Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Lutte contre le terrorisme : la riposte s'intensifie

Alors que l'actualité nous ramène à la triste réalité, notamment avec l'affaire du Thalys, le terrorisme se développe de plus en plus sur Internet et dans le cyberespace. Des start-up et des projets de recherche inventent les nouvelles solutions pour protéger les systèmes d'information de nos usines. En attendant les algorithmes capables de prédire le passage au terrorisme ?

Par bonheur avortée grâce à l’intervention héroïque de passagers décorés de la légion d’honneur lundi dernier à l’Élysée par le président de la République, l’attaque armée du train Thalys Amsterdam-Paris ce vendredi 21 août par le terroriste Ayoub El Khazzani, inculpé ce mardi 25 août, fait tristement écho à d’autres actions violentes sur notre territoire. Citons l’attentat meurtrier, vendredi 26 juin, à l’usine Air Products de Saint-Quentin-Fallavier (Isère), un site classé Seveso. L’auteur présumé, Yassin Salhi, avait poussé son action jusqu’à la mise en scène macabre en accrochant à la clôture de l’usine la tête de son patron qu’il avait décapité. A la manière de Daesh. Bien sûr, chacun pense également aux trois jours qui ont terrorisé la France en début d’année ces 7, 8 et janvier avec l’attentat sanglant des frères Kouachi au journal Charlie Hebdo et la tuerie d’Amedi Koulibali à Montrouge et au supermarché casher de la porte de Vincennes.
Outre les très nombreuses tueries suicidaires quasi quotidiennes dans le monde, cet enchaînement de tragédies en France traduit-il une inflation du terrorisme ? Au départ très structurées, les organisations terroristes se font-elles concurrencer par des cellules plus artisanales mais toute très malfaisantes grâce au numérique ? Après l’Afghanistan, le Pakistan, les Balkans, la Tchétchénie, l’Irak, le Mali ou la Libye, le phénomène djihadiste devient-il durablement attractif pour des milliers de  »paumés » du monde entier qui se  »forment » à présent en Syrie dans les rangs de Daesh ? Sommes-nous désormais en guerre permanente ?

Du terrorisme ciblé au terrorisme flou. « Le terrorisme a toujours existé et partout, rappelle Alain Coldefy, directeur de recherche à l’Institut de relations internationales et stratégiques (Iris). On en parle davantage en raison du développement d’Internet et de l’instantanéité de l’information médiatique. Dès l’arrestation d’Ayoub El Khazzani, le président Obama a félicité ses héroïques compatriotes par téléphone. En fait, la menace terroriste est loin d’augmenter de façon inflationniste. » Ce n’est pas l’avis de Philippe Migaux, professeur à Sciences Po, spécialiste de la sécurité internationale, qui, en commentant à chaud dans l’Express la cavale des frères Kouachi, estimait qu’il y avait « une augmentation considérable du nombre de djihadistes ces derniers mois avec la montée en puissance de l’organisation terroriste Etat islamique (Daesh, NDLR). »
Reste que le terrorisme revêt trois aspects. Tout d’abord, il y a l’action planifiée par un état-major externe. Viennent ensuite les  »loups solitaires » qui sont formés aux pratiques terroristes, par exemple en Syrie à l’heure actuelle, pour revenir en Occident (ou dans leur pays d’origine) et y commettre des attentats qu’ils déclenchent sur le conseil de leur organisation. « Enfin, il y a les  »fous » qui se sont auto-formés et fanatisés sur Internet. Ils sont capables de mener des actions très graves. Il est très difficile de les identifier et de les arrêter. Les autres, on les connaît, décrit Alain Juillet, président du Club des directeurs de sécurité des entreprises (CDSE). Après la menace idéologique (Bande à Bader, Brigades Rouges…), le terrorisme ethnique (comme dans les années 90 dans les Balkans ou encore aujourd’hui en Afrique), on pourrait croire que le terrorisme ait tendance à devenir essentiellement religieux. En réalité, même si le religieux monopolise l’attention, on voit émerger d’autres formes. Par exemple, au Royaume-Uni, celui de la défense des animaux dont les adeptes font sauter des laboratoires qui utilisent des cobayes. »

