terovesalainen - stock.adobe.com
Les dangers cachés d’une cyberattaque
Imaginez « Cyberland » un pays démocratique qui se trouve en proie à une attaque cyber par un ennemi invisible. Les services publics s’effondrent, de même que les infrastructures, laissant les citoyens en proie à eux-mêmes.
Imaginez « Cyberland » un pays démocratique qui se trouve en proie à une attaque cyber par un ennemi invisible. Le site du gouvernement qui tombe, et ce sont des citoyens qui ne sont plus informés, des capacités d’aide qui deviennent inaccessibles, des services médicaux inopérants, un service en eau potable à terre, les services d’approvisionnement hors service, des centrales nucléaires attaquées…
Dans quelles mesures les cyberattaques peuvent-elles faire des ravages et devenir une arme psychologique acérée ?
Je ne parlerai pas ici de stress post-traumatique, ni du rôle des traits de personnalité, de la culture, du trauma en jeu en cas de cyberattaque. Je ne parlerai pas non plus, de l’impact émotionnel, psychologique, physique et social (ou pas tout à fait comme on l’imagine). Et cela même si leur gravité, leur impact et leur portée peuvent varier, nous sommes d’accord, mais ce ne sera pas l’objet de cet article.
Pour de nombreux cybercriminels, quels qu’ils soient, l’objectif principal est de susciter l’anxiété et la terreur. L’atteinte est certes physique, mesurable, mais pas uniquement, il en existe une plus vicieuse, plus silencieuse qui est la détresse psychologique et qui devient un nouveau vecteur d’attaque pour nos adversaires.
Nous nous attarderons par conséquent plus sur le niveau macroscopique, que microscopique, de l’impact.
Détresse psychologique et conséquences politiques
Certains spécialistes prévoient le cyber-doom, l’« holocauste électronique » (Anonymous), le cyberArmageddon ou encore la cyber-apocalypse.
Cet impact est plus ou moins considéré, en témoignent les déclarations de ces chercheurs :
- pour qui l’impact est considéré comme mineur, c’est le cas de Lindsay et Gartzke 2015, ou comme Thomas Rid qui a déclaré que « la cyberguerre n’aura pas lieu » (2013).
- tandis que pour d’autres, les conséquences peuvent être psychologiques, voire politiques (Gross, Canetti et Vashdi, 2016). C’est le cas de Leon Panetta qui a annoncé que le monde sera « confronté à la possibilité d’une détresse psychologique ressentie par les civils [qui] peut également influencer la prise de décision en matière de politique étrangère ».
Alors que l’on se rassure, cette cyber-apocalypse ne semble pas avoir eu lieu jusqu’ici, néanmoins il paraît nécessaire d’analyser quelques répliques de ce potentiel futur cyber tremblement de terre.
C’est dans cette perspective qu’il peut être pertinent de revoir l’impact de certaines attaques visant des cibles critiques d’infrastructures physiques, tel que l’attaque du Colonial Pipeline ayant gelé la distribution de gaz, ou bien les services d’électricité, lors du démantèlement du réseau ukrainien par la Russie ou encore les infrastructures numériques critiques (l’attaque SolarWinds visant les États-Unis en est un exemple). On pourrait citer encore les hôpitaux et services de santé, qui n’ont pas cessé d’être ciblés en France et dans le monde, comme Conti qui a perturbé le service national de santé d’Irlande.
Ces exemples, qui ne manquent pas, ont mis en évidence une nouvelle forme de guerre moderne alimentée d’armes psychologiques ; l’objectif étant l’accumulation d’attaques mineures, mais régulières afin d’en faire une arme acérée. La multiplication de ces traumatismes peut remettre en cause la cohésion sociale et entraîner une escalade de la violence, des violences politiques, à un niveau collectif, et être à l’origine de préjudices personnels importants.
C’est une préoccupation constante, dès lors que la suppression de la liberté et de la démocratie est devenue une menace politique pouvant entraîner l’érosion des libertés civiles (désinformation, interdiction de manifestation, contrôle des journalistes, gerrymandering), entraînant le chaos. Et cela, les cyberattaquants en sont friands.
Ce fut d’ailleurs le cas lors de l’attaque du Costa Rica, où des hackers russes (Conti) menaçaient l’équilibre du pays en lançant même un appel en ligne aux Costaricains pour qu’ils « descendent dans la rue et qu’ils exigent que leur gouvernement s’acquitte de la rançon » :
- 27 institutions publiques touchés.
- Un système de santé public à l’arrêt.
- 20 000 demandes par heure reçues par le service des douanes.
- 30 millions de dollars de perte par jour.
Conséquence ? Le pays a lancé un plan national de cybersécurité, et l’état d’urgence.
Ces attaques, somme toute considérées comme matérielles, peuvent être tout autant immatérielles. Ainsi, le déni de service et la dégradation de sites Web sont des formes d’attaque relativement bénignes en soi, mais qu’en est-il de l’impact psychologique ?
