La cybercriminalité, un "Far West numérique" au cœur des relations internationales
© Getty – Mikhail Metzel - Le président américain Joe Biden et son homologue russe Vladimir Poutine lors d'une rencontre à Genève, le 16 juin 2021. Les deux chefs d'État y ont évoqué des consultations à mener sur la cybersécurité.
ENTRETIEN // Aude Géry, chercheuse du centre Géode spécialisée dans la prolifération des armes numériques et le droit international, aborde avec Les Numériques les interconnexions entre la cybercriminalité et les enjeux internationaux.
La hausse spectaculaire du nombre de cyberattaques dans le monde depuis 2020, ainsi que leur impact sur les entreprises, les organismes publics et les particuliers, vient avec sa part de flou. Perpétrées par des groupes criminels de mieux en mieux équipés grâce à un écosystème particulièrement bien structuré, ces attaques et la déstabilisation du cyberespace qui en découle profitent parfois à des États jusqu'ici peu enclins à prendre des mesures. À tel point qu'aujourd'hui, la cybercriminalité prend une place significative dans les relations internationales. Le 9 juillet 2021, le président des États-Unis Joe Biden a par exemple demandé à son homologue russe Vladimir Poutine d'agir contre des groupes de hackers russophones, après une série d'attaques au rançongiciel ayant touché plusieurs entreprises sur le territoire américain (SolarWinds, Colonial Pipeline, la filiale étatsunienne de JBS, Kaseya). Un mois plus tôt, l'hôte de la Maison-Blanche et le président russe s'étaient accordés lors d'une rencontre à Genève sur des consultations à mener sur la cybersécurité. La question se pose alors de savoir quels cadres juridiques peuvent être à disposition des États pour agir contre ces groupes de hackers.
Lors du Forum international de la cybersécurité 2021, qui s'est tenu à Lille du 7 au 9 septembre, Aude Géry, chercheuse au centre Géode spécialisée dans la prolifération des armes numériques et le droit international, a participé à une discussion portant sur l'idée d'un "nouveau Far West numérique" fait de "mercenaires" et de "marchands d'armes" numériques. Docteure en droit public, elle travaille sur les questions d'extraterritorialité et la manière dont le droit international évolue face aux cybermenaces. Les Numériques a pu s'entretenir avec elle pour aborder ces questions.
AUDE GÉRY – Tel que je le vois, cet écosystème a toujours existé, mais il est de plus en plus visible. Ces dernières années, on a observé une prise de conscience : finalement, il ne s'agit pas que de questions techniques, il y a aussi des implications politiques, et il faut réagir. On voit que du point de vue de la cybercriminalité, les ransomwares explosent. La conflictualité entre États aussi. Il y a des liens entre tout le monde. C'est pour cela que l'on prend l'image du Far West, qui est assez parlante. Cet écosystème est plus visible parce que les utilisateurs lambdas, les entreprises peuvent aussi se retrouver victimes d'actions des États.
Aude Géry, postdoctorante au centre de recherche Géode en droit international public, spécialiste des enjeux juridiques internationaux de la cybersécurité.
Le terme "cybermercenaire" est un peu intriguant, parce que le mercenariat se définit juridiquement, nous avons une convention internationale. Mais c'est vrai que ce phénomène prend de l'ampleur. On a entendu parler de groupes en Inde ou en Russie qui vendaient leurs services. Ce qui est compliqué, c'est qu'un mercenaire va vendre ses services contre de l'argent, généralement dans le cadre d'une opération militaire ou de sécurité. Ici, des groupes vont agir et leur État de nationalité va en tirer un bénéfice, mais sans qu'il y ait une coordination quelconque. C'est aussi un phénomène auquel il faut faire face.
Certains États ont une volonté politique modérée parce que l'existence de ces groupes sert, d'une façon ou d'une autre, leurs intérêts.
Dans la plupart des États aujourd'hui, il existe un cadre juridique clair sur l'illégalité de ce genre de pratiques au regard du droit national. Mais il reste la question de la volonté politique. On sait que certains États ont une volonté politique modérée parce que l'existence de ces groupes sert, d'une façon ou d'une autre, leurs intérêts. Si l'on met de côté cette question de la volonté politique, il faut des moyens judiciaires, policiers, des gens compétents, du temps. Aujourd'hui, le niveau de capacité est extrêmement différent selon les États.
