Vols, destructions, sabotages...Les Etats peuvent se faire la cyberguerre en toute impunité

Les lois de la guerre sont-elles adaptées aux conflits numériques ? Pas si l'on en croît le président de Microsoft, Brad Smith, qui demande dans un post de blog publié le 14 février la création d'une "Convention de Genève numérique qui engagera les gouvernements à implémenter les normes nécessaires pour protéger les civils sur Internet en temps de paix."

Ratifiées totalement ou avec certaines réserves par tous les pays membres des Nations Unies, les Conventions de Genève de 1949 imposent des règles qui s'appliquent aux Etats en temps de guerre et définissent un certain nombre de crimes de guerre.

La grande anarchie de la cyberguerre

Sur Internet, aucune règles spécifiques n'encadrent les piratages informatiques commis par des Etats. Ce qui pourrait présenter un risque en cas de conflit, alors qu'ils investissent de plus en plus dans leur capacités de défense et d'attaque informatiques. 

Certains experts en cybersécurité, notamment ceux mandatés par l'OTAN, estiment que les Conventions de Genève s'appliquent à Internet et aux cyber-conflits. Mais pour d'autres, elles ne sont pas adaptées car les spécificités du numérique bouleversent les règles. 

Difficile de trouver les responsables

Par exemple, il est très difficile de prouver qu'un Etat se trouve derrière une cyberattaque car les pirates se débrouillent pour être intraçables. Mais aussi parce que certains Etats, notamment la Chine et la Russie, entretiennent des relations non officielles avec des groupes de hackers qui ne travaillent pas directement pour leurs pays, mais peuvent parfois réaliser des opérations pour leur compte. Il est également compliqué de prouver devant la Cour pénale internationale, qui juge les crimes de guerre, le lien entre un groupe privé et un Etat.

Si ces deux problèmes ne sont pas résolus, "tenir un Etat responsable de cyberattaques est pratiquement voué à l'échec", estimait un rapport de l'université de Cambridge publié en 2010 à l'occasion d'une conférence de cybersécurité organisée par l'OTAN.

Guerre ou paix, peu importe

Autre spécificité des cyber-conflits: il n'est pas nécessaire d'être en guerre pour qu'un Etat attaque des civils ou des infrastructures. Quelques exemples récents: le piratage de Sony Pictures en 2014 attribué à la Corée du Nord par les Etats-Unis; le ver Stuxnet, probablement développé par Les Etats-Unis et Israël, qui a paralysé les centrifugeuses du programme d'enrichissement d'uranium iranien en 2010; l'attaque contre les services informatiques du réseau électrique ukrainien, attribuée à la Russie, qui a plongé des centaines de milliers de personnes dans le noir en 2015.

Ce sont ces menaces en temps de paix qui justifient la création d'une convention de Genève numérique, selon le président de Microsoft Brad Smith: 

"Pendant deux tiers de siècle, depuis 1949, les nations du monde ont reconnu à travers la quatrième Convention de Genève qu'elles doivent adhérer à des règles qui protègent les civils en temps de guerre. Mais le piratage d'Etat a évolué en des attaques sur des civils en temps de paix."

Les Etats commencent à en discuter

Malgré ces constats désespérants, quelques débuts de solutions émergent. Des experts en cybersécurité réfléchissent à des mécanismes qui permettraient d'attribuer des marqueurs numériques aux Etats, mais aussi aux civils, pour qu'ils soient clairement identifiés comme tels, afin d'éviter les dégâts collatéraux lors d'un cyber-conflit et de savoir qui en serait responsable. Chez Microsoft, on verrait bien le secteur technologique (dominé par des Américains) jouer le rôle d'intermédiaire neutre. Une sorte de "Suisse numérique", qui protégerait les civils en cas de cyber-guerre, comme le fait la Croix Rouge durant les conflits traditionnels, explique Brad Smith.

Quant aux Etats, ils ont commencé à discuter du sujet. Un accord passé en 2015 entre la Chine et les Etats-Unis sur les piratages et vols de propriété intellectuelle a entraîné une baisse des attaques en provenance de Chine vers les Etats-Unis. Les pays du G20 ont pris des dispositions similaires. Mais ces accords demeurent incomplets, ne sont pas contraignants et ne prévoient aucune sanction. En attendant, le cyberespace reste une zone grise où les Etats agissent en toute impunité.