Cyber ​​concurrence et acteurs non étatiques dans un monde riche en données

Note de l’éditeur: il s’agit d’un extrait de «Policy Roundtable: Cyber ​​Conflict as an Intelligence Contest» de notre publication sœur, le Texas National Security Review. N'oubliez pas de consulter la table ronde complète.

L'année dernière, j'ai reçu un ticket de parking pour m'être trop attardé dans une zone limitée. Les contraventions de stationnement ne sont pas une raison suffisante pour déclarer la guerre au régime d'imposition des véhicules à peine voilé d'une ville pour les distraits. Et pourtant je le voulais.
Ainsi, au lieu de remplir consciencieusement le formulaire de paiement en ligne, j'ai commencé à chercher des moyens de rendre ma soumission de paiement tout aussi fastidieuse et arbitraire. J'envisageais d'envoyer 60 $ de centimes initialement destinés au Coinstar. Mais j'étais bloqué: ils avaient caché l'adresse postale physique sur leur site Web.

Ce qu'ils ne cachaient pas, cependant, était à peu près tout le reste. Après avoir cliqué, j'ai découvert un accès sans entrave à tous les autres billets émis via le système de paiement en ligne de la ville, avec l'heure, la date, les données de la voiture et le nom du responsable du stationnement qui a émis chaque billet. Techniquement, les tickets de parking sont des données publiques. Mais ce n’était pas que quelques lignes de données: c’était des photographies des voitures de chacun, de la valeur des billets, des plaques d’immatriculation – tout ce dont une personne aurait besoin pour mener des renseignements open source sur les billets et les billetteries.
Si les concours de renseignement portent sur «l'intel» – les données, les informations et les connaissances que l'on peut en tirer – alors les cyber-actions, comme convenu par cette table ronde de penseurs, sont décidément une compétition de renseignement. Ce que personne n'a cependant discuté jusqu'à présent, c'est en quoi cette concurrence concerne autant les acteurs non étatiques que les États. Les États ne sont pas les principaux agents du cyberespace. Ils ne sont pas non plus les principaux acteurs qui mènent des concours de renseignement dans le domaine du cyber. Ce domaine est un espace collectif dans lequel les entreprises de technologie, les individus, les collectifs informels de piratage de groupe et les organisations de contre-surveillance dirigées par les citoyens coexistent, se confondent, s'affrontent et se heurtent au détriment de tous.
L'Internet est une construction sociotechnique – en partie machine, en partie humain, en partie chat. Il s'agit d'une masse de connectivité, d'appareils compatibles avec les données, d'appareils de collecte de données et de périphériques de stockage de données en constante évolution, éructations et en expansion. Cela va de ma poche arrière à votre réfrigérateur, à la base de données de tickets de parking municipal de Poughkeepsie, à l'iPhone du président et à une PlayStation 4 diffusée sur Twitch. La cyber-concurrence entre États débattue par mes collègues est une sous-composante d'un grindhouse de type mêlée où des acteurs non étatiques compliquent la capacité des États à dominer les cyber-interactions.
Mes collègues reconnaissent l'importance des acteurs non étatiques dans le cyberespace. Jon Lindsay fait valoir que le monde non étatique influence et émule également les éléments se produisant dans les interactions entre les renseignements entre les états. Les cinq éléments d'un concours de renseignement de Joshua Rovner ne doivent pas nécessairement être limités aux États: ils contiennent un raisonnement généralisable pour analyser le comportement contradictoire. Rovner ne réduit vraiment la portée que lorsqu'il définit un concours de renseignement comme «faisant partie d'une compétition ouverte entre États rivaux». Même Michael P. Fischerkeller et Richard J. Harknett ne nient pas l'action des acteurs non étatiques dans leur interprétation de l'engagement persistant.
