Se faire justice par elles-mêmes. Voilà la décision prise en 2017 par des entreprises privées à la suite des cyberattaques d’envergure WannaCry et NotPetya. Encouragée notamment aux États-Unis, la cyber-risposte (ou hack-back) est perçue d’un très mauvais œil outre-Atlantique, les Européens considérant cette pratique comme une porte ouverte aux règlements de compte en tout genre où chacun pourrait dégainer sa souris comme bon lui semble. Absente des textes internationaux, cette nouvelle pratique des entreprises n’est pas sans soulever des questions quant aux moyens juridiques à mettre en œuvre pour sécuriser au mieux ce nouvel espace de bataille qu’est le cyberespace.
Une sur cinq. C’est le nombre d’entreprises canadiennes ayant été touchées par des cyberattaques* en 2017, selon une enquête de Statistique Canada[1], parmi lesquelles BMO, CIBC et Air Canada. L’essor spectaculaire des attaques informatiques envers le secteur privé a mis en lumière l’échec des gouvernements à le protéger, poussant celui-ci à décider de se défendre par lui-même[2]. Venant appuyer cette mesure, la loi Active Cyber Defense Certainty(amendement au Titre 18Crimes and Criminal Proceduresdu Code des États-Unis), proposée en mars 2017 au Congrès américain par le représentant de l’État de Géorgie Tom Graves, a légitimé la pratique du hack-back* (ou corporate hacking*). Ainsi, les entreprises et les particuliers américains ont désormais le droit de riposter cybernétiquement par leurs propres moyens à une intrusion persistante et non autorisée dans leurs systèmes informatiques[3], d’atténuer ses effets et de prévenir sa répétition. Au Canada, la question de la cyber-riposte est en cours de discussion en vertu du projet de loi C-59[4]. Outre-Atlantique, cette nouvelle pratique des entreprises privées inquiète, laissant entrevoir une utilisation sauvage du cyberespace*.
Légitimer la défense privée
En quelques années, le cyberespace est devenu un lieu de confrontation pour une pluralité d’acteurs (États, entreprises et individus) dont les activités déstabilisatrices constituent une préoccupation majeure pour l’ensemble de la communauté internationale. Travaillant en étroite collaboration avec le secteur privé, les États (France, États-Unis, Canada, etc.) en viennent parfois à employer des entreprises afin qu’elles servent d’« intermédiaires », des proxies*, pour engager des activités malveillantes à l’encontre de pays concurrents ou ennemis. À côté de ce phénomène préoccupant, les entreprises prennent parfois l’initiative de riposter par elles-mêmes à des cyberattaques dirigées contre elles. C’est ce qu’on appelle la « cyber-riposte ».
Actuellement, en droit international, seuls les États possèdent le monopole de la légitime défense active*, ce qui signifie qu’il est illicite pour les entreprises de se faire justice par elles-mêmes. En revanche, il ne leur est pas interdit de se protéger. Seule la défense passive leur est autorisée, par exemple : installer un pare-feu*, mettre au point des honeypots*, scanner régulièrement leurs systèmes informatiques, le tout dans un but de surveillance et de dissuasion face aux cyberattaques.
Permettre aux entreprises de répondre à des attaques informatiques dirigées contre elles risquerait d’engendrer une escalade de la violence. Certains comme Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)* en France, s’inquiètent grandement des intentions belliqueuses des entreprises voulant contre-attaquer, qualifiant cette pratique d’« abomination[5] ». Pour lui, la cyber-riposte mènera à « des délires qui coûteront extrêmement cher si on n’y met pas un point d’arrêt immédiatement[6] ». La question est aujourd’hui délicate pour le secteur privé, qui reste très discret sur le sujet. D’ailleurs, le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de hameçonnage* en août 2017[7], a rapidement retiré son message devant l’interrogation des internautes face à cette pratique.
Attribuer les cyberattaques
Si les cyberattaques sont aujourd’hui largement utilisées tant par les États que par les entreprises privées, c’est en raison de leurs particularités faisant d’elles un outil éminemment stratégique. Non seulement peu coûteuses et discrètes, elles ont surtout pour caractéristique d’être anonymes, et donc difficilement attribuables. Là est toute la difficulté de la cyber-riposte : car avant d’estimer avoir le droit de se faire justice soi-même, encore faut-il être certain de l’identité de son assaillant numérique. Dans ce contexte, le droit à la riposte pourrait rapidement se transformer en un jeu dans lequel toutes les frappes sont permises dès lors qu’un acteur jugerait avoir été attaqué par untel ou untel. Guillaume Poupard[8] explique qu’aux niveaux des États, en croisant les différentes sources mises à disposition, il est possible d’arriver à avoir une bonne idée de qui est le cyberattaquant sans pour autant être très précis sur son identité. Cependant, envisager la possibilité pour les entreprises de désigner immédiatement leur assaillant pour ensuite répliquer relève de l’utopie. Par manque de ressources, les organisations pourraient très bien se faire leurrer par des personnes malveillantes qui, en faisant croire que l’attaque vient d’une autre direction (l’objectif serait de provoquer la contre-attaque), déclencheraient une réaction en chaîne.
