permanent du Conseil de sécurité de l’Organisation des Nations-Unies ; un des seuls pays à pouvoir encore dialoguer avec le Liban et partie intégrante du groupe de Minsk dans le cadre de la résolution du conflit en Ukraine. Au sein des institutions internationales, nul ne considère la France comme une puissance moyenne. O. Kempf insiste sur le fait que la France n’est pas la puissance dont le peuple rêverait mais elle reste une grande puissance.

Dans un dernier temps, l’influence française joue un rôle crucial dans le rayonnement de la puissance de l’Hexagone. Elle s’exprime au travers de quatre éléments. D’abord ses outre-mer, résultat de l’histoire française mais aussi de son influence dans le monde, relativement représentée au Proche-Orient même si celle-ci s’étiole mais largement établie au Maghreb et finalement en Afrique. Ensuite, sa langue qui est souvent brocardée, sera pourtant la langue la plus parlée au monde d’ici trente à cinquante ans en raison de la croissance démographique de l’Afrique. Puis il est question de son influence maritime, la France possède la deuxième zone économique exclusive (ZEE) au monde. Enfin, la culture française est un élément central qui participe à son image, son rayonnement, ses succès économiques et son attrait.

Oliver Kempf, général de brigade (2S), docteur en Science politique et chercheur associé à la FRS
Image : James Lebreton

La thématique du déclin a au moins une vertu, celle d’aiguillon, qui incite la France à persister, résister, de réformer et s’adapter

Le déclin français

Pourquoi alors entendons-nous un discours aussi négatif au sujet d’un déclin français ? se questionne O. Kempf. Déjà en 1845, existait ce discours annonciateur de déclin et cela est en quelque sorte rassurant. Cette pensée pessimiste est le reflet de la représentation collective de ce que le peuple français se pense être, une puissance perdue. Pourtant, il semble bon de rappeler certaines figures françaises, telles que Saint Louis qui arbitrait tous les conflits en Europe, Louis XIV ou encore Napoléon même si cela fut bref. Plus récemment, lors du défilé de la victoire de 1919, la France est encore la super puissance qui régit le monde. Ce temps-là est abrogé car depuis est né un sentiment de régression, résultat des deux grandes catastrophes que sont les deux Guerres mondiales. Ce sentiment est particulièrement net à partir de 1940. Le traumatisme est extrêmement fort, il retentit dans toute la France et créé le sentiment que plus rien n’est comme avant. Ce même sentiment se renforce lors des guerres de décolonisation, la puissance garantie par son empire colonial dans les années 1930 n’est plus, ce projet géopolitique s’écroule. Elle subit alors deux grandes avanies, la première à Diên Biên Phu en 1954, annonciateur de la fin de ce projet géopolitique puis la seconde lors de l’expédition de Suez en 1956 où elle s’imagine pouvoir agir et est finalement remise à sa place par les deux nouvelles grandes puissances que sont les États-Unis et l’URSS.

Le général Charles De Gaulle a su, en se basant sur la Vème République redonner espoir aux français. Son discours de la puissance et du rang agit comme une grande thérapie de l’inconscient géopolitique français. Homme d’intuition, il a fait le pari européen, celui des années 1960. Il a parié sur l’Europe communautaire comme nouveau multiplicateur de puissance. Cependant l’Europe communautaire qui est construite ne ressemble pas à celle dont la France rêvait et ne possède pas l’influence voulue.

Enfin apparaît, à la fin de la Guerre froide, la mondialisation, qui a elle aussi bouleversée le modèle français. La peur de la domination de la langue anglaise, de la perte de la culture et de bien d’autres choses sont venus renforcer les doutes. Cette suite d’événements explique pourquoi le thème du déclin est si inlassablement repris. Toutefois, il est important de lui reconnaître une vertu, celle d’aiguillon, qui incite la France à persister, résister, de réformer et s’adapter afin de rester une grande puissance.

Comment exprimer ce rêve de puissance ? Quelle stratégie ?

En septembre 2020, nous vivons un nouveau bouleversement, qu’Olivier Kempf interprète comme celui de l’après après-Guerre froide. L’élection américaine de novembre 2020 est inquiétante non pas à cause d’une possible réélection de Donald Trump mais parce qu’elle va rendre plus visible la division américaine qui est pleine de danger. Le Brexit traduit ’une profonde entaille à la construction européenne. La République populaire de Chine devenue la nouvelle super puissance est au centre de la stratégie américaine. Selon O. Kempf, nous vivons finalement la fin de l’Occident, entendu comme cette alliance euro-atlantique.

Ainsi la France a quatre axes d’intérêts dans lesquels rêver, orienter et définir sa puissance.

Le premier est l’axe de l’UE qui lui confère un confort stratégique et une opportunité. Le vrai sujet n’est pas le pari de l’Europe selon lui, mais la façon dont parier sur l’UE. Est-ce que les structures actuelles sont satisfaisantes ? Faut-il en réinventer de nouvelles ? Si oui, lesquelles ?

Le deuxième est l’axe maritime :puisque la France possède aujourd’hui des bordures terrestres stabilisées, elle a peut-être l’occasion désormais de parier sur la mer. Certes, elle l’a toujours fait mais ce n’était que sa seconde priorité. Différents atouts sont à mettre en lumière, ses façades maritimes en premier lieu, ses territoires d’outre-mer, ses ZEE, en second lieu et surtout en troisième lieu la maritimisation résultante de la mondialisation. Quelle est alors la stratégie maritime à adopter ?

Le troisième est l’axe méditerranéen et africain : la France s’illustre comme pivot européen vers la Méditerranée et l’Afrique. Ce continent connaît une explosion démographique et tend à atteindre la masse critique nécessaire pour faire le poids face aux autres masses critiques que sont les Amériques d’un côté et les Asies de l’autre. Que faire vers ce sud ? Que réinventer ?

Enfin l’axe Asie redevient un pôle de puissance. Reléguée pendant deux siècles, l’Asie est désormais à nouveau incontournable. L’Asie est l’autre extrémité du continent : comment faire articuler ces deux pôles, l’Asie à l’Est et l’Europe à l’Ouest ? quel rôle la France doit-elle tenir dans cette articulation ?

Copyright pour le résumé Mars 2020-Monti/Diploweb.com

Catégories: Défense

Quelle coopération internationale pour faire face aux cybermenaces ?

mar, 23/02/2021 - 11:35

J'interviendrai demain aux Tech Talks de Bordeaux,

dans le cadre d'une table-ronde sur le sujet : Quelle coopération internationale pour faire face aux cybermenaces ?

Programme et inscritpion sur le site : https://www.frenchtechbordeaux.com/event/tech-talks-2021-maitriser-le-cyberespace-entre-menaces-solutions-et-innovations/

Olivier Kempf

 

Catégories: Défense

Conflit gelé

mar, 16/02/2021 - 19:10

La guerre est morte, du moins la guerre classique, l’outil dont on se servait autrefois pour résoudre les différends. Cela ne signifie pas que les différends n’existent plus. Ils peuvent être profonds : Tel État ne reconnait pas la souveraineté de cet État, ce qui pose de vraies difficultés à des État nouveaux (le Kosovo) mais aussi anciens (Taïwan). Au-delà, on peut reconnaître la souveraineté de l’État tout en ayant des différends, notamment sur les frontières et donc l’intégrité territoriale.

Ce qui nous amène à réfléchir sur la notion de "conflit gelé".

 

L’intégrité territoriale peut être considérée comme un des attributs de la souveraineté, car le territoire est une des conditions de l’État. Elle accompagne la souveraineté. Souvent, du moins. Car il arrive, plus fréquemment qu’on ne le pense, que des litiges opposent des États voisins au sujet de leurs frontières communes. C’est par exemple le cas entre Japon et Russie, entre Japon et Chine, entre Chine et voisins des mers du sud, entre.... Les exemples abondent. En fait, et il est probable que la majorité des États ont des litiges territoriaux avec un ou plusieurs voisins. En fait, il est probable qu’une intégrité territoriale entièrement reconnue de ses voisins est l’exception.

Cependant, la plupart du temps, la souveraineté d’un État sur un territoire est un fait. Les Russes occupent les Kouriles, n’en déplaisent aux Japonais. Ceux-ci considèrent que leur intégrité territoriale est mutilée. Cela ne dégénère pas nécessairement en conflit armé. Mais, parfois, ça arrive. Ou encore, une minorité mène une lutte de libération nationale, processus classique qui réussit – ou pas. Bref, souveraineté et intégrité ne coïncident pas – ou rarement.

Ces différends persistent et ne peuvent donc être réglés, ni par la guerre, ni par la négociation. Ils peuvent rester dans le domaine diplomatique pacifié. Ils peuvent avoir été l’occasion de conflits et deviennent alors des conflits gelés. En effet, de même qu’il n’y a plus de déclaration de guerre, il n’y a (presque) plus de traité de paix qui vienne sanctionner la fortune des armes et créer un nouvel état du droit (même si cela arrive, que l’on pense au traité entre le Pérou et l’Equateur, qui a mis fin à un contentieux vieux de plus d’un siècle). Le plus souvent, les parties signent des cessez-le-feu, comme celui qui régit les relations entre les deux Corées depuis 1953. Israël occupe la Cisjordanie et le Golan, sans que cela soit reconnu internationalement. L’ONUST (organisme des nations-Unies pour la surveillance de la trêve) a été mise en place en 1948 à la suite de la première guerre israélo-arabe et demeure toujours en place.

Comment caractériser ces conflits gelés ? Ils ont été l’occasion d’affrontements réels et violents qui prennent fin à un moment. Ils peuvent être suivi d’un accord ou rester dans une terra incognita juridique. Le Cachemire demeure l’objet d’un contentieux entre l’Inde, la Chine et le Pakistan depuis 1947. La plupart du temps la zone est calme même si on assite à de récurrents accès de tension, comme les affrontements qui éclatent en septembre 2020, à la suite d’une fusillade dont les causes restent opaques. Ainsi, un conflit gelé reste souvent meurtrier, même si la létalité demeure basse, « sous le seuil » (nous reviendrons sur cette notion) d’attention de la communauté internationale. Ainsi, l’espace ex-soviétique est rempli de conflits gelés : Moldavie et Transnistrie, Ukraine et Donbass, Géorgie et Abkhazie pour prendre des exemples récents. La plupart du temps, la situation revient au statu quo préalable mais un conflit longtemps gelé peut soudainement s’enflammer et donner une nouvelle situation : le haut Karabakh fut la cause d’une guerre entre l’Arménie et l’Azerbaïdjan en 1994, situation qui reste longtemps gelée jusqu’à ce que les Azéris relancent une offensive en 2020 et récupèrent une grande partie du territoire qu’ils revendiquaient.

