Internet compte aujourd’hui plus de 3 milliards d’utilisateurs dans le monde. Qu’il semble loin le temps où cette idée a fleurit dans l’esprit de quelques chercheurs et autres ingénieurs tels que Vint Cerf, inventeur du protocole TCP/IP (1976) et considéré aujourd’hui comme l’un des pères fondateurs d’internet.
Outre les utilisateurs dits « classiques », le World Wide Web est également devenu un outil incontournable pour les administrations nationales, y compris les plus stratégiques telles que le pentagone.
Celui-ci vient de laisser fuiter plus de 11 gigas octets de documents contenant les identités, adresses, numéros de téléphone, numéros de sécurité sociale, mots de passe, et les salaires de dizaines de membres des forces spéciales ainsi que de psychologues et professionnels de santé déployés au sein du Commandement des opérations spéciales de l’armée américaine, le fameux SOCOM (US Military’s Special Operations Command). A ce stade de l’enquête, l’affaire ayant été révélée le 31 décembre dernier, on ne peut pour l’instant pas parler de hacking mais plutôt d’un trou béant dans la sécurité laissant accessibles des dossiers sensibles. Les documents ayant fini par fuiter sur internet, des dégâts ont tout de même été faits, l’intention hostile était donc présente.
La faille proviendrait d’une configuration bancale du software utilisé par l’entreprise dénommé « Potomac Healthcare Solutions » qui fournit une couverture santé aux employés du pentagone. D’un point de vue technique, il semblerait que les serveurs du pentagone faisaient l’objet d’une synchronisation avec une adresse IP liée au serveur de Potomac Healthcare. Il est à noter que cette entreprise a été sollicitée et engagée par Booz Allen Hamilton, l’ancien patron d’Edward Snowden, qui commence visiblement à être habitué aux fuites de données sensibles.
L’incident est donc de taille : sont disponibles sur internet des milliers de documents classés secret défense et contenant des informations stratégiques concernant des dizaines de personnes qui, pour la plupart, travaillent sur des dossiers très sensibles. Mises entre de mauvaises mains, ces informations permettraient de monter une action particulièrement ciblée et efficace.
Cette fuite n’est malheureusement pas la première pour le pentagone. En effet, même si son système demeure l’un des plus sécurisés du monde, c’est aussi l’un des plus attaqués. La fin d’année 2015 avait déjà été compliquée à vivre pour les RSSI du pentagone du fait du fait de l’intrusion, au mois de décembre, de hackers russes dans le but de provoquer un maximum de dégâts au système afin de forcer le pentagone à changer l’ensemble de son parc informatique.
On le voit bien ici, le hacking est aujourd’hui un enjeu de géopolitique, stratégique. Savoir rechercher et exfiltrer des informations en toute discrétion sur son ennemi grâce à internet est devenu crucial. La cyberguerre fait rage ces dernières années entre les pays et tous le savent : on ne peut perdre la guerre quand on possède un coup d’avance.
Une fois admis qu’il s’agit d’une véritable guerre dont nous parlons et que celle-ci est mondiale, le juriste que je suis doit alors s’interroger concernant les règles applicables en pareille situation. Juridiquement parlant, les attaques réalisées témoignant d’une action d’une nation envers une autre, le problème concerne alors les règles de droit international public.
Ce droit se définit comme « l’ensemble des règles juridiques régissant les relations internationales entre personnes publiques telles que les États ».
La question qui se pose alors est de savoir si le droit international public actuel parvient à se saisir de cette réalité et si oui, dans quelle mesure.
Contrairement à l’idée répandue qui consiste à dire que le droit est en retard sur des questions telles que la cyberguerre, de nombreuses initiatives juridiques sont apparues sur le sujet.
En France, le livre blanc sur la défense et la sécurité nationale de 2013 tend à changer la stratégie nationale en matière cyber en conservant les services de défense déjà présents tout en mettant en place une force offensive.
Au niveau européen, des initiatives ont également été prises avec la mise en place de la stratégie de cyber sécurité européenne adoptée en février 2013 et d’un projet de directive.
Au niveau international, l’OTAN s’est emparée du sujet à travers le rapport de Tallinn sur le droit international applicable à la cyberguerre et publié en 2013. Ce document est un rapport non contraignant rédigé par des experts internationaux en la matière et rendent applicables les règles établies par les textes rédigés pour les conflits conventionnels. Il est aujourd’hui considéré comme le travail/le cadre le plus abouti concernant les activités cyber interétatiques de par son association à l’union de l’Atlantique nord et son exhaustivité. Ce travail demeure aujourd’hui critiqué sur plusieurs aspects dont, entre autre, le fait qu’il soit trop fortement marqué par une vision trop américaine du droit international public comme en témoigne la possibilité d’effectuer des attaques préventives.
