Quelles incertitudes et quels problèmes le monde numérique apporte-t-il, où se croisent les frontières du cyberespace et du monde physique, et qui sont les acteurs de ce domaine virtuel? Le monde numérique basé sur zéro et un et créé par l’imagination humaine n’a pas de frontières claires spécifiques au monde réel. Dans le monde moderne, l’importance croissante du cyberespace, qui découle de sa pénétration dans de plus en plus de domaines de la vie humaine, en fait un sujet de débat et de controverse. En même temps, les caractéristiques du cyberespace, telles que l’asymétrie, les difficultés d’attribution, l’accessibilité, les incertitudes juridiques et son rôle en tant qu’environnement efficace pour les plaintes, la cybercriminalité, l’espionnage et autres cyber opérations, en font un domaine attractif comme pour les Etats, ainsi que pour les acteurs non étatiques.
Les acteurs du cyberespace
Le cyberespace [1]fait référence au monde de l’ordinateur virtuel. C’est un environnement électronique utilisé pour concevoir un réseau informatique mondial afin de faciliter la communication en ligne. Selon de nombreux professionnels de l’informatique, y compris ReddalFarmer et Jeep Morningstar, les hommes perçoivent le cyberespace comme un environnement d’interaction sociale plutôt que comme un simple domaine de mise en œuvre technique. Une des principales caractéristiques du cyberespace est l’environnement interactif et virtuel destiné à un large éventail de participants. Il est accessible à presque toutes les personnes ayant accès à Internet via un ordinateur, un Smartphone ou tout autre appareil multimédia connecté au réseau.
En même temps, de nombreux acteurs dans ce domaine diffèrent par leurs besoins, leurs objectifs et leurs intentions. Les États, les organisations et les citoyens sont considérés comme des acteurs traditionnels du cyberespace. J․Sigholm identifie 15 acteurs non étatiques impliqués dans des cyber conflits dont les motivations, les cibles et les méthodes d’action diffèrent. Cependant, ces rôles n’ont pas de limites claires et peuvent changer et se chevaucher en fonction de la situation. En voici quelques-unes:
Acteur | Motif | Cible | Méthode |
«Hacktivistes»
(hacktivists) |
Changement politique ou social | Décideurs ou victimes innocentes | Plainte via un site Web ou des attaques DDoS |
Hackers au «chapeau noir»
(Black-hat hackers)
|
Ego, animosité personnelle, intérêt économique | Tout | Programmes malveillants, virus, vulnérabilités d’exploitation |
Hackers au «chapeau blanc»
(White-hat hackers) |
Idéalisme, créativité, respect de la loi | Tout | Test de transparence, restauration |
Hackers patriotiques | Patriotisme | Ennemis de leur propre état | AttaquesDDoS |
Cyber-terroristes | Changement politique ou social | Victimes innocentes | Violence ou destruction basé sur l’ordinateur |
Cybercriminels organisés | Intérêt financier | Particuliers, entreprises | Utilisation de logiciels malveillants pour la fraude, le vol de données bancaires, les attaques DDoS pour le chantage |
Cyber espions | Intérêts financier et politique | Particuliers, entreprises, gouvernements | Gamme de techniques pour obtenir des informations |
Souvent, ces acteurs agissent, non pas de leur propre initiative, mais à la demande d’une tierce partie, que ce soit l’État ou une organisation.
Le domaine virtuel en tant qu’environnement de conflit
À la fin des années 90, lorsque l’accès à Internet et son utilisation sont devenus monnaie courante, des conflits dans le monde physique ont entraîné une réaction correspondante dans le cyberespace sous la forme de cyber-attaques contre l’État, menées principalement par des acteurs non étatiques. Des hackers à tendance nationaliste ont ciblé leurscybers attaques contre des États étrangers, généralement en appui à leurs gouvernements, ce qui a été démontré à maintes reprises pendant le conflit au Kosovo. Par exemple, un groupe de hackers patriotes serbes, connu sous le nom de «Main noire»2, a supprimé le site Kosovo-Albanais et a attaqué des ordinateurs sur l’OTAN, les États-Unis et le Royaume-Uni. Des groupes de hackers similaires ont attaqué des sites Web américains en provenance de Chine lorsqu’une ambassade de Chine a été accidentellement victime d’un attentat à Belgrade en mai 1999.
