Sa parole publique est rare, Bernard Barbier est habitué au secret : pendant quinze ans, il a travaillé pour le service de renseignement extérieur français, la DGSE, dont il a dirigé la division technique, «les grandes oreilles». De ce poste clé, il a assisté (et pris part) à la militarisation croissante du cyberespace et à la mise en place de systèmes de collecte massive de données. Passé dans le privé en 2014, il a accepté de s’exprimer dans le documentaire Cyberguerre, l’arme fatale ? diffusé ce soir sur France 2. Libération publie la version longue de cet entretien.

Quand avez-vous pris conscience que la cyberguerre allait avoir de l’importance ?

J’étais directeur technique à la Direction générale de la sécurité extérieure (DGSE), l’équivalent de l’Agence nationale de sécurité (NSA) aux Etats-Unis. J’avais donc la responsabilité de tout le système d’écoute français, mais aussi de la cyberoffensive. Après la première guerre du Golfe, où la France s’est retrouvée totalement dépendante du renseignement américain, Michel Rocard et Pierre Joxe ont décidé de doter la France d’outils de renseignement forts. La direction technique de la DGSE a donc monté des équipes de cyberguerre en 1990-1991, quand on a eu la capacité de casser les mots de passe pour pouvoir accéder aux informations contenues dans les ordinateurs.

Jusqu’en 2007, l’objectif était de faire de l’espionnage, d’aller voler des informations. Traditionnellement, les services écoutaient les satellites : c’est assez simple à écouter. Avec le déploiement des réseaux en fibre optique, à partir des années 2000, c’est devenu beaucoup plus difficile : il fallait pouvoir être soi-même sur le chemin du réseau. Par contre, c’était beaucoup plus simple d’aller chercher l’information dans les data centers, sur les serveurs : au lieu d’écouter l’information qui circule sur un tuyau, on allait chercher l’information directement dans les ordinateurs (1).

A partir de 2007, on est passé du cyberespionnage à la cyberguerre. On s’est rendu compte que cette capacité pouvait avoir un vrai effet dans un conflit moderne, et qu’on avait les moyens de provoquer des dégâts chez l’adversaire. Le premier événement étatique important en la matière fut l’attaque lancée par des hackeurs russes qui, avec des moyens à très faibles coûts, ont quasiment bloqué un Etat, l’Estonie, en 2007. On n’était pas à proprement parler dans un conflit traditionnel, puisqu’il n’y avait pas de bombardements, pas de morts, et que les dégâts n’étaient que virtuels. Mais cette attaque introduisait une nouvelle dimension, un changement profond, un moyen d’action qui n’existait pas : une forme d’avant-guerre qu’un Etat peut ne pas revendiquer, puisque dans le domaine cyber, la détection de l’auteur d’une attaque est extrêmement complexe.

Pourquoi est-il aussi difficile d’identifier les auteurs d’une cyberattaque ?

Le fait qu’il soit quasiment impossible de savoir qui vous attaque reste l’un des gros problèmes. Mais c’est également un outil intéressant puisque cela permet d’attaquer un pays sans être identifié. Comment identifier et détecter l’attaquant puisque, pour attaquer, vous rebondissez sur des serveurs-relais qui sont partout dans le monde, des systèmes de type TOR, et que le serveur qui vous attaque a en général été hacké ? C’est devenu quelque chose de presque normal, et beaucoup de pays ont développé ou acquis des capacités de cyberattaque, d’autant que ces virus que les pays développent, vous pouvez les récupérer, les analyser et les réutiliser pour attaquer un autre pays. A ce titre, les Chinois ont bon dos : beaucoup de pays se font passer pour des Chinois !

Comment la France s’est-elle lancée dans cette nouvelle forme de guerre ?

A l’occasion du «livre blanc» sur la défense et la sécurité nationale, en 2007-2008, on a commencé à réfléchir à ce type d’armes informatiques. Et j’ai prévenu les militaires qu’on ne pouvait pas les comparer aux armes classiques. Traditionnellement, vous développez une arme, vous formez des militaires et vous l’utilisez pendant quarante ans. Là, on n’est pas du tout dans ce concept, parce que ces armes ont une action limitée dans le temps puisque l’adversaire peut les récupérer, les comprendre, les analyser, les réutiliser et vous, vous devez avoir toujours une longueur d’avance. Il n’y a pas d’un côté des gens qui conçoivent l’arme et de l’autre ceux qui l’utilisent : les ingénieurs qui conçoivent l’arme informatique sont ceux qui l’utilisent, et ils doivent être sur le champ de bataille pour l’adapter à la menace, être capables d’innover et de redévelopper des armes en permanence.

Ce concept a été très vite intégré par les militaires. Actuellement, dans toute opération militaire, il y a une étude de cyberguerre. Jean-Yves Le Drian lui-même a été extrêmement surpris. Quand il a vu l’ampleur de ce qu’on pouvait faire, il est devenu un grand fan de cette technologie. Et on voit bien d’ailleurs qu’il est extrêmement moteur dans ce domaine.

Peut-on rester en dehors de cette course aux cyberarmements ?

