Le gouvernement allemand est devenu victime d’une cyberattaque d’ampleur inédite, comme ont révélé les autorités allemandes début mars. Durant au moins un an, des hackeurs auraient notamment cherché à se procurer des données des Ministères de la Défense et des Affaires Etrangères. Le Ministre de l’Intérieur allemand a qualifié cette attaque comme « techniquement ambitieuse et préparée depuis longtemps » [1] ; même si elle serait sous contrôle, il a précisé que cet attaque prouverait que « divers acteurs menace[raient], pour différentes raisons, la sécurité informatique de l’Allemagne » [2].
En effet, cette attaque n’est pas la première en Allemagne, où le Parlement allemand, le Bundestag, avait déjà été ciblé par une attaque informatique d’espionnage et de sabotage en 2015 [3]. Les attaques vécues par l’Allemagne s’inscrivent dans une tendance globale, qui permet de constater que ces attaques dans ce qu’on appelle le « cyberespace » sont de plus en plus nombreuses et confrontent les sociétés à un nombre de questions inédit. L’observation de la présence plus importante qu’auparavant d’actes offensifs d’espionnage ou de sabotage, dont le nombre ne cesse d’augmenter [4], laisse penser qu’on a dépassé l’étape des simples « cyberattaques » pour entrer dans une époque de « cyberguerre ». Mais qu’est-ce que la cyberguerre, et est-ce qu’elle existe vraiment ?
Il faut se rendre compte que les actes offensifs menés dans le cyberespace présentent un nombre de particularités, qui bouleversent tous nos concepts traditionnels des relations internationales et des conflits armés. Pour mieux comprendre les enjeux de la cyberguerre, il convient donc de rappeler en premier lieu les facteurs et caractéristiques essentiels du cyberespace qui conditionnent la cyberguerre.
- D’abord, la notion abstraite du « cyberespace » : Pour concevoir ce concept dans sa globalité, on peut imaginer le « cyberespace » dans trois strates [5]. Premièrement, une strate physique, qui englobe l’infrastructure du réseaux (serveurs, base de données, satellites, fibres optiques…). Deuxièmement, une strate logique qui comprend les logiciels et protocoles du réseau. Troisièmement, la strate cognitive, qui désigne les données et informations qui sont enregistrées sur le réseau et y circulent.
- Le cyberespace se marque par une absence (partielle) de contrôle et d’ordre. Ce monde virtuel est un espace hétérogène, avec une multitude d’acteurs poursuivants des buts très différents : Il y a donc une dispersion de puissance. Prenant en compte l’opacité de cyberespace, il est extrêmement difficile de contrôler ce monde et d’imposer des régulations.
- Cependant, notre société s’appuie de plus en plus sur des systèmes de communication et d’information. Notre infrastructure dépend largement du cyberespace. Ceci concerne aussi bien la vie privée que publique.
- De ces deux aspects (impossibilité de contrôle total et dépendance croissante) découle une vulnérabilité importante de notre société dans le domaine du cyberespace.
Cette vulnérabilité risque d’être exploitée et ce non seulement sur le plan civil (par exemple lors d’un vol des données des entreprises privés), mais aussi dans le cadre d’une éventuelle « cyberguerre », mettant en jeu la sécurité et l’intégrité d’un Etat lui-même. Cet article offrira une première introduction à cette problématique brûlante. On posera notamment la question de la définition de la « cyberguerre » et si cette expression est juste ; on retracera brièvement l’évolution historique des attaques informatiques subies par des Etats. En dernier lieu, face aux difficultés engendrées par les particularités des cyberattaques, on envisagera les réponses que les Etats et le droit international y apportent ou pourront et devront y apporter dans le futur.
La définition de la « cyberguerre »
Des débats ont été menés sur l’expression même de la « cyberguerre ». Peut-on employer le mot « guerre » dans un contexte cyber ? La difficulté est liée à la conception traditionnelle de la guerre : Elle implique un conflit armé sur un théâtre d’opération, menaçant possiblement des vies humaines [6]. Est-ce que cette conception est adaptée aux actes offensifs d’espionnage et de sabotage menés dans le cyberespace ?
Le professeur Thomas Rid par exemple a publié un article scientifique controversé en 2011 et deux ans plus tard un livre du même titre provocatif : « Cyber war will not take place » (la cyberguerre n’aura pas lieu) [7]. Selon lui, il n’y avait pas encore de cyberguerre et il n’y en aura pas dans le futur. Il admet que des cyberattaques peuvent revêtir une certaine violence, mais que celle-ci serait toujours restreinte par sa nature inhérente indirecte. [8] Finalement, les actes de la cyberguerre ne constitueraient que des versions plus sophistiquées des conduites de la guerre classiques (sabotage, espionnage et subversion).