Religieux, politique, ethnique, voire environnementaliste… le terrorisme est, par nature, protéiforme. Il est surtout là où on ne l’attend pas. Mais une chose est sûre : il se distingue de la simple criminalité car le brigand agit pour l’argent, le terroriste par idéologie. « On est parti d’un terrorisme ciblé. C’est le cas, par exemple, avec l’affaire Mohammed Merah en 2012. L’auteur présumé des faits a voulu stigmatiser les Musulmans intégrés à la société française en tuant 3 militaires répondant à cette catégorie à Montauban et atteindre les Juifs en massacrant 5 enfants d’une école juive à Toulouse, ajoute Alain Coldefy. A présent, certains terroristes s’attaquent à des cibles  »tout venant ».Le terrorisme devient plus flou. » En témoigne, à peine deux jours après l’événement du Thalys, le cas d’un déséquilibré qui a menacé d’égorger les passagers d’un train sur la ligne Strasbourg-Roissy-Charles-De-Gaulle, à proximité de Bézannes (51). En revanche, l’homme ne portait pas d’arme sur lui. Il a attendu la venue du contrôleur pour passer à l’action. Maîtrisé par l’employé de la SNCF aidé de six passagers, ce jeune homme n’a pas opposé de résistance et a été confié aux policiers. Autre aspect important qui en rajoute au flou du terrorisme, « on ne peut qualifier la menace de façon monolithique. Celle-ci s’accompagne toujours quelque chose de mafieux. Par exemple, à une époque la cocaïne d’Amérique du sud à destination du marché européen a commencé à débarquer sur les côtes françaises, puis espagnoles, ensuite marocaines. Maintenant elle arrive par le Golfe de Guinée », remarque Alain Coldefy. Dans le même ordre d’idée, citons aussi les récents pillages des musées et sites antiques en Irak et de Syrie par Daesh et ceux, plus anciens, en Afghanistan par les Talibans au prétexte qu’il s’agissait d’œuvres ante-islamiques.

Guerre de l’information : l’intensification. Par ailleurs, le terrorisme est l’arme de David contre Goliath, du petit face au géant, celle qui sème la peur et le trouble de la façon la plus spectaculaire possible de sorte à monopoliser l’attention des médias, des politiques et des citoyens meurtris dans leur quotidien. Dans ce contexte, « confrontés à l’efficacité de l’utilisation du cyberespace par les salafistes de Daesh, notre pays semble tétanisé dans une sorte de fascination similaire à celle du lapin face au boa qui veut l’avaler, analyse Alain Juillet. Loin de faire une analyse froide des méthodes et des moyens utilisés par l’attaquant, on refuse de reconnaître qu’il s’agit d’une nouvelle forme de menace s’exprimant dans l’immatériel : la guerre de l’information. »
Dans le sillage des États-Unis, les terroristes d’Al-Qaeda puis de ceux de Daesh ont bien compris tout le profit qu’ils pouvaient tirer de la guerre de l’information sur Internet en tant qu’approche efficace et peu coûteuse. « Que ce soit pour donner une image de puissance, faire connaître leur organisation et leurs idées, inciter des jeunes à les rejoindre, ou pour donner leurs instructions aux agents dormants et aux réseaux de soutien, ils utilisent internet dans toutes ses possibilités, reprend Alain Juillet. Dans l’attaque de TV5 Monde, au-delà du niveau de capacité technique des agresseurs, il faut voir un test de neutralisation de l’information impactant toutes les autres télévisions. Que se passerait-il si, demain, toutes nos chaînes arrêtaient de fournir des informations pendant 24h ? »
Attribué pour l’instant à Daesh, ce piratage de TV5 Monde est, semble-t-il, devenu le symbole de la montée en puissance de la guerre de l’information que livrent aujourd’hui des groupes terroristes, des mouvements armés à des États. Sommes-nous préparés à faire face à ce nouveau type de menace ? Une chose est sûre : « La guerre de l’information bouleverse les lois de la guerre traditionnelle. En effet, elle s’affranchit de la classique déclaration de guerre, offre un avantage décisif à l’attaquant. De même elle est dénuée de traité de paix ainsi que de fin temporelle. Elle ne présente pas d’agresseur identifiable avec certitude, décortique Christian Harbulot, directeur de l’Ecole de guerre économique (EGE) et directeur associé du cabinet Spin Partners qui a dirigé la publication du rapport d’alerte La France peut-elle vaincre Daesh sur le terrain de la guerre de l’information ? paru en mai 2015. Autrement dit, nous n’avons pas le choix. Il faut se préparer à combattre de manière durable et sur différents théâtres et, notamment, à mener des guerres de l’information désormais inévitables. »

