Quand la NSA produit des cybermercenaires
Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand
D’anciens employés du renseignement américain viennent d’être condamnés pour avoir opéré des piratages informatiques au profit des Émirats arabes unis. Le cas illustre l’actuel essor d’une industrie internationale des « hackers à gages », dont le savoir-faire se compare (et emprunte) de plus en plus à celui des États. La cyberpuissance serait-elle désormais à vendre ?
On connaissait déjà le cas d’ex-soldats américains partis guerroyer pour le compte du pays le plus offrant, il faut désormais compter avec leurs équivalents numériques. À la mi-septembre, la justice américaine a condamné trois citoyens étasuniens pour avoir pris part à une campagne de piratage informatique commanditée par le gouvernement des Émirats arabes unis. Anciennement employés par l’armée ou le renseignement américain, les trois individus ont vendu leur savoir-faire cybernétique au renseignement émirati (au travers d’une firme contractante baptisée DarkMatter). La justice étasunienne leur reproche notamment d’avoir violé non seulement la Réglementation américaine sur le trafic d'armes international en fournissant un « service de défense », mais également les lois anti-piratage en aidant à mener des cyberattaques en sol étasunien.
Si la sanction[1] fait figure de première, le forfait ne relevait pas – ou plus – du secret. Les trois mercenaires font partie d’un groupe d’une douzaine d’anciens employés du renseignement américain partis servir les Émirats, dont l’existence avait déjà été révélée par une enquête de Reuters début 2019. Essentiellement composée de vétérans de la NSA, cette escouade baptisée Project Raven aurait, entre autres, aidé Abu Dhabi à espionner les téléphones et ordinateurs de gouvernements adverses, mais aussi de centaines d’opposants politiques, activistes ou journalistes critiques de cette monarchie du Golfe. Les recherches menées par Reuters démontraient alors à quel point l’expérience et les techniques de pointe apprises au sein de la NSA avaient été cruciales dans les services prodigués par ces cybermercenaires. La cyberpuissance serait-elle devenue une commodité vendue sur demande au plus offrant ?
Le Golfe persique, paradis des mercenaires
L’essor de l’industrie de la sécurité privée est venu, dans les dernières années, brouiller beaucoup de cartes. Aux États-Unis particulièrement, on ne compte plus les entreprises offrant des services en matière de défense et de sécurité, et dont la main-d’œuvre est majoritairement issue des agences de sécurité gouvernementales (forces armées, CIA, NSA, FBI, etc.). Ces vétérans apportent au secteur privé des savoir-faire acquis en première ligne de l’insécurité internationale. Et ils y trouvent des opportunités salariales sans commune mesure avec la fonction publique.
À ses débuts, comme l’ont documenté les chercheures Deborah Avant et Renée de Nevers, cette industrie avait essentiellement vocation à servir l’appareil de sécurité nationale américain dans une optique de sous-traitance. Désormais, cependant, l’on observe de plus en plus d’entreprises étasuniennes du secteur de la défense s’exporter et fournir des services à des puissances étrangères : maintenance d’hélicoptères d’attaque, entraînement de fantassins et de pilotes, sécurisation d’infrastructures… et parfois même assassinats ciblés.
Selon Zoltan Barany, professeur à l’Université du Texas, ce développement du mercenariat est justement marqué dans la région du Golfe : les dépenses militaires des différentes monarchies pétrolières ont explosé ces dernières années, mais le déficit de volontaires et d’expertise (entre autres) les pousse à recruter à l’étranger. À titre d’exemple, le chercheur note qu’en 2009 l’Agence de sécurité nationale du Bahreïn comptait 64% de non-nationaux dans ses rangs. Plus récemment, les Émirats arabes unis et l’Arabie saoudite se sont fait remarquer pour leur importante utilisation de combattants étrangers dans leur sanglante guerre au Yémen.
Cyberopérations sur commande
Sans surprise, le mercenariat débuté avec des conseillers militaires puis des fantassins s’étend maintenant aussi aux pirates informatiques : de plus en plus de firmes de cybersécurité, employant d’anciens membres d’agences de renseignement ou de forces armées, monnaient désormais l’équivalent de cybercapacités étatiques à qui en a les moyens. Comme le résument les chercheurs Tim Maurer et Wyatt Hoffman dans un rapport pour la Carnegie Endowment for International Peace, les barrières à l’entrée de ce pan de l’industrie sont même plus basses, puisqu’il s’appuie « sur des cerveaux et des ordinateurs plutôt que sur des armements conventionnels ».