Des disputes frontalières peuvent s’envenimer peu à peu, comme ce qui se passe en mer de Chine, où la Chine militarise son action, que ce soit sur les Spratleys et les Paracels au sud (archipels revendiqués par les États riverains) ou dans les eaux des Senkaku (sous souveraineté japonaise) à l’est. D’autres au contraire s’apaiser progressivement, même si les problèmes ne sont pas résolus au fond : que l’on pense aux Balkans et à la situation peu satisfaisante de la Bosnie-Herzégovine ou du Kossovo. Enfin, des conflits peuvent rester actifs mais ne pas susciter l’attention, étant apparemment gelés, au moins aux yeux de l’opinion publique internationale : que l’on pense à l’Afghanistan ou à la République Centrafricaine.

La notion de conflit gelé recouvre donc des situations très diverses, souvent des différents territoriaux, parfois aussi des guerres civiles dues à la disparition de l’Etat.

Olivier Kempf

Catégories: Défense

Cyber : retour sur 2020

mer, 10/02/2021 - 09:40

Du point de vue cyber, que penser de 2020 ? Je traite la question un peu tard (février) mais cela a l'avantage d'avoir laissé la poussière retomber et de mieux distinguer les éléments structurants.

 

1/ Evidemment, l'élément principal est la pandémie qui a entraîné deux choses : D'une part, une prise de conscience de l'intrication des chaînes d'approvisionnement. Nous y reviendrons quand nous évoquerons ci-après la "supply chain"; D'autre part, avec les confinements et restrictions de mouvements, la généralisation du télétravail, mise en place en urgence, sans préparation et avec donc d'énormes failles  : au niveau des matériels, des processus, sans même parler de la protection des échanges. Ainsi, la pandémie a été l'élément déclencheur de la transformation numérique de la plupart des organisations, ce que l'ancien CDO que je suis a observé avec gourmandise. Aussi ne faut-il pas être surpris de voir que les grandes sociétés informatiques ont tiré d'énormes profits de cette nouvelle situation.

2/ Il s'en est suivi une augmentation massive des cyberagressions. Le premier facteur tient bien sûr à ce que le nombre de cibles faciles s'est considérablement accru. Parallèlement, la technique des rançonnages (ransomware) s'est démocratisée et industrialisée (pour mémoire, il s'agit de chiffrer toutes les données et de demander une rançon à l'organisation piratée pour obtenir la clef de déchiffrement). Les outils sont facilement accessibles à des pirates qui n'ont pas besoin de grandes compétences techniques. Et le rançonnage a une grande utilité : à la différence d'autres techniques de vol de données, il s'agit ici simplement de les chiffrer sans avoir besoin de les revendre : ou plus exactement, l'agresseur ne les revend pas à un acheteur tiers mais au possesseur originel qui veut récupérer ses données. Bref, nul besoin d'organiser un circuit de revente... Dès lors, nulle cible n'est trop petite, toutes suscitent l'intérêt. L'argument "je suis trop petit pour être attaqué" ne tient plus.

3/ Ainsi a-t-on vu la  massification des agressions contre des "petits" acteurs : nous pensons aux hôpitaux (d'autant plus aisés à attaquer qu'ils étaient déjà sous le stress de la gestion de la pandémie) mais aussi aux collectivités territoriales (tendance entamée dès 2018 mais qui a explosé en 2020). La tendance se poursuivra forcément vers l'agression de cibles encore plus petites : TPE, indépendants, notamment les professionnels ayant des données de confiance (médecins, notaires, avocats, experts-comptables, ...). La nécessité de sensibiliser tous  ces échelons devient de plus en plus brûlante.

4/ A l'inverse, la fin de 2020 a été aussi l'année de Solarwinds, en décembre. Alors que nous avions des agressions indsutrialisées, nous voici en présence d'une attaque extrêmement sophistiquée, de l'artisanat de haute couture.... Solarwinds est en effet une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique. Un de ses produits, Orion, utilisé par des diaines de milliers de clients, a en effet été infiltré de façon particulièrement habile, ce qui a permis d'entrer "par rebond" chez "beaucoup" (nombre encore indéfini) de ses clients. Ainsi, les agresseurs ont pu observer de l'intérieur leurs réseaux dans une vaste opération d'espionnage. La qualité de l'intrusion fait penser à une instance étatique et les regards se sont tournés vers la Russie.

5/ Beaucoup de débats ont eu lieu sur cette "supply chain informatique" qui rend compte de la complexité actuelle des dispositifs. En effet, les grandes organisations externalisent beaucoup de leurs sytèmes avec des produits fournis par des partenaires. A défaut d'attaquer directement ces grands comptes, il est plus futé de passer par leurs fournisseurs qui sont parfois moins bien défendus que les cibles principales : d'où la notion d'attaque par rebond. Cela a plusieurs conséquences : D'une part, comment maîtriser la sécurité des partenaires informatiques ? D'autre part, comme souvent, cette attaque sophistiquée s'est diffusée et des pirates essaieront de la réutiliser contre d'autres cibles, dans d'autres circonstances, avec un phénomène de contagion.

6/ La tendance est alors complémentaire de celle que nous observions avec les rançonnages : celle d'une professionnalisaiton et donc d'une montée en gamme technique des agresseurs. Ceux-ci ne sont pas seulement plus nombreux, ils n'ont pas seulement plus de cibles, ils montent également en compétence ce qui entraîne de devoir augmenter le niveau des défenses. La dialectique du glaive et du bouclier appliquée au cyberspace, dans une course aux armements sans fin, est d'actualité.

7/ Mentionnons enfin la généralisation du cloud. Le dernier baromètre du CESIN, récemment paru (ici), montre que les entreprises ont massivemnt adopté des systèmes d'infonuagiques. Du coup, la question de la maîtrise des sous-traitants et le développement du concept "zéro trust" se pose durablement.

8/ Il faudra suivre enfin les mises en place de technologies qui arrivent à maturité et semblent pouvoir entrer dans des phase d'industrialsiation : IA bien sûr, mais aussi fabrication additive et blockchain.

Olivier Kempf

Source image : : https://nl.freepik.com/premium-vector/viering-van-2020-met-futuristische-technologische-achtergrond-van-cyber_6331677.htm

 

 

Catégories: Défense

Colloque bruxellois sur La numérisation et la modernisation économique

lun, 01/02/2021 - 18:34

J'interviendrai demain à l'occasion de la Conférence annuelle "Voisinages" organisée par nos amis de l'institut d'études européennes de l'Université Saint-Louis de Bruxelles. Elle portera sur le thème suivant : Quid de l’après Covid 19 pour la relation entre l’UE et ses voisinages : compagnonnage renouvelé ou proximité distanciée face aux défis commun ? (détails ici)

J'interviendrai dans la troisième session qui traitera : La numérisation et la modernisation économique : quelle approche partagée ?

Vous lirez ci-dessous les éléments clef de mon intervention.

1/ La pandémie et la crise économique qui s'ensuit ont suscité deux types de démarches :

  • - d'une part une accélération de la transformation numérique des organisations privées et publiques. Le télétravail est devenu massif alors que la plupart du temps, rien n'était préparé : ni dans les procédures, ni dans le soutien technique. L'adaptation sur le tas ne peut pas dire que ce soit très satisfaisant et il manque encore à consolider cette démarche qui n'est pas une parenthèse.
  • - d'autre part, une réflexion approfondie sur la souveraineté et la maîtrise des chaines de valeur. Il devient de moins en moins pertinent de dépendre exclusivement de productions venues de l'autre bout de la planète, d'autant que cette organisation aggrave le réchauffement climatique.

Il s'ensuit deux phénomènes :

  • - une réorganisation profonde des économies avec l'inclusion de plus de numérique et l'invention de nouveaux modes de production décentralisés : fabrication additive ou edge computing mais aussi amélioration des infrastructures de proximité (smart cities, décentrement du travail, 5G) sont ainsi à la pointe de ce phénomène.
  • - une prise en compte accrue de la cybersécurité.

2/ La cybersécurité, facteur d’attractivité économique

Or, l'accélération en 2020 de la transformation numérique s'est accompagnée d'une accélération de la cybercriminalité qui a touché encore plus d'organisations, de toute taille et en profitant justement de leur impréparation. Beaucoup plus de cibles, une automatisation et une industrialisation des attaques en sont la cause. On a vu ainsi de nombreuses collectivités territoriales ou d'hôpitaux se faire agresser.

Ainsi, la multiplication des rançonnage (ransomware) amplifie une vague qui avait commencé en 2018 et qui devient un tsunami. On ne peut plus dire "je suis trop petit pour passer entre les gouttes". Autrement dit, la cybersécurité n'est pas réservé aux gros, elle est un impératif pour tous.

Or, on ne peut pas imaginer développer l'attractivité économique au niveau national, régional ou local sans comprendre qu'une des demandes des entreprises ou des professionnels venant s'installer sera, au même type que l'infrastructure numérique, la qualité de la cybersécurité fournie.

3/ L'UE a pris enfin en compte ces sujets bien qu'ils soient inégalement compris par les Membres ou par les partenaires

Après des débuts hésitants, l'UE a enfin pris en compte l’impératif de la cybersécurité. Elle admet désormais le thème de la souveraineté numérique face aux prédateurs extérieurs. Cela passe bien sûr par la loi. De ce point de vue, les initiatives récentes sont excellentes : Rénovation de la directive sécurité des réseaux informatiques, mise en place du RGPD, adoption avr. 2019 d’un règlement sur la cybersécurité par le Conseil (instauration d'un système de certification de cybersécurité à l'échelle de l’UE, –la mise en place d'une agence de l'UE pour la cybersécurité dotée de compétences plus étendues à Bucarest), projets de Digital Service Act (loi sur les services numériques et les contenus) et Digital Market act (loi sur les marchés numériques pour faire respecter la libre-concurrence par les mastodontes étrangers du secteur)...

Il reste que la prise de conscience au sein de l'UE est inégale car tout ne peut pas se faire au niveau communautaire. La cybersécurité appartient au cœur de souveraineté et c'est à chaque État de la favoriser chez lui.

