La semaine dernière, plusieurs data centers ont été visés par des frappes iraniennes, dont deux à Abou Dhabi aux Émirats arabes unis. De quoi interroger sur la sécurité de ces sites. Entretien avec Adrien Manniez, docteur en sciences politiques et spécialiste en cyberdéfense.
C'est un autre front dans la guerre au Moyen-Orient, celui des technologies numériques. La semaine dernière, plusieurs data centers ont été visés par des frappes iraniennes. Pas de victime, mais des dommages matériels et de grosses perturbations pour les services de stockage de données en ligne, les "cloud", notamment ceux d'Amazon dans la région. Ces centres de données ont été visés par les Gardiens de la Révolution en raison du soutien apporté par l’entreprise à l’armée américaine, selon l'agence officielle iranienne, sur sa boucle Telegram. Du jamais vu pour Adrien Manniez, docteur en sciences politiques et spécialiste en cyberdéfense.
Ces frappes menées sur des data centers sont-elle inédites ?
l'Iran est un peu entré dans un mode de guérilla, parce qu'ils ont perdu les moyens de mener une guerre traditionnelle par des chars, des avions, des bateaux, ce genre de choses, donc ils utilisent ce qu'on appelle la menace asymétrique : ils essayent de frapper avec peu de moyens, tout en faisant le plus mal possible. Ils ont alors frappé des data centers. Ce qu'on dit régulièrement, c'est que c'est pour essayer de perturber les réseaux et éventuellement taper les finances. En réalité, la vraie question qui se pose, c'est : Est-ce qu'il n'y a pas un réflexe stratégique derrière cela ? Parce que sur ce genre de data centers, on sait que tournent par exemple, certaines intelligences artificielles qui sont utilisées dans le conflit. Ce serait intéressant de savoir s’il s’agit d’une attaque symbolique, pour essayer de dire "Regardez, on fait beaucoup de dégâts, alors qu'en fait on n'a pas grand chose", ou bien essayer véritablement de perturber, par exemple, la stratégie américaine et israélienne qui utilise l'IA pour cibler les cibles prioritaires, analyser les communications iraniennes, ce genre de choses.
Ces frappes sur ces data centers ont-elles fait beaucoup de dégâts ?
De ce que j'en ai vu, ce sont majoritairement des drones. Il y a trois data centers qui ont été frappés : deux qui sont aux Émirats arabes unis, précisément visés par ces drones. Sur le troisième, à Bahreïn, il semble que cela soit davantage un dommage collatéral parce que le missile serait un missile balistique qui aurait visé une base américaine. En réalité, les dégâts sont assez limités. Ils ont permis de débrancher des serveurs, parce que ça a coupé, soit l'alimentation électrique, soit certains serveurs ont été inondés avec deux ou trois centimètres d'eau. Cela met, au mieux, hors service les infrastructures pendant quelque temps.
Qu'est-ce qui est le moins coûteux et peut être le plus facile à faire quand on veut cibler ces data centers ? Des cyberattaques ou bien des attaques cinétiques ?
Pour le coup, les attaques cinétiques. Ce qui est troublant, c’est de voir la puissance de ces infrastructures dans leur défense physique quand quelqu'un veut par exemple y accéder pour poser une bombe, c'est largement surveillé, lourdement surveillé. Il y a des systèmes d'IA qui surveillent tout ça. De la même manière, vous voulez essayer d'y pénétrer avec une cyberattaque, il y a des grosses équipes qui sont derrière, de gros moyens sont engagés. Mais sur la protection cinétique par moyens balistiques, c'est inexistant. Littéralement, vous n'avez aucun data center qui dispose aujourd'hui de systèmes de batteries antimissiles ou ce genre de choses. Mais moi, je vous avoue que si j'avais un message aujourd'hui à donner aux entreprises cloud, c'est d’intégrer le risque géopolitique non seulement dans le pays d'implantation, mais dans toute la zone balistique environnante à portée de missiles, de drones ou de frappes aériennes. Et je pense probablement que ça fera partie des futurs plans de sécurité et de défense.
Pour bien comprendre, même en Europe, nos data centers ne sont pas physiquement protégés comme il le faudrait ?