Voler des données, dégrader des fonctionnalités, voler des fonds ou diffuser de la désinformation, toutes ces menaces entraînent de graves détresses psychologiques avec des conséquences sociétales, politiques et juridiques.
Dans tous les cas, les cyberattaques – quand elles touchent un organisme d’État – vont forcément modifier l’opinion publique et par là même le choix en termes d’élection. Les derniers conflits géopolitiques que nous subissons s’inscrivent dans cette logique. Ce sujet sera d’autant plus d’actualité que 2024 c’est 76 scrutins nationaux – législatives, présidentielles – qui vont concerner plus de 4,1 milliards de citoyens, soit plus de 68 pays concernés, dont 27 États membres de l’Union européenne, avec plus de 400 millions d’électeurs, rien que ça.
Pour témoigner de cet impact, une étude a été menée sur 6 000 participants dans trois pays simulant des attaques pour mesurer la détresse psychologique. Selon ses conclusions, « croire que les autorités gouvernementales ne peuvent pas protéger efficacement contre les cyberattaques dommageables intensifie le sentiment de cyberfatalisme du public ».
L’étude va même au-delà en précisant que « même les cyberattaques non destructrices déclenchent d’importants préjudices psychologiques, menant directement à des demandes du public pour une réponse militaire à la cyberviolence ». L’étude se termine par cet autre élément : « les cyberattaques suscitent un impact tout aussi élevé de niveaux de détresse psychologique que la guerre conventionnelle ».
Les cyberattaques peuvent donc modifier l’opinion publique, mais peuvent même aller jusqu’à soutenir des politiques radicales et militantes (Bleich, Gelkopf, et Salomon 2003).
Ce phénomène a d’ailleurs été abordé par Huddy, avec ses études portant sur le sentiment de sécurité des populations, ou encore Canetti sur la diminution de l’empathie et l’augmentation de l’hostilité envers les groupes minoritaires, dans le cas de traumatismes. À croire que nos adversaires cyber connaissent ces études pour créer cet environnement d’imprévisibilité, afin d’éroder la confiance dans son propre État.
Ils jouent sur cette peur, car l’être humain est prêt à sacrifier ses libertés civiles numériques afin d’assurer sa propre sécurité. Le facteur peur est souvent utilisé stratégiquement pour paralyser l’adversaire afin de casser le processus décisionnel.
Même si aujourd’hui cet aspect est peu observé et qu’il n’existe pas à ce jour de seuil de détresse psychologique, des études anglo-saxonnes commencent à poser les questions suivantes (sur lesquelles il faudra nous aussi nous pencher) : « dans quelle mesure les cyberattaques portent-elles atteinte à notre sentiment de sécurité personnelle ? » et « dans quelle mesure nous sentons-nous menacés par le cyberterrorisme ? » ou encore « quelle distinction entre le stress qui est émotionnel et la perception de la menace qui est cognitive ? »
Bien évidemment il faut nuancer le propos et se dire que tous les actes de violence génèrent des réactions psychopolitiques, mais le cyberespace n’étant pas aujourd’hui homogène vis-à-vis de la loi, presque tout est permis. Comment rassurer une population qui n’a plus confiance en son gouvernement pour la protéger ? Il reste important de ne plus masquer ces dimensions humaines de la menace.
Suite et fin… avènement de l’IA
Pour terminer, élargissons le sujet, avec l’arrivée de l’IA, l’intelligence artificielle. Cette dernière a donné naissance à une nouvelle génération de cybermenaces. La manipulation psychologique a évolué parallèlement aux progrès de la technologie et l’arrivée de l’IA n’aide pas.
L’exemple de cette maman, Jennifer DeStefano, pensant son enfant kidnappé à l’écoute d’un appel provenant soi-disant de sa fille, en est un triste exemple. Elle a déclaré que « l’intelligence artificielle est en train d’être militarisée, non seulement pour insuffler la peur et la terreur dans le public américain, mais dans la communauté mondiale dans son ensemble, car elle capitalise dessus et redéfinit ce que nous avons connu comme familier ». A-t-on imaginé un seul instant le traumatisme psychologique, l’anxiété qu’a pu subir cette maman ?
L’IA est aujourd’hui capable d’imiter le comportement humain et de lui conférer une cape d’invisibilité extrêmement perverse. Des chatbots malveillants qui diffusent de la désinformation ; des algorithmes qui créent des chambres de résonance. L’utilisation tout court de l’IA peut-elle nuire à notre santé mentale ? Oui, nous en devenons dépendants et cette utilisation abusive peut conduire à des comportements addictifs, ou interférer dans notre vie sociale, en nous détachant aussi des expériences de la vie réelle.
Chaque avancée de la technologie se heurte à la psychologie humaine. Finalement, la crainte de scénarios de « cyber-catastrophe » ce n’est peut-être pas pour demain, mais après demain ?