Essai de définition des différentes formes de cybercriminalité visant les États, état des leiux des moyens de répression. C’est l’objet de cet article, paru dans la Nouvelle Revue Géopolitique (Janvier-février-mars 2013). Son auteur est maître Ardavan Amir-Aslani, avocat au Barreau de Paris et spécialiste des conseils aux États. Spécialiste de droit international et de géostratégie, il a publié de nombreux essais. La Nouvelle Revue Géopolitique est disponible en kiosque.
[image:1,l]
En juin dernier s’est tenue la conférence sur la Cybersécurité et la Cyberdéfense à Paris, consacrée à la nouvelle menace qui pèse sur les États et les personnes physiques et morales de droit privé : les cyber-attaques. Ce colloque témoigne de la préoccupation grandissante des États et des entreprises qui prennent conscience de la nécessité de suivre les évolutions technologiques en la matière et de se doter de moyens de protection physiques et légaux contre ces dangers. La prévention de ces risques devient un impératif à l’échelle mondiale puisque la globalisation des réseaux informatiques abolit les frontières et, conjuguée à l’instantanéité des connexions, exige des autorités de contrôle une réponse rapide et coordonnée.
Les aspects nationaux et internationaux des cyber-attaques et de la cybercriminalité s’illustrent au travers de trois cas de figure, qui seront appréhendés successivement. La première hypothèse est celle d’un État souverain qui soutient une cyberattaque dirigée contre un autre État souverain. La deuxième correspond à la situation d’un individu qui lance une cyber-attaque à l’encontre d’un État dans l’unique objectif de causer un préjudice, sans toutefois y avoir un intérêt économique. La dernière est celle d’un individu ou d’une société qui dirige une cyber-attaque contre une autre société dans le but de retirer de cette cyber-attaque un bénéfice d’ordre économique.
La cybercriminalité d’État
Dans la première hypothèse selon laquelle un État dirige une cyber-attaque contre un autre État, est-il possible d’engager des poursuites à l’encontre de l’État auteur de l’attaque ? Quelle est la juridiction compétente pour statuer sur le litige et quelles normes sont applicables à ce dernier ? La réflexion doit tout d’abord se porter sur ces questions.
Plusieurs textes apportent des éclaircissements. Le premier d’entre eux est la Charte des Nations unies aux termes de laquelle les États-parties doivent maintenir la paix et « s’abstenir, dans leurs relations internationales, de recourir à la menace ou à l’emploi de la force, soit contre l’intégrité territoriale ou l’indépendance politique de tout État » (cf. 2).
Il existe seulement deux exceptions à ce principe : les mesures décidées par le Conseil de sécurité sur le fondement de l’article 39 de la Charte et le droit de légitime défense dont dispose tout État victime d’une agression armée, conformément à l’article 51 de la Charte (cf. 3). La seconde exception est celle qui nous intéresse ici. Le droit à la légitime défense ne peut être invoqué que dans le cas d’une agression armée. Une cyber-attaque constitue-t-elle une agression armée au sens du droit international, et le pays agressé peut-il alors agir en état de légitime défense ? C’est là une nouvelle problématique qui est aujourd’hui débattue en droit international.
La notion d’agression armée doit être circonscrite en premier lieu. La « Déclaration sur la définition de l’agression » (cf. 4) adoptée par l’Assemblée générale des Nations unies fournit des informations essentielles. L’article 1er décrit l’agression comme étant l’emploi de la force armée par un État contre la souveraineté, l’indépendance ou le territoire d’un autre État. L’article 3 de ladite déclaration dresse une liste non exhaustive des actions susceptibles de constituer une agression.
Les cyber-attaques ne figurent pas dans cette liste ; toutefois, l’article 4 précise que le Conseil de sécurité peut qualifier d’autres actes d’actes d’agression conformément aux dispositions de la Charte.
