Les enjeux géopolitiques et juridiques de l’attribution des cyberattaques

Mis en ligne le 18 Juil 2022

Cyber

L’attribution des cyber-attaques soulève des questions et implique des conséquences géopolitiques sensibles. Les autrices de ce papier analysent cette problématique de l’attribution en la replaçant dans son contexte politique et juridique complexe et évolutif, à la croisée entre intérêts des Etats et ouverture au secteur privé.

Les opinions exprimées dans cet article n'engagent pas le CNAM.

Les références originales de cet article sont : CURELARIU Teodora et JAYET Flore, “Les enjeux géopolitiques et juridiques de l’attribution des cyberattaques”, Les Jeunes IHEDN, 17 juin 2022. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site des Jeunes IHEDN.

L’attribution des cyberattaques dans le cadre des attaques APT

Depuis 1986, le droit international considère que la difficulté de l’attribution d’un acte commis par une personne privée ne réside pas dans son imputation à un État, mais dans la recherche des preuves matérielles permettant de l’identifier [1] : le problème se place dans l’identification des groupes privés qui prennent des formes différentes [2], et d’un lien entre ceux-ci et l’État. Si cela est difficile en droit international général, dans le cyberespace il l’est encore plus.

La difficulté de l’attribution technique affaiblit le régime de répression voulu en droit international, conduisant ainsi à des considérations géopolitiques qui affaiblissent l’attribution juridique, au point où celle-ci est balayée à cause des intérêts stratégiques étatiques. Les enjeux politiques se combinent ainsi avec les enjeux juridiques : alors que les contremesures peuvent être mises en place sans prouver la responsabilité de l’État commanditaire, l’État victime doit convaincre les autres États de la bonne identification du coupable et de la légitimité de sa réponse pour des raisons de crédibilité politique. De plus, l’attribution collective européenne a vu ses limites lors de la cyberattaque effectuée par le GRU contre l’Organisation pour l’interdiction des armes chimiques : des mesures de rétorsion ont été prises à l’encontre des individus responsables, mais les contremesures contre l’État russe, ainsi que l’attribution de l’attaque à celui-ci n’ont pas été utilisées, du fait des risques politiques conséquents. Alors que la cyber-diligence veut « sauver » la situation en contournant la lourdeur de la responsabilité internationale, elle ne demeure malheureusement pas contraignante, et peut même être source de plus de tensions. Le Manuel de Tallinn emploie le terme de « serious consequences » [3] afin de qualifier le seuil de gravité d’un dommage pour qu’un État viole son obligation de diligence, un abaissement de ce seuil (ainsi qu’une meilleure qualification) pourrait constituer une solution, mais ira à l’encontre de la souveraineté étatique et se heurtera aux prétentions politiques des Etats les plus puissants en matière de cyber. La coopération entre le public et le privé, bien qu’elle puisse permettre une meilleure prise en considération des acteurs privés, peut être source de tensions politiques entre les États si leur coordination échoue dans l’attribution ou dans la réponse qu’ils apportent.

L’attribution technique est difficile, l’attribution juridique, bien qu’organisée, se heurte au régime de la responsabilité internationale et à la prolifération des acteurs privés, mais aussi à toute nouvelle interprétation évolutive des normes existantes et au refus de toute norme de soft law qui essaye d’encadrer les cyberattaques. Les enjeux politiques de l’attribution sont la conclusion des échecs techniques et juridiques : « toute attribution est une décision politique », comme Guillaume POUPARD le déclare, et les enjeux politiques ne viennent que confirmer les limites que l’informatique et le droit rencontrent à l’heure actuelle. Sans un éclairement des zones grises, sans une coopération et un travail efficace entre les États les plus puissants en matière de cyber avec les acteurs privés les plus importants et l’introduction de la due diligence dans le cyberespace, le processus d’attribution continuera à se heurter à la souveraineté étatique, tout en maintenant une zone grise de non droit.