Sur le terrain, des armes encore très classiques. A côté des stratégies pour recruter sur les réseaux sociaux des candidats au djihadisme ou pour communiquer à l’aide de scènes macabres (exécutions filmées), les terroristes se révèlent cependant assez conservateurs en ce qui concerne les moyens d’action opérationnels : explosifs, armes à feu légères… Il faut dire que, selon un rapport du collectif Contrôlez les armes (Oxfam, Amnesty International…) paru en 2006, il y aurait plus de 100 millions de kalachnikovs ou de ses variantes en circulation dans le monde. De quoi alimenter les circuits aussi bien mafieux que terroristes. A cet égard, il est assez effrayant de savoir que 150 détonateurs, des pains de plastique et environ 40 grenades ont été volés le 3 août dernier au dépôt du Service inter-armées des munitions (Simu) de Miramas (13)…

Dans le Thalys Amsterdam-Paris, Ayoub El Khazzani
a voulu perpétrer un massacre à la mitraillette.
CC Ale Sasso
Dans le Thalys Amsterdam-Paris, Ayoub El Khazzani
a voulu perpétrer un massacre à la mitraillette.
CC Ale Sasso

L’envolée du cyberterrorisme. En complément de la violence faite avec des armes, le cyberterrorisme fait également des ravages. « C’est moins parlant que de tuer des dizaines de personnes avec une AK-47 mais mais ça fait mal. Attaquer les systèmes Scada (superviseurs des automatismes qui pilotent les machines industrielles, NDLR) peut stopper le fonctionnement de toute une usine. Cela peut réclamer des mois pour la remettre en marche. A tel point qu’un hacker qui  »casse » une usine peut être considéré comme terroriste », reprend Alain Juillet. Sur ce terrain, les terroristes peuvent être des fonctionnaires de l’État. En témoigne l’opération de cyber-sabotage contre le programme nucléaire iranien, menée conjointement par les Etats-Unis et Israël, selon les révélations du reporter du New York Times, David E. Sanger, en juin 2012, afin de neutraliser les centrifugeuses nucléaires par le virus informatique Stuxnet en 2010.
Certes Stuxnet s’est ensuite répandu massivement dans le monde entier et les logiciels d’anti-virus savent aujourd’hui le neutraliser. Cependant, cette opération a révélé les failles de l’informatique industrielle qui pilote aussi bien les usines pour pièces détachées automobile que certains OIV (Opérateurs d’importance vitale) ou des usines agroalimentaires. Ces fragilités ont à nouveau été mises en lumière avec l’attentat chez Air Products à Saint-Quentin-Fallavier (Isère), un site classé Seveso. Bien sûr, l’auteur présumé, Yassin Salhi, n’a pas piraté les automatismes et les serveurs de l’usine. Mais, tout d’un coup, le terrorisme s’est porté sur une usine classée !