Ce n'est que Michael Warner – l'historien – qui déclare allégeance au statut unique des États en définissant le renseignement comme une affaire «souveraine», notant «que le renseignement est cet ensemble d'activités, lorsque l'on considère les objectifs stratégiques, qui est à la fois secret et souverain . » Le souverain, au sens de Warner et dans la plupart des contextes de recherche sur la sécurité, est l’État.
Mon intention est de jouer sur un deuxième sens du souverain – comme celui qui n'est pas soumis à un dirigeant. Les bourses d'études sur les cyber-compétitions entre États sont souvent liées, d'un point de vue analytique, aux éléments traditionnels auxquels les spécialistes de la sécurité sont habitués. Nous roulons avec le rétroviseur. Selon Lindsay, il se peut que nous en apprenions accidentellement «davantage sur le contexte institutionnel du renseignement et de la cybersécurité aux États-Unis que sur la définition intrinsèque de l'un ou l'autre». Je viserai à nous maintenir fermement appuyés contre le pare-brise, à quelques millimètres du monde, car nos cas empiriques nous viennent comme de minuscules moucherons frappant la vitre. Ce faisant, je refuserai à mes collègues le bénéfice des rétroviseurs et de la lunette arrière pour ces quelques pages seulement car ce sont mes pages, et là je jouerai – comme un fou Paul Feyerabend – parce que c'est mon droit.
Je vais faire glisser cette conversation vers le bas, loin de l'air raréfié des théories des relations internationales, des pratiques codifiées des techniques d'espionnage et des référents historiques qui mettent l'accent soit sur le pouvoir de l'État, soit sur les systèmes de renseignement de l'État. Au lieu de cela, je soulignerai trois vérités générales (bien qu'il y en ait probablement beaucoup plus) qui confondent l'utilité de donner aux États la primauté analytique dans la compétition du renseignement dans le cyberespace. Ces vérités sont: la prolifération de l'électronique et des services grand public générant des données; la prolifération des outils permettant la saisie, l'analyse et l'utilisation des données; et le choc inévitable d'intérêts concurrents pour toutes ces données.
Connexion bon marché = riche en données
Le monopole d'État dans la collecte ciblée et massive de données est révolu. Depuis au moins trois décennies, et peut-être plus longtemps, les outils sophistiqués nécessaires pour surveiller les cibles et analyser les données de masse ont proliféré dans la sphère publique, souvent déguisés en services et produits grand public: Amazon Alexa, Nest, Barbie Wi-Fi, Keurig coffee fabricants, et tout ce qui a une puce d'identification par radiofréquence.
L'appétit mondial pour nous connecter et nos objets a produit de vastes étendues de données qui facilitent le suivi, le traçage et la compréhension des autres en tant que cibles et à grande échelle. Les appareils connectifs présentent un compromis simple: payez moins maintenant et abandonnez vos données en échange. Heureusement, nous nous connectons, envoyant nos données en zoomant vers qui sait où, stockées cependant, et conservées pendant… difficile à dire, vraiment. Et, oui, la NSA et les pays associés de Five Eyes ont des voies d'accès à ces gisements de données, mais soyons clairs sur la nature de cette relation: les gouvernements négocient et interviennent dans les coulisses. Ils ne sont ni propriétaires ni gestionnaires de ces données.
Chercheurs indépendants = NSA Exquisite Tools? Non, ça va …
Alors que les États-Unis et leurs agences de renseignement alliées détiennent certainement les meilleurs outils et l'accès à des données sensibles ou précieuses, des outils exquis ne sont pas nécessaires pour la cyber-concurrence. Avec toutes ces données volantes, il suffit d'un codeur entreprenant pour y accéder et les organiser. Au 21e siècle, les fuites de données gouvernementales ont tendance à se présenter sous deux formes: des fuites puisant dans les flux existants de données gouvernementales – les types Edward Snowden – et des chercheurs trouvant des données ouvertement disponibles sur Internet et les pointant innocemment. Les individus et les petites équipes peuvent agréger des masses de données en tirant parti d'outils bon marché et d'une expertise modérée.