Les cyber-attaques, une agression armée
Le rattachement des cyber-attaques à la catégorie des agressions armées telles que décrites ci-dessous n’est donc pas formellement établi. Cependant, il est possible de trouver des exemples dans lesquels une institution ou une administration associe de facto cyber-attaque et agression armée. C’est notamment le cas du National Posture Review des États-Unis publié en avril 2010. Ce document est un rapport commandé par le Congrès américain établissant la politique, la stratégie, les capacités et le dispositif des forces en matière nucléaire pendant les 5 à 10 prochaines années et reflète les priorités liées à la sécurité nationale fixées par le président des États-Unis Barack Obama au moment de la parution du rapport.
Dans ce document, il est indiqué que les États-Unis disposent de forces terrestres, navales et aériennes pouvant être engagées dans tout conflit et qu’elles peuvent être employées pour protéger ses matériels informatiques contre des attaques opérées dans le cyberespace (cf.5). Le gouvernement américain postule donc ici qu’une cyber-attaque peut être qualifiée d’agression armée, justifiant par conséquent une riposte armée.
La notion d’« agression armée » et celle de cyberattaque a fait l’objet de plusieurs débats également à la quatrième Conférence internationale sur les Cyberconflits (CyCon), organisée par le Centre d’excellence pour la cyber-défense de l’Otan, qui s’est tenue à Tallin en Estonie en juin dernier (cf.6). Le professeur Michel Schmitt a annoncé à cette occasion la publication en 2013 d’un ouvrage intitulé Le Manuel de Tallinn ou Manuel de droit international applicable à la cyberguerre.
Les cyber-conflits au regard du jus ad bellum
Ce document, rédigé par un groupe d’experts indépendants, analyse les cyber-conflits au regard du jus ad bellum, c’est-à-dire le corpus de normes cherchant à limiter le recours à la guerre, et du jus in bello qui est le droit international humanitaire. Michel Schmitt a indiqué qu’en tout état de cause, la gravité de l’attaque est la principale clé de répartition pour déterminer s’il s’agit d’une agression armée, et a précisé que même les opérations malveillantes qui ont des effets différés doivent aussi être considérées comme des attaques (cf.7).
Si l’on applique l’analyse de Schmitt au cas du Stuxnet, un ver informatique développé par les États-Unis et Israël, il est possible que cette situation soit qualifiée d’agression armée. En effet, les États-Unis ont introduit ce ver informatique dans les systèmes informatiques des sites nucléaires iraniens dans l’objectif de retarder la progression du programme d’enrichissement nucléaire de Téhéran (cf.8).
Dans son essai intitulé «Les cyber-menaces et le droit de la guerre » (cf.9), David E. Graham expose les critères utilisés en droit international coutumier pour caractériser un conflit armé au sens de l’article 2 commun aux Conventions de Genève de 1949 (cf.10). Selon ces critères, une agression d’une « étendue, d’une durée et d’une intensité particulières » est un conflit armé entrant dans le champ d’application de l’article précité (cf.11). Ces éléments d’appréciation n’ont pas été spécifiquement mis en œuvre pour identifier une cyber-attaque, mais pour l’emploi de la force armée. Trois modèles ont donc été élaborés pour tenter d’appliquer ces critères aux cyber-attaques.
Le premier modèle évalue l’attaque en considérant l’instrument utilisé : une cyber-attaque sera qualifiée d’agression armée si les dégâts qu’elle occasionne sont équivalents à ceux que seule une attaque cinétique aurait pu causer, par rapport à l’objectif poursuivi (cf.12). Par exemple, dans le cas d’une centrale électrique qui ne pourrait être mise hors d’usage qu’en la bombardant – attaque cinétique –, si l’on parvenait au même résultat en lançant une cyber-attaque, alors celle-ci serait considérée comme une agression armée.
Le deuxième modèle est lui centré sur l’examen des effets produits par les cyber-attaques: le dommage est évalué dans son ensemble, sans considération de l’équivalence avec les dégâts d’une éventuelle attaque cinétique. La dernière hypothèse adopte une approche se référant à la responsabilité sans faute : la destruction serait automatiquement qualifiée d’agression si elle touchait des systèmes informatiques capitaux, sans que l’intention de l’auteur de l’attaque doive être recherchée. En tout état de cause, David Graham précise que les auteurs de ces trois modèles s’accordent pour affirmer que des cyber-attaques peuvent être constitutives d’une agression armée (cf.13).