La démocratisation progressive de l’attribution

L’attribution, bien qu’utilisée prudemment jusqu’à maintenant, semble être une opportunité pour la communauté internationale. Il semblerait même dangereux de laisser libre cours aux attaques dans le cyberespace sans tenter de mettre un frein à ces phénomènes illicites. Le professeur Thomas WINGFIELD, dans une interview accordée à Fireeye, avait ainsi défendu cette pratique en expliquant qu’elle conférait “un degré de confiance beaucoup plus grand et offre davantage d’options aux décideurs publics.” L’attribution propose ainsi de nombreux avantages pour les entités y faisant recours : tout d’abord, ce procédé est l’une des seules solutions permettant à l’heure actuelle une dissuasion efficace contre les attaquants. En effet, force est de constater que “dans l’espace numérique, la réputation d’un acteur possède une valeur spécifique bien plus importante que dans les autres milieux” [4]. La réputation dans le cyberespace est un enjeu fondamental, que ce soit pour les entreprises, ou pour les Etats, qui pourraient souffrir de conséquences néfastes à être stigmatisé en tant qu’entité agressive par le biais de cyberattaques. On peut dans cette optique rappeler l’exemple des États-Unis et de la Chine en 2015 : pendant des mois, les tensions entre les deux Etats avaient grandement évolué, Washington regrettant d’être sous le feu de cyberattaques intempestives sur des entreprises importantes et opérateurs critiques qu’il avait attribué à la Chine. Sous impulsion de Xi JINPING lors d’une rencontre qui abordait le sujet des cyberattaques, les deux États ont donc décidé d’un commun accord la signature d’un accord de nonagression dans le cyberespace, qui aurait permis d’améliorer la situation. En plus de dissuader l’attaquant, pouvoir démontrer des capacités techniques importantes permettant d’attribuer une cyberattaque sur la base d’un grand nombre d’éléments peut être un facteur de prestige, et un gage de qualité pour une entité, qui montre alors qu’elle dispose de moyens techniques et de ressources majeures : cela peut également rejoindre une forme de dissuasion, un attaquant pouvant être moins tenté de lancer une cyberattaque si ses techniques et procédés sont déjà connus et publiés publiquement par une entité.

L’attribution devient également l’un des seuls moyens d’exercer une forme de justice dans le cyberespace, un domaine où le droit peine à se faire une place. Identifier de manière certaine un attaquant, lui attribuer une cyberattaque et le retrouver par la suite permet ainsi de traduire en justice un individu qui a pu léser un grand nombre de personnes et d’entités par ses actions : ce procédé permet ainsi de faire diminuer le sentiment d’impunité qui peut se développer chez les attaquants de par leur anonymat relatif, et en même temps de protéger les victimes et de dissuader les autres acteurs mal intentionnés, permettant une action globale. On peut ainsi citer l’arrestation de membres du groupe Carbanak, dont son chef présumé : le groupe, qui ciblait principalement des institutions et services financiers depuis 2013, a ainsi subi des pertes au sein même de sa hiérarchie, permettant une certaine déstabilisation. Dans le cyberespace, où les questions de riposte restent en suspens, l’attribution reste ainsi une des rares solutions permettant de faire appliquer le droit, et d’ainsi protéger les victimes des cyberattaques en réduisant les risques.

Si l’attribution était pendant un temps une pratique rare et redoutée, seulement utilisé par certains acteurs, on assiste désormais à une démocratisation et à une généralisation de son attribution. Le processus s’est également diversifié, légitiment ce rôle pour différents acteurs : on assiste ainsi également à une grande ouverture au secteur privé pour mettre en œuvre cette pratique.

L’une des entités phares dans le développement de la pratique sont les États-Unis, qui ont effectué de nombreuses attributions depuis environ dix ans. [5] Ces attributions sont variées, connaissent différentes formes, que ce soit par le biais de déclarations officielles, ou de simples remarques dans la presse. Il semblerait cependant que Washington recourt de plus en plus à cette solution, l’attribution permettant d’obtenir des avantages considérables, qui ont pu être mentionnés plus tôt dans la réflexion : on aperçoit à travers l’exemple de ce pays l’appréciation de plus en plus grande pour ce processus. On observe également qu’elle n’est pas utilisée comme un outil unique, mais qu’elle prend part à une réponse complète, souvent combinée avec d’autres mesures telles que des sanctions, adaptations techniques… En d’autres termes, elle peut être utilisée comme une justification à des changements précis. Elle reste ainsi un outil clé, comme le mentionne Dr Florian J. EGLOFF, spécialiste en sécurité : « The use of public attribution as a means of statecraft in national security policy is here to stay ». [6]