Alors que le premier est une question de gestion des employés du gouvernement et de malveillance, le second est un fait de la nouvelle ère et est à la fois légal et souvent fabuleusement politique. Les bases militaires sont soudainement devenues trouvables via des cartes thermiques des données du tracker de fitness Strava. Les systèmes de contrôle industriel des endroits lointains peuvent être trouvés via le moteur de recherche Shodan. Ces systèmes sont plus que simplement trouvables; ils sont également manipulables, comme l'a découvert le hacker Dan Tentler – son travail sur Shodan a révélé des systèmes de contrôle de la circulation, des patinoires au Danemark et une centrale hydroélectrique française qu'il pouvait manipuler à partir de son bureau. Si les trackers de fitness et les systèmes de contrôle industriels sont trop riches pour votre expertise technique, ne vous inquiétez pas: il existe une application que vous pouvez télécharger pour espionner les emplacements des téléphones portables des gens. Oui, cela inclut l'iPhone, pour tous les ennemis d'Android. Il existe en fait un marché concurrentiel pour les logiciels espions gratuits, à condition que vous offriez plus de données.
Politique Spaghetti
L’espionnage est désormais le jeu de tous. C’est en fait la version du renseignement de l’argument «recours à la force» d’Audrey Kurth Cronin dans Power to the People. Cronin soutient que les militaires préfèrent que la diffusion des capacités militaires reste sous leur contrôle. Mais parfois, le changement social et l’adoption dépassent la capacité de l’État à maintenir ce monopole – la démocratisation de la violence, pour ainsi dire.
La cyber-intelligence et l'intelligence sont particulièrement déroutantes en raison de leur nature spaghetti – interconnectées, superposées et désordonnées. Alors que les États préféreraient qu’elle soit laissée aux frontières géographiques, les intérêts des entreprises, des particuliers et des gouvernements ne s’alignent pas de manière cohérente ou prévisible avec les frontières nationales. Certaines entreprises de télécommunications coopèrent avec les États, d’autres non. Certains fabricants d'électronique privilégient la confidentialité des consommateurs. D'autres ne le font pas. Le piratage de collectifs comme Anonymous croît et décroît dans leurs opinions politiques toutes les quatre ou cinq opérations. Si les lignes d'effort étaient distinctes d'une manière ou d'une autre, les États pourraient alors se concurrencer tandis que tous les autres pourraient jouer leur propre jeu. Mais les lignes d'effort ne sont pas si claires. Tous les cinq éléments d’un concours de renseignement de Rovner se produisent de manière inélégante, confuse, les uns sur les autres, dans le contexte plus large de la concurrence mondiale accrue pour les données.
En 2018, alors qu'Amazon négociait avec le Pentagone un contrat pour son logiciel cloud JEDI, WikiLeaks a publié une carte mondiale et une note interne de 20 pages des installations d'exploitation des services Web et des sites de colocation de données de la société. En bref, WikiLeaks a doublé Amazon. Bien que l'on ne sache pas qui a divulgué les informations, WikiLeaks était dans une impasse avec Amazon et d'autres sociétés mondiales de gestion de données depuis des années. La situation était problématique pour Amazon, qui aurait préféré que ces sites ne soient pas nommés; pour le Département de la Défense, qui était en train de trouver un système de gestion du cloud; et pour toute personne dont les données peuvent être stockées sur ces sites hautement sensibles, qui (étant donné le profil d'Amazon dans le stockage de données) pourraient inclure une grande partie de la population mondiale. Le conflit est transversal et extrêmement politique, et il a créé un retour de force politique à tous les niveaux. Pour être clair, ce ne sont pas seulement les États qui tentent activement (secrètement ou ouvertement) de fermer la capacité de WikiLeaks à publier des données. L'impasse ici est une triade entre l'État, les gestionnaires de centres de données qui détiennent toutes sortes de secrets – juridiques, financiers, militaires et politiques – et la propre survie de WikiLeaks. WikiLeaks poursuit son propre programme politique en collectant, analysant et utilisant des informations pour (selon les mots de Rovner) «saper le moral, les institutions et les alliances de l'adversaire».
