J’ai eu l’occasion, en janvier, d’écrire un article pour l’Observatoire géostratégique de l’information de l’IRIS (dirigé par François-Bernard Huygue) sur le droit encadrant les conflits informatiques.
Il s’agissait de répondre à la question de savoir dans quelle mesure une cyberattaque pouvait constituer un acte de guerre. Exercice délicat, tant la cyberattaque revêt des formes différentes, et est le plus souvent un acte dit “de basse intensité”. J’en ai profité pour émettre quelques embryons d’idées pour un éventuel droit des conflits du cyberespace.
Bref, il s’agit là de quelques réflexions sur le sujet, qui méritent d’être affinées et complétées. Parce que, quand même, j’ose espérer que le droit du cyberespace ne se limite pas aux droit des conflits qui s’y déroulent ! Non ? Rassurez-moi…
Arf.
Bonne lecture !
Quelles perspectives d’évolution pour le droit encadrant les conflits informatiques ?
Lorsque certains Etats, comme les Etats-Unis, affirment qu’ils riposteront systématiquement à toute attaque informatique contre leurs infrastructures critiques, la question du fondement juridique de cette affirmation se pose naturellement.
Le raisonnement tenu par les Etats-Unis consiste, en effet, à considérer que toute riposte à une attaque informatique touchant leurs infrastructures critiques sera encadrée par la légitime défense internationale, envisagée notamment dans le cadre du droit des conflits armés. Mais si, en théorie, rien ne s’oppose à l’application du droit des conflits armés en matière d’attaques informatiques, en pratique, l’exercice se révèle relativement complexe. Celui qui voudra recourir à la légitime défense pour riposter face à une cyberattaque devra prouver qu’il est en présence d’une agression armée. Entendons par là, sans rentrer dans les détails, que l’attaque devra être « armée », revêtir une certaine intensité et être attribuée à un Etat ou à un agent travaillant pour son compte ou sous son contrôle effectif.
Trois idées pour adapter le droit
Le décor est ainsi clairement posé : le raisonnement par analogie semble difficilement applicable à une cyberattaque pure et simple. En effet, si le caractère armé d’une cyberattaque peut être supposé en cas d’emploi d’un code malveillant, le critère de l’intensité reste complexe à apprécier et l’attribution de l’attaque relativement hasardeuse. Face à ces freins, le droit des conflits armés, certes pleinement applicable en théorie, risque de rester inappliqué en pratique. Sauf à envisager une évolution du droit. Cette évolution, loin de tout révolutionner en la matière, consisterait à simplifier l’application du droit déjà existant aux conflits informatiques. A cet égard, trois idées peuvent être développées.
Idée n°1 : Faire évoluer la notion d’agression.
Disposant d’un large pouvoir d’appréciation, le Conseil de sécurité de l’ONU a la possibilité d’inclure dans l’actuelle notion d’agression des formes d’emploi de la force non encore envisagées. Cela permettrait d’ajuster la notion d’agression aux spécificités de l’attaque informatique ; de développer des critères propres à ce que l’on appellerait une « agression informatique ». Ces critères, tenant compte de la nature de basse intensité de la cyberattaque pure et simple, utiliseraient une échelle d’intensité plus adaptée. Baisser de quelques crans le niveau d’intensité exigé pour qualifier une attaque informatique pure et simple d’agression armée permettrait, dans l’absolu, l’exercice d’actes de légitime défense.
Idée n°2 : Passer outre la problématique de l’attribution de l’attaque informatique.
La question de l’attribution de l’attaque est une préoccupation majeure en matière de conflits informatiques. En effet, sans attribution, pas de qualification de la nature de l’attaque informatique (cyberguerre, cyber-terrorisme, hacktivisme, etc.), ni d’engagement de la responsabilité d’un auteur (étatique ou non-étatique), ou de riposte efficace.
Aujourd’hui, aucune solution technique d’identification de l’auteur d’une attaque n’est infaillible (falsification d’adresses IP, techniques d’anonymisation diverses…). Le réseau Internet, maillé par nature, implique que certaines cyberattaques transitent par des infrastructures situées sur des territoires distincts. Plusieurs pays peuvent ainsi être identifiés comme étant la source d’une cyberattaque. Remonter jusqu’à l’auteur de l’attaque peut donc s’avérer difficile, voire impossible. Dans ce cas précis, à défaut de moyen technique, il est possible de recourir à un montage juridique. Ce montage ferait appel à des notions existant déjà.
