Coline Ferro
Analyste géopolitique et sécurité, Docteur en sciences de l’information et de la communication de l’Université Panthéon-Assas Paris II.
Oriane Barat-Ginies
Juriste en droit international, consultante en cyberdéfense auprès de l’État-major des Armées, et doctorante à la faculté de droit et sciences sociales de Poitiers.
1er trimestre 2013
Le cyberespace est considéré comme le cinquième champ de conflictualité après la terre, la mer, l’air et l’espace. Les systèmes d’information qui le composent tiennent aujourd’hui une place considérable dans nos sociétés, à tel point qu’ils sont devenus de véritables centres nerveux. Néanmoins, leur interconnexion croissante vulnérabilise la sécurité des infrastructures et des données. Cet espace, anonyme et affranchi de frontières, est devenu un nouveau théâtre de confrontation. Ainsi, ces dernières années, les attaques informatiques se sont multipliées et les dommages qu’elles ont provoqués ont pris une ampleur considérable. Les plus graves, peut-être, sont celles qui touchent aux infrastructures vitales. Menés en temps de guerre comme en temps de paix, protéiformes, soudains, ces assauts virtuels ont conduit les États à mettre en place une « stratégie de cyberdéfense ». Si celle-ci devrait faire l’objet d’une coopération internationale, elle pose surtout des questions fondamentales sur le plan juridique : qu’est-ce un « objectif militaire » dans son application au cyber ? Qu’est qu’une « arme cybernétique » ? Une attaque informatique peut-elle être un casus belli ?
Le cyber, ce nouvel espace, joue désormais un rôle important au sein de la géographie des conflits. Ce domaine virtuel est en effet devenu le cinquième champ de conflictualité après la terre, la mer, l’air et l’espace.
Le cyberespace est défini par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) comme un « espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques ». Celui-ci tient aujourd’hui une place considérable dans nos sociétés grâce au développement très rapide des Technologies de l’Information et de la Communication (TIC), et en particulier de l’Internet. Ces systèmes d’information sont partout présents, dans les pays développés comme dans ceux en voie de développement, et dans toutes les formes d’activités, jusqu’aux plus sensibles. Ils sont devenus les centres nerveux de nos sociétés.
L’interconnexion croissante de ces systèmes d’information et de communication vulnérabilise la sécurité des infrastructures et des données. Une faille amplement exploitée par les cybercriminels, d’autant plus que le cyberespace est un espace anonyme et sans frontières dans lequel il est difficile d’identifier les auteurs lors d’une attaque informatique. Qui plus est, le cyberespace, en perpétuelle évolution, est fragile car il subit le rythme effréné des avancées technologiques dans le domaine, dont la sécurité n’est pas toujours garantie.
Le cyber est un espace physique car il est en premier lieu caractérisé par des réseaux physiques (les câbles, les ordinateurs, les fréquences) qui peuvent être endommagés par des virus, comme le ver Stuxnet. Au-delà des réseaux qui composent cet espace, la production de l’information qui y transite est plus complexe, virtuelle, sujette à manipulation, désinformation, rumeur, pillage de patrimoine informationnel, etc. Cela entraîne une ambiguïté dans l’analyse non seulement des moyens employés (les modes d’action) par l’attaquant, mais surtout de la difficulté d’en comprendre et d’en cerner les finalités.
Les attaques cybernétiques majeures
Les attaques contre les systèmes d’information font peser un risque non seulement sur l’économie, mais aussi sur la sécurité des États, comme ont pu le mettre en lumière toute une série d’événements ces dernières années. En effet, en 2007, l’Estonie a été victime de cyberattaques visant des sites Internet des administrations publiques, des banques et des journaux nationaux. La page d’accueil de ces sites est demeurée inaccessible (déni de service) plusieurs semaines durant. Pire, alors que de nombreuses institutions estoniennes ont adopté une bureaucratie entièrement informatisée, les fonctionnaires ont rencontré des difficultés pour assurer leurs tâches. Ces cyberattaques se sont déroulées quelques semaines après la crise diplomatique entre l’Estonie et la Russie à propos d’un projet de déplacement du Soldat de bronze . Les services estoniens ont rapidement suspecté la Russie d’être à l’origine de ces attaques virtuelles, sans pour autant avoir des preuves tangibles.
En 2008, la Géorgie a connu une grande vague de cyberattaques qui a porté gravement atteinte à toutes les infrastructures du pays. Celle-ci est intervenue à peine quelques semaines avant que la Russie ne lance une invasion militaire classique contre ce petit pays du Caucase. Pour cela et du fait de l’ampleur, de la coordination et de la sophistication de ces cyberattaques, les regards se sont, encore une fois, rapidement tournés vers Moscou.