Non. Parce que c’est une technologie duale accessible à tout le monde. Je pense qu’on est face à un dilemme. Tous les pays considèrent que c’est une arme au potentiel de développement technologique exponentiel et incroyable. Quand on regarde ce qui existait en 2000 par rapport à maintenant, c’est gigantesque. Mais en 2030, avec l’Internet des objets, on en sera où ? Ce concept de cyberguerre est issu de l’Académie militaire chinoise qui a compris, à la fin des années 90, que le cyber était le point faible des Etats-Unis. Depuis, toutes les économies occidentales reposent sur le numérique, et sont donc extrêmement vulnérables. Mais ce sont les pays occidentaux qui ont vraiment ouvert la boîte de Pandore.

Les Américains considèrent qu’ils ont dix-quinze ans d’avance par rapport à nous, et opposent les Gafa [Google, Apple, Facebook, Amazon, ndlr] et la vieille Europe. Ils ont mis des vulnérabilités dans un certain nombre d’outils afin de pouvoir en faire des cyberarmes, et cette vulnérabilité se retourne contre nous. Les Américains n’ont aucunement l’intention de lâcher leur suprématie et leur avance. Pour eux, le cyberespace sera le cyberespace des Gafa. Et les Gafa sont associés avec la NSA.

On ne peut pas se permettre d’avoir des failles dans nos systèmes, a fortiori des failles provoquées par des Etats qui les utilisent contre d’autres Etats. Le directeur du FBI dit qu’il faut absolument être capable de continuer à pouvoir décrypter les algorithmes de cryptographie. Maintenant, pour l’évolution de l’industrie, ne faut-il pas rendre ces algorithmes incassables ? C’est un problème d’indépendance technologique fondamental pour l’Europe et les industriels. J’ai beaucoup discuté avec Microsoft là-dessus, qui est en train de faire un lobbying gigantesque pour que les agences américaines aient l’interdiction d’affaiblir ses produits : pour Microsoft, c’est un enjeu absolument majeur pour le futur.

Avec la collecte de masse, que devient la présomption d’innocence ?

Keith Alexander [l’ancien directeur de la NSA] était venu nous voir parce qu’on a vraiment développé une relation forte avec la NSA, à partir de 2006. A la fin d’un très bon repas avec Pierre Brochand [directeur de la DGSE de 2002 à 2008], entre le dessert et le café, il nous dit : «Moi, mon objectif, c’est d’écouter tout l’Internet mondial.» Je me souviens, on l’avait regardé en lui demandant : «Comment ça ?» Aujourd’hui, on voit bien avec Edward Snowden que c’était une volonté en 2007, que la NSA avait depuis acquis cette capacité d’écouter tout le monde, que les Américains ont mis en place une écoute généralisée et qu’ils ont des centaines de milliers de suspects. Mais le problème de fond, c’est de savoir quelles sont les limitations potentielles ? Qu’est-ce que cela veut dire être suspect ? Est-ce qu’on va être arrêté en voulant sortir du territoire français parce qu’un robot de la NSA a décidé qu’on était suspect ? Il faut qu’il y ait des limites, et c’est aux hommes politiques de définir où sont ces limitations.

En tant qu’Européens, Français, on s’était mis des limites déontologiques, puisque la loi de 1991 [sur les écoutes téléphoniques] était totalement floue sur ces technologies modernes. En particulier, on avait décidé de ne pas s’espionner entre pays européens et entre grands alliés, en particulier sur des thèmes politiques et autres. Et ça a été un choc assez violent de découvrir que les Américains ne respectaient pas ces limites déontologiques et qu’ils avaient piraté l’Elysée en 2012.

C’est pour ça que la France ne fait pas partie des Five Eyes (2) ?

J’étais personnellement plutôt favorable à ce qu’on soit le sixième œil, notamment parce qu’il y a un «no spy agreement» entre ses signataires : normalement, ils ne s’espionnent pas entre eux. Mais la France, au niveau politique, n’accepte pas cet engagement. Donc on est le sixième œil sans l’être vraiment : on est un allié assez particulier par rapport aux Américains, parce que les Allemands sont en retrait maintenant dans ce domaine, et que la capacité technique de la France est quand même la première dans l’Europe continentale.

Un des documents Snowden parle d’un logiciel espion qui serait français et s’appellerait Snowglobe. Ça vous dit quelque chose ?

(Rires) Les informaticiens aiment bien donner des noms de code. Donc les Français ont donné des noms de code, il pouvait y avoir Babar, Titi, etc. Ce que montre Snowden, c’est que la NSA et ses alliés ont surveillé l’action de la France (et d’autres) dans ce domaine-là, et je pense que ce qui est intéressant, c’est que ces documents montrent que l’action de la France a été jugée assez efficace finalement.

(1) Les dispositifs de collecte de masse déployés par la France à partir de 2008 sur les câbles sous-marins n’avaient pas été entièrement révélés lors de l’interview.

(2) Accord de coopération qui réunit, autour de la NSA, les services de renseignement électroniques britanniques, canadiens, australiens et néo-zélandais.