Menace sur les élections : une équipe de juristes internationaux se mobilise pour protéger nos démocraties des ingérences et des fraudes

Où en sont les négociations internationales sur le thème de la cybersécurité ?

François Delerue : La question de la paix et de la sécurité dans le cyberespace a été introduite à l'ONU par une proposition de résolution de la Russie en 1998. Depuis, chaque année, l’Assemblée générale des Nations unies adopte une nouvelle résolution. A partir de 2004 est mis en place un groupe de travail d'experts gouvernementaux sur les progrès dans la téléinformatique dans le contexte de la sécurité internationale. 25 états participent aujourd’hui à ces groupes de travail. Plusieurs groupes ont été mis en place, en 2004, 2009, 2012, 2014, 2016 et le dernier en 2018. Celui de 2004 a échoué sur les questions de droit international. La Russie refusait de discuter du droit des conflits armés dans le contexte de ce groupe de travail car cela aurait pu, selon eux, servir de justification à une forme de normalisation de la militarisation du cyber espace et de son utilisation à des fins belliqueuses. Celui de 2016 a été bloqué (entre autres par la Russie, la Chine et Cuba) pour les mêmes raisons. A la suite de cet échec. Deux résolutions ont été adoptées l'année suivante. L'une, américaine, a créé un nouveau groupe de travail à un composition limitée. L'autre, russe, a créé un groupe de travail à composition non-limitée, c’est-à-dire ouvert à toutes les états membres de nations unies. Ces groupes de travail sont actuellement en place. On pourrait voir une polarisation sur le sujet entre deux grandes puissances, mais cette polarisation ne s’est pas traduite dans les votes car la majorité des états membres ont voté les deux résolutions, en voyant des intérêts dans les deux processus (l’un plus ouvert, très dynamique, l’autre plus restreint, pour avancer plus rapidement avec des Etats plus développés sur la question cyber)

Quel est l’objectif des chercheurs du  « processus d’Oxford » ?

Le problème d’interprétation des règles existantes du droit international est un enjeu important pour la paix et la stabilité du cyberspace. Dans ce contexte, le centre de recherche sur les conflits internationaux de l'université d'Oxford a mis en place un programme de recherche, financé notamment par Microsoft. Le but est d'établir une déclaration qui rappelle quelles sont les règles internationales de droit existantes et comment on peut les interpréter dans le domaine de la cybersécurité. Trois déclarations ont été faites, une première sur les cyber opérations en contexte pandémique, une deuxième sur les cyber opérations contre les centres de recherche de développement d'un vaccin, et une le troisième qui porte sur les interférences dans les élections. Cette dernière déclaration vient rappeler que les états ne sont pas libres d'interférer dans les élections d'autres états et qu'un certain nombre de règles du droit international doivent s'appliquer.

Que ressort-il de votre dernière déclaration sur les ingérences ?

Il y a déjà tout un corpus de droit international qui réglemente les interventions d'un état dans les affaires intérieures ou extérieures d'un autre état. Le fait de vouloir influencer les élections d'un état est clairement une violation du droit international. L'intervention illicite relève d’un droit coutier qui s'est notamment développé pendant la guerre froide, sous l’impulsion des deux grandes puissances de l’époque pour maintenir le statu quo, en limitant les ingérences et l’imposition de régime politique à d’autres états. Notre déclaration étudie quelles pourraient être les formes illicites d'intervention dans le domaine cyber : atteinte au vote électronique, attaque des machines à voter, piratage des listes de votants (comme en 2016 aux Etats-Unis), cyber opérations contre les médias, les partis, les candidats... La déclaration précise aussi l'interdiction d'aider un état qui viendrait à commettre ces actes illicites. Nous rappelons l'obligation de diligence, un vieux principe de droit coutumier, particulièrement important dans le cyberespace, qui interdit à un état de laisser son territoire être utilisé par un autre état à des fins illicites contre un autre Etat. Par exemple, on a régulièrement des accusations contre des hackers nord-coréens qui agissent depuis le territoire chinois ou malais. Certaines cyberattaques s'appuient sur des serveurs informatiques qui peuvent se trouver dans d'autres états. L'état qui détient la souveraineté sur ce serveur doit mettre en œuvre les mesures nécessaires pour interrompre la cyberattaque. En effet, l’état n’est pas tenu à l’impossible, c’est une obligation de prendre des mesures pour stopper la cyber opérations et non une obligation de résultat.

Dans le monde, quelles sont les différentes interprétations de la cyber-ingérence ?