Si une cyber-attaque est considérée comme étant une agression armée, la question de la légitime défense se pose alors. Le droit international coutumier apporte des éléments de réponse dans la mesure où un consensus s’est clairement dégagé sur le fait que les actions de défense doivent respecter les principes de nécessité et de proportionnalité, et qu’elles doivent être immédiates, indispensables, qu’aucune autre possibilité n’existe et que le temps manque pour réfléchir à l’opportunité de riposter (cf.14). Des mesures de contre-attaque qui remplissent ces conditions seront donc justifiées au regard du droit international.
Cyber-attaque ou cyber-crime
L’approche fondée sur les effets semble être le modèle choisi par les États-Unis (cf.15) ; elle permet de bien différencier les attaques pouvant être qualifiées d’agression armée et les autres. Sans cette distinction, les États seraient autorisés à user de la force armée contre n’importe quel cyber-délinquant (par exemple des adolescents mettant simplement leurs talents de pirates informatique à l’épreuve). Il est donc nécessaire de bien isoler les cyber-attaques relevant de la catégorie des agressions armées, des autres cyber-crimes d’une moindre gravité tels que le piratage informatique (cf.16). Celui-ci est, par exemple, pénalement réprimé au Royaume-Uni depuis la loi sur le piratage informatique de 1990 qui prévoit trois incriminations : l’accès non autorisé à des données informatiques, l’accès non autorisé en vue de commettre un délit et la modification non autorisée de données informatiques (cf.17).
Toute cyber-attaque ne peut pas légitimer une riposte, et cette démarcation s’effectue essentiellement en tenant compte de ses effets destructeurs et de la nature des infrastructures qu’elle vise. S’agissant des procédures de sanctions de la cybercriminalité d’État, comment poursuivre un État qui lance une cyber-attaque contre un autre État ? La souveraineté étatique est la norme suprême dans les relations internationales et aucune institution ne peut se placer au-dessus d’elle, de même qu’un État ne peut attraire un autre État devant ses juridictions.
Seule la Cour internationale de justice (CIJ) de La Haye aux Pays-Bas pourrait remplir un tel rôle. La CIJ est compétente pour statuer sur les différends que les États consentent à lui soumettre, un différend international étant défini comme « un désaccord sur un point de droit ou de fait, une contradiction, une opposition de thèses juridiques ou d’intérêt » (cf.18). Pour régler ces litiges, la CIJ applique, conformément à l’article 38 du statut de la CIJ (cf.19), le droit international que composent les conventions internationales, la coutume internationale, les principes généraux de droit, des décisions de justice et la doctrine des publicistes les plus qualifiés.
Par conséquent, sous réserve que les deux parties acceptent de soumettre le litige à la Cour, l’Iran peut faire valoir devant la CIJ que les États-Unis ont attaqué ses installations en y introduisant le ver informatique Stuxnet. Dans ce cas, la Cour jugerait-elle que cette cyber-attaque constitue une violation de l’article 2(4) de la Charte des Nations unies qui impose aux États l’obligation de maintenir la paix ? Cette affaire ou une autre espèce similaire est probablement le genre de litiges sur lesquels la CIJ va devoir se prononcer dans un futur proche.
Des résolutions des Nations unies
Une autre solution pour sanctionner un État qui se livrerait à des cyber-attaques serait l’adoption par le Conseil de sécurité des Nations unies de résolutions qui reconnaitraient sa responsabilité et le condamneraient à indemniser le préjudice subi par l’État victime de l’attaque. Une résolution pourrait entre autres servir de modèle à ce type de décisions: la résolution 687 du 3 avril 1991 (cf.20), par laquelle le Conseil de sécurité a dénoncé l’envahissement du Koweït par l’Irak et a ordonné à ce dernier l’indemniser les victimes de ce conflit.