En juillet 2009, la Corée du Sud a elle-aussi subi des cyberattaques à grande échelle. Elles ont affectée vingt-cinq sites Internet, parmi lesquels des sites institutionnels comme ceux de la Présidence, du ministère de la Défense et celui des Affaires étrangères, ainsi que des sites de grandes entreprises tels que ceux de la Shinhan Bank et de la Korea Exchange Bank. Dans un contexte de fortes tensions avec la Corée du Nord, le National Intelligence Service sud-coréen aurait sous-entendu la responsabilité de Pyongyang.
En 2010, des infrastructures nucléaires iraniennes ont été victimes d’une attaque informatique. Le virus informatique Stuxnet endommagea le réacteur de la centrale nucléaire de Busher et détruisit un millier de centrifugeuses du site d’enrichissement d’uranium de Natanz. Cet assaut virtuel a provoqué un retard conséquent sur le programme nucléaire de l’Iran.
En mai 2012 enfin, plusieurs pays du Moyen-Orient ont vu les systèmes d’information de leurs installations pétrolières attaqués. Ces assauts virtuels aboutirent au vol et à la disparition d’un vaste volume de données. La cause ? Le virus Flame. Ce logiciel malveillant a d’ailleurs été jugé extrêmement dangereux par Kaspersky Lab, l’éditeur russe de logiciels anti-virus, mandaté par l’Union Internationale des Télécommunications (UIT) pour enquêter sur ces méfaits. Ce dernier affirma même que « la complexité et la fonctionnalité [de ce logiciel] dépassent toutes les autres cybermenaces connues à ce jour ». En effet, à la différence du virus Stuxnet qui visait à entraver et à détruire le fonctionnement des systèmes de type SCADA , il semblerait que l’utilisation de Flame permette d’infiltrer un ordinateur à l’insu de son utilisateur pour en prendre le contrôle, collecter des informations ou effacer des fichiers. Cet épisode démontra que les menaces virtuelles pouvaient tout à fait se concrétiser dans l’espace physique. Eugène Kaspersky, fondateur de la société éponyme, déclara d’ailleurs à cet égard : « Flame représente une nouvelle étape dans la cyberguerre […]. Il faut bien comprendre que de telles armes peuvent être facilement utilisées contre n’importe quel pays. Et contrairement à la guerre conventionnelle, les pays les plus développés sont ici les plus vulnérables ».
La France n’est pas épargnée par les attaques informatiques, comme l’ont rappelé en mai 2012 les deux cyberattaques menées contre les systèmes d’information de l’Élysée, à quelques jours de l’investiture présidentielle de François Hollande. Plus encore, une étude sur la sécurité informatique conduite par Symantec, entreprise étasunienne spécialisée dans l’édition de logiciels utilitaires pour la sécurité et la protection des données, révélait que 73 % des entreprises françaises interrogées déclaraient avoir été victimes de cyberattaques, dont 40 % qualifiées d’« assez ou très nuisibles ». C’est dans ce contexte d’accentuation de la menace que la France a mis en place l’ANSSI dont la mission est de proposer des réponses pratiques, administratives et législatives pour annihiler toute cybermenace.
Ces différents exemples montrent que les menaces sont protéiformes, impulsées par des commanditaires tout aussi divers. Plus grave, elles pèsent sur tous les domaines d’activité de nos sociétés contemporaines.
Une cybercriminalité protéiforme
Composante d’une politique de sécurité et de défense des systèmes d’information, la « cybercriminalité » comprend les actes contrevenants aux traités internationaux et aux lois nationales, utilisant les réseaux et les systèmes d’information comme moyen de réalisation d’un délit ou d’un crime, ou ayant ces mêmes réseaux ou systèmes pour cible. Elle peut tout autant affecter les particuliers que les entreprises, les États, les installations sensibles ou encore les théâtres d’opérations militaires.
Les attaques cybernétiques peuvent être regroupées en trois catégories selon leur forme. Tout d’abord, il y a les attaques ciblant les données numériques, leur exploitation, leur extraction, leur destruction ou leur corruption comme l’envoi d’un fichier corrompu destiné à récupérer des données importantes ou à détruire les répertoires d’un disque dur. Ensuite, il y a les attaques visant les systèmes d’information et de communication afin de les identifier et permettre ainsi de détecter leurs failles et de pouvoir ainsi les attaquer en perturbant leur fonctionnement, de façon temporaire ou définitive. Enfin, il y a des attaques visant, à travers le cyberspace, des équipements, des infrastructures ou des installations critiques hors du cyberspace dont le but est de perturber leur fonctionnement ou des les détruire.