Ces entreprises n’en contribuent pas moins à la (cyber)conflictualité globale, à des degrés divers. Certaines, comme la fameuse firme israélienne NSO Group, semblent se limiter à concevoir et vendre des « armes numériques ». D’autres, comme SRA International, proposent à des gouvernements de former leurs services de sécurité aux techniques avancées de cyberintrusion. D’autres encore, comme le montre le cas de DarkMatter et du Project Raven, vont plus loin et offrent d’exécuter sur demande des cyberopérations hautement sophistiquées. Ces dernières relèvent – jusqu’ici tout du moins – essentiellement d’espionnage électronique : mise sur écoute, piratage de boites courriel et de logiciels de messagerie, traçage de géolocalisation, entre autres.
Si ce marché est évidemment entouré du plus grand secret, tout indique qu’ici aussi, les pays du Golfe apparaissent en tête des carnets de commandes. En 2018, la firme américaine Global Risk Advisors était par exemple accusée d’avoir mené une vaste campagne de piratage informatique pour le compte du gouvernement qatari : cette entreprise aurait mis à contribution des vétérans de la CIA et aurait pris pour cible des lobbyistes américains, des opposant-e-s politiques ou encore des employé-e-s des Nations unies. La compagnie NSO, de son côté, est suspectée d’avoir aidé la monarchie saoudienne à espionner le journaliste Jamal Khashoggi et plus tard le patron d’Amazon Jeff Bezos, en sus d’une kyrielle d’opposant-e-s politiques.
Des proxies comme les autres ?
Rien de bien nouveau sous le soleil, répondent certains. L’univers de la cyberdéfense se distingue d’ores et déjà par un rôle prépondérant des acteurs non étatiques, qu’il s’agisse des grandes compagnies technologiques, des groupes cybercriminels ou autres « hacktivistes » (dont le rôle et la portée stratégique font par ailleurs l’objet d’une littératuredéjà bien fournie). Il conviendrait ainsi d’analyser l’émergence des firmes de pirates informatiques à gage à travers le prisme de la « guerre par proxy » : les entités comme le Project Raven, sous des apparences d’acteurs privés, resteraient essentiellement alignées sur les intérêts de leur État d’origine et veilleraient à ne faire affaire qu’avec les alliés dudit État. S’adonnant souvent à des missions peu louables pour le compte de gouvernements peu recommandables, elles offriraient un rideau de déni plausible à leur pays (ici, les États-Unis), qui en échange renoncerait à surveiller trop activement leurs lucratives activités.
Pour autant, l’essor d’entités commerciales monnayant des capacités cybernétiques de niveau militaire sur un marché globalisé n’en vient pas moins soulever de nombreuses et complexes questions. À commencer par celle de la gouvernance sécuritaire face à une cyberpuissance de plus en plus fongible : alors que développer des capacités militaires avancées requiert habituellement beaucoup de temps et de ressources, qu’advient-il de l’équilibre des puissances dans un système international où il devient possible d’« acheter de la force » du jour au lendemain ? Les États – que beaucoup affirment encore et toujours prisonniers du dilemme de sécurité – sauront-ils gérer pacifiquement la montée en puissance très subite d’un adversaire recourant au cybermercenariat ? L’industrie de la cyberdéfense, en faisant circuler vers les pays acheteurs les savoir-faire de pointe des grandes cyberpuissances, risque-t-elle de favoriser des dynamiques de prolifération pouvant perturber la stabilité internationale ?
De telles questions, si elles relèvent pour l’heure de politique-fiction, pourraient dans un avenir proche devenir pressantes. C’est particulièrement vrai pour le Canada. Celui-ci se donne officiellement pour politique de « faire respecter un cyberespace pacifique et stable », mais, parallèlement, il combine une densité de capital intellectuel et une industrie de la sécurité privée constituant un terrain fertile à l’essor du cybermercenariat. Un enjeu d’intérêt public donc. Car si la sécurité peut désormais être achetée par certains, l’insécurité, elle, restera gratuite pour tous les autres.
[1] Il s’agit en fait d’un accord négocié entre la justice étasunienne et les individus concernés, qui se sont engagés notamment à mettre un terme à leurs activités et à payer 1,68 million de dollars d’amende.
En savoir plus
