A lire également

Cyber-terrorisme, corne d'abondance pour les éditeurs américains

Electricité, eau, transports ...
Dans une longue série d'articles, News.com s'est donné l'ambition de répondre à cette question complexe en évaluant le risque pour chaque secteur - grâce à l'aide de plusieurs experts en sécurité. Le résultat est édifiant : une attaque "cyber-terroriste" pourrait difficilement se solder par la mort de citoyens américains. Pour étayer son propos, le magazine a pris en compte un grand nombre d'hypothèses. En tentant d'attaquer une centrale d'électricité par exemple, les terroristes ne parviendraient qu'à des dégâts limités dans le temps. Ils n'empêcheraient pas les infrastructures sensibles d'être alimentées : les hopitaux - entre autres - sont équipés de générateurs autonomes.

De plus, une coupure d'électricité globale est difficilement envisageable : une partie des centrales est certes reliée à Internet, mais la plupart des systèmes de commande ne le sont pas. Dans le cas ou un pirate parviendrait tout de même jusqu'au système de commande, il faudrait encore qu'il soit suffisamment compétent pour prendre le contrôle de ce système, ce qui est peu probable. Le chemin le plus court vers la coupure de courant reste donc la destruction pure et simple de lignes haute tension.

L'attaque "physique" serait plus efficace
Dès lors, quel objectif peut se fixer un terroriste informatique ? Prendre le contrôle d'un centre d'épuration et ordonner aux systèmes d'injecter des quantités de chlore mortelles ? Quasiment impossible : l'eau est testée cinq fois avant d'être acheminée vers les foyers américains, et la prise de contrôle du système de commande d'un tel centre est ici encore réservé aux spécialistes. Une fois de plus, une attaque physique traditonnelle serait plus rentable. D'où la réaction de Diane Van de Hei, présidente de l'association des agences urbaines de l'eau aux USA dans les colonnes de News.com : "Si nous avions tant de dollars à dépenser, ils iraient pour l'essentiel dans la sécurité physique".

Et la sécurité des transports ? Un pirate pourrait-il prendre le contrôle d'un système d'aiguillage ? Probablement pas : leur niveau de résistance aux attaques est particulièrement élevé. Plutôt que d'en recourir à un pirate brillant, une organisation terroriste aura tout intérêt à dépêcher un homme de main pour désceller deux rails et entraîner une catastrophe ferroviaire. La souris d'un pirate pourra donc difficilement accoucher d'une montagne de victimes.

Conséquences dramatiques
Mais cette même souris pourrait mettre les Etats-Unis dans une situation délicate. Deux types d'attaques "cyber-terroristes" semblent particulièrement crédibles. La première viserait à paralyser les systèmes de communication, qui sont utilisés notamment par la protection civile et les services publics. Internet pourrait être désactivé par une équipe d'ingénieurs particulièrement doués, comme le prouve le black-out du Net en 1997 : un technicien avait alors fait tomber la plupart des routeurs du réseau en changeant malencontreusement deux lignes de code sur celui dont il avait la charge. Ce qui explique le commentaire de Greg Akers, président de l'IT-ISAC : "Dire que l'on ne voit pas le danger d'une coupure due à une cyber-attaque, c'est s'aveugler et empêcher la nation de se protéger".

Plus grave encore : l'hypothèse de l'attaque ciblée sur un réseau téléphonique. Une telle opération menée conjointement par plusieurs pirates pourrait paralyser l'infrastructure téléphonique d'une région et mettre hors service les communications de la sécurité civile. Rien de très dommageable en soi, mais de quoi désorganiser complètement les secours en cas d'attaque physique.

Paralysie financière ?
Autre problème pris très au sérieux : la paralysie de l'économie américaine. Une série de virus particulièrement bien pensés combinée à une attaque en règle des systèmes financiers pourrait avoir de graves conséquences économiques. Stack Jarocki, directeur du service financier de l'ISAC conclut : "Tout est tellement corrélé - les systèmes de paiement, la compensation interbancaire et les transactions financières - qu'un effet sur l'un a un effet sur tous les autres".

Les dangers sont donc bien réels, même si aucune vie humaine ne semble à première vue menacée. Quid d'une attaque massive visant tous les points sensibles évoqués plus haut ? Elle est tout à fait improbable : la programmation d'un excellent virus est un travail d'expert, tout autant que l'intrusion dans un système protégé et le pilotage d'un système de commande à distance. Ces attaques nécessitent des compétences rares.

Des moyens colossaux
Pour les terroristes, chaque attaque réussie serait un véritable exploit en soi. Or, pour parvenir à déstabiliser réellement les Etats-Unis, il faudrait combiner plusieurs centaines d'exploits en quelques jours. D'autant plus que le pays peut aligner plusieurs ingénieurs en sécurité en face de chaque terroriste informatique pour réparer les dommages. Finalement, seule une attaque ponctuelle et ciblée semble vraiment crédible.