Force est de constater que, jusqu’à aujourd’hui, on n’a pas encore vécu une cyberguerre « autonome ». Les cyberattaques sont déjà une réalité concrète, mais comme on verra plus tard, elles s’intègrent toujours dans un contexte plus large d’un conflit étatique classique, armé ou non. La « cyberguerre » n’est donc qu’un élément, qui accompagne une guerre « traditionnelle» ; c’est un mode d’action parmi d’autres qui fait partie de la stratégie des parties au conflit et qui a le potentiel de bouleverser la conduite de la guerre traditionnelle [9]. Cependant, l’emploi de la notion de « cyberguerre » a un intérêt, celui-ci étant plutôt pédagogique. Il est facilement accessible et permet au large public de se rendre compte des enjeux importants liés à l’utilisation des technologies modernes. [10]
Quel est donc le contenu d’une action, qu’on peut qualifier comme « cyberguerre » ? Les attaques informatiques peuvent prendre des formes diverses – or, toute attaque ne constitue pas ipso facto une attaque de cyberguerre. La notion de « cyberguerre » doit être lue de manière restreinte et distinguée d’autres catégories d’attaques informatiques, qui sont d’une ampleur moins importante ou poursuivent d’autres buts. Suivant la proposition du « Center for Security Studies Zürich », on peut ainsi classer les attaques informatiques en fonction de leur objectif et de la gravité de leurs effets [11] : Il y a des actes de cyberhacktivisme (la modification ou la destruction du contenu en piratant un site web) ou de cybercrime et cyberespionnage (visant notamment le secteur privé des grands entreprises), qui ne ciblent à priori pas directement un Etat et ne se déroulent pas dans le cadre d’un conflit interétatique.
Or, un Etat peut être affecté par des actes de cyberterrorisme (une attaque menée par un acteur non-étatique afin d’intimider le gouvernement et la population d’un pays, causant un dommage concret dans le monde réel) et par l’attaque la plus grave, la cyberguerre. Cette dernière met directement en cause l’intégrité et la sécurité d’un Etat, de sa propriété et de ses citoyens [12].
Si on est face à une cyberguerre, celui-ci vise toujours à déstabiliser l’adversaire dans sa maîtrise de l’information. L’information est donc « le centre de gravité du conflit » et elle peut être manipulée de trois manières [13] : en perturbant et interrompant le fonctionnement des systèmes informatiques ou en falsifiant leur contenu (guerre contre l’information) ; en récupérant des informations, donc par des actes d’espionnage comme dans le cas récent de l’attaque contre le gouvernement allemand (guerre pour l’information) ; et dernièrement, en manipulant les systèmes informatiques afin de faire de la propagande ou diffuser par exemple des fausses informations (guerre par l’information). Sans rentrer dans les détails techniques, ces modes d’actions sont mis en œuvre soit par un déni de service (la saturation d’un serveur par un grand nombre de demandes instantanées, afin de provoquer son inaccessibilité), soit par la récupération ou modification des données confidentielles (par exemple par un cheval de Troie) [14].
L’histoire jeune de la cyberguerre
Les premiers actes d’une cyberguerre de grande ampleur se sont déroulés en 2007 en Estonie. A ces attaques préludait un conflit diplomatique entre l’Estonie et la Russie sur un projet de déplacement d’une statue d’un soldat dans le centre de Tallinn, dédiée au mémoire des militaires soviétiques tombés durant la Seconde Guerre Mondiale. La bureaucratie de l’Estonie privilégiait le fonctionnement sans papier et dépendait donc largement de l’Internet. Cette dépendance a été exploitée par les attaquants, qui, par la méthode de déni de service, ont mis hors service des nombreux sites web estoniens, y compris ceux de l’administration, du gouvernement et du Parlement estoniens, mais aussi des banques ou journaux. [15]
Dans un deuxième temps, les armes virtuelles ont été utilisées de plus en plus dans une perspective militaire. La guerre entre la Russie et la Géorgie en 2008 est probablement la première fois où les attaques informatiques ont accompagné un conflit armé [16]. Similaire aux événements en Estonie, l’infrastructure géorgienne a été mise hors service par des cyberattaques d’une ampleur importante et sophistiquée. En 2009 et 2011, les Etats-Unis détectent des vers et virus jouant sur le contrôle et pilotage de leurs drones en zones de conflits. [17] L’incidence en 2009, pendant lequel des activistes irakiens ont piraté des drones américains afin d’obtenir des images vidéos, a été exécutée grâce à un logiciel qui était disponible sur l’Internet pour un prix de 26 $. [18]
Une nouvelle étape a été franchie par l’emploi du ver « Stuxnet » en 2011, véritable arme virtuelle conçue spécifiquement pour certaines installations industrielles. Le système des centrifugeuses des réacteurs nucléaires iraniens a été infiltré par ce ver, ce qui a eu pour effet un ralentissement de leur fonctionnement pendant plusieurs mois. [19] En raison du caractère extrêmement sophistiqué de ce ver, on considère qu’un Etat, et non pas un acteur civil, devait avoir développé ce logiciel ; certains médias ont soupçonné que les Etats-Unis et Israël étaient à l’origine de cette attaque. [20]
Il ne s’agit ici que d’exemples tirés d’un nombre croissant d’attaques informatiques dans les dernières années. Ces exemples affirment ce qui a été constaté lors de la définition de la cyberguerre : La « cyberguerre » ne remplace pas une opération militaire et n’existe pas de manière autonome. Elle prélude et accompagne l’emploi de la force et est susceptible d’avoir un impact direct sur l’affrontement traditionnel (par exemple en manipulant des logiciels des avions d’un Etat, de manière à ce qu’ils ne puissent plus être employés).