De même, il faut insister auprès de nos partenaires pour qu'ils la prennent en compte,s 'ils veulent accéder à un marché européen qui se durcit. Là aussi, la prise de conscience est inégale.

O. Kempf

Catégories: Défense

Les réseaux de connivence

dim, 24/01/2021 - 19:09

L'IRIS m'a demandé de participer à son quatrième dossier sur "le virus du faux" (j'avis déjà écrit dans le numéro 2 sur l'autorité scientifique disparue). Le thème du mois portait sur les réseaux sociaux (voir [ici : https://www.iris-france.org/wp-content/uploads/2021/01/Dossier-4-Le-virus-du-faux-ok.pdf]). J'ai proposé le texte suivant intitutlé des réseaux de connivence. Vous pouvez le télécharger sur le site de l'IRIS ou le lire ci-dessous.

Olivier Kempf

Des réseaux de connivence

 

Les réseaux sociaux font l’objet de toutes les accusations : ils seraient antidémocratiques, propagateurs d’infox, prêcheraient la haine en ligne, au point que l’observateur se demande comment on peut encore les tolérer. Dès qu’un gouvernement fait face à un mouvement d’opinion, un mouvement d’humeur ou un mouvement de masse, aussitôt un responsable accuse les réseaux sociaux de toutes les turpitudes et appelle bien sûr à l’édiction d’une loi. Le même observateur se demande d’ailleurs pourquoi les textes régissant la liberté d’expression et donc la censure ne suffisent pas et pourquoi on délègue autant ces fonctions (en bon franglais on parle non de censure mais de modération) aux sociétés qui gèrent ces réseaux sociaux. L’ultime argument consiste à dénoncer l’anonymat qu’ils permettraient, sachant que ledit anonymat est interdit par la loi et qu’on ne parle en fait que de pseudonymat. Or, nous apprenons que le préfet de Police de Paris, M. Lallement, peu suspect d’être léger avec le respect de l’ordre public, aurait un compte « sous pseudo » sur Twitter qui lui permettrait de « suivre ce qui se dit ». Ainsi donc, les réseaux sociaux permettraient aussi de s’informer ? Les pseudonymes seraient utiles, même à des gens qui n’ont rien à se reprocher ? Voici donc bien des contradictions et des paradoxes.

Ils tiennent probablement à une confusion ou une compréhension imparfaite de ce que sont les réseaux sociaux. Cette confusion vient du fait que les réseaux sociaux sont certes des médias de masse, mais non des organes de presse dont le but principal serait d’informer leurs publics.

Les réseaux sont des médias de masse différents

Incontestablement, les réseaux sociaux sont des médias de masse. Ils sont médiateurs en ce qu’ils transmettent des « informations » de tout ordre ; et ils sont massifs, plus encore que tous les autres prédécesseurs, qu’il s’agisse des journaux imprimés, de la TSF devenue radio puis de la télévision. Toutefois, il faut se méfier de cette chronologie qui ressemble à une généalogie, comme si chaque média successif reprenait une partie des attributs du média précédent pour les élargir, mais sans vraiment en changer la logique. Or, tel n’est pas vraiment le cas avec les réseaux sociaux.

Selon Marshall Mac Luhan, éminence de la théorie de la communication, les médias de masse ont quatre caractéristiques : la communication de un vers plusieurs ; l’unilatéralité du message : le public n'interagit pas avec le véhicule du message ; l'information est indifférenciée : tout le monde reçoit la même information au même moment ; l'information est mosaïque et présentée selon des séquences prédéfinies.

Avec les réseaux sociaux, plusieurs de ces caractéristiques s’estompent et disparaissent : la communication se dirige de plusieurs vers plusieurs tandis que le public interagit avec le message, parfois de façon très simple (le bouton « j’aime » de vos RS favoris). L’information est évidemment différenciée et si elle reste mosaïque, elle ne suit aucune séquence prédéfinie. Si le web d’origine pouvait être assimilé à un média de masse, l’avènement des réseaux sociaux et l’expansion de leur audience a probablement changé la donne. Ils diffèrent des premiers médias de masse qui voulaient contrôler ce qu’ils diffusaient, qu’il s’agisse d’information ou de divertissement.

Une logique d’affinité

La logique des réseaux sociaux est différente. Avec un média traditionnel, le récepteur avait le choix entre deux attitudes : regarder ou ne pas regarder ledit média, selon ses goûts et ses affinités. Avec les réseaux sociaux, sa capacité de choix augmente de deux façons : il y a beaucoup plus de plateformes disponibles et il peut lui-même produire du contenu. Au début, cela provoque un éparpillement de l’offre, chacun s’efforçant, plus ou moins, d’imiter les standards (et donc la qualité générale) des médias traditionnels. Mais plus le processus avance, plus cette tendance s’amenuise au point que les consommateurs vont se regrouper par affinité et tolérer de moins en moins les « informations » contradictoires avec leurs opinions d’origine.

Peu à peu, les réseaux sociaux entretiennent les gens dans leurs convictions qui sont peu à peu renforcer, au mépris parfois de la réalité. Tel est le processus psychologique qui aboutit aux dérives que l’on observe aujourd’hui. Cela peut consister à réfuter des vérités scientifiques[1], ce qui explique le succès des antivax ou des platistes. Cela peut aussi conduire à refuser les faits, selon la théorie de l’alt-right ou « autre-vérité ».

De tels propos ont probablement toujours existé. La seule différence tient à ce qu’ils étaient cantonnés dans des cercles très restreints et n’atteignaient pas une audience générale et massive qui était réservé aux médias de masse. Avec les réseaux sociaux, cette massification s’est démocratisée et n’est plus l’apanage des médias traditionnels. Dès lors, les qualités d’une « information » ne suivent plus les standards d’autrefois. On recherchait une certaine vérité ou du moins la certification par des experts du domaine, qui servaient de garde-fous rationnels à l’information diffusée. Ce n’est plus le cas (ou plus exactement, les médias traditionnels ont perdu le monopole relatif dont ils disposaient).

Connivence et socialité

Les réseaux sociaux sont construits sur la connivence. Le lecteur pourra objecter que les médias avaient autrefois une certaine couleur et qu’on ne lisait pas l’Aurore comme on lisait l’Humanité. Cela est vrai mais globalement, chacun tombait d’accord sur les faits racontés simultanément par la presse : les divergences n’apparaissaient qu’au moment de leur interprétation ce qui permettait le débat.

Désormais, même le fait est mis en cause par lui-même. Il ne s’agit plus vraiment de chercher un certain confort idéologique mais de rejoindre un club restreint qui renforce, plus que jamais, le sentiment d’appartenance. En cela, les réseaux sociaux sont la démocratisation de ce qui avait été inventé avec les clubs sociaux de tout type (Jockey club, Automobile Club, dîners du Cercle, …) et qui étaient l’apanage de l’élite, désireuse de se trouver entre-soi. On ne cherche donc plus à obéir aux règles de la société en général mais à celles du club. Le club favorise la connivence, au mépris du réel.

Dès lors, la connivence surpasse la vérité. Il importe moins que ce que nous disions ou lisions soit exact mais que nous le partagions. Il convient ici de s’interroger sur la raison de ce succès. Peut-être est-il dû aux nouvelles conditions de notre vie sociale, où nous rencontrons de moins en moins de personnes et où nous nous trouvons plus seuls. Faisant moins société, étant moins inclus, chacun irait trouver dans les réseaux sociaux la socialité qui lui manque. Quitte pour cela à abandonner au passage la version « officielle » pour adopter celle du club, qui fournit un plus grand sentiment d’appartenance. Cette hypothèse reste à confirmer.

 

Olivier Kempf dirige le cabinet de synthèse stratégique La Vigie. Il est chercheur associé à la FRS.

[1] Voir O. Kempf, « Crise de l’autorité scientifique » in https://www.iris-france.org/wp-content/uploads/2020/11/Dossier-2-Le-virus-du-faux.pdf, IRIS, novembre 2020.

Catégories: Défense

Quelques réflexions sur la non-bataille

ven, 22/01/2021 - 18:20

Les spécialistes de stratégie connaissent l’Essai sur la non-bataille, ouvrage de 1975 publié par le commandant Brossolet, qui est une forme de critique de la théorie de la dissuasion adoptée comme dogme nucléaire en 1972. Il m'inspire les quelques réflexions suivantes.

Est-ce un hasard si le commandant conclut son ouvrage en proposant un système de défense modulaire « opposant à la vitesse de l'adversaire, la profondeur du dispositif, à sa masse la légèreté et à son nombre l'efficacité[1] ». L’ouvrage suscita un grand débat à l’époque et couta à son auteur son avancement. Brossolet est un précurseur de ce qu’on désigne aujourd’hui par techno-guérilla.

Au fond, il s’agit de promouvoir le harcèlement comme principe stratégique. Le propos tient évidemment compte des trente ans de guerre de décolonisation où les armées françaises ont fait face à des guérillas agissant sur le modèle de la guerre révolutionnaire. Mais puisque la décolonisation est achevée, puis que le Livre Blanc de 1972a mis en avant la dissuasion nucléaire, comment articuler la nouvelle conception stratégique avec l’expérience militaire des décennies qui viennent de précéder ? La régulière n’a-t-elle pour vocation que d’aller se faire écraser par l’ennemi pour préparer l’emploi de l’arme d’utile avertissement ? Pour éviter ce piège, Brossolet propose une nouvelle façon d’articuler les lourds (ici le nucléaire) avec les légers (ici l’armée « conventionnelle », a qui ont attribue un autre rôle). Le plus intéressant tient à la mise en avant de la mobilité, quand la conception principale (engagement du corps blindé-mécanisé dans la bataille de l’avant) reprend finalement les principes ancestraux et rassurants.

O. Kempf

[1] Note de lecture sur Essai sur la non-bataille, paru dans le site Le conflit le 16 août 2019 http://www.leconflit.com/article-essai-sur-la-non-bataille-de-guy-brossollet-38822163.html . Pour comprendre la pensée de Brossolet, voir aussi https://www.lopinion.fr/blog/secret-defense/mort-guy-brossollet-theoricien-non-bataille-28161

Voir aussi Remy Hémez sur le blog ultima ratio, Guy Brossolet ou la dissolution de la pensée dominante, http://ultimaratio-blog.org/archives/7129

 
Catégories: Défense

Pandémie et surprise stratégique

mer, 20/01/2021 - 19:04

Juste pour actualiser la bibliographie (car chaque mois de janveir, j'étabvlis la bibliographi de mes ppublications et interventions de l'année écoulée), je signale ma contribution suivante

« Pandémie et surprise stratégique » in  « Les crises, accélérateur de la cybermalveillance », ouvrage collectif présenté par Didier Spella et Laurent Chrzanovski aux Editions Thalia NeoMedia, ISBN de l’édition papier : 978-2-491222-04-8 

Août 2020.