Des start-up contre les cybermenaces dans l’industrie. D’où l’intérêt de la start-up française Sentryo et de sa solution ICS Cybervision qui vise à sécuriser les réseaux informatiques pour Smart Cities, Smart Grid, l’industrie 4.0, l’Internet des Objets et, bien sûr, les systèmes Scada (Supervisory Control And Data Acquisition). Une solution qui a reçu en début d’année le troisième prix du concours européen  »Idea Challenge » des EIT ICT Labs, créé par l’Institut européen pour la technologie et l’innovation et financé par l’Union européenne, auquel participaient 70 start-up européennes. La solution, Sentryo ICS CyberVision se constitue d’un ensemble d’équipements matériels et de logiciels (sondes, serveur, services cloud) qui sont capables de surveiller le réseau industriel et de détecter les comportements anormaux et les cyberattaques. Elle offre aux équipes de l’informatique industrielle et la cybersécurité une vision du risque. La start-up s’adresse en priorité aux secteurs de l’énergie, des transports, de l’environnement mais également aux grandes infrastructures publiques.
Pour sa part, la start-up britannique Darktrace surfe sur le même type de vague que Sentryo. Nommée  »Meilleure entreprise de sécurité de l’année » par Info Security Products Guide 2015, Darktrace, créée en 2013 à Cambridge (Royaume-Uni) base son socle technologique sur les avancées récentes dans le domaine des mathématiques probabilistes bayésiennes, développées à l’Université de Cambridge. La start-up cible les cybermenaces internes et externes grâce à sa capacité unique à détecter, en temps réel, des modes d’attaques qui n’ont pas encore été cartographiés. Résultat, sa solution, baptisée Industrial Immune System, est capable de détecter, en temps réel, des cybermenaces sophistiquées ainsi que des menaces internes subtiles. En étudiant le comportement du système de contrôle lui-même, et non le processus industriel qu’il gère, il est possible d’avoir une confiance accrue dans le bon fonctionnement du système de contrôle. De nombreux groupes internationaux dans les secteurs de l’énergie, des services publics, de la finance, des télécommunications, de la distribution et des transports s’appuient sur la plate-forme auto-apprenante de Darktrace pour détecter les activités anormales dans l’entreprise.
De son côté, la plate-forme de la start-up française GateWatcher, créée par Jacques de La Rivière (président) et Philippe Gillet (directeur technique) détecte et bloque les cyberattaques les plus sophistiquées qui se déroulent en trois temps. A commencer par l’exploration. Une personne rentre dans le système informatique afin d’explorer le périmètre de la cible. Ensuite, elle s’infiltre afin de maintenir sa présence durant une longue période avant d’exfiltrer des données confidentielles ou de les détruire. « La durée moyenne de maintien dure au minimum 205 jours avant que la présence du cybercriminel soit détectée », soulève le président de GateWatcher qui a développé une technologie pour détecter l’attaque, dès la phase d’exploration, contrairement à ses concurrents. La technologie  »Trackwatch » de GateWatcher surveille uniquement les flux de fichiers qui transitent sur le réseau. « Nous les capturons à l’aide de notre propre sonde et nous les passons au peigne fin avec notre outil d’analyse qui a une capacité d’apprentissage automatique, fait valoir Jacques de La Rivière. Notre serveur sait exactement comment les services et les serveurs doivent fonctionner ou non, ce qui nous permet de repérer les phases d’exploration des hackers. » L’outil a été développé pendant deux ans en collaboration avec des grands groupes qui ont d’ailleurs souscrit à l’offre de GateWatcher. Son offre se compose d’une sonde réseau et d’un serveur dont les données sont conservées au sein de l’entreprise cliente pour des raisons de confidentialité.

