Une cyberattaque peut-elle être un crime de guerre?

Alors que la Russie lance son invasion de l’Ukraine le 24 février, une cyberattaque frappe le service d’Internet par satellite KA-SAT. Les communications militaires ukrainiennes sont perturbées. Mais l’attaque, attribuée par les autorités américaines à l’agence d’espionnage militaire russe, se propage vite au-delà des frontières de l’Ukraine. Des dizaines de milliers de personnes en Europe, de la France à la Pologne, perdent leur accès à Internet. Un mois après l’attaque, quelque 2000 éoliennes demeuraient hors ligne en Allemagne.

Un jour plus tard, un poste de contrôle à la frontière entre l’Ukraine et la Roumanie est la cible d’un malware – un logiciel malveillant – conçu pour effacer des données informatiques. L’attaque ralentit le traitement du flux de réfugiés cherchant à fuir le pays. Ses responsables restent jusqu’à ce jour inconnus.

Recensement des cyberattaques

Voici deux des 35 cyberattaques contre des infrastructures critiques et civiles en Ukraine que le CyberPeace Institute, une ONG genevoise, recense sur son site InternetLien externe depuis le début de la guerre. Bruno Halopeau, directeur de la technologie de l’organisation, indique que, bien que la plupart des attaques aient visé des objectifs militaires, des institutions publiques et des médias, les civils ont également été – intentionnellement ou non – pris pour cibles.

Les attaques contre des civils peuvent, en vertu du droit international humanitaire (DIH), constituer des crimes de guerre.

«Nous suivons la situation et recueillons des preuves afin que si, dans le futur, une enquête est ouverte, nous soyons en mesure de fournir des preuves de ce qui s’est passé», explique Bruno Halopeau. Sur son site, l’ONG énumère et décrit les cyberattaques, détaille les dommages sociétaux qu’elles causent et indique leurs auteurs présumés.

«Ce que nous publions sur notre site ne représente qu’une fraction des informations dont nous disposons», souligne Bruno Halopeau. Ces informations, dit-il, pourraient être mises à disposition dans le cadre d’éventuelles procédures judiciaires. Le CyberPeace Institute recueille également ces preuves pour juger du respect des traités internationaux par leurs signataires et pour identifier les lacunes de la loi.

Le droit de la guerre à l’ère numérique

Le droit international humanitaire (DIH) – aussi appelé droit de la guerre – impose des limites à la conduite des hostilités et protège les civils, le personnel médical, les soldats blessés et les prisonniers de guerre.

Viser des civils est interdit. Utiliser des armes dont les effets ne peuvent être limités à des objectifs militaires l’est aussi. Dans le monde physique, cela signifie, par exemple, ne pas viser un hôpital ou ne pas bombarder des zones densément peuplées. Mais dans le monde numérique, les choses se compliquent.

Bruno Halopeau explique qu’il est difficile de concevoir un malware de manière qu’il ne s’attaque qu’à une cible précise – par exemple, une infrastructure militaire. Il est donc difficile d’empêcher une cyberattaque de se propager au-delà de sa cible originale. Le piratage du service Internet KA-SAT illustre cette difficulté.

La cyberguerre qui oppose la Russie à l’Ukraine brouille également la frontière entre civils et militaires.

Le 26 février, le gouvernement ukrainien a lancé un appel aux pirates informatiques amateurs du monde entier à rejoindre son «armée informatique» et à attaquer des objectifs russes. Anonymous, un collectif mondial de pirates, a quant à lui annoncé le 24 février qu’il s’engageait dans une cyberguerre contre Moscou.

Bruno Halopeau doute que de nombreux cyberguerriers aient conscience de ce que leur participation au conflit implique au regard du DIH.

«En prenant activement part au conflit, ils peuvent, sans le savoir, perdre leur protection juridique en tant que civils et être traités comme des combattants. Ils s’exposent donc à des représailles de la part de l’État qu’ils attaquent et sont susceptibles d’être poursuivis en justice après la guerre», ajoute-t-il.

Gardien du droit international humanitaire

En tant que gardien du droit international humanitaire, le Comité international de la Croix-Rouge (CICR) suit de près les dernières évolutions sur les champs de bataille. L’organisation s’entretient de manière confidentielle avec tous les États pour leur rappeler les règles existantes et évalue si le droit doit être modifié ou non.

«Les cyberopérations deviennent plus fréquentes dans le cadre des conflits armés», relève Tilman Rodenhäuser, conseiller juridique au CICR. «Et l’une des missions clés du CICR est de souligner le potentiel coût humain de ces opérations pour les civils.»

Le DIH est né dans un monde dans lequel les cyberattaques n’existaient pas encore. Ses règles sont-elles toujours adaptées aujourd’hui?

«Nous ne pouvons pas prévoir de nouvelles règles des conflits armés à chaque développement technologique», répond Tilman Rodenhäuser.

Certains aspects du droit restent toutefois ouverts à l’interprétation. L’une des plus anciennes règles du DIH est la protection des biens civils. Pendant de nombreuses années, les données civiles – par exemple des documents confidentiels conservés dans des archives physiques – ne pouvaient pas légalement être endommagées ou détruites. Mais que dit la loi si ces mêmes données sont stockées sous forme numérique?