9 euros en papier, moins en numérique...

Voir ici https://www.eyrolles.com/Informatique/Livre/les-crises-accelerateur-de-la-cybermalveillance-9782491222048/

Olivier Kempf

Catégories: Défense

Pourquoi passer sur Olvid ?

lun, 18/01/2021 - 09:57

Beaucoup d'utilisateurs de la messagerie instantanée Whastapp ont décidé de la quitter à la suite d'un récent message d'actualisation des Conditions générales d'utilisation (CGU) qui annonçait un fusionnement des données avec celles de Facebook. Certes, cela ne concernait que les clients américains et professionnels, mais le mal était fait : chacun s'est aperçu que quand un service est gratuit, nous sommes le produit et que décidément les GAFAM sont bien menaçants pour nos libertés publiques. L'important n'est pas la nouveauté de cette annonce mais que la prise de conscience soit générale et entraîne la migration d'utilisateurs vers d'autres plateformes : réjouissons-nous donc.

Mais où aller ? Je recommande Olvid : voici pourquoi

 

1/ Evoquons déjà les applications de messagerie disponibles.

Telegram est une application fondée par deux opposants russes à Poutine. Elle est basée à Dubaï et fonctionne selon un logiciel en opensource. Cependant, le protocole de chiffrement (bout en bout) est fermé et propriétaire. (page Wikipedia [ici|https://fr.wikipedia.org/wiki/Telegram_(application)])

Signal est animé par une société, Signal Messenger (peu de données) appuyée par la Signal Foundation, organisation non lucrative américaine. Elle est distribuée comme un logiciel libre, sur une solution opensource avec une architecture centralisée de serveurs.

Pointons les avantages : des solutions opensource, une dimension éthique qui préside à la fondation des deux organisations, de nombreux utilisateurs. Les défauts résident dans une architecture centralisée de serveurs et une nationalité non européenne, donc peu protectrice. Signal stocke désormais des données personnelles chiffrées... Par aileurs, la question des métadonnées se pose. Pour citer Wikipedia ([ici|https://fr.wikipedia.org/wiki/Signal_(application)]) : " Différentes lois permettent aux services de renseignements américains de contraindre l’organisation à communiquer ces métadonnées sans en parler. Les services de renseignement américains peuvent donc potentiellement s’emparer des métadonnées, à savoir avec qui et quand les utilisateurs de Signal communiquent". Rappelons que la CJUE a cassé l'été dernier l'accord Privacy shield qui régissait les échanges de données entre l'UE et les Etats-Unis. Nous sommes donc dans le flou juridique concernant notre protection ultime...

Voici donc la principale difficulté : ces applications reposent sur le fait de faire confiance à des organisations de confiance et à leurs architectures. Elles stockent des données, directes (données personnelles) ou indirectes (métadonnées associés à vos messages). Enfin, elles sont installées dans des pays qui n'assurent pas la protection des citoyens européens.

Accessoirement, la question pose un problème de souveraineté numérique : alors que tout le modne déplore la puissance des GAFAM, pourquoi aller renforcer d'autres plateformes américaines ou non-européennes ? Nous avons chacun une responsbailtié individuelle en la matière. C'est donc la raison qui m'a poussé à choisir Olvid, pour ma messagerie sécurisée sur ordiphone (je précise que d'autres services existent, come Citadel de Thalès qui offre tout un tas d'options supplémentaires mais n'est accessible qu'à des comptes professionnels, quand Olvid est accessible à tout public).

2/ Olvid, qu'est-ce ?

Olvid (page wikipedia [ici|https://fr.wikipedia.org/wiki/Olvid]) est donc un société française, start-up de cybersécurité, qui repose sur un autre principe : aucun message ne passe par ses serveurs et tous les protocoles de chiffrement se font directement entre les deux utilisateurs, qui doivent s'échanger des codes au lancement du contact. C'est donc un soupçon plus laborieux au départ (puisqu'il faut contacter ses correspondants et échanger avec eux son code, idéalement par téléphone) mais une fois ceci fait, tout est ensuite aussi facile que sur Whatsapp ou Signal : chat, mise en place de groupes de discussion, appels vocaux : je parle ici des services gratuits. Les services supplémentaires (appel vidéo notamment) sont payants. Mais pour la plupart des usagers dont moi, cela suffit. Olvid répond évidemment au droit français donc au droit européen, respecte ainsi par construction le RGPD.

Olvid est tellement respectueux que vous devez prendre l'initiative. Sur Signal, j'ai noté qu'on me proposait des contacts qui sont eux-mêmes sur Signal, : est-ce une coïncidence ou une fonction du logiciel qui a donc accès à mon annuaire ?  Je ne sais... Mais sur Olvid, il faut vraiment faire la démarche d'inviter ses contacts (par SMS, message Whatsapp ou autre, mail...). On maîtrise donc les choses. Par exemple, vous devez accepter de rejoindre un groupe auquel vous êtes invité, quand cette disposition n'est pas possible sur Whatsapp (vous êtes invité et vous devez quitter volontairement le groupe si vous ne voulez pas en faire partie).

[ajout 1] : suite à une rafale de commentaires sur mon fil Twitter, je précise que si Olvd a un serveur (pour faire tourner l'application), celui-ci aide uniquement à l'établissement des sessions mais ne voit pas passer les messages qui s'échangent directement entre les ordiphones. Vous trouverez le débat technique entre spécialistes  sous ce fil ici : https://twitter.com/egea_blog/status/1351153946975477763

3/ Objection votre honneur...

Oui mais la popularité de Whatsapp ou Signal  : ce qu'on appelle la loi de Metcalfe affirme que j'ai d'autant plus intérêt à aller sur un réseau que d'autres y sont. Cela peut-être vrai d'un réseau d'information (genre Twitter), ou d'un système dont la performance dépend de la fréquentation (Wikipedia voire Waze). Mais pour une messagerie, cet effet ne joue pas vraiment : je me fiche des 500 Millions, si les 50 personnes avec qui j'échange régulirèemetn y sont. Or, comme je les connais, cela dépend de moi. Donc exit la loi de Metcalfe.

Encore une application ? Certes, cela impose d'avoir un peu de place disponible dans votre ordiphone. Mais si justement cela vous incitait à faire un peu le ménage , à supprimer plein de photos et vidéos débiles ? Avez vous vraiment besoin de Snapchat et d'Instragam ? Car nous sommes d'accord : cette affaire de Whatsapp nous force à nous interroger sur nos usages numériques et sur notre rapport (constant) à notre ordiphone qui occupe tant de place dans nos vies. Un peu de prise de conscience, quoi.... de conscience, au fond...

Vous êtes paranoïaque, Olivier Kempf. Peut-être. Mais se préoccuper de sa sécurité alors que personne ne doute de la nécessiteé de fermer sa voiture ou sa maison à clef ou de protéger les mots de passe de son compte bancaire, est-ce de la paranoïa ? Ce qui est vrai pour vos objets numériques ne l'est-il pas pour vos applications ? D'ailleurs, vous avez bien installé un système d'identification, quand vous ouvrez votre téléphone (code pin, reconnaissance faciale, empreinte digitale) ? c'est proposé en série par votre ordiphone, quelle que soit sa marque. Vous vous y pliez : toujours pas parano ou êtes-vous juste prudent ? Ce qui est vrai pour ça ne le serait pas pour vos messageries ? Bref, soyez prudents...

Je n'ai rien à cacher. Ben si. Vos sentiments, vos préférences sexuelles, vos désirs de voyage ou d'achat compulsif,  vos opinions politiques, et même quelques secrets ou pudeurs que vous ne voulez pas étaler partout dans le monde. Oui mais ce n'est pas partout, je ne suis rien, pas important. Mais si vous êtes important. Dites vous que si c'est gratuit (et Olvid est gratuit pour les services de base, c'est payant ensuite pour les services supplémentaires, ce qui est paradoxalement rassurant), c'est que c'est vous le produit. En analysant vos données et métadonnées, les annonceurs peuvent vous cibler : vous postez un truc sur un réseau social et à votre prochaine recherche, vous voyez une pub pile sur le truc dont vous avez parlé... Car vos données servent à définir votre profil et donc à vous envoyer des publicités ciblées... Nous ne parlons là d'une société libre mais imaginez une société où les libertés publiques sont menacées... Bref, en ce domaine-là aussi, la prudence s'impose.

4/ En conclusion

Je précise que je n'ai aucun intéressement à Olvid (ni en capital ni en mission de promotion ou autre), que je ne connais personne chez eux ni qui y serait directement intéressé. Bref, cet article est du pur militantisme...

Il s'appuie enfin sur une bonne donne de "citoyenneté numérique", si le lecteur me pardonne cette expression : alors qu'on ne cesse de parler de souveraineté numérique menacée par les GAFA (et autres NATU et BATX), alors quo'n ne cesse de dire "en Europe nous n'avons pas de champion du numérique", voici une bonne action à faire : apporter chacun sa petite pierre à l'édifice pour renforcer des acteurs français/ européens à la place des concurrents américains ou asiatiques...

Vous avez les raisons qui me poussent à agir et à soutenir. Voici pourquoi je me suis lancé dans une grande campagne d'évangélisation : cela fonctionne, les gens me suivent... Car enplus, un peu de conviction et les gens suivent. J'ai déjà transféré la plupart de mes contacts et recréé la plupart de mes groupes de discussion. Faites pareil....

Olivier Kempf

Catégories: Défense

A propos des nouvelles règles de Whatsapp

mer, 13/01/2021 - 14:43

J'interviens ce soir dans le journal de France Culture à 18H00 pour analyser les conséquences des nouvelles conditions d'utilisation promues par Whatsapp (en lien avec Facebook). Bonne écoute.

