À la suite des récentes cyberattaques chinoises contre des compagnies et des agences gouvernementales américaines, Washington demanda à Beijing d’établir, entre autres, un dialogue sur la nécessité de créer des normes favorisant le bon comportement des États dans le cyberespace. Le contexte est-il propice pour entamer une telle ouverture de dialogue? Si le contexte n’est pas nécessairement le bon, le besoin d’un tel dialogue nous semble évident devant l’accumulation des cas de cyberattaques à caractère civil ou militaire durant la dernière décennie. De nombreux États accusaient ainsi la Chine de perpétrer des cyberattaques contre leurs infrastructures si bien qu’un faisceau de présomption entourait cet État et ses activités cybernétiques réelles ou imaginaires. Dans un récent article du Foreign Affairs (novembre 2012), les auteurs identifiaient clairement la Chine comme étant le principal État propagateur ou commanditaire de cyberattaques notamment vers les États-Unis. Ils comptaient jusqu’à 34 cyberopérations prouvées en provenance de Chine entre 2001 et 2011 sur un total mondial de 95 cyberopérations prouvées. Le dernier rapport de la compagnie Mandiant (publié en février 2013) a d’ailleurs démontré clairement d’où en Chine (un édifice de Shanghai) et de quelle unité de l’Armée populaire de libération (l’unité 61398) provenait les différentes cyberattaques. Celles-ci se révélaient ainsi bel et bien réelles.

Selon le conseiller américain à la Sécurité nationale, Tom Donilon, un tel comportement est inacceptable de la part de n’importe quel État et qu’il ne sera plus toléré par les membres de la communauté internationale. Le traitement de ce dossier est toutefois délicat, car le gouvernement américain cherche à obtenir le soutien de la Chine dans le maintien des sanctions contre l’Iran et la lutte contre la prolifération nucléaire en Corée du Nord, deux dossiers de sécurité nationale et mondiale continuellement ravivés par leurs différents protagonistes.

Malgré cette offre de dialogue avec la Chine, les États-Unis cherchent de leur côté à se protéger contre les cyberattaques. Or, l’administration du président Obama travaille activement à la création d’équipes d’informaticiens, agissant au sein du Cyber Command, ayant pour tâche de répliquer ou de perpétrer des attaques cybernétiques en cas de cyberguerre. Parmi les nouvelles règles entourant l’utilisation des cyberarmes, le président américain pourra désormais ordonner des frappes cybernétiques préventives contre tout État à propos duquel les États-Unis auraient des soupçons. Bien que la légalité des attaques préventives est depuis longtemps débattue, l’utilisation de ce type de frappe dans un contexte de cyberguerre complique les choses, tant au niveau de sa légitimité que de la proportionnalité de la force utilisée.

Les États-Unis, qui demandent aux autres États de faire preuve de transparence, demeurent flous quant à la limite que devra franchir un État pour qu’une cyberattaque américaine soit commandée, et cela dans le but de maintenir une certaine ambiguïté chez les États qui pourraient potentiellement frapper les États-Unis.

Le problème relève de la confusion qui règne actuellement quant au droit international du cyberespace. En quelques mots, il est très difficile de déterminer quand un échange de cyberattaques devient un conflit armé. En fait, il n’y a pas de seuil clair au-delà duquel une opération militaire dans le cyberespace constitue un usage illégal de la force. Il y a aussi un problème quant à la nature de la riposte que peut entreprendre un État victime de cyberattaque. Cette riposte, cybernétique ou non, est-elle légale? Puisqu’il est très difficile de retracer l’instigateur d’une cyberattaque, contre qui peut-elle être lancée et avec quelle ampleur? Cette riposte soulève aussi la question du seuil acceptable pour entreprendre une opération d’autodéfense dans le cyberespace. Enfin, une cyberarme (virus informatique, cheval de Troie, bombe logique…) ne peut être qualifiée comme telle qu’à la lumière des intentions de son utilisateur (s’il est possible de le retracer) et cette qualification se fait uniquement après l’utilisation de l’arme ce qui ouvre la voie aux attaques préventives.

La conséquence directe de ce problème c’est qu’il est à peu près possible pour les États de faire ce qu’ils veulent dans le cyberespace, dont la guerre, en fonction de leurs capacités. Les États-Unis ayant le plus grand budget de la défense au monde, qui dépasse à lui seul l’ensemble des dix autres budgets de défense les plus importants de la planète, possèdent donc de très grandes capacités en matière cybernétique. En conséquence, les États-Unis possèdent une très grande marge de manœuvre quant à l’utilisation militaire du cyberespace.

Le grand paradoxe dans cette histoire est le suivant : le général américain Keith Alexander, commandant du Cyber Command, avouait candidement devant une commission du Sénat américain qu’il ignorait ce qui constitue un acte de guerre dans le cyberespace. Or, une offre de dialogue envers la Chine jumelée à une attitude de dissuasion affichée, alors que personne ne sait vraiment ce qu’est réellement une cyberattaque, pose de sérieux problèmes aux différents gouvernements de ce monde. Pour qu’un dialogue de ce genre porte ses fruits, il semble que deux conditions doivent être remplies au préalable : 1) un cessez-le-feu dans le cyberespace et 2) une clarification du droit international relatif au cyberespace. Si la première condition nous semble impossible à atteindre, la deuxième condition relève de la volonté des États et de la perspicacité des chercheurs en droit international et en relations internationales.

Hugo Loiseau Ph.D.

• Professeur agrégé
• École de politique appliquée Université de Sherbrooke
• &
• Co-directeur de l' Observatoire des Amériques (OdA) Centre d'études sur l'intégration et la mondialisation (CEIM)

et Charles-Antoine Millette M.A.

• Doctorant
• Département de science politique
• UQÀM