Au-delà de leurs formes, une typologie des actions criminelles perpétrées dans le cyberespace peut aussi être dressée en fonction de leurs cibles. Le premier type concerne tout un panel d’actes à dimension économique ou morale comme l’effacement de sites Internet, l’usurpation d’identité, le téléchargement illégal, l’utilisation de virus informatique à des fins criminelles ou de fraudes financières, la pédopornographie des mineurs sur Internet, etc. L’ensemble des infractions pénales qui sont commises via les réseaux informatiques se sont considérablement diversifiées avec les avancées technologiques. Si bien que le coût global du cybercrime s’élevait à plus de 200 milliards de dollars en 2011 . Le deuxième type regroupe les actes criminels à l’encontre des entreprises et des administrations, dans une perspective de lobbying, de propagande ou de compétitivité. Le vol et la destruction de données sensibles, mais aussi le piratage de sites Internet et l’anéantissement des systèmes d’information sont les actions les plus redoutables. Le troisième type comprend l’ensemble des attaques menées à l’encontre intérêts fondamentaux de l’État. Ces actions, qui visent le plus souvent à déstabiliser un État, peuvent être aussi bien menées en temps de guerre qu’en temps de paix. Elles peuvent par exemple prendre la forme d’actions relevant du cyberterrorisme (utilisation de l’Internet à des fins de propagande et de prosélytisme ou à des fins de communication entre les membres du groupe terroriste), d’attaques contre les moyens de communication militaires ou encore d’attaques à l’encontre des infrastructures dites sensibles. Celles-ci sont d’autant plus préoccupantes que l’ensemble des processus vitaux autour de l’énergie, de la distribution de l’eau, du monde médical, du monde militaire, dépendent de systèmes informatiques.
De plus, les attaquants peuvent être non seulement des hackers isolés ou des petits groupes de personnes organisées en réseau mais aussi des entreprises concurrentes ou des États. Il peut également s’agir d’organisations étatiques ou de groupes de personnes soutenus par un État avec des capacités techniques élevées ainsi que des moyens tout aussi importants. Surtout, les commanditaires sont très difficilement identifiables, qu’ils soient étatiques ou non. Par conséquent, l’action juridique est délicate car il est ardu de prouver la responsabilité de l’État qui est à l’origine de l’attaque.
L’ampleur des cybermenaces, en particulier celles qui portent sur les services essentiels au fonctionnement du pays ou à sa défense, a conduit les gouvernements à réagir. Il s’agit tout autant de se prémunir contre les attaques visant à paralyser ses systèmes névralgiques que de protéger les informations sensibles du point de vue politique, militaire ou économique, face à des techniques d’intrusion informatique de plus en plus sophistiquées. À ces fins, une « cyberdéfense » est en train de prendre forme.
L’émergence d’une cyberdéfense et ses enjeux
La cyberdéfense constitue l’ensemble des activités que le ministère de la Défense conduit (actions militaires ou non militaires) dans le cyberespace pour garantir l’efficacité de l’action des forces armées et la réalisation de leurs missions. Elle regroupe la cyberdéfense active des systèmes d’information, la capacité de gestion de la crise cybernétique et enfin la capacité de lutte dans le cyberespace. En coopération avec les autres organismes ministériels, l’objectif de la cyberdéfense est d’apporter une réponse appropriée aux éventuelles attaques tout en protégeant efficacement les infrastructures et les activités essentielles de l’État. Il est ainsi nécessaire d’avoir une approche transversale des difficultés rencontrées dans cet espace étant donné que les moyens employés par les attaquants sont de plus en plus importants et qu’en parallèle, les vulnérabilités des systèmes d’information sont croissantes.
Cela est d’autant plus vrai que le cyberespace est à la fois une zone de liberté des communications mais également une zone où il est capital de préserver la souveraineté des États. Il existe bien une notion de territorialité dans le cyber concernant spécifiquement les routeurs, les fibres, etc, mais son application à l’espace informationnel et immatériel peut amener à des considérations juridiques délicates.
