Hors des champs de bataille où rugissent les chars d’assaut et sifflent les balles, loin derrière les terribles et sanglants affrontements, un nouveau front se dessine, celui de la cyberguerre. Ses soldat.e.s prennent plusieurs visages, employé.e.s de l’État, individus isolés ou groupes clandestins et leurs cibles diverses : armement, sites gouvernementaux, particuliers. Avec l’arrivée des nouvelles technologies, plus rien ne semble hors de portée d’attaques informatiques et la guerre atteint un nouveau milieu.
Par Ludovic Dufour, chef de pupitre société
Madame Nadia Tawbi, professeure titulaire au département d’informatique de l’Université Laval, nous confirme ces craintes. Elle nous avertit, l’informatique est partout, et prend l’exemple des centrales électriques qui peuvent être neutralisées par les pirates. Ça a d’ailleurs déjà été le cas en Ukraine en 2015. En fait, tout ce qui est connecté peut éventuellement être piraté, ce qui va du simple réfrigérateur intelligent aux réseaux informatiques militaires. On pourrait même arrêter un stimulateur cardiaque.
Pourtant, les expert.e.s en cybersécurité mettent au point de nouveaux moyens de défense, mais chaque nouvelle technique défensive sera éventuellement déjouée par une technique des pirates. On assiste à une course continuelle entre attaquant.e.s et défenseur.euse.s et madame Tawbi met en garde qu’« il n’y a pas de sécurité à 100%, c’est ça qui est effrayant ».
Madame Sylvana Al Baba Douaihy, coordonnatrice générale de la Chaire de l’UNESCO en prévention de la radicalisation et de l’extrémisme violent, divise le cyberespace en quatre niveaux qui sont susceptibles d’être attaqués. La couche physique est la première, on parle donc des ordinateurs, des serveurs ou des câbles. Elle mentionne également les câbles sous-marins de télécommunication qui pourraient être endommagés, ce qui couperait l’accès internet à l’Europe. Ensuite, il y a la couche des logiciels, qui fait le pont entre la couche physique et les autres. On parle donc de systèmes d’exploitation comme Windows, ou de programmes comme Word ou Photoshop. Ceux-ci peuvent présenter des failles exploitables par des pirates. Puis, on peut cibler la couche informationnelle. On parle ici de vol de données et de renseignements, en d’autres mots, de l’espionnage. La dernière, la couche sociale, est un peu plus abstraite. Ce sont les messages sur les réseaux sociaux, la propagande, la désinformation. Pour l’instant, les attaques informatiques ont ciblé l’un ou l’autre de ces niveaux, mais on peut facilement imaginer des attaques en visant plusieurs.
Autre aspect à prendre en compte, la facilité associée aux attaques informatiques. Comme madame Douaihy l’explique, les attaques de petite taille sont très faciles à orchestrer. On parle ici d’envoi de virus ou de déni de service, cette pratique visant à paralyser des sites Web en envoyant des milliers de demandes de manière à les surcharger. Ces offensives relativement simples peuvent donc être faites par des amateur.rice.s. D’autres opérations plus complexes ne peuvent cependant être imaginées que par des groupes bénéficiant du soutien d’un État. Des attaques d’envergure visant des cibles bien défendues, telles que des systèmes militaires, demandent de longues préparations, des moyens bien plus importants et une réelle expertise de l’informatique.
La cyberguerre, absente ou invisible ?
Malgré ces obstacles, plusieurs expert.e.s prédisaient que la cyberguerre allait prendre une place importante dans les futurs conflits, nous apprend madame Douaihy. Effectivement, certaines attaques d’ampleur laissaient présager de la place qu’allait prendre l’informatique dans la guerre. Par exemple, une centrale nucléaire en Iran a été visée en 2010 par un virus, ce qui l’a endommagée. Cette attaque aurait été le fruit d’une collaboration entre Israël et les États-Unis.
Dans ce contexte, bon nombre croyaient que l’offensive russe sur l’Ukraine allait être soutenue par des frappes informatiques: Neutralisation de système de communication, interception de communications ou déconnexion de sites gouvernementaux. Face à cette perspective, le ministre ukrainien de la transformation numérique a mis sur pied la IT Army of Ukraine, qui regroupait des pirates volontaires, pour se défendre et attaquer des sites russes. De plus, le groupe Anonymous s’est également joint au conflit en annonçant soutenir l’Ukraine. Malgré tout, le cyberespace semble encore relativement calme.