Ce ne sont pas des cas rares. Les données que le ministère de la Défense considérerait comme très sensibles (et classeraient probablement) sont facilement collectables et analysables. Une nouvelle étude du nouveau coronavirus a émergé d'une organisation appelée Govini, qui se spécialise dans l'analyse de la science des données pour les problèmes au niveau national. Le rapport et la carte accessible au public intitulée COVID-19 Impacts on the Department of Defense illustrent les épidémies de COVID-19 à travers les États-Unis et identifient les bases militaires américaines à risque, en utilisant des puces pour la préparation, la projection de puissance et la modernisation. La légende sous la carte se lit comme suit:
Govini a utilisé sa plate-forme de science décisionnelle et d'apprentissage automatique pour analyser les taux de croissance des infections au COVID-19, les installations médicales, les sous-traitants, les chaînes d'approvisionnement de défense, le lieu de performance et les installations militaires pour fournir cette vue pronostique. La carte met en évidence en rouge les zones où les entreprises de la base industrielle de la défense sont particulièrement vulnérables au COVID-19. Pour plus d'informations, contactez info@govini.com.
Quelques points à noter. Premièrement, il est hautement improbable que ce type d’analyse ait été mené aussi rapidement par une agence du Département de la Défense. Deuxièmement, même si ce type d'analyse était finalement effectué au sein du département de la Défense, les niveaux de classification associés à ce type de carte thermique garantiraient que presque personne au sein du département ne serait en mesure de la lire ou de la diffuser (en particulier dans les conditions actuelles, où la plupart des membres du personnel civil travaillent à distance en raison du nouveau coronavirus et n'ont pas accès au courrier électronique sécurisé et au système de réseau du navigateur). Mais plus important encore, l'environnement commercial concurrentiel des agences d'analyse de données qui vendent leurs produits au ministère de la Défense implique de se faire remarquer et d'obtenir des contrats avant d'autres sociétés d'analyse. La principale façon d'y parvenir est de publier des rapports et des analyses publiquement, même si cela rend le ministère de la Défense nerveux.
Le secteur privé est plus rapide, moins contraint et plus agile avec ces outils d'analyse de masse. On ne sait pas comment le ministère de la Défense peut suivre.
Votre cafetière espionne aussi
Pensons aux entreprises qui produisent des technologies Internet destinées à la consommation de masse. En 1998, Keurig (propriété de Keurig Dr. Pepper) a commencé à produire des dosettes de café et des brasseurs. Il y a quatre ans, j'ai acheté un modèle de base Keurig avec presque aucune fonctionnalité – le moins cher possible – pour environ 50 $. Lorsque vous retournez la machine, vous remarquerez un port Internet. Il n'y a pas de fonction actuelle pour ce port. Cependant, Keurig a conçu ces ports dans leurs cafetières en prévision des développements futurs du marché. Plutôt que de remodeler la machine ou de fournir de nouvelles spécifications de production pour ce port, Keurig a choisi de la concevoir dans la machine afin de garantir les capacités futures en cas d'émergence.
Peut-être que cet exemple est trop mignon de moitié. Ou peut-être est-ce un exemple d'une entreprise qui réfléchit de manière stratégique et met en place des capacités de collecte de données pour assurer sa compétitivité future. S'il ne s'agit certainement pas (selon les termes de Rovner) d'une «campagne de prépositionnement des actifs pour une collection future en cas de conflit», il s'agit d'un cas de pré-positionnement que les consommateurs ne peuvent généralement pas détecter.