Totalement. Et c'est ça la nouveauté de cette attaque, c'est que c'est la première fois dans l'histoire qu'un data center civil est visé militairement de façon délibérée. Jusqu'ici, les data centers étaient systématiquement hors zone de conflit ou alors protégés. Alors chez nous, l'Ukraine amène la guerre aux portes de l'Europe. Mais en réalité, les data centers européens sont, du moins pour l'instant, protégés par le parapluie de l'OTAN, le parapluie nucléaire. Ce n'est pas le cas aux Émirats arabes unis. Donc on est vraiment dans un angle mort, il n'y a aucune batterie anti-missile, il y a aucun système anti drones ou autre. Ça nous amène à dire que, si demain, il y avait un conflit ailleurs dans le monde, et pourquoi pas en Europe, nos data centers seraient des nœuds stratégiques pour l'ennemi. Parce qu'en les visant de manière cinétique, assez facilement si j'ose dire, ils pourraient mettre à mal la quasi-totalité des infrastructures numériques d’Europe. Et ça en potentiellement quelques heures ou quelques jours.
Y a-t-il des réflexions en ce sens actuellement pour protéger ces sites ?
À ma connaissance, pas vraiment. Cela fait douze ans que je travaille sur les questions cyber, cela paraît peut-être fou à dire comme ça, mais ce sont des réflexions qui parfois sont menées dans le cadre de colloques. Mais on n’a pas de programme d’urgence pour mettre en place la protection de ces lieux-là, pour la simple et bonne raison qu'on a du mal à protéger par exemple, ne seraient-ce que les bases militaires. On parle souvent des systèmes "Iron dôme" israélien ou du "Golden dôme" américain. Mais en réalité, il faut voir ça comme un filet de pêche, ça empêche certains missiles, mais vous en aurez toujours un ou deux qui passera à travers et il suffit de pas-grand-chose pour perturber un data center. Je prends un exemple : vous ne visez pas le data center, mais vous visez la ligne électrique qui conduit au data center. Vous cassez cette ligne électrique, simplement un poteau électrique, et c'est fini. En fait, le data center s'éteint, sauf à considérer qu'il a un système d’alimentation autonome, mais ce qui est rarement le cas parce qu'il consomme énormément. Donc vous voulez mettre à mal un des nœuds des data center en Europe, vous frappez les dispositifs électriques et votre data center, il est hors d'usage.
Peut-on rappeler très concrètement quelles seraient les conséquences d'attaques sur ces data centers ?
Elles seraient très larges, parce qu'aujourd'hui, il y a beaucoup de services qui fonctionnent en cloud (réseau mondial de serveurs distants conçu pour stocker et traiter des données pour d'autres appareils et ordinateurs). Donc, par exemple, on peut penser, pour les entreprises, aux services de stockages d'informations qui sont sensibles. Je prends un exemple : le monde de la finance repose sur ses data centers, donc les banques ont parfois des informations qui sont stockées en local au sein d’une de ses infrastructures. Parfois, elles sont déléguées à des opérateurs cloud. Dans les cas des frappes récentes, les trois data centers appartenaient à AWS, c'est-à-dire Amazon, qui a indiqué aux opérateurs, qui ont leurs données stockées là-bas, de les transférer sur d'autres serveurs à travers le monde, en disant que, si jamais le data center est détruit, vos données, qui sont physiquement sur les disques durs dans ces lieux, seront détruites et perdues à vie. Il n y a pas moyen de les recouvrir.
Donc ça peut être des informations très importantes qui disparaissent, qui sont détruites à jamais. Cela peut aussi être un système d'intelligence artificielle qui ne fonctionne plus. Et c’est intéressant de voir aujourd'hui de quelle manière on intègre les technologies civiles dans le monde militaire. On a vu que les Américains utilisent le Claude de l'entreprise Anthropic pour prévoir leurs attaques. Claude est une IA somme toute civile malgré tout, qui tourne sur des gros serveurs. Et donc si demain, vous n'avez plus ces serveurs-là, vous aurez du mal à faire tourner Claude, qui vous aide à organiser vos frappes.
Qu’en est-il de possibles "copies" des données abritées dans ces data centers ?
C’est le principe de la résilience dans le monde cyber, c'est d'essayer d'avoir des copies, au même titre qu'on vous recommande régulièrement, par exemple pour vos photos personnelles, d'avoir une copie sur disque dur, puis sur cloud, et puis sur une clé USB par exemple, à trois endroits différents. Là, on essaie de décupler les datas. L'inconvénient, c'est que les data centers sont des infrastructures lourdes, coûteuses, qui consomment énormément. Et vous pouvez difficilement dire, on les double, voire, on les triple pour créer un maillage qui permet d’assurer la résilience des informations. C'est envisageable, mais cela coûterait excessivement cher, à la fois la construction et l’alimentation.
article disponible en intégralité ici