Pendant que le Pentagone déverse des milliards en armements sophistiqués au Moyen-Orient, l’arrière-cour numérique des États-Unis brûle. Des groupes de hackers affiliés au gouvernement iranien, les mêmes que Washington prétend « contenir », mènent une campagne soutenue et efficace contre des sites industriels et des infrastructures critiques américaines. La leçon est cinglante : on peut être la première puissance militaire du monde et se faire promener dans son propre cyberspace par un pays sous embargo.
La guerre qui détourne les regards (et les budgets cyber)
La chronologie est éloquente. L’escalade militaire entre les États-Unis, Israël et les proxies régionaux a servi de paravent idéal et de distraction opérationnelle. Pendant que les chefs d’état-major planchent sur des frappes aériennes, les unités cyber du Corps des Gardiens de la révolution islamique (IRGC) ont les coudées franches. Ils ciblent des systèmes de contrôle industriel (ICS/SCADA), ces ordinateurs vétustes qui font tourner les stations de traitement de l’eau, les réseaux électriques et les oléoducs. Des cibles peu glamours, mais dont la paralysie ferait bien plus mal à l’économie américaine qu’un drone abattu au-dessus du désert.
« Critical Infrastructure » : un terme marketing pour cacher l’indigence
Le terme « infrastructure critique » est un doux euphémisme pour désigner un parc technologique décati, sous-financé et géré par des sous-traitants au rabais. La plupart de ces systèmes datent de l’ère pré-internet et ont été connectés à grand renfort de rustines logicielles. Leur sécurité a toujours été le parent pauvre des investissements, reléguée derrière la rentabilité à court terme. L’Iran, comme d’autres acteurs étatiques, le sait parfaitement. Ils n’attaquent pas la forteresse ultra-sécurisée du Département de la Défense ; ils entrent par la porte dérobée de la station d’épuration municipale de l’Iowa, dont le mot de passe admin est encore « password123 ».
La réponse US : plus de bombes, toujours plus de bombes
La réponse de l’administration Biden ? Prévisible. Elle promet des « conséquences » et brandit la menace de représailles cyber. Un scénario déjà vu, et qui a prouvé son inefficacité. Pendant ce temps, le budget alloué à la modernisation et à la sécurisation des infrastructures civiles reste risible comparé aux centaines de milliards dédiés aux nouveaux chasseurs F-35. La CISA (Cybersecurity and Infrastructure Security Agency) fait ce qu’elle peut avec des bouts de ficelle et des alertes tardives. La réalité, c’est que la sécurité nationale américaine est gérée comme une startup en hyper-croissance : tout pour l’offensif, rien pour le fondamental.
Qui est le vrai perdant ? Le contribuable et le citoyen lambda
Au final, le jeu de go géopolitique se joue sur le dos des opérateurs réseau et des techniciens de maintenance. Ce sont eux qui passeront le week-end à tenter de redémarrer des serveurs corrompus, pendant que les généraux feront des points presse et que les actionnaires des grands groupes d’armement engrangeront les dividendes. L’Iran prouve, à peu de frais, la profonde vulnérabilité systémique de son adversaire. Et les États-Unis prouvent, une fois de plus, leur incapacité chronique à protéger leur front intérieur numérique. Une défaite stratégique masquée par un baroud d’honneur médiatique. La prochaine fois, ce ne sera peut-être pas une simple « perturbation », mais une coupure. Et là, il sera trop tard pour se réveiller.