Nous vivons à une époque de cyberguerre parrainée par les États, où les conflits ont un champ de bataille numérique parallèle et intangible. La manifestation la plus évidente en est la propagande, cette bonne vieille guerre de l’information, avec des éléments tels que des photos, des vidéos et des enregistrements obtenus, puis encadrés et diffusés en ligne. L’autre aspect de la situation – les cyberattaques concentrées sur les infrastructures, le piratage des équipements et des forces ennemies, les virus apocalyptiques comme Stuxnet – que le public ne voit jamais en dehors de vagues reportages d’information.
L’invasion de l’Ukraine par la Russie a donné un autre aspect à cette situation : les groupes de hackers civils, parfois appelés hacktivistes, qui sont capables de s’impliquer dans un conflit depuis n’importe où. Le Comité international de la Croix-Rouge (CICR) estime que ce conflit particulier a vu s’impliquer un nombre sans précédent de pirates informatiques civils et, pour la première fois, a publié des règles d’engagement pour la cyberguerre.
Il existe huit règles, dont l’interdiction d’attaquer les hôpitaux, l’interdiction de menacer les civils et la production de virus informatiques qui se propagent de manière incontrôlée. Les règles sont ancrées dans le droit international humanitaire et sont :
- Ne dirigez pas de cyberattaques contre des biens civils
- N’utilisez pas de logiciels malveillants ou d’autres outils ou techniques qui se propagent automatiquement et endommagent sans discernement les objectifs militaires et les biens civils.
- Lorsque vous planifiez une cyberattaque contre un objectif militaire, faites tout ce qui est en votre pouvoir pour éviter ou minimiser les effets que votre opération pourrait avoir sur les civils.
- Ne mener aucune cyber-opération contre des installations médicales et humanitaires
- Ne mener aucune cyber-attaque contre des objets indispensables à la survie de la population ou pouvant libérer des forces dangereuses
- Ne prononcez pas de menaces de violence pour semer la terreur parmi la population civile.
- Ne pas inciter aux violations du droit international humanitaire
- Respectez ces règles même si l’ennemi ne le fait pas
Le CICR prévient que les pirates informatiques risquent non seulement de menacer la vie d’autrui, mais aussi de devenir des cibles militaires légitimes. Le Dr Tilman Rodenhäuser, conseiller juridique du CICR, déclare :
« Certains experts considèrent les activités de piratage de civils comme du « cyber-vigilantisme » et soutiennent que leurs opérations ne sont pas techniquement sophistiquées et sont peu susceptibles d’avoir des effets significatifs. Cependant, certains des groupes que nous observons des deux côtés sont importants et ces « armées » ont perturbé […] banques, entreprises, pharmacies, hôpitaux, réseaux ferroviaires et services civils de l’État.
Malheureusement, la nature même des collectifs de hackers civils signifie qu’il existe une diaspora de cibles pour de tels conseils, sans aucune garantie que quiconque les respectera, et la dernière règle en particulier – « Se conformer à ces règles même si l’ennemi ne les respecte pas » – a un impact. légère bouffée de désespoir. La BBC met en avant l’armée informatique d’Ukraine, qui compte 160 000 membres sur sa chaîne Telegram et qui a, entre autres, ciblé les infrastructures civiles russes. Il a déclaré à BBC News il n’a pas décidé d’appliquer ou non les règles, a souligné qu’il n’attaquait pas de cibles médicales et a ajouté : « Le respect des règles peut désavantager une partie. »
Le chef du cybergroupe russe Killnet, Killmilk, a eu une réponse encore plus sévère : « Pourquoi devrais-je écouter la Croix-Rouge ?
Qu’on l’appelle cybercriminalité ou hacktivisme, la présence d’attaquants civils dans la guerre numérique est un élément de plus en plus important des conflits, et ils ne fonctionnent selon aucun code militaire : même si, bien sûr, beaucoup choisissent d’adhérer à certains principes humanitaires. Cependant, un problème peut-être plus important que ce que les groupes choisissent de faire est leur capacité à contrôler la situation et à limiter les dommages collatéraux, ce qui semble une tâche impossible. Et il y a le simple fait qu’avec certaines règles de la Croix-Rouge, ils se heurtent à des objectifs que les hackers se sont peut-être fixés : tout est juste, comme on dit, dans l’amour et dans la guerre. Ou comme Jake Moore, responsable mondial de la cybersécurité d’ESET, le dit« Être capable d’agir en temps de guerre sous une cape d’invisibilité ajoute une dimension qui établit des règles d’échec. »