«La protection des données [numériques] n’est pas explicitement abordée par les règles du droit international humanitaire», explique Tilman Rodenhäuser, qui ajoute que les spécialistes du droit et les États ont des avis divergents sur la manière dont le DIH s’applique dans ce cas.

Pour le CICR, il est important que les États interprètent le droit existant de telle manière que les civils et les infrastructures civiles bénéficient du même niveau de protection que par le passé, et que les cyberarmes soient soumises aux mêmes limites que les moyens de guerre traditionnels.

«Si les États prenaient position pour dire: ´Non en fait, les données sont de bonne guerre, elles peuvent être endommagées et supprimées dans les conflits armés sans conséquences juridiques´, alors ce serait pour nous une véritable préoccupation humanitaire, et nous devrions réfléchir à de nouvelles règles», indique Tilman Rodenhäuser.

Mais les nouvelles règles du droit international doivent être négociées par les États. Une fois qu’un traité existe, il doit être signé et ratifié – un processus long et compliqué, surtout si l’on considère que les règles actuelles du DIH contraignent pratiquement tous les États.

«Il est essentiel que les règles actuelles soient également respectées en ce qui concerne les cyberopérations, car la grande majorité de ce que nous considérons comme une menace pour les civils est en fait couverte par les règles existantes», conclut l’expert du CICR.

Positionnement de la communauté internationale

Savoir si et de quelle manière le droit international – y compris le DIH – s’applique au monde numérique a fait l’objet de nombreuses discussions multilatérales aux Nations unies au cours des deux dernières décennies.

Une percée a eu lieu en 2013, lorsqu’un groupe d’experts gouvernementaux (GEG) a produit un rapport adopté par consensus affirmant que l’utilisation par les États des technologies de l’information était soumise au droit international. La question de savoir comment le droit s’applique restait toutefois ouverte.

En 2019, un nouveau groupe de travail ouvert aux 193 États membres de l’ONU a été créé. Son objectif était d’approfondir les conclusions des experts gouvernementaux.

«Le défi a été de ramener tout le monde autour de la table et de rétablir le consensus», souligne Jürg Lauber, ambassadeur de Suisse auprès des Nations unies à Genève et ancien président du groupe de travail.

Sa tâche, explique-t-il, a été compliquée par «des tensions politiques accrues entre les grandes puissances et des tentatives de réécriture des règles de la part d’un petit groupe de pays».

Finalement, le groupe de travail a lui aussi conclu que le droit international s’applique à la cyberguerre. Mais il n’a, pas plus que le groupe de 2013, réussi à trouver un accord sur la manière de le mettre en œuvre.

«En substance, il y a eu des progrès, mais ce n’était pas un grand bond en avant. Cependant, le soutien est maintenant beaucoup plus large, car tout le monde a eu l’occasion de participer aux discussions», avance Jürg Lauber.

Un nouveau groupe de travail à l’ONU a été créé pour la période 2021-2025. «J’espère que le groupe pourra aller plus loin. […] Il y a clairement un fossé entre les États membres qui s’accordent à dire que le droit international existant est applicable et ce que nous voyons se produire dans la réalité avec une utilisation illégale des technologies numériques.»

Des crimes de guerre?

Juger des crimes de guerre pour des atrocités commises dans le monde physique est un processus long et difficile pouvant prendre des années. La sphère numérique ajoute à cette complexité.

Une cyberattaque peut par exemple facilement être lancée depuis l’ordinateur d’une personne tierce. Difficile alors de trouver qui est à l’origine d’une telle opération.

«Il faut parfois des années d’enquête pour vraiment comprendre comment une attaque a été planifiée, comment elle a été exécutée, qui l’a ordonnée et pour vraiment savoir quelles personnes étaient derrière elle», explique Bruno Halopeau. Habituellement, pour corroborer les traces virtuelles, des informations du monde réel sont nécessaires, telles que l’implication d’un gouvernement, des noms de personnes travaillant à un certain moment dans un certain lieu, des photos, etc.

«Vous devez combiner un grand nombre d’informations qui ne sont pas immédiatement disponibles. Et ce, dans le meilleur des cas, lorsque vous savez plus ou moins que vous n’avez qu’un seul responsable», explique-t-il.

Dans le contexte de la guerre en Ukraine, des États, mais aussi des groupes criminels et des individus ont mené des cyberattaques. «Ensuite, il faudra définir la responsabilité des personnes qui y ont pris part, et cela sera très compliqué», prédit Bruno Halopeau.

Selon lui, il est possible que certaines cyberattaques ayant porté atteinte à des civils – telles que les piratages du KA-SAT ou du poste de contrôle des frontières entre l’Ukraine et la Roumanie – puissent intéresser la Cour pénale internationale (CPI), qui a déjà lancé une enquête sur les crimes de guerre présumés sur le terrain en Ukraine. Pour l’instant, la CPI n’enquête pas sur les cyberattaques.

Malgré les horreurs, la guerre en Ukraine offre des leçons et pourrait conduire à une responsabilisation accrue dans la sphère numérique, dit Bruno Halopeau: «C’est l’un des premiers conflits où les cyberattaques sont utilisées à cette échelle. […] Donc je pense qu’en ce qui concerne le droit international humanitaire, il doit y avoir une discussion pour reconnaître la manière dont les technologies numériques peuvent être utilisées pour nuire aux gens, et pour prévenir les comportements inappropriés.»

Texte édité par Imogen Foulkes