Les cyber-opérations et les cyber-attaques ont été affinées en fonction des développements technologiques du 21ème siècle, ciblant à la fois les gouvernements, les organisations et les individus. Un exemple pourrait être lecyber attaque menée par des « activistes » pro-russes en 2007 contre l’Estonie, qui a temporairement interrompu de nombreuses manifestations publiques et privées du pays. Mais la Russie a non seulement refusé d’accepter toute responsabilité, mais n’a pas non plus répondu aux demandes de la partie estonienne d’ouvrir une enquête et d’extrader des délinquants potentiels de son territoire. En 2009, il a été révélé que le réseau de cyber espionnage appelé «GhostNet» avait accès à des informations classifiées d’organismes publics et privés dans 103 pays. On suppose que le logiciel, censé être utilisé par des serveurs déployés sur l’île de Khainan, en Chine, était considéré comme un outil par le gouvernement chinois. Cependant, comme la Chine a officiellement nié son affiliation à «GhostNet» et qu’il n’y a aucune preuve convaincante de l’implication du gouvernement chinois dans ses actions, les États évitent les accusations directes. Un autre exemple est le ver informatique Stuxnet découvert en 2010. Il a endommagé près d’un millier de centrifugeuses sur l’installation nucléaire iranienne et a été attribué par un certain nombre d’experts en cyber aux États-Unis et à Israël. En dépit de nombreuses allégations d’implication des États-Unis et d’Israël, aucune des deux parties n’a officiellement accepté la responsabilité de l’incident. En 2012, le virus «Shamun» a endommagé environ 30 000 ordinateurs à Armaco, Arabie Saoudite et a été déclaré «Épée de la justice» (CuttingSword of Justice).Lecyber attaque menée par l’«Armée électronique syrienne» en 2013 a entraîné le cyber fermeture du journal New York Times.
Chacun de ces événements cybernétiques, ainsi que la multitude d’autres qui se sont produits et continuent de se produire, soulèvent des questions importantes concernant le rôle et la responsabilité de l’État dans les incidents cybernétiques. Les États exercent-ils un contrôle souverain sur les infrastructures physiques (serveurs et câbles physiquement situés sur leur territoire) situés sur leur territoire et, dans l’affirmative, les États sont-ils responsables des cybers opérations menées à travers eux?
La souveraineté des États dans le cyberespace; cyber souveraineté
Le rôle de la souveraineté des États dans le cyberespace est largement discuté dans la littérature scientifique, ce qui a conduit à la diffusion du terme «cyber souveraineté», qui n’a pas été défini de manière cohérente jusqu’à présent. Si le cyber souveraineté est généralement une notion vague qui est souvent utilisée dans le cyberespace en relation avec le rôle et l’indépendance de l’État, la souveraineté est elle-même une notion clairement définie en droit international. Cela a commencé avec le Traité de Westphalie en 1648, qui considérait l’État comme une institution souveraine de ses territoires et de ses affaires intérieures, dans laquelle les autres États ne devaient pas s’immiscer. La nature transfrontière du cyberespace remet toutefois en question la souveraineté de l’État et pose la question : comment ce principe de droit international peut-il être appliqué dans le cyberespace?
En 2013, le Groupe d’experts des Nations Unies (UNGGE) est parvenu à la conclusion que le droit international, y compris la souveraineté des États, était applicable dans le cyberespace. Cela implique que la loi sur les conflits armés est applicable dans le cyberespace, ainsi que tous les droits et obligations liés au principe de souveraineté. L’argument de l’UNGGE repose sur le fait que le cyberespace n’existe pas sans infrastructures physiques et que ces infrastructures sont soumises aux juridictions nationales des États. Cependant, cette décision n’élimine pas le problème de la réglementation juridique du cyberespace. D’une part, le cyberespace dépend d’infrastructures physiques régies par des principes territoriaux, d’autre part, les cyber-activités ne peuvent être restreintes dans le pays ni associées au territoire en raison de l’interconnexion du cyberespace.
L’intérêt et le débat académique sur le cyber souveraineté se sont développés surtout depuis les révélations de Snowden. Toutefois, en 2017, des études sur les stratégies nationales en matière de cyber sécurité et de cyber défense disponibles en anglais dans 69 pays ont montré que seuls 15[3] des documents contiennent le terme « souveraineté » et que seul le Canada utilise le terme «cyber souveraineté».
