La Cour pénale internationale poursuivra les cybercriminels responsables de crimes de guerre
En août 2023, le procureur de la Cour pénale internationale, l'écossais Karim Ahmad Khan, a rédigé un article diffusé sur Digital Front Lines dans lequel, il annonce ceci : "les outils utilisés pour commettre des crimes sont en constante évolution : des balles et des bombes, les réseaux sociaux, l'internet, et maintenant peut être l'IA". Il ajoute :"Ces nouveaux moyens étatiques et militaires peuvent être détournés pour faciliter et ou réaliser, des crimes de guerre, des crimes contre l'humanité, des génocides, voire des crimes d'agression entre Etats."
Par ces mots le procureur reconnaît que les cyberattaques sont désormais assimilées aux autres types d'attaques militaires dites "classiques" et comme ces dernières, elles peuvent servir à cibler la population civile. Après avoir annoncé ceci, Karim Ahmad Khan explique ceci : "la cyberguerre n'est pas une chose abstraite, elle peut même avoir un impact profond sur la vie des populations. […] Les tentatives de s'en prendre à des infrastructures critiques comme les structures de santé ou les systèmes de contrôle de production d'énergie peuvent avoir des conséquences pour le plus grand nombre et particulièrement pour les plus vulnérables. Par conséquent, dans les cadres de ses enquêtes, mon bureau collectera les preuves liées à de telles opérations."
La CPI va donc désormais s'autosaisir, ou pourra être saisie, lorsqu'une cyberattaque sera réalisée dans le cadre d'un conflit armé et aura aidé à réaliser des crimes de guerre ou en faciliter la réalisation.
Pour bien comprendre de quoi l'on parle, voici deux exemples :
Exemple 1 : réalisation d'un crime de guerre via une cyberattaque. Un pays A déclare la guerre à son voisin B, les unités cyber de A lance une vaste campagne de piratage contre les hôpitaux de B. Cette cyberattaque est un crime de guerre, car aucun des belligérants lors d'un conflit armé n'a le droit de viser des hôpitaux. Les hommes ayant participé à cette opération pourront donc être condamnés pour crime de guerre.
Exemple 2 : facilitation d'un crime de guerre via une cyberattaque. Le pays Z est en pleine guerre civile, l'ethnie X veut éliminer l'ethnie Y. Pour aider les milices X, des hackers X vont collecter un maximum de données, via le piratage, cela permettra d'identifier des Y. Cette cyberattaque va donc aider les X à s'en prendre aux Y, les hackers X pourront être poursuivis pour crimes de génocide au même titre que les miliciens ayant commis les massacres.
La CPI vient donc d'envoyer un message à tous les pays : les cyberattaques commises lors d'une guerre, devront respecter le droit international humanitaire, l'ensemble des lois juridiques qui régissent les conflits armés. A défaut de respecter ces règles, les personnes ayant menées ces cyberattaques finiraient avec un mandat d'arrêt international les ciblant et seraient traquées par l'intégralité des pays ayant ratifié la Convention de Genève de 1949 et le traité de Rome.
Les cybercombattants sont donc entièrement reconnus comme des acteurs des conflits armés au même titre que les fantassins, les aviateurs ou les marins. Néanmoins, ils risquent d'être plus souvent poursuivis que leurs pairs car les cyberattaques ne sont pas des attaques discriminantes, c'est-à-dire qu'elles ne font pas la différence entre un système d'information civil et un système d'information militaire. De plus, on peut vite en perdre le contrôle, comme ce fut le cas avec Stuxnet par exemple. Car on peut contrôler un missile pour qu'il atteigne de manière précise un objectif militaire, idem pour un tir d'artillerie, mais c'est impossible pour une cyberattaque. Un malware même bien programmé est capable, théoriquement, de se propager à l'infini et donc d'infecter des installations civiles.
La CPI a annoncé lancer une enquête sur les cyberattaques qui ont ciblé l'Ukraine
C'est à cause de cela que l'OTAN a toujours refusé d'utiliser ses capacités cyber pour mener des cyberattaques. Lors de ses opérations militaires, le risque de frapper des civils innocents était trop important. A la place, les commandants de l'OTAN ont préféré développer des bombes intelligentes et des missiles de croisière possédant une grande précision. Mais attention, tous les pays du monde ne respectent pas autant la vie des civils lors des conflits armés. Par exemple, la CPI a annoncé lancer une enquête sur les cyberattaques qui ont ciblé l'Ukraine depuis le 24 février 2022, car ces dernières ont touché des hôpitaux et des installations essentielles à la vie des civils. Les hommes se cachant derrières ces opérations pourraient être arrêtés et jugés à la fin de la guerre.
Pour finir, cette décision de la CPI ne concernera pas les cybercriminels classiques opérant hors d'un conflit armé. Par exemple, les membres de Lockbit ont attaqué plusieurs hôpitaux à travers le monde mais ils ne pourront pas être jugés par la CPI. Car ces attaques n'ont pas eu lieu lors d'une guerre, mais sont des opérations criminelles et elles tombent donc sous la juridiction des pays dans lesquels elles ont été perpétrées.