Pourtant, certaines entreprises se sont spécialisées dans le domaine de l’attribution, offrant leurs services à des clients publics ou privés. C’est ainsi que des sociétés de cybersécurité comme Novetta ou CrowdStrike ont été particulièrement actives dans ce domaine, accusant des gouvernements étrangers (Chine, Russie, etc.) de se cacher derrière certaines cyberattaques d’envergure comme des vols de propriété intellectuelle ou du cyberespionnage industriel*. Comme le souligne Karine Bannelier-Christakis, professeure à la Faculté de droit de l’Université de Grenoble en France, ce rôle croissant des entreprises privées en matière d’attribution des cyberattaques soulève plusieurs questions politiques et juridiques. En effet, « pour la première fois peut-être dans l’histoire du droit international, l’imputation d’un fait à l’État […] est assumée principalement par des acteurs privés en lieu et place des acteurs publics traditionnels, à savoir les États victimes[9] ». En passant par le biais de l’attribution privée, les États se cachent derrière les entreprises pour ne pas avoir à subir d’éventuelles représailles. Or, « ce partenariat occulte et informel en matière d’attribution est […] fragile et même dangereux[10] ». Pourquoi ? Tout simplement parce que les motivations des sociétés du secteur privé spécialisées dans le domaine de la cybersécurité ne sont pas nécessairement les mêmes que celles d’un État, qui doit protéger sa sécurité nationale, ainsi que ses personnes morales et physiques.
Répondre de ses cyberactes
En droit international, l’État est responsable des faits illicites commis par ses agents* [11]. Toute autre entité (citoyens, entreprises privées, etc.) installée sur son sol et agissant pour son propre compte engage quant à elle sa responsabilité individuelle. Cependant, si un lien de subordination entre l’État et l’entreprise privée est démontré et est susceptible de justifier l’action de cette dernière, l’État sera alors jugé responsable des actes qu’elle a commis (article 8 du projet de la Commission du droit international sur la responsabilité internationale des États [12] adopté en 2001). Il en ira de même si l’entreprise est habilitée par le droit de cet État à exercer des prérogatives de puissance publique*, pour autant que cette personne ou entité agisse en cette qualité [13], et que son acte soit ainsi considéré comme un fait de l’État par le droit international. L’État peut également être responsable des actes commis par des entreprises s’il reconnaît les actions de ces dernières comme étant les siennes [14].
Cependant, aucun État ne revendiquerait une cyberaction commise par lui-même ou une entreprise privée. Ce serait prendre le risque d’une riposte contre ses infrastructures vitales (électricité, communications, transports, finances, etc.), mais également de se faire pointer du doigt par la communauté internationale, avec éventuellement le risque d’une sanction.
Or, comment cela se passe-t-il si l’entreprise prend l’initiative d’agir en répondant directement à une cyberattaque ? L’État peut-il être tenu responsable d’un acte commis par une entreprise et qu’il n’a pas orchestré ? Après tout, la « cyber-riposte sauvage » permettrait au secteur privé d’agir directement, sans avoir ni à consulter l’État, ni à lui demander son autorisation et son soutien. L’entreprise serait un lonesome cow-boyse faisant justice seule dans ce O.K. Corral numérique*. Ces actes seraient commis de façon spontanée, automatique, sans réelle réflexion sur les conséquences que cette réponse informatique pourrait engendrer. L’inconvénient pourrait d’ailleurs être un retour de manivelle. En effet, si des géants comme Google ou Microsoft venaient à se faire attaquer par de petites entreprises, le risque serait pour ces dernières de se faire écraser par la contre-offensive de ces grands groupes. Dans cette situation, il est impossible d’attribuer à l’État les cyberactes offensifs que la société privée a décidé seule de perpétrer. Sa responsabilité ne peut être engagée que dans la mesure où il n’a pas pris les mesures nécessaires et exigées par les circonstances pour empêcher les actions transfrontalières* commises par l’entreprise. Autrement dit, l’État est considéré comme responsable des agissements de l’entreprise s’il manque à ses obligations de diligence.