Controverse sur le cyber souveraineté
Bien qu’un certain niveau de compromis ait été atteint par le Groupe de gouvernement des experts de la sécurité de l’information des Nations Unies, les profondes contradictions et désaccords continuent de diviser la communauté internationale sur trois questions en particulier. Le premier concerne les contradictions entre le cyber souveraineté et «l’esprit d’Internet». L’exclusivité de la souveraineté classique des États va à l’encontre de l’esprit d’Internet, fondé sur le concept d’interdépendance illimitée. Si l’accent est mis sur la cyber-souveraineté, chaque pays pourrait alors créer son propre cyberespace, ce qui entraînerait une segmentation de l’Internet. La seconde est la contradiction entre le cyber souveraineté et les droits de l’homme, qui peuvent être limités par des restrictions à la liberté d’expression sur Internet et à la libre circulation de l’information. Enfin, le troisième est la contradiction entre la cyber-souveraineté et la participation de nombreux acteurs de l’Internet. Certains pensent que la cyber-souveraineté suscitera des controverses sur le modèle de gouvernance de l’Internet, c’est-à-dire que la gouvernance d’un État souverain remettra en question le modèle de gouvernance multilatéral existant. Ces contradictions se sont également manifestées en décembre 2012 dans le cadre du Sommet mondial de l’Union internationale des télécommunications, consacré aux télécommunications internationales. Les États-Unis et les entreprises ont, d’une part, plaidé en faveur du modèle de gouvernance non étatique basé sur Internet, avec une forte implication du secteur des entreprises; d’autre part, la Russie, la Chine, le Brésil, l’Inde et un certain nombre de pays en développement ont soutenu qu’Internet devrait être régi au niveau international par une organisation intergouvernementale, comme l’Union internationale des télécommunications (UIT).
Problèmes dans le cyberespace: recours à la force, attribution, cyber guerre
Un autre aspect du droit international qui a fait l’objet de nombreux débats est la définition de l’emploi de la force dans le cyberespace et ses conséquences éventuelles. Ce problème particulier est de savoir comment un cyber attaque peut être qualifiée d’emploi de la force et est donc considérée comme une violation de la souveraineté d’un autre État. Les cybers attaques en tant qu’usage de la force ou acte d’agression peuvent donner lieu au droit de la victime à la légitime défense, qui est considéré comme un motif légitime de guerre. Il a été supposé que les États pourraient en réalité considérer les cybers attaques comme des actes de guerre et il semble exister un consensus sur le fait qu’un cyber attaque sur des infrastructures critiques du pays pourrait être dommageable et être attribuée à des formations étatiques, ce qui impliquerait des conflits armés, violation de la loi. Bien que les cybers attaques ou les cybers actions ayant entraîné la destruction de biens ou de physique ne se soient pratiquement jamais produites, la cyberdépendance du monde moderne rendra probablement les cybers attaques plus destructrices dans les scénarios futurs.
Outre les incertitudes entourant la définition du cyber attaque en tant qu’usage de la force, l’un des problèmes les plus importants dans le cyberespace est la question de l’attribution d’opérations cybernétiques. L’attribution peut être à la fois une action technique basée sur des preuves techniques et indirectes et une action politique lorsque des agents de l’État attribuent officiellement et publiquement l’attaque. Les cybers attaques ne peuvent pas être attribués à un criminel évident avec une confiance totale. Par conséquent, il est toujours possible que le défendeur ne soit pas réellement le véritable attaquant. Les incertitudes et les complexités associées à la mission ont pour conséquence que les États n’acceptent souvent pas la responsabilité des cybers opérations découlant de leur territoire, comme nous l’avons vu dans les exemples ci-dessus, et la responsabilité est une condition préalable nécessaire pour que l’État puisse faire référence au droit de légitime défense.
Ce problème est encore compliqué par les cyber-opérations d’acteurs non étatiques. Ces acteurs génèrent une plus grande incertitude dans la question de l’attribution, car les États pouvant embaucher, parrainer ou former de tels joueurs pour un cyber attaque d’un autre État du territoire d’un troisième État. Un autre problème dans le cyberespace concerne la manière dont les pays touchés peuvent réagir aux acteurs non étatiques situés dans un autre État. Cette question est liée à celle de la responsabilité des États et de leur contrôle sur les acteurs non étatiques du cyberespace. La réponse appropriée vient souvent d’acteurs non étatiques au sein de l’état d’attaque.