Le montant total de ces compensations s’élève aujourd’hui à 37,7 milliards de dollars21, soit plus de 30,4 milliards d’euros (cf.22). Dans cette affaire, il n’était pas question d’une cyber-attaque mais, si les Nations unies consacraient l’approche fondée sur les effets telle que décrite plus haut, une évaluation des conséquences d’une cyber-attaque selon des critères similaires pourrait conduire à une sentence comparable.
Toutefois, le problème de l’imputabilité de l’agression représente une difficulté majeure pour la sanction des cyber-attaques. Qui verra sa responsabilité retenue ? Il est souvent très délicat d’identifier précisément l’auteur d’une cyber-attaque. Qui alors, de l’individu, de l’entité privée qui a développé le virus informatique ou de l’État qui a commandité la cyber-attaque sera tenu responsable ? Cette question devra impérativement être étudiée de manière approfondie s’il est envisagé de réprimer efficacement les cyber-attaques au niveau international.
> Lire la suite
1. En collaboration avec Édouard Bourguet.
2. Art. 2. § 4 de la Charte des Nations unies: « Les membres de l’organisation s’abstiennent, dans leurs relations internationales, de recourir à la menace ou à l’emploi de la force, soit contre l’intégrité territoriale ou l’indépendance politique de tout État, soit de toute autre manière incompatible avec les buts des Nations unies ».
3. David E. Graham, “Cyber Threats and the Law of War”, Journal of National Security Law & Policy, 13 août 2010, Vol. 4(1), p. 88. Disponible » target= »_blank »>ici
4. Définition de l’agression, Déclaration des Nations unies du 14 décembre 1974.
5. Nuclear Posture Review Report, Department of Defense, United States of America, avril 2010, p. 33.
6. NATO CyCon conference, CCDCOE. Disponible <a href="http:// » target= »_blank »>ici
7. NATO CyCon conference, CCDCOE. Disponible <a href="http:// » target= »_blank »>ici
8. David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran”, The New York Times, 1er juin 2012.
9. David E. Graham, “Cyber Threats and the Law of War”, op. cit., p. 90.
10. Conventions de Genève du 12 août 1949, art. 2 al.1 commun: «En dehors des dispositions qui doivent entrer en vigueur dès le temps de paix, la présente Convention s’appliquera en cas de guerre déclarée ou de tout autre conflit armé surgissant
entre deux ou plusieurs des Hautes Parties contractantes, même si l’état de guerre n’est pas reconnu par l’une d’elles ».
11. David E. Graham, “Cyber Threats and the Law of War”, op. cit., p. 90.
12. Ibid., p. 91. Voir aussi: Jeffrey Carr, Inside Cyber Warfare: Mapping the Cyber Underworld, O’Reilly, décembre 2009, p. 59 note 12.
13. Graham, op. cit., pp. 90-92.
14. Ibid., pp. 89-90.
15. Ibid., p. 91. Voir aussi: “An assessment of international legal issues in information operations”, Office of General Counsel, Department of Defense, United States of America, mai 1999.
16. James Andrew Lewis, Cyber Attacks, Real or Imagined, and Cyber War, the Center for Strategic and International Studies, 11 juillet 2011. Disponible <a href="http:// » target= »_blank »>ici
17. Royaume-Uni, Computer Misuse Act 1990, Sections 1-3. Disponible<a href="http:// » target= »_blank »> ici
18. Cour internationale de justice, Compétence en matière contentieuse [en ligne] (synthèse de l’art. 36 du statut de la CIJ). Disponible<a href="http:// » target= »_blank »> ici
19. Article 38 du Statut de la Cour internationale de justice. Disponible <a href="http:// » target= »_blank »>ici
20. Résolution 687, Conseil de sécurité des Nations unies, 3 avril 1991. Disponible<a href="http:// » target= »_blank »> ici
21. Centre d’actualités de l’ONU, Guerre du Golfe: la Commission d’indemnisation octroie 1,3 milliard de dollars [en ligne], 26 juillet 2012. Disponible<a href="http:// » target= »_blank »> ici
22. Conversion sur la base du taux de change moyen d’août 2012.