Sécuriser le cyberespace
Les risques que la cyber-riposte fait courir au maintien de la paix et de la sécurité internationales ne sont pas anodins, et justifient que la communauté internationale s’y attarde. Dans son rapport de 2015, le Groupe d’experts gouvernementaux des Nations Unies sur la cybersécurité (GGE) [15] exprimait déjà son inquiétude face à des tendances préoccupantes marquées par une hausse spectaculaire du nombre d’actes de malveillance dirigés notamment contre les infrastructures vitales des États. Considéré par certains auteurs comme un espace de non-droit, le cyberespace peut être régulé par le droit international, comme le sont pratiquement toutes les activités internationales. Le droit international permet de dissuader les États d’agir de façon contraire à ce qui est accepté sur la scène internationale, voire de les sanctionner en cas de non-respect des règles établies, agissant ainsi comme rempart face à la menace cybernétique. Pour autant, le rôle des acteurs privés dans le cyberespace constitue un bouleversement radical du paysage du droit international et des relations entre les acteurs publics et privés.
Le net déséquilibre au profit des États qui existait jusqu’alors sur la scène internationale se voit remis en cause par les grandes entreprises du numérique (Google, Microsoft, Facebook, etc.), dorénavant tout aussi puissantes que ces derniers – voire davantage [16]. Comme le droit international ne les touche pas directement, il est souhaitable de les intégrer dans une forme de corporate partnership board* afin qu’elles travaillent avec les États et les décideurs pour trouver des solutions efficaces aux nombreux défis actuels et futurs posés par la sécurité du numérique. Déjà en 2015, Microsoft proposait la création d’un organe informel à l’image du G20, un ICT20 – c’est-à-dire un organe qui réunirait les 20 plus grandes entreprises des technologies de l’information et des communications (TIC) [17]. En se basant sur cette idée, la création d’un organe international souple, multipartite, permettant aux grandes sociétés des TIC de participer aux prises de décision étatiques est envisagée. Le but serait de favoriser une utilisation plus responsable de l’espace numérique, de proposer un encadrement juridique mieux à même d’intégrer ses particularités et les difficultés techniques qui l’entourent ; et enfin, d’aider à la construction d’un monde plus sûr [18].
Ainsi, le cyberespace a induit l’intégration de nouvelles variables qui éprouvent la capacité du droit international existant à pouvoir l’encadrer. Par son biais sont apparus sur la scène internationale de nouveaux acteurs, qui voient dans les cyberarmes des outils de puissance non négligeables leur permettant de se passer des États – voire de rivaliser avec eux. Dans ce Far-West numérique, où des entreprises visent à asseoir leur autorité, la question demeure : qui jouera le rôle du shérif entre l’Organisation des Nations Unies (ONU), l’Union internationale des télécommunications (UIT), ou un potentiel nouvel organe spécialisé sur ces questions ?
Lexique
Actions transfrontalières : se dit des actions, en l’occurrence des entreprises, qui ne se limitent pas au territoire national de leur État de rattachement, mais qui, au contraire, se répercutent au-delà des frontières.
Agents de l’État : personnel civil et militaire, soit fonctionnaires statutaires, soit employés placés sous contrat de travail avec l’État et exerçant leur activité à l’étranger en cette qualité.
ANSSI : équivalent de la National Security Agency (NSA) aux États-Unis, ou du Government Communications Headquarters(GCHQ) au Royaume-Uni. Elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.
Corporate partnership board : mécanisme formel d’intégration du secteur privé afin que celui-ci vienne à travailler avec les États et les décideurs pour trouver des solutions efficaces aux nombreux défis actuels et futurs pour la sécurité numérique.
Cyberattaque : actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.
Cyberespace : espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.
Cyberespionnage industriel : action informatique permettant aux États ou aux entreprises privées d’obtenir un avantage stratégique par le biais de l’acquisition d’informations économiques
Hack-back : riposte cybernétique à une intrusion persistante et non autorisée dans des systèmes informatiques. Même si le terme hack-backest plus courant, nous avons fait le choix d’utiliser dans ce texte l’équivalent français, soit « cyber-riposte ».
Hacking : activité qui consiste à modifier l’un des éléments d’un logiciel ou d’un matériel afin que celui-ci puisse avoir un comportement (une utilité) autre que celui (celle) pour laquelle il a été conçu.
Hameçonnage : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.