OK

Catégories: Défense

A propos de souveraineté numérique

lun, 11/01/2021 - 18:53

Le propos qui suit s'intéresse à ce que peut faire un décideur public pour favoriser une souveraineté numérique. En réfléchissant à la notion de géopolitique du numérique et de ses conséquences sur la France, un des mots clefs paraît être celui de souveraineté. Or, il est intéressant que ce substantif qui, dans une conception classique, était absolu (la souveraineté) s’est vu ajouter des adjectifs : celui de souveraineté numérique (à la suite d’un débat lancé au début des années 2010 par Pierre Bellanger et devenu aujourd’hui commun) mais aussi celui de souveraineté économique, lui aussi ancien : cependant, il était réservé à une certaine partie de l’échiquier politique et il a vu son emploi élargi à la suite de la pandémie de Covid 19, quand  l’opinion s’est rendu compte de la dépendance industrielle de l’Europe envers la Chine.

Source

Quelques rappels sur la souveraineté

A l’origine, la souveraineté est un mot issu de la philosophie politique classique. Le terme a traversé les siècles pour reprendre en France un nouveau relief au cours de la seconde partie du XXe siècle. En effet, il est très lié à la puissance et le débat autour de cette notion de souveraineté est typiquement français et continue de contribuer à l’exception française. Entre la France première puissance militaire à la sortie de la 1GM (regardons ici le défilé de la victoire en 1919) et le désastre de 1940, la France a connu les extrêmes de la puissance. Ce traumatisme traverse le XXe siècle, d’autant qu’il a été renforcé par les échecs des guerres de décolonisation et de l’intervention de Suez en 1956.

Aussi le discours sur la souveraineté croise-t-il deux autres thèmes : celui de l’indépendance (qui est très proche de la souveraineté) et celui de la puissance. Ces trois mots font partie de l’ADN des armées dont c’est au fond une mission principale. Le général de Gaulle a réussi à construire un discours sur l’indépendance qui a convaincu une majorité de Français (souvenons-nos toutefois qu’il était très controversé en son temps et que l’unanimité que son nom rencontre aujourd’hui est largement posthume). L’indépendance a été assurée par une autre décision, celle de devenir une puissance nucléaire (décision prise, toutefois, sous la fin de la IVe République), mise en œuvre par l’armée. Au fond, l’armée nouvelle voulue par De Gaulle est celle qui permet d’assurer militairement l’indépendance du pays. Le consensus bâti autour du nucléaire en résulte.

Mais l’indépendance, sous le mot de souveraineté, a aussi été soulignée dans les institutions. Sans parler de la coutume constitutionnelle qui attribue un domaine réservé au Président de la République, observons que le mot de souveraineté est régulièrement employé dans la Constitution : tout d’abord, la souveraineté émane du peuple et c’est sur cette souveraineté populaire qu’est fondée notre démocratie. Mais la souveraineté est aussi la souveraineté extérieure (l’autre face de la souveraineté populaire) et rejoint en ce sens l’indépendance.

Insistons : dans cette conception originelle, la souveraineté est donc d’abord politique et repose sur des moyens militaires pour être garantie. Et puisque nous nous intéressons au numérique en général et au cyber en particulier, examinons plus précisément la question de la souveraineté numérique.

Critères de décision de la souveraineté numérique

A la différence de l’espace physique sur lequel repose la conception traditionnelle de la souveraineté (qui s’entend sur un territoire, celui-ci étant un espace occupé par ses habitants qui en revendiquent l’occupation), le cyberespace n’a pas de limites physiques évidentes. Cela ne signifie pas qu’il n’a pas de limites physiques, simplement qu’elles sont difficiles à appréhender. Aussi, pour les besoins de l’analyse, il nous semble qu’il faille considérer la souveraineté selon les trois couches du cyberespace : couche physique, couche logique, couche sémantique.

De même, il convient de s’interroger sur l’échelle pertinente : s’agit-il de l’échelle française ? de l’échelle européenne ? d’une éventuelle échelle occidentale ? Autrement dit encore, quel niveau d’interdépendance est -on prêt à accepter ? Or, le cyberespace ne bénéficie pas de l’arme ultime (la silver bullet) qui marche à tout coups et assure à son détenteur un pouvoir de destruction imparable sur son adversaire. C’est bien pour cela que tous les discours sur la cyberdissuasion nous paraissent reposer sur une compréhension erronée tant de la dissuasion nucléaire que de la nature du cyberespace et de la conflictualité qui s’y déroule. Dans le monde classique, celui de la souveraineté, l’arme nucléaire a apporté à la France ce qu’elle avait perdu : l’assurance de pouvoir éviter le désastre de 1940, ce qu’elle avait vainement essayer de chercher entre les deux guerres avec la ligne Maginot.

Cela signifie que dans le cyberespace, une sécurité absolue paraît impossible. Ce qui semble invalider la possibilité d’une action seulement solitaire : plus exactement, le traitement de la souveraineté cyber suppose de savoir étager ce qui reste de la responsabilité absolue de l‘échelon national. Cela ne peut être qu’un domaine réduit en volume (peu d’informations à protéger) aussi à cause des moyens nécessaire à mettre en œuvre pour assurer cette protection maximale. Nous sommes alors au cœur de souveraineté et la souveraineté militaire doit obtenir tous les moyens pour l’atteindre. Hormis ce petit échelon national, la question se pose alors de ce que l’on doit protéger en plus (quel périmètre) donc de ce qu’on doit partager relativement (quels moyens).

A titre d’exemple : faut-il conserver en France, en Europe, en Occident, une capacité de fabrication de semi-conducteurs les plus avancés ? si oui, quel en est le modèle économique ? S’il s’agit (c’est probable) d’un bien dual, comment s’assurer que ledit produit rencontre la faveur du public tout en étant rentable ? L’exemple choisi appartient à la couche physique mais on pourrait à l’envi reproduire le raisonnement sur les autres couches, en articulant le besoin, l’échelon géographique pertinent et l’équilibre économique. Il faut ici se méfier de nos visions colbertistes qui ont quand même, en matière de technologie, produits assez d’échecs pour que nous nous méfions de nous-mêmes. Mais l’on voit bien que ces questions sortent du champ de responsabilité du décideur militaire qui peut difficilement les influencer.

Enfin, une troisième série de facteurs vient compliquer l’analyse, il s’agit des évolutions technologiques. Une culture d’ingénieur aurait tendance à ne voir ici que de la science. Or, dans le numérique, ne considérer que les aspects techniques risque souvent d’aboutir à l’échec. Le minitel fut une belle aventure rencontrant un vrai succès populaire, mais sa conception centralisée ne résista pas à l’architecture décentralisée proposée par les Américains. Or, nous avions les ingénieurs (je pense à Louis Pouzin) qui avaient proposé et mis au point cette architecture décentralisée. Ainsi donc, l’innovation est aussi, forcément, une innovation d’usage. On peut mentionner les beaux mots de 5G, de quantique, d’IA, de blockchain, si on n’anticipe pas les usages on court à l’échec. La veille ne doit donc pas être seulement technologique, elle doit s’intéresser aux usages….

L’équation est donc extrêmement difficile. Plus exactement, une fois qu’on a défini le périmètre à défendre absolument, (le cœur de souveraineté que j’évoquais à l’instant), il va falloir travailler pour la sécurité du reste avec un oxymore : une souveraineté relative. Les politistes ont choisi des mots compliqués pour essayer de rendre ce paradoxe : interdépendance, autonomie stratégique, etc… Ce n’est pas très convaincant, d’autant que le décideur en dernier ressort fixera peu de directions claires.

Ici, il me semble qu’une boucle OODA est appropriée. Attention toutefois à ne pas vouloir l’accélérer car la vitesse ne nous semble pas le critère le plus pertinent. Mais il s’agit bien d’organiser une veille (orientation et observation) qui permette d’identifier (dans les trois couches) les points sensibles. Quel serait le critère de la sensibilité ?

  • Cette innovation affecte-t-elle le cœur de souveraineté ?
  • Si oui, comment y suppléé-je ?
  • Sinon, est-elle suffisamment sensible pour que j’envisage de nouer des partenariats plus ou moins approfondis avec tel ou tel acteur ?

Nous voici ici au D de décider. La veille pour la veille n’est pas utile, la veille doit être effectuée aux fins d’action. Le chef doit exiger des comptes-rendus réguliers de la veille mais aussi des propositions de décision associées. C’est d’ailleurs pour cela aussi qu’il ne faut pas accélérer le rythme de la boucle OODA (contrairement à l’intuition de John Boyd). Ce processus est récurrent (à la différence de la bataille qui est temporaire) et il faut suivre le temps du chef (et donc ses disponibilités). La boucle OODA doit ici être lente.

L’action vient ensuite (là encore, la nécessité de l’action signifie que les points de veille ne doivent pas être trop rapprochés). Elle doit être suivie et surtout évaluée, car de ses résultats dépendent l’orientation du cycle suivant. Il faut donc des critères d’évaluation associés à chaque décision. Ces critères permettront de relancer la boucle sur le prochain cycle.

En conclusion, la souveraineté numérique semble impossible à atteindre (sauf pour un cœur très limité de cybersouveraineté nationale). On doit donc décider d’une souveraineté relative, tout paradoxale que soit l’expression. Cela suppose un dispositif de veille mais qui soit articulé sur des décisions, notamment de partage avec des alliés, dûment choisis et évalués.

O. Kempf

Catégories: Défense

Stratégie et confinement : Grande stratégie ?

ven, 01/01/2021 - 17:01

Dans le cadre du dossier annuel d'ER, voici un premier artticle pour cette année. J'ai un peu l'intention de revenir plus souvent... Il faut juste que je trouve le temps....

Thomas (ici) a en effet parcouru le vocabulaire militaire que notre confinement actuel pouvait évoquer : blocus, embargo, endiguement, autant de termes opératifs qui renvoient à notre expérience présente. A un détail près cependant : notre confinement n’a rien de militaire. On peut certes évoquer les hôpitaux de campagne qui ont été mis en œuvre, les liaisons aériennes par hélicoptères ou kits Morphée, les quelques PHA mis en alerte au profit des DOM-COM mais finalement, l’outil militaire a été peu utilisé. Certes, il faudrait aussi évoquer les conséquences opérationnelles du confinement sur les forces : entre les cas qui se sont déclarés sur le Charles de Gaulle ou sur le bâtiment américain Théodore Roosevelt au printemps, ou les mesures de confinement ajoutées à la préparation opérationnelle avant les Opex (ou au retour d’Opex). Rien là finalement qui n’attire l’intérêt au-delà des spécialistes.