Le droit international public en matière de guerre virtuelle a été bâti sur une vision ternaire : les règles applicables en temps de paix, les règles applicables en temps de guerre et enfin les règles applicable lorsque l’opération cyber entraine l’ouverture des hostilités/provoque la guerre. Il est à noter ici que l’analyse qui va suivre traitera en dernier lieu les règles applicables en temps de paix.
Ainsi, en matière de cyber opérations menées en temps de guerre ou déclenchant un conflit ouvert, la Charte des Nations Unies prévoit en son article 2 paragraphe 4 l’interdiction du recours à la menace ou à l’emploi de la force. Ainsi, qu’il s’agisse de guerre conventionnelle ou de guerre virtuelle, le droit international s’applique. La seule condition pour que l’application du texte vaille pour la cyber guerre réside dans le fait de savoir si l’action réalisée sur le réseau entraine des dommages tels qu’ils existent en matière de conflit « traditionnel ».
La réponse apportée par le pays ciblé, à savoir la légitime défense proportionnée, est également prévue par ladite Charte. Cette légitime défense prévue par les textes est ici appliquée de manière équivalente entre les deux types de conflits : classiques et cyber. Ici, le droit international tend à s’appliquer et être efficace.
Par ailleurs, un autre versant du droit international public est constitué par les règles visant les conflits armés, nous parlons ici de la convention de la Haye et de la convention de Genève.
Celles-ci trouvent-elles à s’appliquer ?
La première comporte des règles relatives à la conduite des hostilités tandis que la seconde vient poser des règles relatives au traitement des prisonniers, blessés et malades. Ces deux textes tendent à s’appliquer aux attaques cyber qui sont opérées lorsqu’un conflit armé conventionnel est déjà ouvertement déclaré.
Dans ce cadre, les textes énoncés viennent indiquer qu’il existe deux principaux groupes : les combattants et non-combattants. Là où les forces armées participent directement aux hostilités, celles-ci doivent respecter les règles relatives aux civils, aux blessés et aux prisonniers de guerre. Or, la démocratisation des outils électroniques et informatiques vient de plus en plus brouiller les frontières entre civils et combattants sur le plan du cyber espace.
En effet, un certain nombre de critères permettent aujourd’hui aux individus impliqués dans des conflits de passer rapidement du statut de civil à celui de combattant et inversement. Le premier critère concerne la facilité d’accès au matériel nécessaire : peu importe le pays, un individu peut a priori se procurer assez facilement du matériel informatique. En second lieu, le temps nécessaire pour effectuer une action cyber peut ne durer que quelques minutes voir quelques heures. Enfin, la distance nécessaire entre le combattant classique et sa cible n’importe plus.
Dans cette situation, le droit international des conflits armés ne peut présenter qu’une efficacité limitée tant il devient compliqué d’opérer la distinction entre les individus opérant une action hostile de terrain et les civils.
Après avoir traité du droit international applicable en tant de guerre, il ne nous reste plus qu’à aborder les actions cyber interétatiques en temps de paix.
Il s’agit bien du fond du problème. Si la première partie de notre analyse tend à démontrer que le droit international demeure efficace concernant le cyber espace, il existe un élément rendant le ce droit tout à fait inadapté : la plus grande partie des hacking commandités par les Etats le sont en tant de paix ou plutôt en l’absence de conflit conventionnel déclaré.
Par conséquent, là où les textes internationaux dont nous avons parlé étaient applicables du fait de l’existence d’un recours à la force ou de l’existence d’un conflit armé conventionnel, le fait que les actes de cyber attaques se déroulent en temps de paix rend les même textes parfaitement inapplicables.
Néanmoins, lorsque de telles actions sont avérées, le droit international prohibe toute réaction militaire mais prévoit que d’autres sanctions peuvent être apportées. Cela peut donc se traduire par des sanctions économiques telles qu’elles peuvent exister aujourd’hui contre des pays comme la Russie ou encore la Corée du Nord.
En guise de conclusion, il nous est ici permit de dire ici que l’idée selon laquelle le droit serait en retard ou inadapté face à la cyber guerre n’est, pour l’instant, pas totalement fausse. D’une part, comme nous l’avons dit, la Charte des Nations Unies prohibe tout type de recours à la force. Selon ce texte, si l’interdiction est bravée, alors le pays cible peut légalement exercer sa légitime défense. En ce sens, le droit est efficace. D’autre part, le droit des conflits armés souffre quant à lui d’une grande difficulté d’application dans la mesure où la distinction soldat/civil devient de plus en plus compliquée à réaliser dans le contexte du cyber espace. Enfin, n’oublions pas que la plupart des actions de piratage réalisée pour le compte d’Etats sont réalisées dans un contexte de paix, cadre dans lequel le droit international régissant les conflits ne trouve pas à s’appliquer du fait d’une absence de conflit déclaré. Une fois le pour et le contre pesés, il est clair que le droit international tente de faire bonne figure mais que celui-ci semble en effet de plus en plus inadapté.
DataLawyer, le Droit 2.0 