Inattribution : vraiment ? Vraiment !

En effet, quand je parle d'inattribution, il s'agit de dire qu'on n'a pas les preuves "techniques" de l'identité de l'assaillant. Or, cela mérite d'être un soupçon précisé. Un VPN ou quelques proxys (les dispositifs les plus souvent cités, avec les robnets) sont des masques insuffisants pour se camoufler auprès des équipes les plus avancées des États qui jouent en première division. Cela marche pour la plupart des entreprises, pour nombre d’États qui n'ont pas de capacités cyber, mais pour les plus avancés, ce masque est trop faible. Ce qui confirme, au passage, mon propos de la resymétrisation du cyber : ce qui est important, c'est ce qui se passe en ligue 1....

Toutefois, il existe des dispositifs plus évolués qui réussissent à tromper ces gros acteurs. Et là, le principe d'inattribution joue. On n'est pas capable d'apporter une preuve "scientifique" de l'identité de l'agresseur. Il reste qu'on est capable, en utilisant d'autres techniques, et pas seulement "informatiques", mais empruntant beaucoup à des procédures de renseignement humain, à former des faisceaux d'indices qui "désignent", à 95 % (chiffre qui n'a rien de scientifique, vous l'avez compris), l'identité de l'agresseur.

Cela amène plusieurs remarques.

La première porte sur la nature de la "preuve". En effet, dans un monde technicien, où la moindre série télé nous enseigne que la police est scientifique, et où le moindre OPJ vous explique qu'il faut des preuves scientifiques (ADN) pour convaincre le juge, les aveux ne suffisant plus, nous voici dans un domaine apparemment "scientifique" où la "preuve" ne peut être scientifique. Ceci constitue une sorte de révolution. Contre intuitive et surtout mal admise tant par les scientifiques que par les politiques ou les opérationnels.

La deuxième consiste à revenir sur la notion "d'intime conviction", qui suffit, en droit, à emporter la décision. Le juge doit avoir "l'intime conviction", et peu importe comment il la bâtit, des motifs de son jugement. L'intime conviction a, je crois, encore droit de cité (oui, c'est un jeu de mot). Ce qui revient à dire que cette intime conviction admet la méthode du faisceau d'indice. Et que donc les procédures ROHUM ont plus que jamais leur place dans le cyber. Et que ceci vient valider, si besoin était, la profonde parenté entre cyber et renseignement (même si, il faut le préciser aussitôt, chacun conserve une logique propre : tout n'est pas dans tout et réciproquement).

La troisième, et elle sera conclusive, consiste donc à retrouver l'importance du facteur humain dans ces processus cyber : je parle non seulement des acteurs, mais aussi de l'observateur, et plus encore du "juge". De qui s'agit-il, en l'espèce ? du décideur, qui peut être stratège (opérationnel) ou politique, selon deux des trois pointes de la remarquable trinité de Clausewitz. Or, c'est ce décideur qui doit avoir "l'intime conviction". Car c'est lui qui dira "allez". Autrement dit, et nous voici revenir à une conclusion posée par d'autres politologues, cela revient à désigner l'ennemi. Certes, à la différence de ce qu'affirme Schmitt, il ne s'agit pas ici de l'essence du politique : nous avons en effet un faisceau d'indices qui constitue de quoi "former" (j'ai hésité à utiliser le mot "fabriquer") la preuve. Mais celle-ci, à la fin, demeure une décision. Passer de 95 % de chance à 100 % de la décision, revient à oublier une très faible marge d'incertitude, et à "désigner l'ennemi". Mais celui-ci, on l'aura compris, a (selon tout probabilité) pris l’initiative. Désigner l'ennemi n'est pas un acte premier, celui qui entre dans l'hostilité. Il est celui qui revient à désigner un agresseur repéré mais imparfaitement identifié. Ajoutons une dernière incise : cela suppose que l'on n'a pas soi-même pris l’initiative d’attaquer l'ennemi, et que celui-ci n'est pas en train d'effectuer une riposte. Alors, la "désignation de l'ennemi" ne serait plus une réaction, mais notre première initiative.

Dès lors, lorsque les Américains laissent entendre qu'ils ont levé la difficulté de l'inattribution, ils ne font réellement savoir qu'ils sont arrivés à des probabilités importantes d’identification de l'acteur : mais ces probabilités importantes (j'ai cité, au hasard, le chiffre de 95 %), ne sont que des probabilités. Elles laissent donc la part belle à l’ambiguïté. Cette ambiguïté est double :c 'est celle du décideur, dont nous venons de parler. C'est aussi celle du discours (de la rhétorique stratégique) tenu par les Américains pour promouvoir leur cyberstratégie. En affirmant "nous avons levé l'inattribution", il s'agit en fait d'un discours dissuasif.

O. Kempf