La pratique se développe également chez des acteurs pourtant plus discrets historiquement. C’est notamment le cas de l’Union Européenne qui a longtemps évité ce sujet sensible, et qui a récemment développé des outils pour mettre en œuvre une véritable diplomatie dans le cyberespace dans l’optique de garantir « a global, open, free, stable and secure cyberspace. » [7] Ce sont les attaques Wannacry et NotPetya qui ont fait prendre conscience à l’Union européenne de l’importance d’une réponse diplomatique aux cyberattaques. En 2020, trois ans après les attaques, elle impose alors des sanctions contre les citoyens russes, chinois, et nord-coréens présumés responsables. [8] Ce délai démontre la volonté européenne d’établir de grandes recherches et enquêtes techniques pour s’assurer d’obtenir une réponse fiable. Ce processus s’accentue cependant, et la Présidente de la Commission européenne Ursula VON DER LEYEN a ainsi pointé du doigt la Chine, la soupçonnant d’être à l’origine de cyberattaques contre des hôpitaux européens pendant la pandémie de Covid-19, en 2020.

L’attribution s’est récemment invitée en France, de manière assez subtile : le 21 juillet 2021, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’informations a attribué une cyberattaque à APT31 (un groupe APT affilié à Pékin d’après l’entreprise de sécurité Fireeye), sans citer le pays qui lui est affilié. [9] Une première qui ne fait cependant pas jurisprudence pour le moment : en mars 2022, le Commandement de l’espace de l’Armée française a confirmé une attaque informatique contre un réseau satellitaire, sans mentionner aucune piste quant à l’éventuelle identité de l’auteur. Il reste difficile d’appréhender l’évolution de la pratique à l’avenir, car si les technologies permettant d’attribuer une attaque deviennent plus performantes, les attaquants savent également s’adapter pour mieux brouiller les pistes.

Les difficultés juridiques et politiques entourant la question de l’attribution

Normalement, l’État est responsable de la conduite de ses organes de jure [10], et il peut l’être aussi de la conduite des individus, groupes ou personnes privées dépendant de son autorité. Du fait de la prolifération des acteurs privés dans le cyberespace, la responsabilité internationale peut avoir des difficultés à démontrer un lien direct entre ceux-ci et l’État. Néanmoins, la responsabilité peut être engagée si l’État a violé l’obligation de ne pas laisser utiliser son territoire aux fins d’actes contraires aux droits d’autres États : ainsi, le concept de cyber-diligence s’efforce de répondre à la prolifération des acteurs privés.

L’attribution aux États des actes privés est délicate du fait de la non-adoption du comportement des personnes privées en tant que leur : l’établissement de l’existence des instructions, directives ou d’un contrôle effectif demeure très difficile à établir. Alors que le président BIDEN mettait en garde le président POUTINE sur une éventuelle responsabilité étatique même si le groupe ayant commis l’attaque n’a aucun lien avec l’Etat [11], d’un point de vue juridique, voire géopolitique, cela demeure très délicat. Il faut prouver une relation de complète dépendance et de contrôle à l’égard de l’État, c’est-à-dire un contrôle effectif à l’occasion de chacune des opérations [12], afin qu’il puisse être assimilé à un organe de cet État ou comme agissant en son nom, un simple appui ne suffisant pas [13]. Cette difficulté à établir un contrôle entre les deux permet d’éviter qu’un État, en confiant à des groupes sans lien juridique avec lui, commette des faits illicites en droit international, comme ce fut le cas avec l’organisation Russian Business Network qui aurait agi pour le compte de la Russie, considérée à l’origine du botnet Storm, ou encore l’incitation des hackers patriotes à mener les cyberattaques contre l’Estonie en 2007 (l’incitation n’entraine pas la responsabilité étatique, ce n’est pas une instruction, ni une directive ou contrôle étroit). Le risque est que les États s’appuyant sur des particuliers pour conduire des cyberattaques : remonter la piste jusqu’aux personnes, prouver qu’il y a un lien effectif avec l’État, et ensuite arriver à l’État est très difficile. Si les cyberattaques proviennent des pirates informatiques sans aucun lien de l’État, celui-ci ne demeurera pas responsable, mais pourrait le devenir s’il a manqué à son obligation de due diligence.