Cela compte en termes réels pour la sécurité nationale. L'une des attaques par déni de service les plus perturbatrices de l'histoire – le botnet Mirai – a exploité des dizaines de milliers d'appareils connectés à Internet contre le fournisseur de services de noms de domaine Dyn en octobre 2016. La diffusion des appareils de l'Internet des objets devient sa propre vulnérabilité, car ils sont vendus bon marché et achetés par millions. Les attaques de l'Internet des objets peuvent être exploitées par une simple poignée d'acteurs, puis réutilisées par un tout autre ensemble d'acteurs à d'autres fins. Le botnet Mirai n'était pas la première fois que ce code était exploité. Il avait un prédécesseur: une attaque antérieure avait été menée à une échelle légèrement plus petite (bien que toujours 100 fois plus grande que toute autre dans l'histoire) sur OVH, un fournisseur de cloud computing en France en septembre 2016. Les origines du malware et de l'attaque d'OVH n'avait rien à voir avec les États, les organisations extrémistes violentes ou même les syndicats criminels. L'attaque d'OVH a été menée par trois étudiants américains jouant à un jeu appelé Minecraft. Les étudiants de premier cycle avertis ont assemblé des logiciels malveillants qui secoueraient la côte Est et laisseraient les agences de renseignement se démener. Ce premier logiciel malveillant continue de sévir sur Internet.
Pour les trois étudiants impliqués, le malware était destiné à saboter d'autres sites d'hébergement Minecraft, provoquant une augmentation du trafic et augmentant ainsi leurs revenus collectés à partir de ce trafic. C'était facilement «un concours pour désactiver les capacités de l'adversaire par le sabotage». Une fois que ce malware a été partagé publiquement, de nombreux autres acteurs malveillants ont utilisé l'outil pour l'utiliser pour des actes de sabotage supplémentaires.
Conclusion: aller au-delà des États
Les outils du concours de renseignement sont accessibles à tous. L'espace de combat pour les compétitions de renseignement s'agrandit de minute en minute. Les détenteurs des outils et de l'espace lui-même sont chacun. Bien que mes collègues ne définissent pas un concours de renseignement de manière si étroite au point de ne considérer que les interactions État-État (ils considèrent parfois aussi des acteurs non étatiques comme l'État islamique), mon argument est plus qu'une tentative de distinction sans différence. Il s'agit d'une évaluation initiale de qui détient les données, qui les collecte, qui a la capacité de les interpréter et qui peut en tirer parti.
Tout le monde est ici ensemble. Tel est le paysage réel de la concurrence, dans lequel se déroulent les analyses étatiques de mes collègues. La cyber-concurrence étatique ne détient pas de monopole. C'est un tout petit morceau de concurrence plus large qui intervient souvent de manière inconfortable dans les efforts de l'État pour jouer à leurs jeux d'espionnage.
Si la cyber-concurrence entre États est une compétition de renseignement, alors nous devons nous demander si les États sont les acteurs dominants? Qui sont les autres joueurs? Aux fins de cette expérience de pensée, j'ai répondu «non» à la première question et à la deuxième question, «à peu près tous ceux qui veulent l'être».
Le développement théorique est ce qui vient ensuite. Si nous devons adhérer aux cinq éléments de Rovner, il peut être judicieux de déterminer qui a le plus grand avantage concurrentiel dans chaque catégorie. Par exemple, en ce qui concerne la collecte et l'analyse de données concurrentielles, les sociétés de gestion de méga-données du secteur privé détiennent le trophée. Ces entreprises n'ont pas nécessairement des relations conflictuelles avec des adversaires américains. Cependant, cela ne signifie pas qu'ils sont neutres. Ils ont simplement d'autres types de politique et d'autres types d'adversaires.
Définir la cyber-concurrence comme une compétition de renseignement devrait également nous amener à revoir les notions de cyber-souveraineté, de surveillance et de confidentialité. Il est trop facile de balayer cela sous le tapis des considérations juridiques nationales ou de la politique technologique, laissant cela aux avocats plutôt qu'aux universitaires. Mais rappelez-vous à nouveau l’observation de Cronin selon laquelle le contexte social de cette technologie a dépassé la domination de l’État sur elle. Se retirer dans la valse et la parcimonie est une mauvaise idée.