Prendre en compte les objets connectés. La détection des traces n’a pas fini de susciter l’intérêt des chercheurs. Pour preuve, le projet Huma, porté par la société française Intrinsec (groupe Neurones) qui vient d’être labélisé par le Pôle de compétitivité System@tic Paris-Région dans le cadre du FUI (Fonds unique interministériel) et sera financé à hauteur de 4,6 millions d’euros sur trois ans, de septembre 2015 à août 2018. « Jusqu’à présent, pour détecter des cyberattaques, les spécialistes de la sécurité opérationnelle utilisent des programmes qui analysent les traces informatiques, les comparent et les corrèlent face aux modes opératoires connus et aux modèles de menaces existants. Mais avec l’explosion des flux d’information et l’évolution des usages, ce travail est rendu plus difficile car il y a énormément de données à traiter et les sources d’information sont très hétérogènes, décrypte Véronique Legrand, chargée de mission innovation et recherche chez Intrinsec. En effet, on constate une augmentation par an de 15% à 20% du volume des traces informatiques à analyser. Par ailleurs, un serveur moyen peut contenir 7 Go de logs par jour, une analyse humaine serait alors comparable à la lecture d’environ 11.000 livres de 300 pages par jour. Enfin, les cyberattaques peuvent se dérouler dans le temps avec une succession d’attaques et dans l’espace, sur plusieurs sites, sur différents supports ou sur des objets connectés. » Le but du projet Huma est donc de faciliter l’analyse des traces informatiques en créant des modèles d’attaque dynamiques qui seront ainsi plus facilement identifiables dans des flux massifs de données informatiques.
« Nous allons élaborer un ensemble d’outils de traitement et d’analyse qui vont aider les opérateurs à réduire le volume de données à analyser et à comprendre le mode opératoire des attaquants. Et ce, même si leurs attaques se déroulent dans le temps et dans l’espace, enchaîne Véronique Legrand qui espère proposer une première offre d’ici deux ans sous la forme d’un logiciel en mode locatif (SaaS : Software as a Service). Par ailleurs, nous allons aussi créer des modèles d’alerte émis par les objets connectés et des plates-formes d’évaluation de ces problématiques. C’est indispensable, sachant qu’aujourd’hui, si une attaque porte sur des objets connectés (vols de données, intrusion, etc), la capacité de détection et de supervision est nulle. »

 »Predictive Policing ». Les technologies s’annoncent encore plus prometteuses avec les algorithmes de police prédictive. Les plus connus sont ceux de la société californienne PredPol et de la société allemande Precobs. Les deux solutions proposent de réduire la criminalité en conseillant les équipes de police de patrouiller aux endroits où les crimes et délits sont le plus susceptibles de se réaliser. Ces prévisions criminelles sont géolocalisées sur une cartographie numérique et calculées à partir de gigantesques bases de données statistiques. Outre les Etats-Unis, PredPol est vendu également au Royaume-Uni.
En France, la Gendarmerie nationale a annoncé en mai dernier avoir acquis un algorithme prédictif pour les cambriolages, vols, trafics de stupéfiants et agressions sexuelles à partir des régularités statistiques observées ces cinq dernières années. Par ailleurs, le Service central de renseignement criminel (SCRC) de la Gendarmerie nationale travaille également sur un autre logiciel projet en collaboration avec le laboratoire de recherche Teralab de l’Institut Mines-Télécom à Paris, spécialisé dans le Big Data, et la société Morpho (groupe Safran). Point fort, ce projet devrait être alimenté par des données très variées afin de contextualiser les données d’intérêt criminel : Insee, météo, géographie, extractions de blogs ou de réseaux sociaux (Facebook, Twitter…). L’algorithme devrait être motorisé par une intelligence artificielle capable de s’améliorer elle-même pour fournir un outil d’aide à la décision. Grâce à des requêtes personnalisées, l’intérêt de cette approche consiste à élaborer des modèles de profils capables de suggérer que telle personne pourrait passer à l’acte. De quoi pallier le problème de suivre les 5.000  »fichés S » ?

Erick Haehnsen

Les algorithmes pourraient bientôt prédire qu'une personne
va passer au terrorisme.
© D.R.
Les algorithmes pourraient bientôt prédire qu’une personne
va passer au terrorisme.
© D.R.

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.