Les difficultés liées aux réponses à la cyberguerre
Comment les Etats peuvent-ils faire face à la cyberguerre ? La réponse à cette question nécessite de s’interroger d’abord sur les difficultés et limites de la lutte contre la cyberguerre, qui sont le produit des particularités de ce type de conflit.
La difficulté majeure de la cyberguerre, c’est qu’il est extrêmement difficile d’identifier son auteur. Les attaquants peuvent facilement brouiller leurs pistes en ayant recours à des serveurs relais, ce qui rend l’imputabilité d’un acte à son acteur presque impossible. Concernant les incidents en Estonie et Géorgie, on soupçonne que les attaques étaient menées par des hackeurs russes, sans être capable de prouver leur identité de manière certaine [21]. Deuxièmement, une cyberguerre peut aussi être de nature « asymétrique », opposant donc un Etat à un acteur non-étatique. Ces derniers agissent de manière autonome, sans être contrôlés par un Etat. Comment identifier les buts qu’ils poursuivent et comment leur imposer des représailles effectives ? [22]
Cependant, l’enjeu de savoir comment répondre à une cyberguerre est d’une importance majeure: Une cyberguerre peut avoir non seulement des conséquences directes dans le monde virtuel, mais aussi des effets considérables dans le monde réel. Il y a donc un risque des effets « en cascade » [23]. Afin d’empêcher ce risque de se réaliser, un Etat peut soit adopter une stratégie plutôt défensive (développer des logiciels antivirus, respecter des règles de sécurité…), soit une stratégie offensive (rechercher et développer des armes virtuelles lui-même). [24] Le domaine est tellement jeune, que les organismes et stratégies ne sont qu’en train de se mettre en place. En France, par exemple, il existe depuis 2009 l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information), agissant dans une perspective défensive et surtout dans le domaine civil en cas d’attaque des systèmes informatiques français [25]. L’OTAN a créé le « centre d’excellence de cyberdéfense coopérative » à Tallinn, qui a pour mission d’améliorer les capacités et la coopération entre les pays membres en domaine de la cyberdéfense. [26] Les Etats-Unis sont plus offensifs dans leur stratégie et ont créé en mai 2010 le « US Cyber Command », ce qui marque l’entrée officielle de la cyber stratégie dans les forces armées [27].
Les perspectives de la cyberguerre
Pour conclure cette introduction à la cyberguerre, il faut relever que ce sujet soulève un grand nombre de questions non-résolues et confrontent les Etats à des problèmes inédits. Sur le terrain juridique par exemple, il se pose la question brûlante de savoir si une cyberattaque peut être à l’origine de l’application du droit des conflits armés. Permet-elle donc le recours à la force dans le cadre du chapitre VII de la Charte des Nations Unies ? Si oui, comment apprécier si une cyberattaque en tant que riposte d’un Etat menacé est « proportionnée » ? Et comment identifier « la fin des hostilités » dans le cyberespace ? Ces questions démontrent à nouveau le manque de définition et qualification des notions pertinentes de la matière. Il faudrait donc un document juridique unique, adapté aux particularités du cyberespace, clarifiant ces questions-là. Or, pour le moment il est très improbable qu’un consensus international soit obtenu, notamment en raison de la confidentialité que les Etats souhaitent garder sur leur savoir-faire dans ce domaine. Ils ne souhaitent pas se soumettre à une supervision, qui les obligerait à révéler leurs capacités techniques. Ce défaut de régularisation juridique internationale de la cyberguerre présente des risques importants (escalade des conflits en raison des ripostes excessives ; abus de la notion de la « légitime défense » en cas d’une cyberattaque…) [28].
