Cyberguerre et attaques informatiques : à qui profite – réellement – le crime ?

Le 24 février dernier, les Anonymous se déclaraient en cyberguerre contre Poutine et lançaient les hostilités contre plusieurs chaines de télévision publiques russes et les sites web de nombreux ministères et de banques nationales. En prenant numériquement les armes contre le Kremlin, ces hackers au grand cœur sont ainsi devenus des combattants actifs de ce conflit, rendant toute sa dimension guerrière au terme de « cyberguerre » et jetant ainsi la lumière sur toutes ses particularités juridiques. La Conventions de Genève, qui régit les « bonnes » conduites en temps de guerre, a été établie au lendemain de la Seconde Guerre mondiale et, bien qu’elle ait été mise à jour et modifiée depuis, n’avait absolument pas prévu le cyberespace comme un théâtre de conflit potentiel. Les zones grises créées par cette omission induisent à présent des interprétations contradictoires sur l’apparence que peuvent revêtir les crimes de guerre lorsqu’ils sont commis numériquement. Comme le résume Nathaniel Raymond, maître de conférences à la Jackson School of Global Affairs de l’université de Yale : « Nous n’avons toujours pas d’interprétation juridique claire et commune de la manière dont la Convention de Genève s’applique à la cyberguerre ».

Un cadre juridique à établir

Selon la convention, les crimes de guerre comprennent la torture, le meurtre d’otages et, surtout, les attaques contre des civils. Dès lors, ils sont évalués en fonction de quatre catégories différentes : la proportionnalité – l’attaque est-elle proportionnelle à la menace ? –, la nécessité, précaution – des mesures ont-elles été prises pour minimiser les dommages causés aux civils et aux infrastructures civiles ? – et la distinction – a-t-on pris soin d’attaquer une cible militaire plutôt que civile ? –. Des normes difficiles à évaluer en plein conflit. Mais dans les cyberconflits, ces normes sont encore plus difficiles à évaluer.

« Le problème avec la cybernétique est que vous ne connaissez jamais les répercussions réelles d’une attaque », expliquait Klara Jordan, responsable des politiques publiques à l’Institut CyberPeace. Par exemple, l’attaque de 2017 menée contre l’Ukraine, dont nous parlions le 6 mars dernier, a fini par se propager dans plusieurs autres pays. Les experts juridiques s’accordent tout de même à dire qu’une cyberattaque directe contre un hôpital entraînant la mort de civils serait un crime de guerre, à l’image d’un bombardement physique. Mais la mise hors service d’un réseau électrique qui alimente un hôpital ne le serait probablement pas. La distinction entre ce qui est civil et ce qui est militaire peut être particulièrement délicate lors d’attaques informatiques, où la même infrastructure critique peut servir aussi bien à des écoles qu’à des bases militaires.

Nathaniel Raymond le rappelle : « Nous disposons d’un langage spécifique concernant la « libération intentionnelle de forces dangereuses » ». Un vocabulaire qui « fait spécifiquement référence aux barrages, par exemple, et à la façon dont la libération des eaux de crue pourrait nuire à la fois aux combattants et aux civils. Beaucoup d’entre nous interprètent la mise hors service d’un réseau électrique non seulement comme une libération de forces dangereuses, mais aussi comme la création de conditions susceptibles d’avoir des effets indiscriminés sur les civils. Mais ce n’est pas une position convenue au niveau international ».

Un flou de nature

La nature des cyberconflits brouille également la distinction entre combattants et civils. « Ils – les hackers, à savoir des civils – deviennent maintenant une partie de ce conflit armé« , a résumé Kiara Jordan. « Ils deviennent des combattants selon les règles du droit international et, dans le cas de l’Ukraine, ces individus peuvent maintenant être une cible légitime des forces russes. Votre distance par rapport au champ de bataille n’a pas d’importance. Dès que vous participez aux hostilités, vous perdez vos protections civiles ».

Les employés d’entreprises peuvent également entrer dans cette catégorie. Dans de nombreux pays, une entreprise privée peut gérer un réseau électrique et charger ses employés de défendre le réseau contre une cyberattaque. Pour l’entreprise et l’employé, cette tâche peut être considérée comme une prise en charge du rôle de combattant. Bon nombre de ces cyber-volontaires ne sont probablement pas formés aux règles de la guerre et ne tiennent peut-être pas compte des effets de deuxième ou troisième ordre de leurs attaques, mais ils pourraient tout de même être tenus responsables si leurs actions violent les lois sur les conflits armés. Par exemple, de nombreux experts ont souligné que la publication en ligne de l’identité de soldats russes capturés pouvait constituer une violation des Conventions de Genève.

Même si la communauté internationale parvient à s’entendre sur les définitions des crimes de guerre dans le cyberespace, il sera très difficile de faire en sorte que quiconque soit tenu responsable. Il est déjà difficile de prouver et de poursuivre les crimes de guerre dans la guerre analogique. En temps de guerre, la désinformation est monnaie courante et peut être activée pour masquer l’identité du responsable d’une attaque. Déterminer son origine nécessiterait notamment des enquêtes médico-légales complexes et tout un temps de procédures couteuses en temps et en énergie. Alors comme souvent, c’est une fois que la poussière retombera sur Kiev que l’on fera les comptes…