• Envoyer
  • Imprimer

Guerre informatique et DIH : quelques réflexions et questions

16-08-2011 Éclairage

Le DIH est-il applicable à la guerre informatique ? Comment le Comité international de la Croix-Rouge (CICR) peut-il contribuer à protéger les civils contre les conséquences des cyberattaques ? Afin de connaître le point de vue d'un spécialiste sur ces questions et d'autres questions connexes, le CICR a récemment invité Herbert Lin, directeur scientifique au sein de la Commission de l'informatique et des télécommunications (États-Unis), à prendre la parole devant l'Assemblée du CICR et le personnel du siège. Si les opinions exprimées par M. Lin sont personnelles, sa présentation et les discussions qui ont suivi ont porté sur des thèmes qui intéressent tout particulièrement le CICR.

Herbert Lin a tout d'abord souligné que « les conséquences indirectes des cyberattaques sont presque toujours plus lourdes que les conséquences directes – le fait qu'elles soient indirectes ne signifie pas qu'elles sont de moindre importance ». Il a expliqué qu'une attaque peut consister à empêcher un ennemi d'utiliser son système informatique (attaques par déni de service, virus ou logiciels malveillants) ou à compromettre la fiabilité du système (par exemple en altérant des données). Dans certains cas, l'objectif final n'est pas le système informatique en tant que tel. Par exemple, l'auteur d'une attaque peut cibler un ordinateur qui contrôle un système radar, alors que son but est en fait de le désactiver juste assez longtemps pour pouvoir lancer un raid aérien. Il peut aussi se faire passer pour le commandant des forces armées ennemies et envoyer à des troupes un faux ordre qui les somme de se rendre. Autrement dit, une cyberattaque peut avoir des conséquences au-delà de la réalité virtuelle des bits et des octets, dans le monde réel.

Des attaques virtuelles qui ont des conséquences dans le monde réel

Tout comme des missiles visant des objectifs militaires risquent de tuer des civils, les cyberattaques ciblant des systèmes informatiques militaires peuvent avoir des effets imprévus sur des ordinateurs civils, par exemple sur les systèmes informatiques nécessaires pour assurer le fonctionnement et la sécurité des barrages, des centrales nucléaires et des dispositifs de contrôle aérien civil.

À première vue, il semble évident que seuls les systèmes militaires peuvent faire l'objet d'attaques. Néanmoins, lorsqu'un tank est stationné près d'un hôpital, par exemple, il est difficile de l'attaquer sans endommager l'établissement de santé. Il en va de même avec les systèmes de contrôle du trafic aérien civil et militaire, qui sont interconnectés : attaquer le système militaire sans porter atteinte au trafic aérien civil est une entreprise parfois très délicate.

Pour pousser plus loin l'analogie entre monde réel et monde virtuel, il pourrait s'avérer nécessaire d'indiquer les systèmes informatiques militaires à l'aide d'un insigne virtuel permettant de les identifier comme des cibles militaires légitimes – à l'instar des avions militaires, qui arborent aujourd'hui un insigne national de ce type –, afin que les attaques contre ces systèmes épargnent les systèmes civils. Une telle solution supposerait d'importants efforts de coopération entre les États.

M. Lin a souligné que, pour réduire le risque qu'une cyberattaque contre des objectifs militaires ait des conséquences pour des infrastructures civiles essentielles, il serait nécessaire de prendre des précautions particulières en vue d'éviter ou de réduire au minimum ces conséquences. Or, cela suppose souvent de connaître de façon précise les ordinateurs militaires visés et de consentir à des efforts de planification considérables.

L'épineux problème de l'application du droit

Pour être certain d'être en conformité avec les règles du DIH relatives aux dommages collatéraux, un auteur de cyberattaques devrait réunir une grande quantité d'informations sur les systèmes visés. Or, de nos jours, les réseaux évoluent rapidement. Il serait donc difficile voire impossible de tenir à jour ces informations. Par conséquent, il est possible que l'auteur d'une cyberattaque ne soit pas en mesure d'affirmer avec certitude que son opération n'infligera pas de dommages disproportionnés à la population civile. En voulant par exemple neutraliser une centrale électrique qui approvisionne un bâtiment du ministère de la Défense, on risque de provoquer une panne d'électricité dans un hôpital situé à proximité. Cela étant, la même incertitude existe si on a recours à une arme à énergie cinétique pour mettre hors service cette centrale électrique.

Dans certaines situations, il serait envisageable d'établir des marqueurs indiquant les réseaux qui sont exclusivement utilisés par des personnes et des biens protégés par le droit international humanitaire. M. Lin a cependant souligné qu'il serait facile d'imiter ce genre de marqueurs. C'est la raison pour laquelle, il faudrait qu'une organisation respectée soit habilitée à certifier que seules les personnes et les biens jouissant d'une protection utilisent ces réseaux. Dans le combat cinétique, on a parfois vu des combattants utiliser illégalement des ambulances pour transporter des soldats valides. Dans le cyberespace, une autorité habilitée (par exemple le CICR) pourrait veiller à ce que seules les installations informatiques qui remplissent des critères stricts puissent afficher un cybermarqueur indiquant, par exemple, qu'elles sont utilisées par un hôpital. Mais rien n'empêcherait alors une tierce partie de mettre en péril ces installations en les exploitant (de façon abusive) à des fins militaires.

Perspectives d'avenir

M. Lin a relevé qu'il était difficile d'amener les États et autres acteurs à s'accorder sur les limites à imposer à la cyberguerre. Néanmoins, il a fait valoir que certains analystes considèrent les réseaux électriques, les systèmes financiers et d'autres infrastructures d'importance critique comme des biens qui pourraient légitimement se voir attribuer un statut protégé similaire à celui conféré aux hôpitaux.

Quant au rôle potentiel du CICR à l'égard de la cyberguerre et du DIH, M. Lin a estimé que l'institution pourrait judicieusement tirer parti de ce qu'il a appelé son « pouvoir rassembleur » pour chercher à clarifier les exigences du DIH relatives à la cyberguerre. Il a néanmoins reconnu que cela ne serait pas du goût de ceux qui s'accommodent volontiers du manque de clarté actuel. Il a en outre fait valoir que le CICR pourrait aussi s'employer à générer un consensus à l'échelon international sur la question de savoir si les civils ont un droit fondamental à l'information et à l'électricité, entre autres, tout comme ils ont droit à la vie et à la propriété.


Photos

Herbert Lin, responsable scientifique, CSTB 

Herbert Lin, responsable scientifique, CSTB
© CSTB