Ainsi, chaque nation se dote de moyens pour se protéger et se défendre en cas d’attaques et développe leur stratégie dans le cyberespace. Le sénateur Jean-Marie Bockel, dans son rapport sur la cyberdéfense déposé au Sénat à l’été 2012, insiste sur l’importance de replacer les problématiques du cyberespace au cœur des priorités du gouvernement. La France, à travers le Livre Blanc sur la défense et la sécurité nationale et sa doctrine de cyberdéfense, a élaboré sa propre analyse des stratégies militaires à adopter dans le domaine cyber.
Un des principaux enjeux du cyberspace est d’assurer la sécurité des systèmes d’information qui en dépend. Il s’agit ainsi de permettre à ces systèmes de résister à des évènements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité de données stockées, traitées ou transmises. Ces systèmes d’information qui alimentent les infrastructures vitales ou sensibles, peuvent être gravement atteints par des attaques informatiques malveillantes, qui ont des conséquences extrêmes en termes de pertes en vie humaine, et de destruction ou de dommages aux biens.
Un autre enjeu majeur est l’harmonisation de la sémantique employée lorsqu’il est question de cyberdéfense et de cyber conflictualité. En effet, chaque nation développant sa propre conception des menaces ou des attaques dans le cyber ne peut réguler les activités qui en découlent sans une bonne coopération avec les pays tiers. Ainsi, dans la mesure où les acteurs – pouvant être à la fois civils et militaires – et les menaces qui composent le cyberespace représentent des dangers qui s’affranchissent des frontières, la réponse sécuritaire ne peut se limiter au volet national et demande par conséquent une prise en compte de la coopération internationale.
Les efforts de coopération internationale
Cette coopération nécessite de s’effectuer sous plusieurs formes. La première concerne l’importance d’harmoniser la sémantique dans le domaine cyber. Pour une même réalité, les termes employés peuvent diverger et ainsi amener à des confusions graves dans toutes les activités cyber légales qui pourraient être menées. L’expression d’ « attaque cybernétique » possède des définitions distinctes selon les situations. L’attaque peut être criminelle, terroriste, qualifiée d’agression armée, ou utilisée comme arme. Elle est généralement définie comme un acte offensif ou malveillant, dont le but est d’endommager les informations ou les systèmes qui les traitent. En revanche, la « guerre cybernétique » est pour le moins une notion ambigüe et controversée, mais elle possède un intérêt au niveau académique important car elle fait référence aux conflits potentiels, dans le domaine, entre États.
La seconde forme consiste, comme c’est déjà le cas en la création de groupes de réflexion, d’échange et de partage d’informations sur les connaissances du domaine dans les enceintes internationales ou régionales telles que l’ONU, l’Union européenne, l’OTAN, l’OSCE, l’OCDE et l’UIT. Ces rencontres internationales, permettent notamment de mettre en place des normes de bonnes conduites, certes non contraignantes mais qui peuvent toutefois être un pas vers une harmonisation des pratiques transparentes menées dans le cyber. Dans la toute récente actualité, on peut noter la participation future de la France au Centre de cyberdéfense de l’OTAN et, au niveau européen, à la création du Centre de lutte contre la cybercriminalité. Ce dernier, qui sera accueilli dans les locaux de l’Office européen de police à La Haye, aura pour principale mission la lutte contre les groupes criminels organisés dans leurs activités illicites en ligne, et plus particulièrement les fraudes en lignes (vol de données bancaires) impliquant des sommes d’argent conséquentes.
Malgré les réticences dans le domaine du partage des informations et de la communication des différents États sur leurs failles, les échanges au sein de la communauté internationale s’accélèrent afin de réfléchir, notamment, au cadre juridique applicable en cas de conflit cybernétique avéré.
L’apport juridique international dans le domaine des conflits cybernétiques
Au-delà des difficultés liées à la recherche de responsabilité d’une attaque informatique de grande ampleur, il est nécessaire, d’analyser si l’emploi de la force dans le cyberespace par un État ou un groupe d’individus mandaté par celui-ci est assimilable à l’emploi traditionnel de la force ? L’attaque en 2007 contre les systèmes d’information estoniens est-elle similaire à une agression armée permettant à l’État victime d’intervenir en légitime défense ? Pour analyser ce critère, les juristes internationalistes ont étudié le degré de l’attaque, c’est-à-dire le seuil et l’intensité ainsi que les effets engendrés par celle-ci afin d’en déduire s’il s’agissait bien d’une attaque cybernétique de même ampleur qu’une attaque armée traditionnelle.
