Le cyberespace : le Far West ?
Le cyberespace présente des difficultés, en raison de ses caractéristiques propres et de l'absence d'une réglementation internationale complète pour l'attribution des cyberattaques, ainsi que pour une réponse adéquate aux tentatives d'endommager ou de détruire les systèmes de communication, de commande et de contrôle par des acteurs malveillants.
Au siècle actuel, le cyberespace est considéré comme un élément essentiel de la vie de millions de personnes dans le monde. C'est à travers et dans le cyberespace que sont menées les opérations essentielles au développement économique, à l'activité socio-politique, à la sécurité, à la production industrielle, à la pratique démocratique et à la protection des infrastructures critiques d'un État.
Cependant, en tant qu'espace de domination et de concurrence, le cyberespace est devenu un outil et un moyen pour mener des activités illégales, avec un certain niveau d'impunité, en raison de l'absence de réglementation des actes violents et guerriers commis par le biais du cyberespace.
Afin d'exposer ce qui précède, l'analyse intègre quatre sections qui détaillent les tenants et aboutissants du cyberespace, identifient les éléments qui classent un événement indésirable comme une cyberattaque, la difficulté d'y répondre, et exposent la nécessité d'un cadre juridique pour la préservation de la paix et de la sécurité dans le cyberespace.
Le cyberespace est un domaine de guerre dans lequel les États du monde entier cherchent à obtenir la suprématie. Il se distingue des autres domaines de guerre par sa portée, sa rapidité et son impact à l'échelle mondiale. Le cyberespace se caractérise par le fait qu'il s'agit d'un espace créé par l'homme, qu'il a un caractère mondial, que l'Internet en est l'élément central, qu'il s'agit d'une technologie à double usage, qu'il permet de mener des attaques de manière anonyme, qu'il a une importance géopolitique, qu'il ne respecte pas les comportements acceptés au niveau international et qu'il est difficile d'attribuer les actions.
Le cyberespace est un lieu créé par l'homme et pour l'homme, car c'est là que, collectivement, convergent les diverses activités de la société, enveloppant les transactions, les relations et la pensée de tous ces utilisateurs qui sont connectés. Le cyberespace n'a pas de frontières puisqu'il s'agit d'une abstraction de l'esprit humain, qui a une portée mondiale et des éléments tangibles et intangibles qui permettent de représenter le monde matériel dans un espace virtuel.
Le cyberespace n'est pas réglementé par le droit humanitaire international en raison de son émergence récente. Toutefois, l'impact négatif des cyber-attaques et la capacité de destruction des cyber-armes n'ont cessé de croître ; par conséquent, les États qui les utilisent comme moyens de défense et d'attaque doivent le faire en tenant pleinement compte des Conventions de Genève.
L'attribution d'actions violentes est une tâche lente et difficile dans le cyberespace en raison des caractéristiques techniques et organisationnelles, de la nature de la cyberattaque, de la configuration de l'internet et des progrès technologiques. Malgré cela, des efforts internationaux sont déployés pour garantir l'attribution précise des actes et prouver l'illégalité de l'acte.
Le cyberespace est considéré comme un espace commun mondial. En 1996, John Perry Barlow a rédigé la déclaration d'indépendance de l'internet pour convaincre les gouvernements de ne pas assumer de souveraineté sur le cyberespace. Peu après, le cyberespace est devenu le dernier des biens communs mondiaux, du simple fait qu'il s'agit d'un espace virtuel créé par l'homme, d'utilité commune, où l'information est le principal atout.
Le cyberespace revêt une importance géopolitique. Dans les conditions d'hyperconnectivité et de concurrence internationale pour dominer le cyberespace, le contrôler est vital pour obtenir, préserver et accroître le pouvoir d'un État. Aujourd'hui, le cyberespace, ainsi que les technologies de l'information, sont des atouts stratégiques pour les gouvernements du monde entier, car celui qui contrôle le cyberespace contrôlera le monde. Cela a entraîné des changements dans les politiques de sécurité nationale, les doctrines militaires et les recherches universitaires qui cherchent à établir des modèles de cybersouveraineté.
Le cyberespace est un outil à double usage. En tant que domaine où la domination est recherchée et où la concurrence est mise en avant, le cyberespace n'est pas seulement utilisé pour des activités non préjudiciables, mais est également devenu un outil et un moyen de causer des dommages, de voler, de frauder, d'attaquer, de perturber, de surprendre, de manipuler, de mentir et de tuer. Ironiquement, le cyberespace sert autant à la conciliation, au développement et à la paix qu'à motiver les conflits, les retards et la guerre.
