Des attaques informatiques, et après?
Jeff Li
Photo: by Bjørn Christian Tørrissen
Sony Pictures Entertainment a été la cible de piratage vers la fin de l’année 2014. Rapidement, le FBI américain a fait porter la responsabilité du piratage au gouvernement nord-coréen [ref]Voir « Obama : les États-Unis ‘’répondront’’ à l’attaque informatique de la Corée du Nord » Le devoir de Montréal (19 décembre 2014).[/ref]. Le président américain Barack Obama a alors affirmé son intention de répliquer proportionnellement à cette cyberattaque[ref]Voir Philippe Orfali, « Attaque informatique contre Sony : Obama promet de punir Pyongyang » Le devoir de Montréal (20 décembre 2014).[/ref]. Le sénateur américain John McCain est allé jusqu’à qualifier l’attaque informatique de « manifestation d’une nouvelle forme de guerre » [notre traduction] [ref]Jeremy Diamond, « McCain hits Obama on North Korea hack, Russia » CNN (21 décembre 2014).[/ref]. Depuis, il semblerait que la Corée du Nord a eu quelques problèmes concernant son accès internet. [ref]Voir notamment « Perturbations de l’Internet : la Corée du Nord accuse les États-Unis » Le devoir de Montréal (27 décembre 2014).[/ref]
Pourrait-il s’agir d’une riposte du gouvernement américain? Peut-être. Assisterons-nous à une escalade de la violence entre les États-Unis et la Corée du Nord? Rien n’est moins sûr.
Malgré une compatibilité des concepts classiques de l’usage de la force pour la cyberguerre, la nature et la forme de l’attaque informatique rendent problématique pour un pays d’invoquer, par exemple, le droit de légitime défense devant une agression armée.
En effet, l’emploi de la force est interdit selon l’article 2 (4) de la Charte des Nations Unies [ref]Charte des Nations Unies, 26 juin 1945, RT Can 1945 no 7, art 2 (4) : « Les Membres de l’Organisation s’abstiennent, dans leurs relations internationales, de recourir à la menace ou à l’emploi de la force, soit contre l’intégrité territoriale ou l’indépendance politique de tout État, soit de toute autre manière incompatible avec les buts des Nations Unies ».[/ref]. Dans la mesure où les opérations informatiques auraient une échelle et des effets comparables à des opérations conventionnelles équivalant à un emploi de la force, elles seront considérées comme telles.[ref]Voir Michael N. Schmitt, dir, Tallinn Manual on the International Law Applicable to Cyber Warfare, New York, Cambridge University Press, 2013 à la p 45.[/ref] Cependant, une incertitude existe sur ce qui constitue l’emploi de la force dans un contexte conventionnel. Or, en contexte d’agression informatique, le terrain semble encore plus incertain [ref]Voir Heather Harrison Dinniss, Cyber Warfare and the Laws of War, New York, Cambridge University Press, 2012 aux pp 40-41, 62-65. [/ref]. Si l’on compare avec l’usage de la force armée classique, une attaque informatique, comme celle sur Sony, n’a causé aucune perte humaine ou dommage à la propriété physique. Sony s’est surtout fait dérober des renseignements personnels et des documents confidentiels, en plus de perdre certaines données. La cible n’avait pas d’intérêts nationaux et ne constituait pas un organe gouvernemental ou militaire. Ces éléments jouent donc contre la qualification de cette attaque comme une « agression armée » ou même comme une ingérence étrangère [ref]Voir Schmitt, supra note 5 aux pp 45-52; voir aussi Michael Schmitt, « International Law and Cyber Attacks: Sony v. North Korea » (17 décembre 2014), Just Security (blogue), en ligne : <justsecurity.org/18460/international-humanitarian-law-cyber-attacks-sony-v-north-korea>[/ref].