 

Source

Mais du coup, si l’on réfléchissait en termes de grande stratégie, celle qui est au-dessus de la stratégie militaire, celle que doit conduire le stratège politique qui préside aux destinées de la Nation ? Voyons cela...

Les pays fermés

Car le confinement est une stratégie qui peut se décider pour des raisons politiques et pas seulement sanitaires. Deux exemples viennent à l’esprit : la Corée du Nord et le Turkménistan.

Le cas de la Corée du nord est le plus connu. Pyong-Yang a en effet décidé de fermer ses frontières avec l’extérieur et de ne pas autoriser la libre circulation de ses citoyens à l’extérieur, et même à l’intérieur du pays. Mais l’expression de « royaume ermite », utilisée souvent pour désigner le pays, s’applique en fait à toute la péninsule, tant elle a été prise en tenaille entre de multiples puissances expansionnistes : Chine, Japon et Russie, traditionnellement. Depuis le XVIIe siècle, face à tant d’invasions, la Corée se ferme et se méfie de tout ce qui est étranger. En fait, la dynastie Kim reprend une vieille tradition coréenne. Dès lors, malgré l’ouverture de quelques zones franches, le pays vit refermé sur lui-même, ce qui constitue un de ses piliers géopolitiques.

Le Turkménistan est moins connu. A la suite de l’éclatement de l’URSS, le pays devient indépendant sous la houlette d’un dictateur, Saparmurat Niazov (qui meurt en 2006). Ce « Turkmenbachi » (père des Turkmènes) conduit une politique d’indépendance nationale autour de la langue turkmène, à la fois pour se dégager de l’influence russe et pour dépasser la structure tribale de la société. Cependant, malgré d’énormes richesses en hydrocarbures qui en font un eldorado gazier et constituent l’essentiel de ses relations extérieures, le pays s’enferme. Membre à l’origine de la Communauté des Etats indépendants qui a succédé à l’URSS, il en devient un simple « membre associé », afin de manifester une neutralité officielle. Dès lors, la population, jeune et endoctrinée par l’éducation du régime (autour du livre Ruhnama écrit par Niazov et qui a officiellement autant de valeur que le Coran), se voit interdire toute relation avec l’extérieur. Le système est donc moins dur que celui de Corée du Nord, le pays est plus riche grâce au pétrole, mais il reste enclavé et très distant envers toute communication étrangère.

Les pays murés

Une autre forme de confinement consiste à dresser des murs, des clôtures et des barrières à ses frontières. Certaines sont très anciennes (que l’on pense justement à la DMZ entre les deux Corées, qui date de 1953), d’autres bien plus contemporaines, pour des motifs divers. Constatons qu’en ces temps de mondialisation, donc d’ouverture, les murs et clôtures se multiplient, comme s’ils étaient une externalité de cette mondialisation.

Ils ont différentes formes et ne ressemblent pas tous à l’accumulation de grillages autour des présides de Ceuta et Melilla : ainsi, une marche peut constituer une telle barrière : un espace avec un obstacle naturel (ou pas) mais surtout aucun point de franchissement, manifestant la volonté des deux pays de ne pas échanger : par exemple la marche entre Panama et Colombie, ou celle entre Papouasie et Indonésie. De simples grillages peuvent suffire, comme entre Botswana et Zimbabwe (le Botswana a d’ailleurs invoqué des raisons sanitaires pour justifier, en 2003, l’érection de cette barrière électrifiée). Enfin, de véritables ouvrages avec beaucoup de technologie peuvent s’élever, comme aux frontières du Koweït ou celle d’Arabie Séoudite.

Il est vrai que la plupart de ces murs sont destinés à empêcher l’autre de venir. La barrière est alors tournée vers l’extérieur, créant deux zones : une qui serait « protégée », l’autre qui serait ouverte à tout vent. Le discours sanitaire est sous-jacent car l’autre est censé apporter avec lui bien des inconvénients dont on ne veut pas. L’autre est synonyme de danger. Ce peut être pour des raisons de contrebande (motif invoqué par le sultanat de Brunei face à la Malaisie orientale, ou par l’Inde face au Bengladesh), sécuritaires (Chine, Thaïlande, Ouzbékistan, Iran, Maroc) et bien sûr l’immigration (multiples exemples).

Des pays ouverts utilisent largement ces dispositifs : que l’on pense à l’Union Européenne et son dispositif Schengen (avec des zones très équipées, par exemple en Thrace), aux États-Unis (D. Trump a attiré l’attention sur cette barrière qui restait à terminer d’ériger) et bien sûr à Israël, qui a dressé un véritable mur de plusieurs mètres de haut à l’intérieur de son pays pour se séparer des zones officiellement attribuées à l’autorité palestinienne.

La barrière est un moyen de « réduire le risque », notre société contemporaine manifestant une aversion maximale au risque. De ce point de vue, elle obtient l’assentiment de la population qui y voit l’affirmation d’une souveraineté perçue comme menacée. Mais dans un certain nombre de conflits gelés, la barrière peut aussi constituer un signe d’apaisement permettant l’ouverture de négociation. Aussi bien, la barrière n’est pas aussi rigide que certains la présentent souvent. Elle est d’ailleurs efficace à court terme mais elle perd son usage dans le temps. Car l’étanchéité des murs paraît hypothétique notamment sur de longues distances. Élever une barrière ne suffit pas : il faut la surveiller, l’entretenir, être en mesure d’intervenir en cas de problèmes et de repousser « l’autre » qui voudrait passer en force. Autant de moyens humains qui sont indispensables et qui supposent des ressources constantes, rarement allouées dans la durée.

Confinements intérieurs

Dernier exemple de confinement stratégique, celui du confinement intérieur. Il peut affecter une population entière : la pandémie de 2020 nous a montré comment. Plus habituellement, il concerne certains espaces ou certaines catégories de la population.

On peut bien sûr penser aux zones réservées pour des motifs sécuritaires, telles les zones militaires (aux statuts divers, de la simple zone protégée aux zones sous haute surveillance) mais aussi les centrales nucléaires ou autres emprises Seveso. Nous sommes ici à cheval entre des motifs régaliens et des considérations de sécurité publique, sans même parler des clôtures particulières destinées à protéger la propriété privée. Mais au-delà de ces cas courants, il y a des confinements exceptionnels.

Le cas d’Israël construisant un mur intérieur le long de la ligne verte est symptomatique de ce confinement intérieur des espaces. N’oublions pas non plus les dispositifs d’apartheid comme ceux qu’a connu l’Afrique du sud.

Deux autres phénomènes existent, assez proches et admis socialement. D’une part, les zones d’accueil des gens du voyage, disposées partout sur le territoire. Les gens du voyage ont mauvaise réputation, précisément parce qu’ils n’ont pas de domicile fixe. A défaut d’un passeport individuel retraçant leur itinéraire sur le territoire, les autorités ont mis en place des obligations d’accueil géographique aux alentours des agglomérations. Autre phénomène, celui des « parcos », qui désignent en Italie ces regroupements de maisons entourées et gardées pour des raisons de sécurité. Le phénomène se répand notamment aux États-Unis, sous le nom de gated communities (quartier résidentiel fermé). Ces deux exemples retracent les phénomènes observés aux frontières extérieures. Le premier vise à cantonner les extérieurs dans des enceintes réservées (des sortes de frontières intérieures), quand le second vise à se protéger soi-même de l’extérieur en s’isolant. Dans un cas, le confiné est reflué dans l’espace clos, dans l’autre, l’espace clos sert à protéger le confiné.

Ainsi, le confinement constitue une stratégie générale visant à isoler deux populations, l’une « saine », l’autre « dangereuse ». Finalement, il constitue un outil courant permettant de séparer « le même » de « l’autre ». Il s’applique aussi bien aux frontières extérieures, soit qu’il faille empêcher la population de sortir, soit d’empêcher l’étranger d’entrer. Mais le phénomène existe aussi à l’intérieur, avec des sortes de confinements temporaires ou durables, permettant de confiner relativement telle ou telle population.

De ce point de vue, la situation que nous avons connue avec la pandémie et les confinements nationaux mis en place est extraordinaire, au sens premier du mot : En effet, il ne s’agit pas simplement d’empêcher la population de sortir du pays, mais tout simplement de limiter ses déplacements à l’intérieur du pays, à l’encontre d’une liberté de circulation qui apparaissait traditionnellement comme une liberté publique intangible.

Olivier Kempf

Catégories: Défense

La patrie des frères Werner

mer, 02/12/2020 - 19:20

Voici une BD qui vaut le détour par deux thèmes rarement traités en BD : la RDA (République Démocratique d'Allemagne) d'une part, la géopolitique du football d'autre part.

L'histoire est assez simple : deux frères (le plus vieux à peine adolescent) s'échappent de la chute de Berlin en 1945. Un peu plus tard, ils se font recruter par la STasi, l'agence d'espionnage du nouveau régime communiste est-allemand. Ce sont de bons éléments au point que l'un d'eux est envoyé en "immersion" dans le pays d'en face, la RFA. Il devient membre de l'équipe nationale de football. Son petit frère reste lui au pays et encadre l'équipe nationale de RDA. Mais les deux équipes vont se rencontrer en match de poule dans un affrontement fratricide et hautement politique. Quelles attitudes vont-ils tenir, alors qu'ils ne se sont pas vus depuis dix ans ?

J'ai beaucoup apprécié, le déroulé de l'histoire, qui mêle de façon harmonieuse le débat affectif et politique entre les deux frères mais aussi leurs relations avec leur hiérarchie et surtout, tout l'environnement de l'époque, celui des deux équipes et celui de la société ouest-allemande. C'est parfaitement troussé et on s'interroge jusqu'au bout de ce qui va advenir, aussi bine pour le match de foot que pour le destin de chacun.

Comme tout roman graphique, le dessin est bien fait sans être trop léché, mais pas pour autant négligé. On reconnait notamment très bien les portraits. Pour les amateurs de football, voir Beckenbauer en fayot intransigeant et Paul Breitner en militant gauchiste est un moment succulent (que je ne connaissais pas....

Enfin, cette page d'histoire qui intervient au moment de la détente et juste après l'Ost-Politiik est si rarement traitée en BD qu'elle vaut à elle seule le détour. Dernier point : c'est aussi un voyage à l'intérieur des mécanismes de la Stasi (mais sur ce sujet, il y a plusieurs films qui sont sortis, vous les connaissez sans doute).

