Le cyberconflit s’apparente à un monde inexploré. C’est le moins qu’on puisse dire.

Ce thème englobe toute une gamme d’actes criminels. À un bout de l’échelle, l’on trouve les virus ou des logiciels malveillants, distribués de manière aléatoire, conçus comme un simple sale tour, ou comme un véhicule criminel de vol d’identité, ou une attaque avec déni de service par saturation qui peuvent anéantir sites Internet et serveurs. Des attaques plus directes encore sont possibles, lorsque le système informatique d’un État est piraté, ou des infrastructures publiques majeures paralysées. À l’autre bout de l’échelle se trouve l’interférence avec le matériel informatique, notamment les puces d’ordinateur.

Ces attaques peuvent affecter autant d’aspects de notre vie qu’il existe d’auteurs de ces crimes et de motifs, de l’individu isolé jusqu’à l’action coordonnée derrière laquelle il convient de voir la main de l’État. L’implication des gouvernements dans les cyberattaques n’a jamais été publiquement prouvée, mais dans un certain nombre de cas, un faisceau de preuves converge vers la Chine et la Russie.

LE CAS ESTONIE

Au rang des victimes, l’Estonie est à ce jour la seule cible d’une attaque d’envergure nationale. De fin avril à fin mai 2007, deux vagues d’attaques avec quasi-saturation ont mis hors service sites gouvernementaux, portails et réseaux bancaires notamment.

À l’époque, Hillar Aarelaid, à la tête de l’Equipe de réponse d’urgence informatique d’Estonie a indiqué que lors des deux pics enregistrés, le 10 mai et le 15 mai 2007, le pays avait d’abord perdu 50 pour cent de « son pain, son lait et son essence » pendant 90 minutes, puis 75 pour cent des mêmes produits de base pendant cinq minutes lorsque la fermeture des réseaux bancaires a rendu impossibles les paiements par carte.

Les autorités estoniennes ont ensuite révélé que ces attaques provenaient de jusqu’à un million d’ordinateurs de par le monde. La plupart étaient des « zombies » réunis en « botnets » participant aux attaques à l’insu de leur propriétaire après qu’un logiciel malveillant ait infecté l’ordinateur. Mais une certaine proportion des cyberattaques serait le fait de « hacktivistes », agissant sur des instructions qui ont beaucoup circulé sur les forums russophones sur le Net.

Les autorités estoniennes ont accusé Moscou d’avoir organisé ces attaques en représailles d’une décision de l’État balte de déplacer du centre de la capitale Tallinn un monument commémoratif de la Deuxième Guerre mondiale. Ultérieurement, le député russe Serguéï Markelov a assumé la responsabilité d’une partie de ces attaques. L’Estonie lui a imposé une interdiction de visa Schengen, pour ensuite lever cette sanction à laquelle l’UE a discrètement fait objection.

Le cas de l’Estonie illustre la nouveauté de cette menace, la difficulté technique de poursuivre les auteurs, l’ambiguïté juridique, et le caractère hautement imprévisible des implications de ce type de criminalité.

Dépêchée en Estonie lors de la première vague de mai 2007, l’équipe spécialisée de l’OTAN a avoué avoir « autant appris » qu’elle n’a pu aider.

Le gouvernement estonien s’est dit victime d’une cyberguerre et dénoncé l’ampleur de l’attaque, catastrophique pour un petit État si fortement dépendant de l’internet (51 % des ménages estoniens avaient la large bande en mai 2007) avec une économie ouverte. Si la participation du gouvernement russe n’a jamais été établie de manière définitive, l’Estonie a fait pression sur l’OTAN pour qu’elle étende aux cyberattaques l’engagement de défense mutuel au titre de son Article 5.

Aucune menace militaire directe n’a plané en 2007. Cependant, la stratégie de cyberdéfense que l’Estonie a adoptée en 2008, fait valoir que ces attaques sont une menace pour la sécurité nationale « permettant à un attaquant à distance et avec des moyens minimaux de nuire considérablement à l’économie et aux infrastructures informatiques critiques de l’État.