En bref, les caractéristiques du cyberespace en font un espace unique, susceptible de générer des dommages par le biais de cyberattaques. La non-attribution ouvre la porte aux acteurs qui peuvent utiliser le cyberespace en toute impunité pour poursuivre leurs objectifs géopolitiques. Par conséquent, réglementer les activités ou opérations et établir des sanctions en cas d'utilisation abusive de leurs capacités au détriment de tiers est une action qui ne peut être reportée.
Bien que le mot "cyberattaque" soit utilisé pour désigner les événements indésirables qui menacent les systèmes informatisés de commande, de contrôle et de communication, tout ne doit pas être considéré comme une cyberattaque. L'objectif final et les acteurs d'un piratage à grande échelle seront les éléments qui définiront la classification de l'événement indésirable en tant que cybercrime ou cyberattaque. Différencier efficacement, fera avancer la construction d'un cadre juridique international pour réglementer les cyber-attaques et le recours à la force pour répondre à une telle situation.
En d'autres termes, si le piratage, réalisé par un criminel ou un groupe criminel, a pour objectif principal de tirer parti des vulnérabilités du système financier et de voler de l'argent sur les comptes bancaires, il doit être qualifié de fraude ou de vol, à moins que le cadre juridique des États n'en décide autrement, ou qu'il soit précisément identifié qu'un État est l'acteur ou le commanditaire d'un tel acte. Si un groupe terroriste parvient à prendre le contrôle d'installations stratégiques ou d'infrastructures critiques en provoquant un sabotage, cet événement doit être classé/puni comme un acte terroriste ou un sabotage ; en revanche, si un État mène une cyber-opération en toute connaissance de cause et avec un objectif politico-stratégique contre les systèmes informatiques d'un autre État, cela doit être considéré comme une cyber-attaque, un acte de guerre ou un acte d'agression.
L'agression étant la manifestation la plus évidente du recours à la force entre États et la principale menace pour la sécurité internationale, une réponse armée est acceptable, en cas de légitime défense. C'est dans le cas d'une agression entre Etats, qui peuvent parler d'une cyberattaque et justifier le recours à la force comme moyen de défense. Elle se fonde sur le droit international humanitaire, qui stipule que les États sont les seuls acteurs à recourir à la force pour défendre leurs intérêts lorsque la souveraineté, la survie, la permanence et l'intégrité de l'État sont menacées.
Limiter le droit de faire la guerre et de lancer des cyberattaques est un élément qui permet de faire la distinction entre "ce qui porte atteinte à la sécurité publique" et "une attaque contre la sécurité nationale", afin d'apporter une réponse appropriée et légitime. Toutefois, dans le contexte actuel d'opérations clandestines, de confrontations indirectes, d'utilisation de mandataires pour faire la guerre, de contrats avec des sociétés privées de sécurité militaire, de participation accrue de l'initiative privée aux opérations militaires et d'utilisation du cyberespace comme champ de bataille, En raison de l'utilisation intensive de la technologie dans la guerre et de la dépendance à l'égard des systèmes informatisés, il est évident qu'il existe une zone grise où les deux sécurités se chevauchent, l'attribution des attaques devient plus difficile, la différence entre la paix et la guerre s'estompe, des acteurs non étatiques sont utilisés et des mesures non conventionnelles sont justifiées pour la conduite et la résolution des conflits.
Cette zone grise est particulièrement utile dans le cyberespace car, en raison des caractéristiques des cyberattaques, il est difficile de les attribuer avec précision. Les cyber-attaques sont un phénomène relativement nouveau et une menace pour la sécurité nationale et internationale qui laisse peu de marge de manœuvre juridique aux États qui les subissent. Personne ne sait à quoi ressemblera la prochaine cyberattaque, mais on s'attend à ce qu'elle soit plus complexe, persistante, automatisée, ciblée, personnalisée, adaptative, évasive, furtive, perturbatrice et dangereuse.
Le piratage dont a été victime SolarWinds Inc. a relancé le débat actuel sur la manière de réagir à une cyberattaque. En raison de l'ampleur et de la portée du piratage de SolarWinds, le public américain - en toute logique, mais avec peu de réflexion - appelle à une contre-attaque avec toute la force de l'État. Dans un sens, la réponse exige que quiconque ose attaquer les États-Unis (US) reçoive la force des armes en réponse, en appliquant la "loi du Talion". Cela fournirait une défense initiale basée sur la dissuasion et la peur. Cependant, la réaction du gouvernement américain nécessite des considérations précises et réfléchies. Si les États-Unis se distinguent par la diversité, la létalité et l'exhaustivité de leur cyber-arsenal, il est également clair que leur vulnérabilité la plus importante réside dans la combinaison de l'hyperconnectivité et de la dépendance numérique qu'ils connaissent.
