Commentaires fermés sur Faire la guerre derrière son ordinateur

Faire la guerre derrière son ordinateur

image

En moyenne, il y aurait une attaque cybernétique toutes les 1,5 secondes[1]. Une pléthore qui, loin de laisser les États indifférents, les fait plutôt trembler. L’Estonie, la première, en a fait les frais.

Le précédent estonien

En avril 2007, le gouvernement estonien décide de déplacer une statue commémorative de la Seconde Guerre mondiale représentant un soldat en uniforme soviétique. La réponse ne se fait pas attendre : la minorité russophone locale s’émeut. Les relations diplomatiques entre Moscou et Tallinn se durcissent. S’ensuit l’émeute. Quelques jours après, le pays voit ses sites internet administratifs, ceux de ses banques ou encore de ses journaux passer l’arme à gauche les uns après les autres. Un drame égard au fonctionnement de son système : l’Estonie avait fait le choix d’une bureaucratie sans papier, très largement informatisée. L’avenir que l’on promet à nos pays…

Que s’est-il passé ? En arrière scène, une attaque massive par déni de service[2] émanant, selon toute probabilité, de la Russie. Efficace, quasiment imparable. L’Estonie, par la voix du ministère de la Défense, n’hésitait pas, alors, à parler d’acte de guerre comparant cette attaque informatique à l’envoi de missiles. Le président estonien, Toomas Hendrik, renchérissait en qualifiant ces actes de « nouvelle forme de terrorisme » et en appelait à l’OTAN. Mais, à défaut de jurisprudences en la matière, ces accusations restèrent lettre morte. Un vide juridique que l’OTAN s’est attaché, depuis, à éclipser : six  ans après les événements, le bien nommé manuel de Tallinn voit le jour. Un ouvrage de doctrine proposant, justement, une transposition du droit international aux cyberconflits.

Effet d’opportunité

D’autres États n’ont, quant à eux, pas tardé à voir leur intérêt dans la donne cyber. Une fuite de Snowden révélait que, pour les USA, « les opérations cybernétiques à visée offensive [pouvaient] offrir des moyens uniques et non conventionnels pour faire progresser les intérêts [de leur pays] dans le monde sans mettre en alerte l’ennemi ou la cible, et avec une incidence pouvant aller du dégât subtil au dégât gravement préjudiciable.[3] » On en conviendra : il est pour le moins pratique de ne pas attirer l’attention de sa cible et de l’endommager sans qu’elle ne sache d’où provient l’attaque. Quid de l’Iran, du programme militaire Olympic Games et du ver informatique Stuxnet ?

Et pour cause, le programme nucléaire iranien a pris du plomb dans l’aile du fait d’Olympic Games. Lancé sous l’administration Bush et continué sous celle d’Obama, cette attaque cybernétique aurait ralenti de 18 à 24 mois les recherches iraniennes sur l’enrichissement d’uranium. Une attaque qui a fait grand bruit : outre son degré de technicité et son ampleur, elle est la première à avoir provoqué des explosions du fait d’un virus informatique. Mais, plus étonnant encore, ce qui en constitue la spécificité, c’est sa capacité à cacher sa nature. Le ver reprogrammait, à la marge, la vitesse de rotation des centrifugeuses tout en camouflant ses modifications. « L’idée était que les Iraniens attribuent la responsabilité [du dysfonctionnement des centrifugeuses] à des pièces défectueuses, des erreurs d’ingénierie ou simplement à des faits d’incompétence », explique une source proche du dossier Stuxnet et citée par David Sanger pour Le New York Times. Pari réussi. Pour que l’Iran comprenne la menace, il aura fallu que la firme biélorusse VirusBlokAda, spécialisée dans les antivirus, découvre, en 2010, le pot au rose. Sans ça, l’histoire aurait pu durer encore longtemps.

Impuissance du droit des conflits armés

Il ne fait pas l’ombre d’un pli que la volonté belliqueuse est caractérisée pour les attaques mentionnées ci-dessus. Le Manuel de Tallinn précise qu’une cyber-attaque serait « une cyber-opération offensive ou défensive raisonnablement susceptible de blesser ou de tuer des personnes, ou d’endommager ou de détruire des biens ». Mais, voilà, ce manuel ne reflète que la vision otanienne de cette question et ne saurait faire force de loi. Se pose incidemment la question de l’applicabilité du droit international en pareille situation. Entre l’imperceptibilité de la menace cyber (cf. cas iranien), les difficultés pour en déterminer l’origine –pour Stuxnet ou l’Estonie, seul un faisceau convergent d’indices laisse supposer que les responsabilités sont américaines pour le premier cas et russes pour le second – ou encore les questions sur la qualification d’une offensive cybernétique (acte de guerre ou non), le droit préexistant semble peu à même de répondre à ces nouveaux enjeux.

Pourtant, pour le principal tenant du droit des conflits armés, le Comité international de la Croix Rouge (CICR), le droit existant répondrait déjà à tous les enjeux mentionnés au fil de ce papier[4]. Pour preuve, selon lui, l’article 36 du Protocole additionnel I aux conventions de Genève, qui traite expressément des  « armes nouvelles » (et donc des armes cybernétiques), enjoint à « une Haute Partie contractante […] l’obligation de déterminer si l’emploi [de toute nouvelle technologie] serait interdit dans certaines circonstances ou en toutes circonstances ». Sans craindre les redondances, il précise qu’ il « ne fait aucun doute que les cyber-opérations ne peuvent être utilisées dans les conflits armés que dans une mesure et d’une manière qui respectent le droit existant. »[5]

Disant cela, le CICR ne dit rien. Ce serait aux parties contractantes de discerner l’interdiction totale ou partielle de l’usage des technologies cybernétiques. Sachant qu’il est quasiment impossible de remonter jusqu’au commanditaire de l’attaque, autant interdire à l’homme invisible de voler à l’étalage… Par ailleurs, la dimension immatérielle des attaques cybernétiques et leur aspect transfrontière viennent mettre à mal la place des États, voire plus largement la notion de « partie prenante au conflit », au sein du droit des conflits armés. Tout simplement, une cyberattaque est sans visage, anonyme. Qui vous fait la guerre ? Allez savoir…

Photo : Cotton Puryear, Virginia National Guard Public Affairs / flickr.com / CC BY 2.0

[1] The 2013 FireEye Advanced Threat Report
[2] Connexions simultanées de très nombreux appareils à un même réseau informatique pour le faire saturer.
[3] Presidential Policy Directive 20, fuitée dans son intégralité par Snowden : « Offensive Cyber Effect Operations can offer unique and unconventional capabilities to advance U.S. national objectives around the world with little or no warning to the adversary or target and with potential effect ranging from subtle to severely damaging »
[4] Rapport sur le droit international humanitaire et les défis posés par les conflits armés contemporains, XXXIe conférence internationale de la Croix-Rouge et du Croissant-Rouge
[5] Ibidem

Joseph Dauce
est titulaire d’un master en diplomatie et négociations stratégiques de l’université Paris-Sud. Il s’est spécialisé dans l’analyse des processus de négociation, les médias ou encore les questions de défense.