La due diligence est un exemple de coutume internationale, consacrée depuis 1949 par la Cour Internationale de Justice [14] : si on regarde la pratique étatique, on retrouve une introduction de la due diligence dans le droit international, mais son application reste débattue dans le cyberespace, car les États considèrent qu’elle ne revêt pas un caractère contraignant, en l’absence d’une pratique internationale et d’une opinio juris. L’enjeu réside dans sa consécration dans le cyberespace rencontrant peu d’instruments internationaux ratifiés et des règles de soft law non contraignantes. Alors qu’en théorie l’utilisation des proxies par les États serait interdite [15] du fait de l’impossibilité de leur attribuer les attaques, l’application de la diligence ne semble pas avoir un caractère contraignant dans le cyberespace, alors qu’elle pourrait contourner le problème de l’attribution et des preuves difficilement récupérables [16] : la due diligence serait ainsi une norme de hard law partout, sauf dans le cyberespace, car elle ne constitue pas une obligation juridique de résultat. La due diligence « classique » comporte plusieurs conditions : la connaissance, la capacité, le risque et le dommage. Quant à la connaissance, la rapidité des attaques sophistiquées peut l’entraver dans le cyberespace, bien que le degré de connaissance requis puisse varier. La notification portant à la connaissance d’une cyberattaque n’a même pas pu être adoptée par le GGE (Groupe d’experts intergouvernementaux des Nations Unies) de 2017. Pour la capacité, le différent niveau de développement entre les États porte à confusion et à une application différenciée. Quant au risque, les activités cyber très risquées peuvent être soumises à une obligation contraignante d’étude d’impact afin de pouvoir engendrer la due diligence, alors que celle-ci demeure « simplement » une obligation de moyen. Enfin, pour le dommage, le seuil de gravité requis lors d’une cyberattaque n’est pas connu, si ce n’est pour protéger les infrastructures vitales. Tous ces obstacles empiètent sur une application consensuelle de la cyber-diligence.

Même si la responsabilité internationale est engagée de la même manière, la due diligence est plus politiquement correcte et acceptable, car l’État ne sera pas pointé du doigt. La due diligence permettrait de résoudre le problème de l’attribution juridique d’une cyberattaque, en laissant de côté la question épineuse de savoir s’il s’agit d’un fait internationalement illicite ou s’il y a une violation d’une obligation internationale attribuée à un État. Au lieu de se concentrer sur la qualification juridique, il serait plus pertinent de regarder ce que l’État aurait pu faire pour prévenir/empêcher une attaque dans la limite du raisonnable, et non si celle-ci demeure une action de l’État. Malheureusement, les États semblent s’inscrire dans une logique sélective de l’attribution : il est plus facile d’attribuer une cyber opération à un ennemi qu’à un ami, créant ainsi des tensions politiques qui ne permettent pas une réponse juridique. De plus, la non-régulation des réponses appropriées apportées contre une cyberattaque complique l’efficacité du droit international.

References[+]


Du même partenaire

Comprendre les racines de la guerre : entre passions et raison d’état

Comprendre les racines de la guerre : entre passions et raison d’état

Pensées Stratégiques et Prospectives

Par Damien VERRELLI

Source : Les Jeunes IHEDN

Mis en ligne le 26 Juin 2024

Les médias et la défense en France, ou un certain récit de la...

Les médias et la défense en France, ou un certain récit de la conflictualité contemporaine : de la Guerre du Golfe

Pensées Stratégiques et Prospectives

Par Margaux LATARCHE-BERTRAND

Source : Les Jeunes IHEDN

Mis en ligne le 26 Avr 2024


Articles de la catégorie Géopolitique et Géoéconomie

La transition écologique européenne à l’ère Trump

La transition écologique européenne à l'ère Trump

Géopolitique et Géoéconomie

Par Neil MAKAROFF

Source : Fondation Jean Jaurès

Mis en ligne le 28 Nov 2024

Législation numérique : convergence ou divergence des modèles ? Regard comparatif...

Législation numérique : convergence ou divergence des modèles ? Un regard comparatif Union européenne, Chine, États-Unis

Géopolitique et Géoéconomie

Par Ma AIFANG

Source : Fondation Robert Schuman

Mis en ligne le 28 Nov 2024

Les Houtistes et la mer Rouge

Les Houtistes et la mer Rouge

Géopolitique et Géoéconomie

Par Alexandre LAURET

Source : IRSEM

Mis en ligne le 28 Nov 2024

Nos partenaires

Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes
Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes

 

afficher nos partenaires