Les cyberattaques etatiques constituent-elles des actes d'agression en vertu du droit international public?

• Author: Akoto, Evelyne
• Position: Part 1

Table des matieres I. INTRODUCTION II. QUELQUES NOTIONS DE BASE SUR LA CYBERATTAQUE ETATIQUE A. Definition et caracteristiques d'une cyberattaque etatique B. Quelques methodes et moyens de commission des cyberattaques etatiques 1. L'installation clandestine de logiciels malveillants 2. Les attaques cybernetiques contre des sites internet III. LE 21E SIECLE, L'ERE DES CONFLITS INTERETATIQUES NUMERIQUES: QUELQUES EXEMPLES DE CYBERATTAQUES ETATIQUES A. Internet, le talon d'Achille de l'Estonie B. Le conflit russo-georgien, premier cyberconflit international? C. Stuxnet, une arme de guerre informatique de precision en temps de paix IV. LES ENJEUX POSES PAR LES CYBERATTAQUES ETATIQUES DANS LES RELATIONS INTERNATIONALES A. La nebulosite des cyberattaques etatiques 1. Les obstacles techniques a l'attribution des cyberattaques 2. Des operations sans liens etatiques probants 3. Des attaques informatiques aux motifs et aux intentions souvent indiscernables B. La vulnerabilite croissante des infrastructures critiques aux cyberattaques V. CONCLUSION I. INTRODUCTION

> [notre traduction] (1).

La Charte des Nations Unies (ci-apres >) (2), redigee pour faire face aux dangers qu'impliquent des conflits traditionnels et de forte intensite comme les Premiere et Seconde Guerres mondiales ne semble pas, de prime abord, pouvoir repondre aux defis juridiques que representent l'avenement et le developpement fulgurant des nouvelles technologies. En effet, les infrastructures informatiques sont devenues les points nevralgiques de nos societes modernes. Les entreprises privees, les administrations publiques, la gestion des trafics aeriens, routiers et ferroviaires, les centrales electriques et de distribution d'eau et les nouvelles armes de guerre telles que les drones fonctionnent toutes a l'aide d'ordinateurs connectes a des reseaux au maillage si diffus qu'ils exposent les Etats a une nouvelle menace polymorphe et particulierement furtive : la cyberattaque etatique.

Les cyberattaques etatiques pourraient etre sommairement decrites comme des offensives attribuables a un Etat et menees contre les reseaux informatiques d'un autre pays afin d'occasionner des perturbations dans le fonctionnement des activites et services publics ou prives de l'Etat cible ; ce qui provoque des desagrements pour le quotidien des ressortissants dudit pays. Elles presentent > [emphases omises] (3) : d'une part, les risques lies a l'attaque des > [emphases omises] (4) et d'autre part, les enjeux et defis poses par > [emphases omises] (5). En effet, en raison de leur caractere tres subreptice, les cyberattaques remettent en question les notions traditionnelles de frontieres (6), ces dernieres etant coutumierement inviolables. Dorenavant, la force cinetique n'est plus necessaire pour engendrer des dommages importants, ceux-ci pouvant d'ailleurs ne pas etre de nature physique, si telle est l'intention de l'auteur de l'attaque informatique.

La grande majorite des activites informatiques de nature malveillante ont lieu en temps de paix (7), ce qui peut souvent preter a confusion quant a ce qu'englobent les cyberattaques etatiques. C'est pourquoi, avant de decrire l'objet de cet article, nous allons proceder a quelques distinctions definitionnelles, eu egard a la multitude d'activites illegales pouvant prendre place dans le cyberespace. L'article ne traitera pas de la cybercriminalite qui comprend plusieurs actions interdites telles que la pornographie infantile, l'hameconnage, l'envoi de pourriels, etc., et regies par le droit penal national (8). Il n'abordera pas non plus le cyberespionnage industriel qui est la copie de secrets industriels afin d'obtenir un avantage competitif (9). L'expose ne portera pas sur le cyberterrorisme qui constitue la conduite dans le cyberespace d'activites terroristes par des groupes armes transnationaux, agissant en leur nom et pour leur propre compte (10).

Si la subversion et les conflits de basse intensite etaient les methodes privilegiees des grandes puissances pendant la Guerre froide, l'acquisition progressive de l'arme nucleaire par de plus en plus de pays, a fait des cyberattaques etatiques l'outil parfait pour atteindre les memes objectifs d'hegemonie (11). Les Etats-Unis ont declare qu'ils pourraient entreprendre des actions militaires au titre de la legitime defense (12) ou des represailles (13) en reponse a des cyberattaques pretendument commanditees par d'autres pays. Une telle prise de position pose la question de la qualification d'une cyberattaque etatique en droit international public : s'agit-il d'un recours a la force? D'un acte d'agression contre un autre Etat? A l'instar de la Guerre froide avec ses guerres provoquees (par agents interposes), assiste-t-on de nouveau a des violations insidieuses des principes des Nations Unies ne pouvant faire l'objet d'aucune condamnation internationale, en l'absence de toute casus belli? C'est a ces questions que va tenter de repondre cet article dont le premier volet expose dans ce numero, sera consacre a une presentation de la notion de >, d'une illustration du concept par les descriptions des cyberattaques qu'ont connues l'Estonie en 2007, la Georgie en 2008 et l'Iran en 2011, ces trois incidents cybernetiques ayant ete le plus mediatises jusqu'a maintenant sur le plan international, a notre connaissance. Nous conclurons cette partie par une description sommaire des defis poses par les cyberattaques etatiques en matiere de maintien de la paix et de la securite internationales.

