Intervention de Guillaume Poupard

Je n'aime pas le terme de hacker, parce que pour moi ce n'est pas péjoratif dans le sens anglo-saxon du terme, je prendrai le terme de « pirate » ou d' « attaquant » ; l'image de l'étudiant surdoué qui fait ça dans sa chambre et qui attaque le Pentagone a pu exister, c'est vrai, il y a longtemps, mais aujourd'hui c'est beaucoup moins romantique. On a en effet affaire à des organisations qui se structurent. Les mafias, typiquement, ont tout à fait compris que le sujet numérique était intéressant pour elles, parce que les risques sont faibles et que ça rapporte gros. L'équation économique est très intéressante pour eux. On sait très bien que, quand bien même on arriverait à les identifier – je vais y revenir, c'est extrêmement difficile –, les processus de coopération internationale, d'extradition pour des faits d'attaque informatique ne sont pas encore en place.

Donc, pour les mafias, c'est vraiment optimal, elles développent ce type de pratiques. Celles qui viennent du trafic de drogue, la DGSI connaît ça bien mieux que moi, s'orientent notamment vers les rançongiciels, qui sont des extorsions de fonds par voie numérique. Les États développent également des capacités offensives très fortes, ce n'est pas forcément péjoratif puisque la France elle-même développe une capacité militaire dans le domaine numérique. Les conflits de demain auront lieu, au moins en partie, dans le cyberespace, c'est l'évolution, il n'y a pas forcément à porter de jugement là-dessus. Ce qui peut varier d'un État à l'autre, c'est clairement l'éthique, les valeurs et l'usage qui peuvent être faits de ces capacités offensives. On sait que certains États n'hésitent pas à utiliser l'arme informatique pour faire de l'espionnage, notamment à des fins économiques.

Les missions des services de renseignement sont variables d'un pays à l'autre. Certains États n'hésitent pas à utiliser l'arme informatique pour contribuer à la guerre de l'information qu'ils mènent. Cela fait écho à des sujets plus compliqués de type infox (fake news), manipulations de l'opinion publique, notamment lors d'élections. Et puis, avec ce que l'on observe dans la « vraie vie », la frontière est très marquée dans des pays démocratiques, mais elle l'est beaucoup moins dans certains autres. Certains États utilisent des groupes criminels, un peu comme une sorte de réserve opérationnelle. La frontière entre les services étatiques et les groupes criminels est floue. Je ne cite personne parce que ce n'est pas mon métier, mais on peut imaginer à qui je pense.

Donc c'est assez variable, et cela pose de façon récurrente la question de l'attribution, pour savoir qui est derrière l'attaque. En général on sait qui est derrière les grandes attaques dans ce que l'on traite à l'ANSSI, avec nos partenaires de la DGSI et de la DGSE, avec les armées, avec les différents services, avec de plus en plus la justice. Il est plus compliqué de mettre sur la table des preuves recevables pour le juge, devant une juridiction, parce que nous n'avons en général que des faisceaux d'indices. Chaque indice pris individuellement peut être manipulé. Dans le domaine informatique, il est assez facile de faire porter le chapeau à d'autres, nous connaissons beaucoup d'exemples. Le fait par exemple d'introduire dans les codes ou logiciels malveillants des commentaires en cyrillique – c'est un grand classique –, n'est pas très compliqué à faire. Évidemment tous les attaquants y ont pensé. Les attaquants eux-mêmes laissent de faux indices pour essayer de brouiller les pistes. L'attribution n'est pas immédiate du tout, il faut faire très attention. Malgré cela, on y arrive en général, quand on voit ce qui est ciblé, l'intérêt que ça peut représenter, tout un faisceau d'indices jusqu'à des choses très bêtes que j'illustre dans l'exemple suivant : avec certains pays, on sait qu'à Noël, on est tranquille pendant 15 jours. Mais face à un juge ce n'est pas une preuve matérielle. Donc en général on sait qui est derrière, mais apporter la preuve irréfutable est extrêmement difficile.

Dernière chose, je pense qu'il faut se poser la question de le dire publiquement ou pas. Si le but est de faire cesser les attaques, de faire baisser la conflictualité, parfois il est plus efficace d'en parler, de manière très ferme, mais dans un contexte fermé. Si on le fait dans un contexte public, cela force à la mauvaise foi.