L’attribution de la responsabilité est aussi problématique. Comme le souligne le professeur Goldsmith, il ne suffirait pas qu’un organisme fédéral américain lance des accusations et affirme disposer de preuves pour convaincre la communauté internationale de la responsabilité de la Corée du Nord. Il faut prouver les accusations, ce que le gouvernement américain est peu disposé à faire pour le moment. [ref]Voir Jack Goldsmith, « The Sony Hack: Attribution Problems, and the Connection to Domestic Surveillance » (19 décembre 2014) Lawfare (blogue), en ligne : <www.lawfareblog.com/2014/12/the-sony-hack-attribution-problems-and-the-connection-to-domestic-surveillance>.[/ref]
Ensuite, même s’il est confirmé que les codes utilisés sont nord-coréens, la sophistication de la cyberguerre permet encore un doute sur la responsabilité d’un État. Effectivement, les pirates informatiques peuvent aisément laisser des traces pour porter le blâme sur autrui ou simplement utiliser les codes d’un tiers. [ref] Voir Brian Todd et Ben Brumfield, « Experts doubt North Korea was behind the big Sony hack » CNN (27 décembre 2014).[/ref]
Sinon, il existe divers obstacles pour retracer l’origine d’une attaque [ref]Voir Johann-Christoph Woltag, Cyber Warfare: Military Cross-Border Computer Network Operations under International Law, Cambridge, Intersentia, 2014 aux pp 28-30.
[/ref], sans compter que s’il est constaté que les serveurs utilisés sont russes ou chinois, par exemple, l’attaque pourrait tout de même avoir été orchestrée par la Corée du Nord. Les preuves et leur qualité dans le domaine de la cyberguerre constituent sans contredit un défi supplémentaire pour que l’attaque soit reconnue comme illicite et qu’une légitimité entoure toute contre-mesure. D’ailleurs, en l’espèce, les attaques sont revendiquées par le groupe « Guardians of Peace », qui semble très sympathisant à la Corée du Nord [ref]Voir Ben Child, « Hackers demand Sony cancel release of Kim Jong-un-baiting comedy » The Guardian (9 décembre 2014).[/ref], mais dont le niveau de contrôle exercé par l’État reste à démontrer.
L’interruption du service internet de la Corée du Nord n’atteint probablement pas un seuil « d’agression armée » non plus. Par conséquent, s’il s’avère que les États-Unis sont derrière cette panne informatique, la Corée du Nord ne pourrait pas non plus utiliser la force pour se défendre.
Ainsi, il semble assez difficile de parler d’agression armée ou de légitime défense dans le contexte des cyberattaques. Dans le cas présent, une escalade du conflit ou, à tout le moins, une série d’attaques informatiques supplémentaires serait nécessaire avant de pouvoir qualifier la situation d’agression armée.
Il faut remarquer néanmoins que ce type d’incident, sous le seuil ou proche de l’usage de la force prohibée, ne peut que prendre de l’ampleur. Ces attaques informatiques s’intègrent bien dans une doctrine plus générale de « cyber guerre de basse intensité [ref]Sean Watts, « Low-Intensity Computer Network Attack and Self-Defense » (2011) 87 Intll Law Studies 59 aux pp 60-61.[/ref]». En effet, il pourrait s’agir d’un choix stratégique pour de nombreux pays, puisque cela permet une économie des ressources, une relative discrétion et empêche des actions draconiennes prises par l’adversaire (du moins davantage qu’une cyberguerre de grande intensité).[ref]Voir Ibid aux pp 71-75.[/ref]
Si l’on voulait contrer de telles attaques, particulièrement lorsque des civils sont touchés, imputer une responsabilité directement à l’État pour des infractions aux droits humains (par exemple aux droits à la vie privée et à l’intégrité) pourrait sans doute être une option [ref]Voir Clémentines Bories, « Appréhender la cyberguerre en droit international : Quelques réflexions et mises au point » (2014) 6 La Revue des Droits de l’Homme[/ref]. Cependant, cela reste encore davantage de l’hypothèse que de la réalité.