Bref, bonne idée de cadeau pour Noël si vous avez un proche amateur de politique et de football... Ou seulement amateur de BD, d'ailleurs;

O. Kempf

Catégories: Défense

Cyber et territoire (INCRT)

mar, 17/11/2020 - 18:40

J'ai oublié de vous le dire : j'ai fondé l'institut de cybersécurité et de résilience des territoires (INCRT) après une réflexion de quelques mois et en association avec plusieurs amis et partenaires. Je salue notamment le Général (2S) Marc Watin-Augouard, qui a accepté de présider ce nouvel institut, dont vous pouvez trouver les détails à l'adresse : www.cyberterritoires.fr. Outre quelques articles ou études publiés ici ou là (notamment une étude publiée à la FRS, voir ici), j'ai répondu aux questions de l'institut, parmi d'autres (ici). Voici l'article ci-dessous

Mon Général, vous êtes une référence de la cyberstratégie en France. Vous avez publié votre premier livre sur le sujet en 2011, vous dirigez la collection cyberstratégie chez Economica, vous êtes chercheur associé à la FRS et membre du Conseil scientifique du FIC, vous êtes régulièrement consulté sur la question : Qu’est-ce qui pousse un homme de votre expérience à créer et vice-présider un Institut consacré à la cybersécurité et la résilience des Territoires ?

Une observation et une expérience.

L’observation que le dispositif français de cybersécurité s’est mis en place au niveau national depuis une dizaine d’années : création de l’ANSSI, renforcement des moyens au travers des diverses LPM, création de l’OG Cyber, mise en place du Pôle d’Excellence cyber, développement du FIC, croissance d’entreprises de toutes tailles qui bénéficient d’un marché lui-même en forte croissance… Tout ceci est parfait mais encore très centralisé, très parisien, très « grands comptes ». De même, l’UE s’est saisie du problème (Directive SRI, RGPD, définition des OSE). Mais là encore, on ne s’adresse qu’aux gros.

Ici vient l’expérience, qui est double. Les aléas de la vie m’ont conduit à plus pratiquer la « province », ce mot qu’on ose à peine prononcer mais auquel je trouve encore beaucoup de charme. Je l’ai fait pour des raisons privées mais aussi professionnelles. Aussi n’ai-je pas trop été surpris quand la pandémie est survenue et que tout le monde a dû passer d’un coup au télétravail. La Covid a plus fait pour la transformation numérique que toutes les initiatives que j’avais pu lancer dans mes précédentes fonctions. Tant mieux, mais ce faisant les territoires ont énormément augmenté leur surface de risque, d’autant plus qu’ils ont le plus souvent une culture très réduite de la cybersécurité.

Aussi m’a-t-il paru nécessaire de m’intéresser à ces territoires, en partant du bas, du terrain : de ce point de vue, le pragmatisme militaire qui fait partie de ma culture m’y aide beaucoup.

Quels sont les objectifs qu’un homme de votre expérience assigne à ce nouvel outil au service des territoires, quelles sont les valeurs que vous voulez y voir appliquées ?

Le premier principe est de partir du terrain, des besoins. Trop souvent, des vendeurs de solution viennent et débitent leur argumentaire, sans vraiment écouter ce que leurs interlocuteurs ont à dire. Or, chaque territoire est particulier. Une ville moyenne qui s’est spécialisée dans le tourisme n’aura pas le même besoin qu’une autre dans une région viticole ou une troisième qui a encore un gros tissu industriel menacé par la crise économique. Si la cybersécurité est une, s’il y a forcément des points communs, les besoins sont différents et il faut donc d’abord écouter et dresser des diagnostics ensemble, au vu des forces et faiblesses du territoire, avant de proposer des actions. Le deuxième principe est celui de la bienveillance : trop souvent, les victimes voient venir des spécialistes qui leur disent « mais vous n’auriez jamais dû faire ceci ou cela, ce n’est pas bien ». De fait, souvent on blâme la victime, comme si c’était sa faute. Je pense au contraire qu’il faut accompagner les victimes et les futures victimes pour les aider à progresser.

Le dernier principe va de soi mais il convient de le rappeler : il s’agit d’œuvrer pour le bien commun et la cohésion nationale et territoriale. Une fois encore, il faut compléter par le bas ce qui se fait bien au niveau central.

Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

Le sentiment qu’ils sont trop petits pour être visés (sentiment partagé aussi bien par les CT que par les PME PMI). Accessoirement, une question de ressources disponibles : il y a tellement de besoins par rapport à des moyens limités qu’on ne prend pas les mesures minimales de cybersécurité. On « prend le risque » car on estime qu’il y a d’autres urgences. Celles-ci sont bien sûr légitimes mais il faut désormais faire uen petite place à la cybersécurité. On ne peut plus la négliger.

Le problème, c’est que désormais, tout le monde est visé, la cybermenace ne vise plus seulement les gros. On a connu une vague incroyable de fraudes au président ces dernières années, puis de rançonnages contre des collectivités publiques au cours des 15 derniers mois. Elle dure encore et ne cesse d’enfler. Accessoirement, la pandémie a forcé tout le monde à passer au télétravail, ce qui a ouvert de gigantesques portes aux agresseurs…

La cyber menace ne peut plus être ignorée. Y répondre fait partie désormais des facteurs d’attractivité d’un territoire.

Que propose l’INCRT pour accompagner les territoires dans ce défi, désormais presque quotidien ?

Tout d’abord, une veille et un éveil. Il convient de parler aux territoires mais aussi de les écouter. De ce point de vue, l’institut sera une plateforme qui permettra à chacun de suivre et de rencontrer.

Ensuite, nous irons dans les territoires à la demande des CT afin de présenter et sensibiliser, mais aussi de montrer que des solutions simples existent. Nous agirons bien sûr avec nos partenaires comme cybermalveillance ou la Gendarmerie nationale. Enfin, s’il y a des demandes plus précises, nous voulons aussi être un « do tank » et mobiliserons notre réseau d’experts pour répondre aux besoins exprimés.

Olivier Kempf

Catégories: Défense

Medays 2020

sam, 14/11/2020 - 19:49

J'ai participé vendredi 1A3 novembre à la table ronde du Medays 2020, organisée sur les réactions à la pandémie, notamment du point de vue numérique.

Vous trouverez un bref compte-rendu de cette table ronde ici.

J'en extrait ceci : Selon Olivier Kempf, directeur de La Vigie, chercheur associé à la Fondation pour la recherche stratégique et directeur de la Collection Cyberstratégie chez Economica, la crise sanitaire a contribué au renforcement des inégalités dans l’utilisation des outils numériques et a augmenté le risque de cyberattaques, appelant ainsi à investir beaucoup plus dans ce domaine en vue de garantir la sécurité des systèmes d’information. Il a dans ce sens mis en exergue l’intérêt de l’Afrique et l’Europe à œuvrer ensemble et mobiliser leurs efforts, à travers un partenariat liant les deux continents et visant à tirer profit de cette révolution numérique. M. Kempf a ajouté que ce partenariat permet aux deux parties d’intégrer un marché potentiel de près de 2 milliards de personnes et de pouvoir ainsi concurrencer la Chine et les États-Unis.

OK

Catégories: Défense

UNe autorité scientifique disparue ?

mer, 11/11/2020 - 11:57

Cela fait des semaines, des mois que je n'ai pas publié : mille excuses. Je dos être mal organisé ou très pris (au choix). Voici donc un texte paru dans un dossier de l'IRIS sur "le virus du faux" (lien ici). J'y publie un texte sur la disparition de l'autorité scientifique, lisible ci-dessous. OK

La crise de la Covid 19 affecte en profondeur l’année 2020. Cependant, si les conséquences géopolitiques sont relatives, si les conséquences économiques sont énormes, la pandémie a accéléré un autre mouvement, plus discret et moins évident : celui de la perte de confiance envers l’autorité scientifique.

Permanences et accélérations

D’une part, les tendances lourdes du monde d’avant ont persisté. Certes, quelques-uns ont saisi des opportunités, comme la Chine qui en a profité pour accélérer sa maîtrise de Hong-Kong ou l’Arabie Séoudite qui a tenté de s’exfiltrer du Yémen. Le bilan médical de la pandémie sera lourd mais sans constituer par lui-même un choc démographique déstabilisant, à l’image de la Grande peste ou des ravages microbiens lors de l’invasion des Conquistadors. En revanche, les conséquences économiques de l’arrêt de la production mondiale pendant deux mois seront très sensibles et nous mettrons deux ou trois ans à les surmonter.

D’autre part et hormis la question économique, la crise a accéléré des phénomènes qui prévalaient. Mentionnons ici la prégnance accélérée des outils numériques, la radicalisation de la crise intérieure américaine ou encore une radicalisation politique de la gauche mondiale au profit d’une lecture systématique de communautés séparées sur la base de la couleur de peau (ne plus dire race), du genre (ne plus dire sexe) ou de la position victimaire.

Débat scientifique

Au chapitre des accélérations, le débat scientifique est arrivé sur la place publique. Il a pris des détours surprenants pour se concentrer sur les questions de médecine. Il est vrai que le confinement nous y forçait, puisque nous avons tous essayé de comprendre ce virus qui suscitait une réaction aussi radicale que la mise à l’abri de populations entières.

Ainsi, les virus ne sont pas des microbes, la transmission de virus d’animaux à l’homme est chose courante, notre patrimoine génétique s’améliore au fur et à mesure des résistances acquises par la rencontre préalable d’autres virus et maladies, etc. Accessoirement, ces virus se répandent plus facilement grâce à la mondialisation puisque celle-ci passe par des échanges beaucoup plus nombreux que par le passé.

Mais ces explications n’ont pas suffi. Il nous a fallu comprendre comment nous en étions arrivés là : passons sur l’impréparation et la faiblesse des moyens (de lits, de respirateurs, de masques, de tests, ces derniers n’étant toujours pas opérés en assez grand nombre) qui ont suscité leur lot de polémiques ; rapidement, la question a tourné autour des moyens de traiter ce virus, aujourd’hui et demain. Les autorités nous ont promu des tests cliniques de traitement qui étaient faits au niveau européen et dont nous devions avoir les premiers résultats en avril. Constatons que les résultats sont décevants, non seulement parce que les solutions n’ont pas été trouvées mais aussi parce que l’ampleur des tests à déçu.