Le problème suivant concerne la définition des cyber-guerres. Les différences dans la littérature sur les cyber-guerres concernent la question de savoir si les cyber-attaques correspondent au concept de la guerre classique défini par Clausewitz ou non. Il comprend les principales composantes de la guerre: la violence, la boîte à outils comprenant des moyens (violence physique ou menace de force), le but (destruction de l’ennemi, contrainte de la volonté du vainqueur) et la nature politique de la guerre. Toutefois, dans la littérature, les cybers attaques sont souvent considérées comme des crimes politiques (sabotage, espionnage, actes de destruction) plutôt que comme des guerres. En même temps, ils peuvent être utilisés à la fois dans la guerre ordinaire comme partie auxiliaire de la guerre, ainsi que séparément, doncune question se pose- les cybers attaques seront-ils considérés comme un cyber guerre si elles sont utilisées séparément? Il n’existe actuellement aucune définition juridique du cyber guerre ni un accord sur ce qu’est la guerre ou les actes de la guerre dans un cyber espace, et les incertitudes en droit international ouvrent une nouvelle fenêtre aux cybers acteurs.
Cependant, l’idée du cyber guerre devient de plus en plus actuelle et de nombreux États ont des stratégies nationales de cyber sécurité qui envisagent des scénarios de cyber guerre. Le développement rapide des capacités militaires dans le cyberespace est considéré comme l’une des principales priorités des forces armées et des services de renseignement. Cette tendance a conduit à ce que le cyberespace dans les forces armées soit considéré comme une zone de guerre aux côtés de la terre, de l’eau et de l’air. Au début de 2013, les États-Unis ont approuvé une expansion à grande échelle de leur cyber commandement, qui compte désormais 5 000 personnes. Des tendances similaires en matière de cyber-mobilité peuvent être observées dans de nombreux pays. Si les pays développés peuvent ressentir le besoin potentiel de défense en protégeant les ressources numériques vulnérables telles que la gouvernance et les systèmes de gestion, les cyber-opérations peuvent être considérées comme une alternative attrayante pour les pays en développement afin de mener une «guerre» contre un ennemi relativement peu coûteux et politiquement moins risqué, qui a la supériorité cinétique sur le champ de bataille.
L’Arménie, faisant partie du cyber domaine, n’est pas en reste en dehors des processus du cyberespace et donc des défis à relever. Les principales menaces informatiques incluent à la fois les menaces informatiques internationales (telles que les attaques de groupes communautaires Anonymus), les attaques informatiques d’organisations publiques, en particulier l’Azerbaïdjan (et partiellement la Turquie), ainsi que les attaques éventuelles d’acteurs non étatiques. En termes de vulnérabilité, on distingue en particulier les nœuds du secteur non gouvernemental. Compte tenu de la croissance rapide du cyberespace, le développement du potentiel de cyber défense pour l’Arménie, ainsi que la capacité de réagir de manière adéquate aux cybers attaques, deviennent un problème vital. Pour ce faire, l’État doit régulièrement mettre à jour son concept de cyber sécurité, développer en permanence les capacités techniques et professionnelles des unités concernées, sensibiliser le public aux menaces en matière de cyber sécurité, mettre en place des programmes éducatifs sur le terrain, ainsi que rechercher et localiser les compétences internationales en cyber sécurité.
[1] Le terme cyberespace a été introduit par William Gibson en 1984 dans son livre de science-fiction «Neuromancer». [2] Union militaire serbe, créée en 1901, liée au déclenchement de la Première Guerre mondiale [3] Le terme souveraineté est visible dans les stratégies de cyber sécurité du Canada, de la Finlande, de la France, de la Hongrie, du Portugal, de l’Australie, du Royaume Unie, de l’Arabie saoudite, de la Russie, du Chili, de la Colombie, du Ghana, du Japon et du Nigéria.Liens
Bibliographie
«Auteur: Tatev Ghazaryan © Tous droits réservés.»
«Traduitpar Ani Arshakyan»