Des souris et des bombes...

Peut-on répliquer militairement à une cyber-attaque alors qu'on on ne peut à ce jour établir avec certitude l’origine de l’agression ? Pas sûr. C’est d’ailleurs une des raisons qui avaient incité au printemps 2007 l’Organisation du Traité de l’Atlantique Nord à ne pas appliquer l’article 5 du traité fondateur de l’Alliance pour venir au secours de l’Estonie. Cette dernière affirmait que la Russie était à l’origine des connexions massives et simultanées qui avaient mis son infrastructure informatique nationale hors d’état de fonctionner. Mais ne pouvant établir avec certitude la désignation des auteurs de cet assaut, l’OTAN s’était abstenu de toute réponse armée, et même politique.

La capacité à mener des campagnes informatiques offensives à partir de n’importe quel point du réseau Internet et de mobiliser des bataillons d’ordinateurs-zombies contrôlés à l’insu de leurs légitimes propriétaires pose la question de la responsabilité des titulaires desdits ordinateurs. Le fait de s’être fait piraté son informatique serait-il un début de responsabilité qui légitimerait d’être attaqué militairement à son tour ?

Cette ambition étatsunienne pose d’autres questions majeures :

- Si des actions militaires visaient des équipements informatiques apparemment impliqués dans une cyberattaque, qu’adviendrait-il des données présentes dans les serveurs informatiques en question mais qui seraient sans lien avec les attaquants présumés ? Un hôpital, un industriel ou même des particuliers pourraient-ils voir leurs systèmes d’information détruits au seul titre que leurs données se trouvaient dans le même équipement informatique que d’éventuels pirates ? Faut-il les assimiler à des victimes collatérales ?

- En intervenant militairement dans le cyberespace les Etats-Unis n’indiqueraient-ils pas qu’ils n’envisagent pas d’autre autorité que la leur sur ce territoire ? Pas sûr que les Chinois et les Russes apprécient cette idée. Quant aux Européens, leur timidité sur le terrain de la diplomatie numérique est proverbiale. Cette option donnerait du crédit aux parlementaires étatsuniens qui souhaitent que Washington dispose d’une capacité d’interrompre l’Internet mondial en cas de menace cybernétique majeure.

- Cela achève de brouiller les frontières entre les mondes civils et militaires. Avec les règles distinctes qui encadrent jusqu’à présent l’action de guerre auprès de ces différentes populations. Nous avons mis des décennies à bâtir ce droit de la guerre, qui protège a priori les populations civiles. Cette avancée démocratique serait-elle balayée par un nouveau droit de la cyberguerre ? Cela mérite discussion, non ?

- A l’heure où l’informatique des nuages (cloud computing) - qui veut que les données ne soient pas centralisées mais disséminées dans des infrastructures informatiques en réseau - se généralise, comment concevoir une riposte militaire efficace ? C’est de prime abord contradictoire avec la logique d’un maillage en toile d’araignée qui caractérise l’Internet.

- La récente expérience WikiLeaks, avec la multiplication de sites miroirs qui dupliquent à l’infini les informations que l’on souhaite diffuser démontre la difficulté qu’il y aurait à rendre inaccessibles des sites jugés dangereux. D’ailleurs, il sera intéressant de voir si Washington assimile la divulgation d’informations confidentielles à une cyber-attaque. Ou si le Pentagone réserve ses cartouches pour les opérations purement informatiques de déni de service ou de prise de contrôle à distance d’équipements stratégiques.

Si cette prise de position étatsunienne se concrétise, il s’agira pour l’Europe de défendre sans tarder ses positions. Au risque sinon d’être définitivement reléguée au rang de consommateur de l’Internet, placée sous la dépendance des cyberpuissances (Etats-Unis, Chine…) qui elles n’hésitent pas à imposer leur tempo. Un sujet hautement stratégique qui aurait mérité d’être débattu au G8. Une occasion manquée.