Je ne sais pas exactement comment diriger ce navire. Comme je l'ai déjà dit, il n'y a probablement aucune théorie unifiée qui capturera utilement cette concurrence du renseignement. Le but de cette pièce est d'entamer une conversation sur l'intelligence, la concurrence et les limites qui ont pu changer dans la transition vers un nouveau tissu ouvert de «sousveillance» – où les observés sont surveillés et attendent tranquillement des occasions d'exploiter leurs secrets. En tant que spécialistes des sciences sociales, nous devons veiller à ce que nos tentatives de lier ce qui est et n’est pas du ressort des gouvernements ne se traduisent pas par un comportement politique extrêmement conservateur ou en quête de statu quo; ils ne devraient pas non plus constituer un retrait des éléments durement acquis du libéralisme qui valorisent le citoyen individuel.
Dans la mesure où nous sommes dans une compétition mondiale de renseignement, notre coupe déborde – dans tout le reste. Et le récent dossier empirique le confirme douloureusement: Snowden, les Shadow Brokers, Manning, Assange, Bellingcat, WikiLeaks et tout ce qui est associé aux fuites de la Maison Blanche. Les dynamiques que nous cherchons à explorer, même si elles n'existent qu'entre États, seront au minimum médiatisées par tous ces praticiens supplémentaires de l'utilisation et de l'abus des données et des appareils compatibles avec les données.
Privilégier les états est un exercice à la fois d'analyse et de création d'outils. La science politique, en particulier les théories des relations internationales (grand I, grand R), ont tendance à privilégier l'État en tant qu'unité principale non seulement parce qu'ils sont souvent les principaux agents d'interaction, mais aussi parce qu'il y a une valeur politique applicable dans la réflexion sur la façon dont les États peuvent se conduisent entre eux. Pourtant, le cyberespace, quel que soit le nombre de fois où nous crions «tout le gouvernement», n'est pas détenu, exploité ou gouverné par les États. Les États ne sont pas souverains sur Internet, du moins en ce qui concerne les concours de renseignement. Privilégier les États dans leur réflexion sur la cybercriminalité est une folie. Cela nous détourne de la résolution de problèmes politiques difficiles en réduisant l'influence dysfonctionnelle des médias sociaux à l'ingérence russe ou aux vulnérabilités systémiques majeures dans la gestion des données au vol de propriété intellectuelle chinoise. Cela conduit à des solutions politiques incomplètes et hypermilitarisées qui sont coûteuses, potentiellement escaladantes et fondamentalement inutiles pour lutter contre l'essaim de moucherons gonflés d'appareils pilotés par les données. Nos pare-brise sont parsemés de preuves. Maintenant, quelqu'un allume les essuie-glaces et allons au travail.

Le Dr Nina Kollars est professeur agrégé au Département de recherche stratégique et opérationnelle et membre principal du corps professoral du Cyber ​​& Innovation Policy Institute (CIPI). Elle est titulaire d'un doctorat. en sciences politiques de l’Ohio State University, une maîtrise en affaires internationales de l’Elliott School de l’université George Washington et une licence du College of Saint Benedict / Saint John’s University. Kollars mène des recherches sur la cybersécurité, les concepts de guerre future et l'intégration technologique militaire, en particulier les méthodes et les réseaux par lesquels les hackers à chapeau blanc assurent la sécurité aux niveaux national et mondial. Son prochain manuscrit s'appuie sur plus de quatre ans de recherche dans et autour de la communauté américaine du piratage. Elle est membre du Conseil de l'Atlantique, ancien membre du Modern War Institute de l'Académie militaire de West Point, analyste de recherche pour la Congressional Cyber ​​Solarium Commission, ancien vice-roi de la DC-based Cigars, Scotch, and Strategy, membre au Centre Krulak de la Marine Corps University, et enseigne actuellement au Gravely Advanced Research Projects Group au sein du Center for Naval Warfare Studies.
Image: U.S. Air Force (Photo par le Sergent technique R.J. Biermann)

Laisser un commentaire