Comme le dit l’auteur Lucas Kello, « les difficultés de la cyberdéfense auraient tendance à augmenter ». [29]. Les Etats ont donc intérêt à confronter les questions non-résolues du domaine, à investir dans la recherche et la formation et à prendre au sérieux les enjeux posés par la cyberguerre. On peut s’attendre désormais à ce que chaque conflit interétatique présente une « dimension cyber» [30] : La cyberguerre prendra donc une place de plus en plus importante dans les relations internationales futures et par conséquent, il faudra être capable d’y faire face.
Ecrit par Maren Rimbach.
Sources
[1] https://www.francetvinfo.fr/monde/europe/allemagne/allemagne-le-gouvernement-victime-d-une-cyberattaque-inedite_2635444.html, consulté le 13 mars 2018
[2],[3] http://www.lefigaro.fr/secteur/high-tech/2018/03/02/32001-20180302ARTFIG00090-le-gouvernement-allemand-victime-d-une-attaque-informatique-d-une-ampleur-inedite.php, consulté le 13 mars 2018
[4] Barbara Louis-Sidney, « La dimension juridique du cyberespace », Revue internationale et stratégique 2012/3 (n° 87), p. 73.
[5] Barbara Louis-Sidney, « La dimension juridique du cyberespace », Revue internationale et stratégique 2012/3 (n° 87), p. 75.
[6] Nicolas Arpagian, « La cyberguerre », Annales des Mines – Réalités industrielles 2010/4 (Novembre 2010), p. 23.
[7] https://ridt.co/cyber-war-will-not-take-place/, consulté le 13 mars 2018.
[8] https://ridt.co/wp-content/uploads/2013/10/hazane-review.pdf, consulté le 13 mars 2018.
[9] , [10] Nicolas Arpagian, « La cyberguerre », Annales des Mines – Réalités industrielles 2010/4 (Novembre 2010), p. 23.
[11] https://www.files.ethz.ch/isn/114442/CSS_Analysis_71.pdf , consulté le 13 mars 2018
[12], [13], [14] Michel Baud, « La cyberguerre n’aura pas lieu, mais il faut s’y préparer », Politique étrangère 2012/2 (Eté), p. 308.
[15] http://www.liberation.fr/futurs/2017/07/28/cyberattaques-avant-l-ukraine-l-estonie-et-la-georgie-touchees_1586973, consulté le 13 mars 2018
[16] https://www.theguardian.com/commentisfree/2008/aug/22/russia.georgia1, consulté le 13 mars 2018
[17] Michel Baud, « La cyberguerre n’aura pas lieu, mais il faut s’y préparer », Politique étrangère 2012/2 (Eté), p. 308.
[18] Nicolas Arpagian, « La cyberguerre », Annales des Mines – Réalités industrielles 2010/4 (Novembre 2010), p. 24.
[19] http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-enjeu-des-armees_3446492_651865.html, consulté le 13 mars 2018
[20], [21] Michel Baud, « La cyberguerre n’aura pas lieu, mais il faut s’y préparer », Politique étrangère 2012/2 (Eté), p. 308.
[22] Lucas Kello, « Les cyberarmes : dilemmes et futurs possibles », Politique étrangère 2014/4 (Hiver), p. 145.
[23] Lucas Kello, « Les cyberarmes : dilemmes et futurs possibles », Politique étrangère 2014/4 (Hiver), p. 144.
[24] http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-enjeu-des-armees_3446492_651865.html, consulté le 13 mars 2018
[25] http://www.ssi.gouv.fr/, consulté le 13 mars 2018
[26] https://ccdcoe.org/, consulté le 13 mars 2018
[27] Michel Baud, « La cyberguerre n’aura pas lieu, mais il faut s’y préparer , Politique étrangère 2012/2 (Eté), p. 308.
[28] Pour approfondir la dimension juridique de la cyberguerre : Barbara Louis-Sidney, « La dimension juridique du cyberespace », Revue internationale et stratégique 2012/3 (n° 87), p. 73-82.
[29] Lucas Kello, « Les cyberarmes : dilemmes et futurs possibles », Politique étrangère 2014/4 (Hiver), p. 146.
[30] Pour reprendre une expression de Michel Baud, voir http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-enjeu-des-armees_3446492_651865.html , consulté le 13 mars 2018.
Images:
A la une: https://pixabay.com/de/code-technologie-software-internet-459070/
[i] https://pixabay.com/de/code-technologie-software-internet-459070/
[ii] By Meithal (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/) or CC BY 2.5 (http://creativecommons.org/licenses/by/2.5)], via Wikimedia Commons