Quel cadre international pour la cyberguerre ?
Depuis le milieu du 20e siècle, les opérations militaires classiques rentrent dans le cadre du droit international humanitaire (DIH) que les Etats signataires se sont engagés à respecter. Il concerne aussi bien les bombardements et les infiltrations que les assauts. Mais un nouveau type d'opérations est apparu à la fin du siècle dernier : les cyberopérations. Elles ne concernaient au début que les services de renseignement mais très vite on a découvert qu'elles pouvaient servir pour le sabotage d'infrastructures ennemies. De plus, certaines cyberattaques peuvent provoquer des morts directes ou indirectes. Par exemple si une unité cyber paralyse des installations de défense adverses, des soldats ennemis peuvent être tués. La paralysie des hôpitaux, comme on peut le voir actuellement en Ukraine, peuvent aussi entraîner des morts.
C'est pour cette raison que l'ONU et la Croix Rouge souhaiteraient que les cyberopérations soient régies par le droit international humanitaire. D'après le DIH, les armes utilisées lors d'un conflit armé doivent permettre de frapper avec précision. Par exemple, les bombes à sous-munitions sont théoriquement interdites car elles ne permettent pas de viser précisément. Par conséquent, des pertes civiles sont probables, ce qui est interdit. Or, comme le prouvent des études menées par l'ONU et la Croix Rouge, les cyberopérations peuvent très vite toucher les civils alors que ce n'était pas leur but au départ. Pour éviter cela, des articles spéciaux ne concernant que les cyberopérations ont été ajoutés au DIH coutumier (qui complète, sur la base du volontariat, le DIH écrit), dont celui-ci : "Les opérations militaires, y compris celles qui emploient des moyens et méthodes de guerre cybernétiques, doivent être conduites en veillant constamment à épargner la population civile et les biens de caractère civil ; toutes les précautions pratiquement possibles doivent être prises en vue d'éviter et, en tout cas, de réduire au minimum les pertes et dommages aux personnes civiles et aux biens de caractère civil qui pourraient être causés incidemment lors des attaques, y compris par des moyens et méthodes de guerre cybernétiques".
Mais ces articles ne sont pas inscrits dans le DIH écrit. Conséquence : leur application dépend du bon vouloir de chaque Etat. Par exemple, les pays de l'OTAN l'appliquent et lors des opérations militaires contre la Yougoslavie ainsi que contre l'Irak, l'option cyber a toujours été repoussée car une attaque cyber sur ces deux Etats aurait pu gravement nuire aux civils. L'Alliance leur a préféré des bombardements de précision sur les infrastructures critiques de l'ennemi. Nous ignorons la politique des Etats hors OTAN, et une autre question vient alors à se poser. Si les cyberopérations sont reconnues par le DIH comme des opérations de guerre, peut-on alors mener des opérations militaires classiques en réponse à une cyberattaque ?
Pour commencer, l'Etat victime de la cyberopération peut répondre avec une autre cyberopération, mais certains préfèrent répondre via des opérations classiques. Le premier cas de jurisprudence concerne une affaire entre un Etat et une organisation terroriste non étatique : Daesh possédait une structure appelé le Cyber Califat. Son chef était un Britannique du nom de Junaid Hussain aussi appelé Abu Hussain al-Britani, qui avait sous ses ordres plusieurs centaines de hackers dont les objectifs étaient la collecte d'informations et le piratage des structures de la coalition anti-Daesh. Si au début Abu Hussain al-Britani devait être combattu par des unités cyber, très vite son nom et celui de sa femme, elle aussi membre de Daesh, ont été ajoutés à la kill liste des unités de frappes de drones américaine. Et le 25 août 2015, après qu'il ait cliqué sur un lien piégé révélant sa position, un drone frappe les coordonnées communiquées et le tue. Sa femme subira le même sort en 2017. Si cette opération sert désormais de jurisprudence pour tous les Etats en ce qui concerne les cybers terroristes, que faire quand la cyberattaque est menée par un autre Etat ?
Monténégro, Israël et Albanie : trois jurisprudences très différentes
Le 4 mai 2019, l'unité cyber du Hamas décide de lancer une cyberattaque contre Israël. Cette dernière est vite contenue par les unités cyber de l'Etat hébreu mais pour les instances politiques de Tel Aviv cette réponse n'est pas suffisante. Il est donc décidé de bombarder le QG des unités cyber du Hamas. Durant le mois de mai 2019, trois raids aériens vont méthodiquement éliminer les hackers palestiniens. Le premier de ces raids a lieu le même jour que la cyberattaque du Hamas.
Autre Etat ayant répondu à une menace cyber : le Monténégro, le petit état balkanique ayant été victime de plusieurs cyberattaques successives lors du mois d'août 2022. Face à l'ampleur du problème, le gouvernement décide de demander l'assistance de ses alliés de l'Otan. Ces derniers dépêchent des équipes cyber pour aider le pays à surmonter la crise, et très vite les soupçons se portent sur la Russie, mais officiellement aucune contre-mesure n'est prise.
Deuxième pays membre de l'Otan qui a dû réagir à une cyberattaque : l'Albanie. Mi-juillet 2022, Tirana subit une puissante cyberattaque et appelle à l'aide ses alliés mais personne n'arrive à identifier les responsables. Le 7 septembre, via une vidéo du Premier ministre Edi Rama, l'Albanie laisse 24 heures aux diplomates iraniens ainsi qu'à leurs familles pour quitter le pays. Et le 8 septembre, l'ambassade à peine vidée de ses occupants est prise d'assaut par les unités spéciales de la police albanaise. Plus tard en octobre, le Premier ministre albanais révèlera que la question de l'activation de l'article 5 était sur la table du conseil de sécurité albanais. Cet article de l'Otan est celui de la défense collective : si un Etat membre subit une attaque, il peut l'activer et tous les membres de l'Alliance ont alors l'obligation de lancer des représailles contre l'Etat attaquant. Si jamais Tirana avait fait cela, une escalade aurait pu avoir lieu entre l'Otan et l'Iran, sachant qu'un grand nombre de pays membres de l'Alliance ne portent pas le régime des mollahs dans leur cœur.
Avec la guerre en Ukraine et les tensions autour de Taiwan, le risque de voir de tels cyber accrochages apparaitre augmente, même si l'ONU tente de légiférer au plus vite sur le droit de réponse des Etats. Pour l'instant, ces derniers n'ont que ces trois jurisprudences comme exemples à suivre. Ou alors, ils peuvent très bien choisir une nouvelle voie…