Qui mieux que Yannick Harrel, auteur de La cyberstratégie russe pour répondre aux interrogations sur le rôle de la Russie dans les campagnes présidentielles américaine et française, le référendum sur le Brexit et même les Gilets jaunes?
«Moi qui ai traité la cyberstratégie russe, ce qui est véhiculé souvent, c'est une vision qui est relativement erronée, où on projette certains fantasmes, et il y a une part de vérité.»
Pour cela, il a fallu se rendre à Strasbourg, son lieu de résidence, où nous avons pu l'écouter pour une bonne trentaine de minutes.
Retrouvez cet entretien en vidéo
Bientôt la paix sur le Web? Réunies à Paris pour le 11 novembre, les principales cyberpuissances du monde assistaient à «l'Appel de Paris pour la confiance et la sécurité dans le cyberespace» lancé par Emmanuel Macron. Quelques jours après, les services de renseignement américains, russes, chinois et français se rencontraient pour évoquer les cyberguerres offensives, afin d'éviter les crises majeures. Si rien de concret n'est ressorti de ces discussions extrêmement confidentielles, Yannick Harrel estime qu'il s'agit d'un signal fort:
«Il y a des sujets qui transcendent les clivages géopolitiques notamment sur le cyberespace, parce que maintenant le cyberespace est un milieu stratégique […] Si au niveau politique, il peut y avoir quelques frictions, au niveau de la cyberstratégie, il faut qu'il y ait des interactions, pas forcément des alliances, mais déjà des interactions pour mieux se comprendre, envisager certains canaux de communication, pour ne pas attribuer indûment à une cyberpuissance un acte qui pourrait porter préjudice à un pays donné.»
Yannick Harrel a écrit son ouvrage en 2013 (Éd. Nuvis), donc bien avant les élections américaines et les soupçons de collusion pour le candidat Trump. Il n'existait pas à cette époque de connaissances approfondies sur la cyberstratégie russe, sur ses perceptions géopolitiques, ses solutions défensives:
«Le cyber russe était très mal connu, donc souvent fantasmé. On comblait le vide par des attributions de cyberattaques aux pirates russes, plus ou moins télécommandés depuis le Kremlin, pour résumer rapidement.»
Une cyberstratégie russe énoncée pour la première fois officiellement en septembre 2000 par le conseil de Sécurité de la Fédération de Russie, qui a évolué progressivement sous la présidence de Vladimir Poutine. Comment la définir? Son constat tient en deux mots:
«Ce qu'il faut retenir par rapport à la cyberstratégie russe, c'est qu'elle existe et qu'elle se manifeste principalement sous deux hashtags, souveraineté et civilisation.»
«Ce n'est pas une doctrine défensive c'est une doctrine qui permet de faire un point, de poser des bases et surtout d'avoir une implication interne et externe. Sans être offensive, elle prend en compte que la Russie n'est pas isolée dans le monde y compris dans le cyberespace, milieu très particulier […], mais surtout elle dit, nous ne pas pouvons pas laisser dire n'importe quoi sur la Russie. Il faut rappeler qu'en 2000 et toujours actuellement, la Russie n'a pas toujours bonne presse dans les pays occidentaux. […] Intervenir pour donner une meilleure vision de la Russie, une vision plus juste.»
Les États-Unis et la Grande-Bretagne auraient tendance à attribuer hâtivement l'origine des attaques, contribuant à politiser davantage ces dossiers, contrairement à la France qui se montrerait plus prudente. Mais peut-on savoir ce qu'ont fait précisément ces hackers russes dans chacun de ces évènements suivants? Clairement, la réponse est non, car l'attribution d'une attaque demande généralement des moyens extraordinaires en termes techniques et humains:
«Est-ce que les hackers russes sont coupables de tous les maux dont on les accuse? Je dirais que là, c'est la question de l'attribution et l'attribution peut être technique: on procède par un faisceau d'indices […], mais elle est surtout d'ordre politique. On attribue aujourd'hui aux Russes ce que demain on attribuera aux Chinois […] C'est une construction de l'adversaire du moment, parce qu'il faut ressouder les liens dans sa communauté, donc rien de tel qu'un adversaire clairement visible.»
«Il y a des groupes eux-mêmes opposés à l'État dans lequel ils se trouvent, ou qui ne sont que locataires d'un bail, ils n'y sont que par commodité. Il y a des États très gris qui laissent faire ça eux aussi […] il y a aussi des hackers qui se retrouvent corsaires, c'est-à-dire qu'ils travaillent pour un État, mais qui peuvent très bien, le cas échéant, travailler pour eux-mêmes. Nous sommes un petit peu dans une forme de piraterie maritime dans le cadre du cyberespace.»
Difficile ainsi de déterminer le vrai du faux quand il s'agit de cyberattaques. Mais qu'en est-il de la politique russe en matière d'Internet sur son territoire? La Russie a été une fois de plus sur le banc des accusés, car elle a obligé les sociétés notamment étrangères à conserver sur le sol russe les données des citoyens russes. Yannick Harrel rappelle ce concept de «souveraineté et civilisation» en matière de souveraineté numérique:
«Sur la souveraineté, il y a eu un oukase, une loi fédérale de 2014 qui impose que dès lors que les données de citoyens russes sont recueillies par des sociétés bien évidemment russes, mais aussi étrangères, les serveurs doivent impérativement se trouver en Russie. LinkedIn a refusé d'obtempérer. On a demandé de déconnecter leurs serveurs.»
Ce qui n'est pas sans rappeler la norme RGPD adoptée par l'Union européenne l'année dernière:
«[La loi russe de 2014 a été, ndlr] dénoncée au départ, mais quand vous regardez la norme RGPD en vigueur depuis le 25 mai 2018 à l'échelle européenne, l'UE a emboîté le pas, quatre années plus tard. La souveraineté numérique, c'est-à-dire, ne pas être une colonie numérique d'autres cyberpuissances.»
Mais d'ailleurs, quels sont les moyens de la France et de l'UE en matière de souveraineté numérique? Face aux géants américain, russe et chinois, Paris et Bruxelles peuvent-ils exister? Notamment avec la mise en place de firmes nationales?
«Elles en ont le désir [… mais, ndlr] des paroles aux actes, il y a souvent une carence […] Qwant [moteur de recherche européen, ndlr] il faudrait que ce soit beaucoup plus diffusé et imposé dans les administrations […] Dans le cyberespace, nous n'avons que des alliés de circonstance, nous n'avons pas d'amis, donc c'est purement temporaire et le cas échéant, sectoriel.»