L’article 3, f) de la résolution 3314 de l’ONU définissant l’acte d’agression dispose en effet que « le fait pour un Etat d’admettre que son territoire, qu’il a mis à disposition d’un autre Etat, soit utilisé par ce dernier pour perpétrer un acte d’agression contre un Etat tiers […] réunit les conditions d’un acte d’agression ». Cette solution, également proposée par le Centre d’excellence de Tallin, permet de considérer comme responsable un Etat ayant toléré une action illicite sur son territoire. Elle a le mérite de passer outre l’impérieuse exigence de l’identification de l’auteur de l’attaque. Elle a également le mérite de mettre au cœur des préoccupations la lutte contre la cybercriminalité à l’échelle nationale. En présence d’une telle disposition, les Etats seraient en effet contraints de veiller à lutter efficacement contre tout acte de criminalité informatique, puisque, au-delà de leurs finalités divergentes, les cyberattaques ont en commun leurs outils (vers, virus, etc.). La lutte contre la cybercriminalité apparait ainsi complémentaire à toute stratégie de cyberdéfense nationale.
Idée n°3 : « Codifier » les dispositions existantes et applicables au cyberespace.
Il n’y a pas de vide juridique dans le cyberespace. Les attaques informatiques peuvent faire l’objet de l’application de nombreux textes internationaux. Internet n’est pas une abstraction. Et bien que les informations qu’il transporte soient par définition immatérielles, ce gigantesque réseau de réseaux s’appuie sur des infrastructures physiques, soumises à des accords internationaux. Les attaques informatiques, en fonction de leur intensité ou encore de leur auteur, sont susceptibles de déclencher l’application de différents types de corpus juridiques. S’appliquent le droit international humanitaire en cas de conflit armé et d’autres textes internationaux en cas de conflit non armé. Une attaque qui n’est pas qualifiée par le Conseil de sécurité d’« agression armée » reste susceptible d’engager la responsabilité d’un Etat sur le fondement d’un fait internationalement illicite, pour non-respect de textes internationaux actuellement en vigueur (voir : projet d’articles sur la responsabilité de l’État pour « fait internationalement illicite » adopté en 2001). Citons : la Déclaration universelle des droits de l’homme ; le Pacte international relatif aux droits civils et politiques ; la Convention Européenne des droits de l’Homme ; la Convention de l’UIT de 1992 ; la Constitution de l’UIT de 1992 ; les Règlements des radiocommunications de 2007.; la Convention sur l’emploi de la radiodiffusion dans l’intérêt de la paix de 1936 ; la Convention de Montego Bay de 1982 ; la Convention internationale relative à la protection des câbles sous-marins de 1884 ou encore le Traité de l’espace de 1967.
Contre toute attente, cette liste, non exhaustive, de textes disposant chacun de quelques articles applicables au cyberespace ne facilite pas la tâche des acteurs d’Internet. Il est en effet difficile de s’y retrouver. Le cyberespace nécessite une clarification de son régime juridique. Clarification qui pourrait être apportée par la réalisation d’un traité dédié.
Ce traité rassemblerait, à la manière d’une codification, les dispositions applicables au cyberespace et disséminées dans cette myriade de textes internationaux. Ce traité présenterait aussi, pourquoi pas, une vision plus claire de l’agression informatique, si tant est qu’elle existe (ou qu’elle soit reconnue un jour par le Conseil de sécurité de l’ONU). On peut citer comme précédent l’article 1er du protocole du 26 juillet 1975 qui, amendant le Traité de Rio, définissait un type d’agression en se fondant sur la résolution 3314 de l’ONU. Le document pourrait reprendre le principe du droit de l’espace exigeant son utilisation à des fins pacifiques, tout en y assortissant des exceptions telles que la légitime défense informatique, évitant ainsi le raisonnement par analogie décrit ci-dessus.
De telles évolutions ne peuvent se faire sans l’assentiment des Etats. Mais ces derniers sont-ils réellement susceptibles de s’engager dans de telles réformes ? La faiblesse de la notion d’agression n’est peut-être pas un défaut majeur du droit. La conserver en l’état limite le champ d’application de la légitime défense informatique et, de fait, exclut l’éventuelle justification légale d’actes de riposte entre Etats. D’un autre côté, conserver le droit tel quel leur permet surtout d’agir en toute impunité dans le cyberespace. Deux raisons pouvant expliquer l’inertie des Etats. En l’absence d’évolution du droit écrit, il est probable que se développent sur le long terme des usages qui constitueront peut-être les fondements d’une coutume internationale. Il est donc de l’intérêt des Etats d’affirmer dès aujourd’hui sur la scène internationale leurs stratégies de gestion des cyberconflits.
Je vous invite à consulter l’excellente revue de l’Observatoire (lien), publiée sous la direction de François-Bernard Huygue !