Honeypots : système informatique public volontairement vulnérable à une ou plusieurs failles connues visant à attirer les pirates. Le but est d’étudier leurs stratégies d’attaque pour ainsi mieux les comprendre et les anticiper.
Légitime défense active : exception juridique permettant à l’État de répondre à une agression armée provenant, par exemple, d’un État ou d’une organisation ennemie. Le principe de légitime défense est présent à l’article 51 de la Charte des Nations Unies.
O.K. Corral numérique : en référence à la plus célèbre fusillade dans l’histoire de la conquête de l’Ouest, on parle d’un O.K. Corral numérique pour désigner le cyberespace comme un lieu de règlements de compte en tout genre.
Pare-feu : dispositif qui protège un système informatique connecté à Internet des tentatives d’intrusion qui pourraient en provenir.
Prérogatives de puissance publique : moyens juridiquement reconnus dont l’État (administration ou organismes affiliés) est doté afin de remplir pleinement ses missions d’intérêt général et d’imposer sa volonté à des personnes privées.
Proxy : programme informatique jouant le rôle d’intermédiaire entre la machine (ordinateur, téléphone intelligent, tablette, etc.) et Internet.
Références
[1] Statistique Canada (2018, 15 octobre). L’incidence du cybercrime sur les entreprises canadiennes, 2017. Repéré à https://www150.statcan.gc.ca/n1/daily-quotidien/181015/dq181015a-fra.htm
[2] Laystary, E. (2018). Faut-il autoriser le hack-back, entre légitime défense et escalade de la violence ? [Reportage]. Dans Découvertes, Paris, France: France24. Repéré à https://www.france24.com/fr/20180130-faut-il-autoriser-le-hack-back-entre-legitime-defense-escalade-violence
[3] Graves, T. (2017). [Discussion Draft] Active Cyber Defense Certainty Act – 2.0. Repéré à https://tomgraves.house.gov/uploadedfiles/discussion_draft_active_cyber_defense_certainty_act_2.0_rep._tom_graves_ga-14.pdf
[4] Scotti, M. (2018). Here’s what you need to know about Canada’s “extraordinarily permissive”new spying law.Global News. Repéré à https://globalnews.ca/news/3999947/cse-c59-new-spy-powers-canada/
[5] Poupard, G. (intervenant). (2017). Le cyber, nouvelle arme de dissuasion planétaire [Reportage]. Dans Choix de la rédaction, Paris, France : Société France culture. Repéré à https://www.franceculture.fr/emissions/le-choix-de-la-redaction/le-cyber-nouvelle-arme-de-dissuasion-planetaire
[6] Ibid.
[7] Cox, J. (2017).Email provider ProtonMail says it hacked back, then walks claim back. Vice. Repéré à https://motherboard.vice.com/en_us/article/qvvke7/email-provider-protonmail-says-it-hacked-back-then-walks-claim-back
[8] Poupard, op. cit.
[9] Bannelier-Christakis, K. et Christakis, T. (2017). Cyber-attaques. Préventions-réactions : rôle des États et acteurs privés. Paris, Comité d’études de défense nationale, p. 60 [Les Cahiers de la Revue de Défense Nationale].
[10] Eichensehr, K. (2017). Public-private cybersecurity. Texas Law Review (95), p. 23
[11] Voir par exemple Affaire Velasquez Rodriguez, Inter-Am.Ct.H.R., Série C, no4 (1989), paragraphe 170 : « d’après le droit international, un État est responsable des actes accomplis par ses agents dans l’exercice de leurs fonctions ainsi que de leurs omissions… »
[12] Commission du droit international. (2001). Projet d’articles sur la responsabilité de l’État pour fait internationalement illicite et commentaires y relatifs, p. 390. Repéré à http://hrlibrary.umn.edu/instree/Fwrongfulacts.pdf
[13] Ibid.Voir article 5, p. 389.
[14] Ibid.Voir article 11, p. 390.
[15] Groupe d’experts gouvernementaux (GGE) chargé d’examiner « Les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale ». (2015, 22 juillet). Rapport A/70/174. Repéré à https://undocs.org/fr/A/70/172
[16] Schmitt, M. N. et Watts, S. (2016). Beyond state-centrism: International law and non-state actors in cyberspace. Journal of Conflict & Security Law,21(3), p. 1.
[17] Microsoft. (2015). International Cybersecurity Norms, Reducing Conflict in an Internet-Dependent World. Repéré à https://www.microsoft.com/en-us/cybersecurity/content-hub/reducing-conflict-in-lnternet-dependent-world
[18] Bannelier-Christakis et Christakis,op. cit.,p. 87.