C'est un droit qui est très flexible dans la manière dont il est défini. Comment définir les formes d’ingérences interdites par la charte des Nations unies et le droit international coutumier ? La même question se pose dans le cyberespace. Tous les états sont d'accord pour dire que le droit international s'applique, mais il va y avoir des nuances d'interprétations. Le cas d'école, c'est la violation de la souveraineté dans le cyberespace. Rien que dans le monde occidental, il y a trois approches différentes. L'approche française (rejointe par l’Iran ou la Finlande) est de dire que toute pénétration dans un système d’information est une violation de souveraineté. D'autres états, comme les Etats-Unis, considèrent qu'il faut qu'il y ait, en plus de la pénétration dans le système, un certain seuil de dommage qui soit atteint. Cette approche permet de dire que l'espionnage n'est pas illicite… La dernière approche, britannique (et rejointe de plus en plus par les américains) est simplement de dire qu’il n’existe pas de violation de souveraineté dans le cyberespace.

Quels sont actuellement les risques de cyber-ingérences dans des élections ? La France doit-elle prendre le sujet au sérieux ?

Un état a l'opportunité ou non de soulever l'infraction causée par un autre état. Ce n'est donc pas parce que l'état ne dit rien qu'il n'y a pas de violation. La France n’a pour l'instant fait aucune attribution publique de cyber opération, ce qui ne veut pas dire qu'on n’en a pas les moyens. Dans le cadre de l'élection de 2016, la France n'a toujours pas attribué le piratage d'En marche alors que les Américains ont affirmé par deux fois que les cyberattaques étaient le fait de la Russie.

Ce que l'on voit sur les tentatives de piratages d'élections, c'est surtout beaucoup de petits actes plutôt qu'un acte massif. Aux Etats-Unis, le piratage russe du parti démocrate a eu un effet amplificateur à cause d’une situation interne compliquée mais si on analyse purement l'opération elle est d'une intensité relativement faible. 

Pour le cas français, le fait qu'on vote massivement par papier limite la menace. Aux États-Unis, les électeurs votent sur un même bulletin pour plusieurs suffrages en même temps. Ces bulletins sont ensuite lus par des scanneurs, ce qui n’exclut pas des problèmes d’erreur ou de bug, comme en Floride durant l’élection présidentielle de l’an 2000 . Notre système électoral français nous protège contre un certain nombre de ces problèmes. Avant, les Français établis hors de France avaient la possibilité de voter par internet pour les élections législatives. En 2016, le Quai d'Orsay a pris la décision d'annuler la possibilité de voter en ligne sur recommandation de l'ANSSI. On verra si ce sera la même chose pour les prochaines élections.

Dans l'élection américaine de 2016, on parle beaucoup des cybers attaques, mais en réalité, la majorité des ingérences sont surtout le fait de liens douteux entre les personnes de l'entourage de Trump et la Russie. C'est peut-être aussi Facebook et le scandale Cambridge Analytica qui ont changé l'élection par des moyens de communications ciblées. Il faut bien savoir que les cyberattaques ne sont qu'un élément d'une stratégie de déstabilisation plus globale. 

Du point de vue du droit, est-on suffisamment armé pour lutter contre l’ingérence, plus insidieuse, via des campagnes de désinformation ou de diffusion de fake-news ?

On en revient toujours à une question d'interprétation : qui va déterminer ce qui est une vraie ou une fausse information ? Contrairement à une cyberattaque où on peut déterminer aisément qu’il y a eu pénétration dans un serveur. Certes, il peut y avoir à l'origine des fermes à trolls, responsables de la production de fausse information. Mais la question n'est pas tant qui la produit que qui la relaye. La rumeur du compte de Macron aux Bahamas au moment du débat de l’entre-deux tours en 2017 est née en Russie, est arrivée dans les réseaux d'extrême droite américaine avant d'arriver en France. On peut s’interroger : jusqu’où va la responsabilité des auteurs de la fausse information et de la Russie dans sa diffusion. Qui est responsable ? Où est-ce qu'on place le curseur ?

Le vote par correspondance a été évoqué pour les prochaines élections présidentielles en France. Faut-il s’en inquiéter ?

Cela va dépendre de la façon dont il sera mis en œuvre... Si c'est postal, la problématique est toujours de prouver notre identité. Il faut justifier l'identité du votant et l'intégrité de son vote. Si c’est un vote électronique, les mêmes questions se poseront avec en plus un risque possible de piratage. Le cas échéant, les autorités françaises compétentes, notamment l’ANSSI, seront responsables d’assurer la sécurité et l’intégrité du scrutin.