Lorsqu’on évoque l’emploi de la force dans le cyberspace, il est nécessaire de définir ce que l’on entend par attaque. Au sens du droit international, l’attaque est considérée comme une opération cybernétique d’une ampleur telle, qu’elle entrainerait des pertes en vie humaine, des blessures aux personnes et des destructions de biens. Le seuil est donc extrêmement élevé, ce qui permet de penser qu’à ce jour aucune attaque cybernétique n’a atteint un tel niveau de gravité, entraînant ainsi une qualification de conflit armé cybernétique. Pour l’Estonie, malgré les conséquences importantes sur les réseaux informatiques de l’État, le seuil décrit n’a pas réellement été atteint. Il n’y a pas eu de dommages sur les structures, ni de pertes en vies humaines. En revanche, le cas de l’attaque informatique des centrales iraniennes fait encore débat.
La situation est légèrement différente lorsqu’une une attaque informatique est perpétrée au cours d’un conflit armé se déroulant entre un groupe armé et un État (conflit armé non international) ou entre deux ou plusieurs États (conflit armé international). Le cas le plus récent est celui de la Géorgie et de la Russie en 2008. Il s’agissait d’un conflit opposant deux nations au cours duquel des attaques informatiques ont été menées. Dans ce cas, ces attaques informatiques ont été considérées comme légales. Il est alors nécessaire de respecter les principes du droit des conflits armés en tentant de veiller à distinguer les objectifs militaires des objets civils, et en ne menant pas des opérations qui auraient des conséquences désastreuses sur les populations.
de l’arme conventionnelle à l’arme cybernétique : une tentative de définition
Les juristes internationalistes travaillant en coopération avec le Centre de cyberdéfense de l’OTAN à Tallinn en Estonie ont défini par plusieurs critères ce qu’est, en cyberdéfense, un « objectif militaire » ainsi qu’une « arme cybernétique ». Quatre critères ont ainsi été retenus quant à l’objectif militaire, à savoir le lieu, la nature, l’emploi et l’objectif visé. Traditionnellement, la localisation concernait les opérations militaires en zone de conflit. Pour le cyberespace, le critère géographique est inopérant. Il ne pourra donc pas s’agir des adresses IP bien qu’elles soient associées à une infrastructure cyber. Concernant la nature, il faut que l’objet soit fondamentalement militaire dans son essence et son emploi. L’utilisation de l’objet civil s’il est utilisé à des fins militaires devient de facto une cible potentielle. En revanche, il recouvre sa protection s’il y a discontinuité dans son emploi. C’est donc le dernier critère de l’objectif qui devra être analysé avec beaucoup de précautions. Une entreprise, produisant du matériel pour le civil mais aussi dans un but militaire, pourra être considérée comme un objectif militaire. Tous les principes liés aux opérations militaires en temps de conflit armé devront être également respectés tels que le principe de discrimination et de proportionnalité dans la riposte.
D’autre part l’arme cybernétique est considérée par ces mêmes experts comme ayant des effets équivalents aux armes classiques (blessures, pertes en vie humaine, destructions de biens). Ainsi le standard de qualification de l’arme cybernétique reste-t-il très élevé.
Dans le domaine des conflits armés cybernétiques ou de la cyberguerre, en appliquant le droit international et en l’interprétant au regard des activités qui sont menées dans cet espace, nous pouvons nous apercevoir que le seuil de qualification d’une attaque cyber qui entraînerait une guerre est très élevé. Cela ne veut pas dire pour autant que, dans l’avenir, aucune opération cybernétique n’atteindra ce seuil qui permettra de le qualifier de guerre cybernétique.
pour conclure, les activités et la pratique sont en constante évolution dans le cyberespace. C’est la raison pour laquelle il est nécessaire d’intensifier les efforts de coopération internationale et nationale pour accroître les chances d’atteindre l’objectif de sécurisation des systèmes d’information jugés essentiels. Pour ce faire, l’ambition politique des États de définir des stratégies nationales de cybersécurité et de cyberdéfense doit mener vers une action claire et concertée à tous les niveaux de décision (local, national, international), car le cyberespace englobe les activités de tout individu et de toute structure, qu’elle soit publique ou privée.
Les menaces étant protéiformes, diffuses, difficilement identifiables avec des conséquences parfois incontrôlables, la recherche, la coopération internationale et l’échange d’information doivent être privilégiés. Les techniques d’identification des attaquants, de recherche de la preuve ainsi que celles favorisant la traçabilité devraient être mises en valeur afin d’assurer une meilleure protection du cyberespace.
Sans pouvoir lever ses ambigüités techniques, la compréhension et le traitement juridique, politique, économique des cyber-agressions deviennent alors impossibles tant la réalité technique et mathématique impose ses propres lois et son propre tempo.