« Il y a eu des attaques, mais pas vraiment à la hauteur de ce que les experts avaient prévu au départ », explique madame Douaihy. « Une évidence reste à souligner, c’est que la guerre en Ukraine reste le théâtre de cyberattaques diverses et très nombreuses », nuance-t-elle, mais elles restent de bien moindre envergure que ce qui avait déjà été fait. Comme dit plus haut, la distribution électrique du pays avait déjà été perturbée en 2015, ça ne s’est pas répété jusqu’à maintenant. Les attaques restent pour l’instant limitées à des dénis de service, et des firmes de cybersécurité signalent la circulation d’un virus wiper russe qui efface les données des ordinateurs infectés. On utilise aussi ces attaques pour faire passer des messages politiques, ce qui donne finalement des airs de guerre psychologique aux cyberattaques.
Toutefois, la professeure souligne la possibilité que des opérations plus importantes, mais inconnues du public, aient eu lieu ou soient en cours en ce moment même. Comme on parle de stratégie militaire, les certitudes sont finalement peu nombreuses et on ne sait pas bien ce qui se passe réellement sur le terrain. Peut-être que les attaques n’ont pas eu lieu, peut-être qu’elles ont été déjouées, peut-être que les deux côtés parviennent à s’espionner ou peut-être que des efforts plus importants sont mis ailleurs. De plus, des attaques d’ampleur demandent beaucoup de temps, il est donc possible qu’elles soient en préparation. Il est difficile de vraiment savoir ce qui arrive, mais pour l’heure on peut dire qu’on ne voit rien de grande ampleur dans cette nouvelle guerre.
Nouvelle guerre et ancienne loi
Outre les questions sur l’efficacité et la portée des attaques informatiques, on soulève des questions juridiques. Les conflits armés sont soumis à toutes sortes de lois indiquant quelles armes il est légal ou illégal d’utiliser, quelles cibles sont valides ou pas ou qui est responsable en cas de manquement à ces règles, entre autres. Mais devant cette nouvelle réalité d’une guerre passant par le Web, le droit est-il bien adapté ?
Il faut d’abord noter qu’il est convenu que le droit s’applique aux cyberguerres, comme le souligne Florian Manuch, doctorant en droit à l’Université Laval. Par exemple, il est interdit de s’en prendre à des hôpitaux ou à des cibles civiles, que ce soit avec un missile ou en provoquant des pannes. De plus, ses domaines d’application sont larges, ce qui évite de réinventer des lois pour chaque nouvelle arme et situation. Cependant, il n’y a pas de texte spécifique se penchant sur les cyberguerres en termes de droit international humanitaire ou pénal. La situation étant sans précédent, il n’y a jamais eu de poursuites au niveau du droit international après une cyberattaque et il y a aussi un certain flou entourant le statut des pirates prenant part au conflit.
Comme l’expose Mathilde Doucet, également doctorante en droit, le droit international reconnaît deux sortes de combattant.e.s. Les premiers, les forces armées des États, peuvent toujours être pris pour cible et ont le privilège de belligérance, c’est-à-dire qu’ils ne peuvent être poursuivis pour avoir pris part aux hostilités. Les seconds, simplement nommés combattant.e.s, sont les civils qui perdent leur protection dû à leur statut en prenant part au combat, et qui s’exposent à d’éventuelles poursuites pour leur participation. On pourrait s’attendre à ce qu’il existe une catégorie pour les combattants étrangers participant au conflit. Or, il n’y en a pas, alors ces dernier.ère.s tombent dans la seconde catégorie.
Logiquement, les groupes de pirates qui ne font pas partie de l’État sont aussi dans cette catégorie. Participer au combat constitue donc un crime, par contre, comme nous l’avons dit plus haut, les attaques sont jusqu’à maintenant de relativement faible intensité. On peut difficilement qualifier la diffusion de propagande d’attaque. Il existe aussi une solution légale pour l’IT Army of Ukraine : il s’agit d’être intégré entièrement aux forces ukrainiennes, ce qui les placerait dans la première catégorie.
Mais outre ce flou, il existe un obstacle bien plus grand à l’application des lois internationales, il s’agit de trouver les responsables. Madame Tawbi explique que les pirates informatiques peuvent faire des attaques en prenant l’identité d’une autre personne ou en prenant des adresses IP fictives. Madame Douaihy ajoute que de trouver les coupables demande énormément de ressources et d’efforts, ce qui permet essentiellement d’opérer dans un anonymat quasi complet. Autant dire que les chances de jugement sont nulles.
En résumé, contrairement à ce que de nombreux expert.e.s prédisaient, la cyberguerre se confine pour le moment à des attaques de faible étendue. On se contente, dans le cas ukrainien, de manœuvres visant à miner le moral ennemi et à étendre la propagande, quoiqu’il est aussi possible que des assauts plus intenses aient lieu hors de la vue du public. Dans le cas d’une escalade de cette cyberguerre, il serait presque impossible de savoir qui lance des attaques. L’anonymat du cyberespace empêcherait le jugement d’éventuel criminel.le.s de guerres.