2. QUELQUES NOTIONS DE BASE SUR LA CYBERATTAQUE ETATIQUE

   Le mot > est un neologisme forme a partir du prefixe > (14) et du substantif >. Le cyberespace represente un espace universel > [notre traduction] (16). Entierement cree par l'homme (17), il n'est pas restreint par des frontieres et ressemble sur ce dernier point a la haute mer et a l'espace extra-atmospherique (18). Il ne releve donc pas dans son entierete de la competence d'un seul Etat ou d'un groupe d'Etats (19), ce qui en fait un bien commun planetaire (20). En ce qui concerne la racine >, elle a des emplois differents selon que l'on se place sur le plan juridicomilitaire (21) ou informatique. En informatique, une attaque represente toute tentative d'acces non autorise a un systeme de services, a des ressources ou a une information ; ou toute tentative visant a compromettre l'integrite du systeme (22). Ainsi selon cette definition que nous allons retenir dans le cadre de cet article, une attaque cinetique telle que l'acces a l'aide d'explosifs de la salle de serveurs d'une entreprise constituerait un exemple d'attaque informatique (23).

   Une cyberattaque est donc un terme generique qualifiant les attaques informatiques menees uniquement dans et par le cyberespace (24). Ce type d'attaque cherche a exploiter les failles pouvant emerger ou resulter de l'acces d'un usager au cyberespace (25). Le but d'une cyberattaque est de perturber, neutraliser, detruire (26) ou controler de facon malveillante l'infrastructure informatique de la cible ou d'en detruire l'integrite des donnees ou voler des informations protegees (27). Par consequent, nous estimons que la cyberattaque englobe egalement les activites d'exploitation non autorisee des reseaux informatiques (computer network exploitation) (28). Ces activites designent toute tentative d'acces non permis aux donnees d'un reseau informatique ou au reseau lui-meme en vue de s'approprier et d'analyser des donnees sensibles (29).

   Les cyberattaques peuvent etre parrainees, organisees, coordonnees et realisees par des personnes (30) physiques, morales ou des Etats (31); elles ont pour cible aussi bien des compagnies et etablissements prives que publics, de meme que des particuliers (32). En juin 2012, la compagnie Google alertait les usagers de son service de messagerie electronique Gmail des risques de cyberattaques commanditees par des Etats auxquels etaient exposes leurs comptes (33). Qu'entend-on donc par >?

   1. Definition et caracteristiques d'une cyberattaque etatique

      Le cyberespace est desormais considere comme un nouveau champ de bataille (34), a l'instar de la terre, la mer, l'air et l'espace extra-atmospherique. Les cyberattaques etatiques sont souvent qualifiees a tort dans la presse, d'actes de cyberguerre (35). La cyberguerre est la conduite, dans un contexte de conflit arme (36), d'activites militaires a l'aide de moyens et de methodes numeriques dans le cyberespace ; elle comprend aussi bien des activites offensives que defensives des infrastructures informatiques (37). Par consequent, en l'absence de tout conflit arme opposant deux Etats, toute cyberattaque opposant lesdits Etats est consideree avoir eu lieu en temps de paix (38) et n'est donc pas un acte de cyberguerre.

      Dans le cadre de cet article, nous appelons > toute cyberattaque parrainee (39) ou lancee directement par un Etat A (40) ou pour son compte (41), a son instigation (42) ou en raison de sa passivite deliberee (43), a partir du territoire dudit Etat contre un environnement informatique ou une infrastructure situee sur le territoire d'un Etat B (44). Les auteurs de cyberattaques etatiques peuvent etre des agents de jure ou de facto de l'Etat (45). Toutefois, > (46). Au cours des dix dernieres annees, il a ete souvent constate que nombre de cyberattaques etatiques (47) etaient le fait de groupes d'individus aux motivations diverses agissant (pretendument) a la solde d'un Etat (48) ou de leur propre initiative (49) sans que leurs actions illicites contre un autre Etat ne soient denoncees par le pays d'ou sont lancees les attaques (50). Les individus et entites impliques dans des cyberattaques contre d'autres Etats le font souvent pour des raisons essentiellement patriotiques, les attaques etant alors effectuees dans un souci de revendication ou de protestation (51) contre les decisions politiques d'un autre Etat (52).

   2. Quelques methodes et moyens de commission des cyberattaques etatiques

      L'analyse des outils utilises...