Un commentaire est associé à cet article. Vous pouvez le consulter et réagir à votre tour.
48822 avril 2009 — Appelons cela un “nouveau front”, effectivement, dans la longue guerre du Joint Strike Fighter (JSF, alias F-35); – cette fois, le front de la cyberguerre, mais toujours dans le cadre général de la guerre de la communication pour ce programme. L’article du Wall Street Journal (WSJ), que nous avons présenté et commenté le 21 avril 2009, a provoqué de fortes réactions. D’une façon générale, les officiels divers, tant du DoD que des constructeurs (Lockheed Martin [LM]), tentent avec insistance de minimiser l’information, affirmant que les domaines “classified” ne sont pas touchés par les “fuites” consécutives aux attaques, comme le laisse entendre l’article du WSJ. Au contraire, le WSJ a annoncé, après ces réactions officielles minimisant les fuites, qu’il confirmait ses affirmations, après consultations renouvelées de ses sources. Le WSJ est connu pour le sérieux de ses affirmations, dans tous les cas il a cette réputation et c’est ce qui compte en l’occurrence.
• Principalement, dans son article du 21 avril 2009, le WSJ laisse entendre que les attaques s’intensifient et semblent atteindre un nouveau niveau : «Attacks like these – or U.S. awareness of them – appear to have escalated in the past six months, said one former official briefed on the matter. “There's never been anything like it,” this person said, adding that other military and civilian agencies as well as private companies are affected. “It's everything that keeps this country going.”»
• Ces affirmations sont particulièrement délicates pour le DoD et les autres acteurs du programme JSF dans la mesure où l’alerte est déjà ancienne et qu’un rapport datant du 8 mars 2008 par les services de sécurité du Pentagone, obtenu par le groupe d’investigation sur le gouvernement POGO (qui ne manque pas de souligner, ce 21 avril 2009 la prescience de la publication de ce rapport), signalait des atteintes importantes au niveau de la sécurité et un niveau de protection insatisfaisant: «DoD had controls in place to validate the legitimacy of the seven requests for exporting Joint Strike Fighter technology in our review. However, DoD did not always employ sufficient controls to evaluate potential unauthorized access to classified U.S. technology.» Le rapport indiquait notamment les faiblesses probables de la protection de certains contractants majeurs, particulièrement BAE : «…DoD’s advanced aviation and weapons technology in the Joint Strike Fighter program may have been compromised by unauthorized access at facilities and in computers at BAE Systems.» Le rapport recommandait des mesures supplémentaires de sécurité et certaines garanties lui avaient été données. Il ne semble pas qu’elles aient été très efficaces, ou simplement mises en place. La chose est confirmée par l’article du WSJ («The intruders entered through vulnerabilities in the networks of two or three contractors helping to build the high-tech fighter jet, according to people who have been briefed on the matter. Lockheed Martin is the lead contractor on the program, and Northrop Grumman Corp. and BAE Systems PLC also play major roles in its development.») Le cas de BAE est particulièrement sensible, bien entendu, parce que la société reste d’origine et de structure britanniques, ce qui doit renforcer la suspicion US de travailler avec des non-US alors que le programme JSF est fortement appuyé sur la coopération avec des non-US.
• Un fait ennuyeux pour les autorités du DoD est que, notamment selon Reuters le 21 avril 2009, le service qui avait conduit le rapport de mars 2008 est revenu en octobre 2008 sur certaines affirmations ou spéculations du rapport en affirmant que les préoccupations qui y étaient exposées n’étaient pas fondées, notamment concernant BAE. «Last October [2008], the Pentagon's chief internal watchdog office withdrew a finding that U.S. technology in the F-35 might have been compromised by unauthorized access at units of BAE Systems. In a rare climbdown, the inspector general's office said in an October 23-dated statement that it had lacked “sufficient appropriate évidence” to support the conclusion of a March 6 report in which it had raised alarm about the security oversight of BAE facilities and computers.» L’article du WSJ contredit in fine cette démarche et la charge du soupçon de complaisance pour ne pas compromettre le développement du programme JSF, par ailleurs si handicapé et controversé. Il faut rappeler qu’à cette époque une équipe (England-Young) particulièrement favorable au JSF dirigeait l’acquisition au DoD à un moment où le programme était devenu très vulnérable parce que très controversé en termes de relations publiques. Il n’était pas temps de laisser proliférer un autre axe de critique contre le JSF.