L’affaire de la chloroquine

Alors est intervenu un personnage haut en couleur, le professeur Raoult, initialement présenté comme un des grands spécialistes mondiaux d’infectiologie. Il prônait un traitement précoce à base de chloroquine et expliquait qu’il obtenait de bons résultats. La planète médiatique prit alors feu. Avec son air de Panoramix, on avait l’impression du druide du village gaulois résistant à l’envahisseur, tandis que les élites poussaient des cris d’orfraie face à cet hérétique qui suivait sa propre voie. Dans cette nouvelle bataille d’Hernani, chacun pouvait avoir son avis d’autant plus que le « Conseil scientifique » mis en place par le gouvernement avait des avis qui semblaient évoluer au gré des circonstances.

Un peu plus tard, une étude tout aussi fracassante était publiée par une revue médicale de renom, the Lancet. Elle s’appuyait sur du Big data et concluait à l’ineptie des traitements par chloroquine. Le Conseil sanitaire décidait aussitôt qu’il fallait interdire la chloroquine (médicament utilisé depuis trois quarts de siècle contre le paludisme en Afrique et dont on ne savait pas qu’il présentait jusqu’alors de si grands dangers). Comme dans tout bon vaudeville, une semaine plus tard on apprenait que l’étude avait été « bidonnée », que les statistiques avaient été inventées par une société plus mercantile que médicale : the Lancet retirait la publication et l’OMS son avis contre la chloroquine.

Précisons ici que nous n’avons aucune idée du bien ou du mal-fondé de ce médicament mais qu’il est révélateur de bien des choses.

Autorité scientifique

Allons au fait : ces affaires, aussi bien celle de la pandémie que de la chloroquine, révèlent la fin de l’autorité scientifique. Voilà une nouveauté dont on discernait pourtant les signes mais qui est désormais établie.

Elle n’est pas surprenante tant les « autorités » traditionnelles se sont affaiblies : ce fut le cas des religions (relisez M. Gauchet sur le désenchantement du monde), des idéologies, des syndicats, des partis politiques ; il y eut le déclin de la presse, celui de l’école, celui de l’hôpital. Toutes ces institutions, toutes ces autorités morales se sont peu à peu affaissées. Voici d’ailleurs une des causes de la fin de l’universalisme.

La dernière autorité restait l’autorité scientifique. Les savants, du fait de leurs longues années d’étude, de leur rare prise de parole publique, de leur rigueur, mais aussi du reliquat d’un certain positivisme, hérité d’Auguste Comte, gardaient leur crédit. Nous croyions tous encore un peu au progrès, avec une part de raison.

Le progrès, toujours le progrès

En effet, nous avons évolué à propos du progrès. Nous avons compris que le progrès scientifique n’entraînait pas, contrairement aux illusions des siècles passés, un progrès social. Pour autant, nous savons bien que le progrès scientifique continue (même s’il est de moins en moins compréhensible) et surtout, nous observons dans notre vie quotidienne l’irruption du progrès technologique. Cela passe bien sûr par les technologies numériques (nous ne parlons pas bien sûr de l’ultime version de votre ordiphone qui appartient plus au domaine du marketing que de la technologie) mais pas uniquement : nos avions, nos voitures, nos outils, nos soins se sont améliorés. Nous attribuons ce progrès technologique au progrès scientifique. Et il est vrai que la science continue son œuvre et que la réponse scientifique à la pandémie a été remarquable, puisqu’on a isolé l’ADN du virus en quelques semaines et que les prototypes de vaccin sont testés partout. Jamais dans l’histoire de l’humanité une maladie nouvelle n’aura été traitée aussi rapidement. Et pourtant…

Impatience et défiance

Par impatience, nous comprenons mal que nous n’y soyons pas arrivés plus vite. Rappelons qu’on n’a toujours pas de vaccin contre le Sida, apparu il y a quarante ans, et qu’on traite difficilement cancer et Alzheimer…

Surtout, nous avons une certaine défiance envers l’aristocratie scientifique. Les premiers signes sont anciens : sans même évoquer les platistes (persuadés que la terre est plate), pensez à la controverse sur le changement climatique ou celle des antivax (anti-vaccins). Des parts toujours plus importantes de la population tiennent des discours (et adaptent parfois leurs comportements) sur la base de conceptions scientifiques manifestement erronées. Encore ne s’agit-il là que d’opinions, considérées comme marginales même si elles ont pris de l’ampleur grâce aux réseaux sociaux.

Avec la chloroquine (dans un contexte de confinement) c’est la population entière qui a pris parti, sachant que les démonstrations des uns et des autres ne convainquaient pas. De plus, la parole des « experts », qu’il s’agisse des membres des différents Conseils scientifiques ou académies, laboratoires ou universités, a semblé être altérée par des intérêts externes, politiques ou pécuniers ou tout simplement d’egos. Les déclarations flamboyantes de l’un, condescendantes des autres, ont toutes contribué au malaise.

Au fond, la science bénéficiait encore d’une image de neutralité qui lui donnait son autorité. Personne ne lui reproche son incertitude : car son objet consiste justement à dissiper, lentement et à tâtons mais avec méthode, cette incertitude. Mais on reproche à ceux qui s’en prévalent de ne pas toujours respecter cette neutralité qui fonde le bien commun ; de verser dans l’émotion, d’en faire l’objet de parti, donc de partition, donc de division. Ils ont abimé l’autorité, une des dernières qui nous restait. C’est dommage car le mal fait ne pourra être réparé.

Pour conclure

Ce propos n’est-il pas u peu sévère ? la science ne continue-t-elle pas, vaille que vaille, obtenant des résultats sans cesse plus étonnants ? Si, bien sûr, et l’attribution récente du prix Nobel de chimie à une chercheuse française nous le rappelle, elle qui mit au point la technique du CRISPR/Cas9 qui permet de réaliser du génie génétique. Observons que ce travail scientifique se fait dans l’ombre, entre experts qui ne sont pas contestés. Au fond, l’autorité scientifique pâtit d’être propulsée au-devant de la scène publique, que ce soit par le politique, par les médias, par l’émotion. La science poursuit son chemin, elle ne tolère plus en revanche d’être confrontée au débat public qui tourne souvent à la polémique (car voici au fond un des grands défauts de l’époque : celui de ne plus avoir de débat, mais seulement des polémistes qui ne s’écoutent pas réciproquement).

Pour autant, peut-elle s’en abstraire ? Car des débats récents se font jour qui manquent visiblement de culture scientifique : par exemple celui sur l’alternative des énergies renouvelables par rapport à l’énergie nucléaire, ou la curieuse polémique entourant le déploiement de la 5G qui serait anti-écologique et mauvaise pour la santé -on connut un peu la même chose avec les éoliennes ou les compteurs Linky). La science est donc placée au milieu d’une contradiction : celle de ne pouvoir trop interférer dans le débat public mais de ne pas non plus le négliger complètement…

Catégories: Défense

Le continent de la douceur (A. Bellanger)

mer, 19/08/2020 - 22:49

Aurélien Bellanger est un auteur contemporain important, d’une veine houellebecquienne mais dont les préoccupations tournent autour de l’information (on se souvient d’un remarquable Théorie de l’information) mais aussi de l’espace et de son ordonnancement politique. On avait ainsi adoré L’aménagement du territoire mais aussi Le grand Paris.

Son dernier opus prend l’Europe comme sujet avec une excellente métaphore, celle d’un pays qui n’existe pas, la principauté de Karst (ex-Yougoslavie). La principauté vit l’invention des machines horlogères à la complication diabolique et l’utilité inconnue, mais aussi accueillit un mathématicien hors pair, dont le souvenir irrigue le roman qui conte l’histoire de la diaspora karste et de la « résurrection » de la principauté.

C’est follement drôle avec beaucoup de références en tout sens, une moquerie gentille de l’UE (la nouvelle machine karstienne), l’inclusion géographique et historique des deux hémisphères européens, un BHL traité pour ce qu’il est, à savoir un personnage farce de roman. On s’amuse beaucoup en se sentant intelligent et cultivé avec une douce ironie, pour ne pas dire moquerie, envers cette Europe qui se croit si importante alors qu’elle n’est plus qu’un doux souvenir.

Le continent de la douceur Aurélien Bellanger, ici

O. Kempf

Catégories: Défense

L'utopie déchue (F. Tréguer)

lun, 17/08/2020 - 22:46

Le sous-titre de l’ouvrage dit son programme : une contre-histoire d’Internet, du XVe au XXIe siècle.

L’auteur est membre de la Quadrature du net, association militant pour la sauvegarde de la liberté d’expression sur Internet et des libertés publiques.

Le programme du livre est donc celui de la liberté d’expression et des tentatives de contrôle de celle-ci par les pouvoirs, au travers des siècles : autrement dit, ce qui arrive aujourd’hui à la « régulation de l’Internet » ne serait que la réplication de méthodes expérimentées par le passé par les pouvoirs. Le changement est évident aujourd’hui, car nous observons l’association de divers types de pouvoirs (politique, économique, médiatique) qui de facto s’entendent pour maîtriser cet espace de liberté que devrait être l’Internet. Un livre qui permet de prolonger notre article « Pays média, pays réel » du LV 147.

L’utopie déchue Félix Tréguer, Fayard 2019, ici

O. Kempf

Catégories: Défense

Kisanga (E.

ven, 14/08/2020 - 21:43

Voici un très bon polar qui nous emmène en RD Congo et la région des Grands lacs.

L’enjeu : à la fois une opération minière qui allie un géant minier français et de nouveaux investisseurs chinois, le tout servant à illusionner des investisseurs anglo-saxons ; et la recherche d’une opération ratée des services français, dix ans auparavant, du côté du Ruanda et de l’est de la RDC, qui mettrait en cause le dirigeant du groupe français.

On le comprend, le tableau peint une âme humaine bien noire même si le héros, improbable, est un des cadres du groupe qui recherche la vérité au mépris de ses intérêts et au péril de sa vie : on le sent embarqué là un peu par hasard, anti-héros logiquement inattendu mais qui apporte le regard frais sans être pourtant candide. Enfin, on sent cette Afrique profonde du côté du Katanga, avec sa vitalité, ses profondes injustices et ses richesses gâchées.

Kisanga Emmanuel Grand, Livre de poche, 2019. Ici

O. Kempf

Catégories: Défense

Pages