Cyberattaques : l’Amérique désigne ses ennemis
CORCORAL, Mark. Cyber-attaques : L’Amérique désigne ses ennemis. Paris: Éditions L’Harmattan, 2021.
Note de lecture d’un ouvrage de Mark Corcoral, paru aux éditions l’Harmattan
Cet ouvrage, paru en 2021, sur le thème de l’attribution et la révélation des cyberattaques par les États-Unis, reste aujourd’hui d’actualité, même si la situation sur ce sujet ne cesse d’évoluer.
Les cyberattaques ne cessent de se multiplier dans le monde et, si nous sommes aujourd’hui persuadés qu’elles proviennent essentiellement de Chine, Corée du Nord, Iran et Russie, c’est que les États-Unis désignent régulièrement depuis 2013 ces quatre pays comme les auteurs des cyberattaques dont ils sont les victimes.
Comment peuvent-ils en être sûrs ? et pourquoi le font-ils ? Telles sont les questions auxquelles Mark Corcoral tente de répondre dans cet ouvrage brillant.
Attribution des cyberattaques
L’attribution d’une cyberattaque à tel ou tel acteur, privé ou étatique, n’est pas simple et demande des moyens importants. De même que l’attribution d’un tableau à tel ou tel artiste est complexe, des siècles après sa disparition, et nécessite le recours à des experts et des techniques d’investigation sophistiquées, de même l’attribution d’une cyberattaque ne peut être conduite à la légère et doit reposer sur un faisceau de preuves suffisant. Une part d’incertitude reste inévitable.
Face à une cyberattaque, les premières actions sont de nature correctrice et corrective. Il s’agit d’abord de remettre les systèmes endommagés en état de fonctionnement et de réparer les conséquences de l’attaque (action correctrice). Il convient ensuite d’analyser les failles des systèmes qui ont permis l’attaque, et de prendre les actions correctives nécessaires pour éviter la reproduction.
Identifier l’auteur responsable de l’attaque répond à d’autres motivations, d’ordre politique, analysées dans l’ouvrage. Savoir qui est l’ennemi est un préalable aux actions de réponse. Attribuer une responsabilité extérieure permet par ailleurs d’écarter la responsabilité interne liée aux défauts de sécurisation des systèmes.
Révélation des cyberattaques
Savoir qui est à l’origine de l’attaque est important. Le faire-savoir peut être utile ou dangereux. Il s’agit là d’une décision stratégique.
La dénonciation morale peut être un premier objectif de la révélation. En anglais, on appelle cela « naming and shaming », nommer et faire honte. Mais la stigmatisation ne sera efficace que si elle s’adresse à des États partageant les mêmes valeurs morales. Cela n’est pas forcément le cas de la bande des quatre, objets des révélations étasuniennes depuis 2013.
Un objectif plus crédible de la révélation est celui de la démonstration de puissance et de l’intimidation : nous savons qui nous a attaqué. Nous disposons de moyens d’investigation considérables et avons aussi les moyens de riposte, dans le monde cyber et dans le monde économique. Il s’agit ici d’une politique de dissuasion. L’ouvrage donne une liste imposante de ces révélations faites par les états-unis depuis 2013, d’autant plus crédibles que les révélations de Snowden sont venues confirmer à point la puissance d’investigation étasunienne.
Droit international et cyberattaques
Des tentatives de mise au point d’un Droit international des cyberattaques ont été initiées dans le cadre de l’OTAN en 2013, puis développées de façon plus large en 2017 par un groupe d’experts indépendants dans le Manuel de Tallinn 2.0. Le manuel traite en particulier du droit de la responsabilité internationale et de l’attribution des cyberopérations et de leur licéité au regard du droit international général.
En-tête des principes énoncés, le fait que le principe de souveraineté s’applique au cyberespace et que l’État exerce sa souveraineté sur les systèmes d’information, les personnes et les cyberactivités sur son territoire, dans les limites de ses obligations découlant du droit international. L’État est ainsi libre de mener des cyberopérations dans la conduite de ses relations internationales, à condition de respecter ses obligations découlant du droit international et de ne pas mener de cyberopérations qui violeraient la souveraineté d’autres États. Les cyberopérations deviennent licites dans les situations de légitime défense ou de contre-mesures en réponse à une cyberattaque.
Par ailleurs, les experts notent qu’il n’existe pas d’obligation en droit international, pour un État réagissant à l’acte internationalement illicite d’un autre État, d’apporter publiquement la preuve de l’imputabilité de l’acte en question à l’État responsable.
L’actualité internationale démontre que malheureusement les principes énoncés dans le manuel de Tallinn ne sont pas devenus un standard et sont aujourd’hui largement ignorés.
En France et ailleurs
Cible d’une nouvelle cyberattaque, le Monténégro accuse la Russie https://t.co/AhfvqGoXXQ
— l’Opinion (@lopinion_fr) August 27, 2022
Si on ne compte plus les déclarations de cyberattaques russes par l’Ukraine ou plus récemment par le Monténégro, la première révélation française d’une cyberattaque est postérieure à la parution de l’ouvrage de Marc Corcoral : La France, via une déclaration de Guillaume Poupard en juillet 2021, attribue pour la première fois une cyberattaque en cours à la Chine.
Conclusion
Mark Corcoral conclut son ouvrage par le constat de la complexité du système international :
En ce sens, l’irruption de la cybersécurité sur la scène politique internationale est moins porteuse d’une révolution que d’une exacerbation des dynamiques qui s’y déploient. Plutôt que de penser le cyberespace comme un monde virtuel qui s’opposerait au monde réel, il faut le penser comme un domaine pleinement intégré aux relations internationales contemporaines… Le cyberespace est à la fois trop important pour être ignoré et trop complexe pour être compris au premier coup d’œil. D’où la nécessité, pour les internationalistes, de s’y intéresser.