Le cas de l’Estonie a suscité une certaine sympathie. Un haut responsable américain à l’OTAN en 2008 a comparé l’impact des cyberattaques en Estonie aux attentats du 11 septembre 2001 aux États-Unis. Le Général américain James Mattis, annonçant la décision de créer un organisme de cyberdéfense de l’OTAN à Tallinn, a cité la cyberdéfense aux côtés de la défense des frontières terrestres, maritimes et aériennes des alliés.

Le Général Wesley Clark, qui a dirigé le commandement européen à l’OTAN, affirme dans un article dans Foreign Affairs (novembre 2009), qu’il cosigne avec Peter Levin, que « la Russie a déjà été l’auteur d’attaques de déni de service contre des pays entiers, y compris l’Estonie, au printemps 2007. »

Toutefois, l’OTAN s’est bien gardée de pointer du doigt la Russie. Lors de son Sommet des 2-4 avril à Bucarest, l’alliance s’est engagée à assister ses membres victimes d’une cyberattaque, mais en ajoutant que les pays membres restaient responsables de la protection de leurs infrastructures critiques. Le secrétaire général Anders Rasmussen a annoncé un débat sur les cyberattaques dans le cadre de la révision du concept stratégique de l’OTAN.

La Russie est un partenaire stratégique tant pour l’OTAN que pour l’UE. Aucune preuve de la culpabilité des autorités russes n’a donc été rendue publique.

Le quotidien El Pais du 2 novembre cite l’Espagnol Nestor Ganuza-Artiles, membre du centre de cyberdéfense de l’OTAN en Estonie, qui estime que ces attaques peuvent relativement facilement être cachées. Ainsi, des attaques en série contre le site Internet de Radio Free Europe/Radio Liberty en 2008 ont conduit les enquêteurs à l’île de Bornéo.

La prudence de l’OTAN se révèle aussi par le fait que le Cooperative Cyber Defence Centre of Excellence de Tallinn ne fait pas partie de sa structure de commandement, et ne regroupe qu’une partie de ses pays membres.

Concrètement, la cybersécurité reste du ressort national. Chacun des 27 États membres de l’UE dispose de son équipe de réponse d’urgence informatique. La Russie aussi. Les États-Unis, qui ont jusqu’à présent surtout été la cible de hackers, ont aussi pris des mesures pour se protéger de la cybercriminalité.

Les régimes juridiques nationaux et internationaux sont aussi variés qu’incomplets. Le Conseil de l’Europe a adopté, en 2004, une Convention sur la cybercriminalité dont la finalité est de normaliser la législation nationale des signataires. L’UE a adopté, l’année suivante, une Directive sur les cyberattaques qui s’appuie sur la Convention précitée, mais en limite le champ d’application à l’UE, en fonction des besoins de son marché commun.

Deux options se présentent à la victime de cyberattaques. Pour un pays puissant comme les États-Unis, ces attaques restent un problème national à traiter avec des ressources nationales. Pour un petit pays comme l’Estonie, ces attaques imposent une pression sur les organisations internationales pour qu’elles améliorent leur réponse.

En l’absence de la seconde option, le petit pays peut encore tenter des mesures asymétriques. C’est ainsi que l’Estonie a invité des experts en technologies de l’information du secteur privé à se joindre à une « cyberarmée territoriale ». Des spécialistes estoniens en vue ont parlé de travaux en cours pour constituer une « cyber contre-arme » à déployer en cas d’attaque qui ciblerait en un tir groupé l’attaquant.

Mais toute médaille a son revers. Des contre-attaques présupposent une culpabilité avérée. Et encore faut-il techniquement pouvoir en limiter les effets aux confins d’un seul pays.

Associer des citoyens à des organismes publics de cyberdéfense pose la question de la limite de leurs pouvoirs et du contrôle et de la responsabilité gouvernementale de leurs actions.

Autre piste, le ministre estonien de la Défense, Jaak Aaviksoo, a déclaré dans une allocution à la George Washington University, le 3 novembre, que la « cyberdissuasion » devait commencer au niveau du citoyen, qui serait par exemple tenu de protéger son ordinateur par des antivirus.

L’UE a adopté une Directive sur les cyberattaques, mais en limite le champ d’application à l’UE, en fonction des besoins de son marché commun.