Sur le plan stratégique, le gouvernement américain reconnaît qu'il doit s'attaquer à la fragilité de la cyberdéfense s'il veut sortir victorieux d'un cyberconflit. Les États-Unis ne peuvent pas utiliser leur cyberpuissance sans s'assurer que l'escalade de la violence virtuelle et cybernétique cause des dommages plus importants à leur ennemi. Cela nécessite une défense infaillible qui, dans le contexte actuel, n'est pas réalisable.
En effet, le président élu Joe Biden a clairement indiqué qu'"une bonne défense ne suffit pas" et a déclaré que les adversaires potentiels doivent être perturbés et dissuadés d'oser même lancer une cyberattaque, laissant entendre qu'il prendra des mesures face à de telles cyberattaques. Les mots de Biden, d'une certaine manière, suggèrent que l'attaque est la meilleure défense.
Réglementation des opérations dans le cyberespace.
La nécessité d'une réglementation claire, concise et précise des activités des différents acteurs dans le cyberespace a été mise en évidence par l'apparition d'événements négatifs et préjudiciables pour certains acteurs étatiques et non étatiques, qui ont été empêchés de réagir efficacement. Les événements indésirables comprennent les actes de cyberespionnage, les fuites d'informations, les cyberattaques personnalisées et les actes de représailles ou de démonstration de force. Voici des exemples représentatifs d'actes qui transgressent la loi en utilisant le cyberespace :
Le piratage de la société SolarWinds, qui serait le fait de hackers russes, a relancé le débat sur le manque de réglementation et donc de certitude des opérations dans le cyberespace. C'est à nouveau un sujet de débat, 24 ans après la cyberattaque du Moonlight Maze contre des agences gouvernementales et des universités de renom. Cet événement est considéré comme "la première cyberattaque d'espionnage coordonné de portée mondiale", parvenant à dérober des informations classifiées et restant cependant impunie.
Dans le domaine des fuites d'informations sensibles, Edward Snowden est l'exemple le plus évident de menaces internes pour les entreprises. Bien que Snowden ait révélé des informations sur les programmes d'espionnage et d'intervention des États-Unis, il n'a pas donné plus de détails sur les outils ou les méthodes utilisés pour leur mise en œuvre et/ou leur fonctionnement. En tant que tel, il n'y a pas eu de répercussions contre le gouvernement américain, mais il y en a eu contre Snowden.
Les cas de Stuxnet et de Saudi Aramco. Dans le premier cas, les États-Unis et Israël ont utilisé Stuxnet - un cheval de Troie considéré comme la première cyber-arme - pour perturber ou arrêter le programme nucléaire iranien. C'est la cyberattaque qui a brisé le Rubicon numérique, lancé la course aux cyberarmes et changé la façon de faire la guerre. En effet, en réponse à la cyberattaque Stuxnet, l'Iran a effacé les données de milliers d'ordinateurs de la Saudi Aramco Company, perturbant ainsi toutes ses activités. Ces deux événements sont restés impunis malgré les dommages et les désagréments causés.
Les leçons tirées du cyberespionnage de SolarWinds, des cyberattaques comme Stuxnet et des fuites d'informations comme celles d'Edward Snowden montrent clairement que les opérations dans le cyberespace fonctionnent avec peu de règles de conduite acceptées au niveau international. Le cyberespace, comme l'a dit un jour le président Obama, est "le Far West", ou territoire sans loi, où convergent les actions des gouvernements, des terroristes et des entreprises technologiques, qui testent les limites de la légalité avec peu ou pas de répercussions.
Dans les conditions d'hyperconnectivité et de dépendance du cyberespace, il existe de multiples détails d'opération et de fonctionnement qui requièrent une attention urgente de la part des gouvernements si nous voulons éviter le libre accès au cyberespace et la difficulté d'attribution d'actes violents et illégaux, de croire qu'il n'y a pas de différence entre les actes de cybersécurité publique et de cyberguerre, ou de contrôler l'acquisition de cyberarmes.
Le cyberespace est le cinquième domaine de la guerre et, par conséquent, le cadre juridique international existant doit être modifié pour inclure la réglementation des cyber-opérations et des cyber-attaques. Le cyberespace ne peut et ne doit pas être un territoire sans réglementation de son utilisation comme moyen de causer des dommages ou de mener des actes de guerre, car l'impunité qui en résulterait encouragerait de nouveaux acteurs à se joindre à la cybercriminalité, la violence à s'intensifier et les actes d'utilisation illégitime de la force à rester impunis. Combien de temps la communauté internationale continuera-t-elle à permettre cela ?
Adolfo Arreola, professeur de recherche à l'Universidad Anáhuac, Mexique/CEEEP