• Particulièrement inquiétante et préoccupante pour les autorités officielles US, ce pourquoi également elles tendent de minimiser l’article du WSJ, l’affirmation de cet article que l’étendue des dégâts n’est pas connue, que les officiels ne contrôlent pas le bilan et l’intensité de ces attaques, qu’enfin ils ne contrôlent pas tous les accès de ces attaques. «The spies inserted technology that encrypts the data as it's being stolen; as a result, investigators can't tell exactly what data has been taken. A former Pentagon official said the military carried out a thorough cleanup. Fighting online attacks like these is particularly difficult because defense contractors may have uneven network security, but the Pentagon is reliant on them to perform sensitive work.» Dans ce cas, c'est encore BAE qui est implicitement mis en cause, les allusions suggérant que les autorités US, particulièrement, ne contrôlent pas ce contractant principal non-US du programme JSF, à qui sont confiés des données extrêmement sensibles; méchante affaire pour les “special relationships”.
• Enfin, on doit insister sur un point important, en rappelant (article du WSJ) l’ampleur pour la sécurité de cette affaire, dans la mesure où elle affecte également des système de contrôle général et de contrôle aérien, dont peut dépendre le JSF et d’autres systèmes. «In his speech in Austin, Mr. Brenner, the U.S. counterintelligence chief, issued a veiled warning about threats to air traffic in the context of Chinese infiltration of U.S. networks. He spoke of his concerns about the vulnerability of U.S. air traffic control systems to cyber infiltration, adding “our networks are being mapped.” He went on to warn of a potential situation where “a fighter pilot can't trust his radar.”»
«There's never been anything like it. It's everything that keeps this country going.» Cette déclaration d’un officiel cité par le WSJ concernant les “attaques” lancées ces six derniers mois contre le JSF et diverses structures US de contrôle de vol, après que le service de sécurité du DoD lui-même soit revenu sur les conclusions inquiètes de son rapport de mars 2008, mesure l’ampleur que pourrait prendre cette affaire, outre l’ampleur de l’attaque contre la sécurité nationale US qu’elle représente. Et l’on comprend combien cette occurrence est intéressante: un rapport alarmiste en mars 2008; une rétractation du service qui l’a fait en octobre 2008, alors que le JSF est en difficultés et que le service d’acquisition du Pentagone est contrôlé par deux hommes de Lockheed Martin (England-Young); la confirmation et l’aggravation des craintes du rapport de mars 2008 par l’article du WSJ. Le point complémentaire important est que cette affaire implique plus particulièrement BAE, l’une des trois sociétés majeures (avec le leader LM et Northrop Grumman) engagées dans le programme JSF et une société qui n’est pas complètement sublimée par la vertu américaniste à cause de ses origines britanniques.
La polémique soulevée concerne deux domaines: celui que les amateurs d'une science-fiction de moins en moins fictionnelle nomment la cyberguerre et celui de la polémique autour du JSF. Son intérêt se trouve d’abord à l’intersection de ces deux affaires.
Il y a d’abord le constat que cette alerte de type cyberguerre, une affaire jusqu’ici cantonnée plutôt à la théorie ou à des cas concrets restant limités au seul domaine des réseaux, débouche sur un domaine très concret et très large. Il s’agit des domaine du contrôle des activités aériennes et du programme JSF. Il est possible que le véritable danger dans cette affaire soit moins la question des “secrets” technologiques du JSF que les pirates auraient ou n’auraient pas dérobés que le domaine bien plus vaste du contrôle de l’avion dans des conditions opérationnelles. De ce point de vue, la défense du DoD est assez faible parce qu’elle porte sur des attaques (contenues dans l’article du WSJ) qui n’existent guère dans la gravité qu'on suppose. Effectivement, le cas semblerait plus être, lorsqu’on le met en corrélation avec les “attaques” au niveau des systèmes de contrôle de vol, celui du fonctionnement des systèmes aériens, et plus précisément du JSF, que des classiques “secrets” technologiques du JSF. C’est ce qu’implique le chef du contre-espionnage US Brenner lorsqu’il constate au début avril (il ne fait alors pas allusion aux “attaques” directes contre le JSF mais il évoque implicitement le cas du JSF, ce qui montrerait qu’il était alors au courant de ce que le WSJ révélerait un peu plus tard) qu’on pourrait en arriver à une situation où “un pilote de chasse ne pourrait plus faire confiance à son radar”.