En France, on observe une montée en puissance, avec notamment la création d'un commandement de la gendarmerie cyber. Cela prend du temps, il faut les gens, les former, les recruter, se mettre à niveau. Le fait d'avoir des capacités va permettre d'identifier un certain nombre de choses. Mais on sait bien qu'il faut de la coopération internationale, donc il faut aussi que les États acceptent de travailler les uns avec les autres. L'échange d'informations ne se fait pas en un claquement de doigts. C'est encadré, il y a des règles, des processus. Donc il faut faciliter l'échange d'informations, c'est l'un des enjeux aujourd'hui en matière de lutte contre la cybercriminalité. De plus en plus, Europol et Interpol se positionnent et font office de liants pour faciliter cette lutte contre la cybercriminalité. On entend parler de polices de tels ou tels États qui ont coopéré et démantelé tels réseaux de bots… Donc c'est possible et ça se fait de plus en plus. Mais il faut encore approfondir cette coopération.
Il y a un effet de communication certain. Mais cela peut potentiellement avoir un impact car aujourd'hui, toute la question qui se pose est celle de la ligne rouge. À partir de quel moment un état victime va-t-il vraiment réagir et avec force ? L'identification de cette ligne rouge n'est pas claire parce qu'il y a aussi le jeu d'ambiguïté des relations internationales. Mais on a l'impression que là, les États-Unis ont dit : "Attention, il va falloir que ça s'arrête". Pendant des années, le dialogue entre la Russie et les États-Unis sur les questions cyber était au point mort. Il y avait vers 2013, 2014 des discussions, des accords, et puis ça s'est arrêté avec le conflit ukrainien. On peut se demander si, aujourd'hui, ces discussions ne peuvent pas être relancées. Ces deux États ont certes des intérêts divergents, mais il y a quand même une forme de conscience qui suppose que, malgré tout, il faut coopérer. Des discussions ont l'air de se mettre en place, mais la dimension publique sera probablement très limitée.
Les États jouent avec les lignes rouges.
En tant que juriste, je n'aime pas tant le terme "cyberguerre", qui renvoie vers une notion de conflit armé. Ce qui est clair, c'est que la plupart des attaques sont en-dessous du seuil qui déclenche l'application du droit des conflits armés. Mais les États jouent avec les lignes rouges, profitent de pouvoir agir avec une portée mondiale en restant tranquillement dans des bureaux. Il y a une vraie conflictualité étatique qui déstabilise l'ensemble des sociétés. Quand un État exploite une vulnérabilité pour mener une opération, elle peut être extrêmement ciblée. Mais malgré toutes les précautions du monde, ça peut quand même déborder. Même si le payload n'était pas déclenché, on a bien retrouvé Stuxnet partout, et pourtant il s'agissait d'une opération étatique.
À partir du moment où l'on exploite une vulnérabilité, tout le monde peut être touché : elle peut être rediffusée, réutilisée par d'autres. Il y a une porte d'entrée pour toucher la cible, mais cette porte d'entrée peut aussi toucher des millions de personnes.
Il y a aussi le problème des fuites d'outils. Un exemple connu est celui des Shadow Brokers, où des outils de la NSA se sont retrouvés accessibles en ligne et ont été réutilisés par des États et des acteurs non étatiques pour mener des opérations. On peut comprendre qu'un État développe des capacités, mais le fait est qu'elles peuvent être réutilisées, sans compter les cas où les victimes apprennent de leurs attaquants et montent en puissance. Là-dessus, un document des Snowden Leaks explique que c'est typiquement le cas de l'Iran. Donc la conflictualité entre États n'est pas limitée. On voit qu'elle déborde du cadre strictement interétatique.
On peut adopter tous les traités que l'on veut, si l'on n'a pas les moyens de les mettre en œuvre et si on ne coopère pas, ça ne marchera pas.
Sur la cybercriminalité aujourd'hui, on ne peut vraiment pas espérer résoudre ou faire diminuer ce problème si l'on n'a pas de capacités humaines, techniques organisationnelles et juridiques, et de la coopération internationale, et aussi entre États et acteurs non étatiques. On peut adopter tous les traités que l'on veut, si l'on n'a pas les moyens de les mettre en œuvre et si on ne coopère pas, ça ne marchera pas.
Sur la conflictualité étatique, des travaux se déroulent à l'ONU. Mais on est quand même aujourd'hui dans un contexte extrêmement tendu où l'unilatéralisme prime sur le multilatéralisme. Donc c'est difficile d'avancer. Les États sont conscients qu'ils doivent faire attention à ce qu'ils font, tout en voulant se garder une marge de manœuvre. Par exemple, l'un des grands défis aujourd'hui est la question de l'espionnage. Comment est-ce qu'on veut essayer de limiter le nombre d'attaques si on ne parle pas d'espionnage ? Sauf que, pour des raisons stratégiques évidentes, c'est une partie de la conflictualité entre États dont les États ne veulent pas parler.