L’on en vient alors au cas plus vaste et plus connu du JSF, en observant que ces “attaques” sont d’autant plus inquiétantes que le JSF est extrêmement dépendant de divers contrôles et flots d’informations venant de diverses sources, c’est-à-dire qu’il n’a pas assez de capacités autonomes pour espérer continuer à évoluer dans une situation où les sources extérieures de communication sont handicapées ou suspectes. C’est dire si le problème potentiel soulevé par cette affaire est grave. C’est, pour le JSF, un problème existentiel. Ainsi se trouve mis en cause le deuxième fondement opérationnel qui fait le caractère soi-disant exceptionnel du JSF, celui qui définit le JSF comme un “système” appartenant à une architecture dite “système de systèmes” . (Le premier fondement est sa capacité furtive, due aux technologies du même nom qu’intègre l’avion. Cette capacité a commencé à être mise en cause, pour ses faiblesses et ses insuffisances, à l’automne 2008 de façon sérieuse, par diverses sources indépendantes [voir notamment Air Power Australia]. La “maison-mère” du JSF, le couple Joint Program Office du Pentagone [JPO] et Lockheed Martin [LM], n’a pas réussi à faire rentrer les récalcitrants dans le rang.)
Il s’agit bien entendu d’un élément important d’accentuation de la vulnérabilité du JSF, de ce qu’on pourrait appeler sa “déconstruction” en tant que concept de communication, voire de concept virtualiste tel qu’il a été mis en place dès l’origine. C’est un élément d’autant plus important qu’il est lié à des facteurs extérieurs également importants, qui valent pour eux-mêmes et ne dépendent pas de la fortune du JSF, mais peuvent accélérer de leur côté son infortune.
• La mise en cause implicite de BAE, sur un terrain d’une formidable importance (la sécurité nationale US, la confiance pour la capacité de cette firme à pouvoir évoluer dans cette environnement et de manipuler des éléments secrets ou sensibles du domaine). Cette mise en cause touche le JSF, la participation de BAE dans le JSF, l’engagement UK dans le JSF, etc. Elle met en cause la position de BAE aux USA. Au-delà, bien sûr, cette logique critique conduit à une interrogation sur les possibilités de coopération avec tout partenaire non-US dans un programme si sensible, avec toutes les retombées négatives qu’on imagine au niveau des transferts de technologie, de la sécurité pour le transfert des avions eux-mêmes, bref pour l'opportunité même de les exporter. En sens contraire, la mise en cause du contrôle du JSF peut affecter la perception de la possibilité de ce système d’évoluer hors du cadre des forces US. Pas encourageant pour un programme bâti en grande partie sur l'exportation.
• Un autre aspect important est l’élargissement de la sphère d’information, pour la première fois dans un sens négatif, du cas du JSF. L’affaire est assez largement diffusée (WSJ, Reuters, CNN, etc.). Elle est liée à un cas beaucoup plus large, qui est lui-même une polémique virulente aujourd’hui: le cas de la Chine. Ce pays est désigné comme le premier suspect dans cette opération, ce qui alimente les arguments des adversaires d’un rapprochement avec la Chine, qui est prôné au contraire par d’importants milieux proches de l’administration Obama (voir Brzezinski). La Chine est désignée comme un adversaire des USA, notamment par les néo-conservateurs qui ont perdu leur pouvoir direct mais conserve une capacité d’influence considérable. Le JSF n’est pas directement visé mais son implication peut conduire à réclamer des restrictions sur son exportation, sur la coopération, etc. On devrait voir le Congrès s’emparer de cette affaire.
• Enfin, on a déjà vu hier l’aspect bureaucratique qui entoure cette affaire. Il devrait se développer dans les deux mois qui viennent, avec un budget de $17 milliards envisagé pour mettre en place une structure de cyberguerre qui impliquera d’abord la protection des matières menacées, – dont le JSF, – avec les restrictions, les complications et les concurrences qu’on imagine.
La menace essentielle contre le programme JSF, – une de plus, – est bien celle de l’enjeu de son entrée dans la problématique d’affrontement de la cyberguerre. Alors que le programme entre péniblement dans sa phase d’ouverture vers l’extérieure (premières commandes espérées, coopération, etc.), c’est une logique inverse, d’enfermement, qui menace de se développer. Décidément, les dieux ne sont pas favorables à la bête.
Forum — Charger les commentaires