Le piratage informatique actuel se concrétise principalement sous deux
aspects. Il agit soit contre une puissance pour le compte d’une autre
puissance, soit pour son propre compte en quête d’enrichissement. La lutte
contre les tentatives revient donc à la fois à la défense et à la justice.
La semaine dernière, les renseignements hollandais ont démasqué un
groupe russe qui hackait le système de la police du pays. Le nombre de ce type
d’intrusion à visée politique est en croissance. Et du côté des entreprises
victimes d’attaques cyber, l’activité des criminels aurait coûté quelques 129
md$ à la France en 2024.
Eurolaw France cyber anime des rencontres sur la sécurité, la stratégie
numérique et a développé un réseau interdisciplinaire d'experts au service des
établissements privés ou publics en prévention et en remédiation d’assauts
cyber. Lors d’un débat mi-mai, Yves-Marie Moray, président du GEIE Eurolaw
rappelait que « la communauté politique européenne, 3e bloc de population mondiale, après
l'Inde et la Chine, travaille sur les enjeux communs de sécurité, d'énergie et
d'infrastructure. Le numérique notamment est emblématique des domaines
appréhendés par le collectif ».
En effet, les Européens constatent que le risque en cybersécurité
connait une forte évolution ces dernières années. Ils doivent s’adapter. La
guerre en Ukraine a entraîné une amplification de l’emploi militaire et politique du cyberespace. L’univers numérique
d’aujourd'hui se pose comme un centre névralgique, une zone vitale exploitée
par tous les gouvernements. La plupart des actifs d'un pays sont gérés en
ligne. C’est pourquoi, un accès numérique permet à un agresseur informatique de
cibler une multitude d'équipements publics ou privés.
Aussi, un peu comme pour le réarmement face à la montée des conflits, il
incombe aux opérateurs de se préparer en intégrant l’assurabilité de leurs
infrastructures. Les alliés au sein de l’OTAN viennent de se concerter sur leur cyberdéfense et leur
cyberrésilience.
La sensibilisation progresse, mais le niveau où l’entrainement aux
alertes cyber serait acté semble encore loin. A titre de comparaison, dans un
autre registre sécuritaire, les alertes incendie sont passées dans les mœurs
depuis longtemps.
Les points de vue sur le droit international divergent concernant
l’espace numérique
Les actions des États dans l’espace numérique ne sont pas souhaitées visibles,
et même quand c’est le cas, la position juridique qui sous-tend la prise de
décision peut demeurer secrète. Or, les nations projettent leur puissance dans
le numérique aussi bien avec une intention de compétition que dans un but de
coercition. Espionnage, déstabilisation, ou carrément attaque, on peut
s’interroger sur la place du droit international dans ces actions quand elles
sont pilotées par un pays.
« Il a fallu attendre 2013 pour que les États affirment
collectivement que le droit international s’applique dans l’espace
numérique. » relève, au
dernier débat d’Eurolaw, Aude Géry, chercheuse au sein de GEODE (Institut
français de géopolitique). Car pour les actions occultes d’un pouvoir en place,
le droit international intervient comme un frein.
Beaucoup de gouvernements acceptent l’application d’un droit de légitime
défense, mais ils ne s’accordent pas sur son interprétation. Ils refusent
notamment un assouplissement de la notion d’agression armée qui
« augmenterait » les droits de la nation victime. Pour les
observateurs, les divergences persistantes entre application et applicabilité
considérées par les dirigeants de la Chine, de la Russie ou encore de Cuba
contribuent à rendre singulières leurs positions. Or il est crucial de savoir,
par exemple, si une puissance militaire majeure comme la Russie reconnaît que
le droit de légitime défense s’exerce en réaction à une attaque informatique.
En l’absence de consensus international sur ces questions lourdes de
conséquences, s’est établie une diplomatie du droit depuis 2018. Les États se
sont mis à communiquer leur interprétation nationale des obligations
internationales qui encadrent indirectement leur comportement dans l’espace
numérique. « Il faut préciser que la majorité des obligations qui
s’imposent à un État ne sont pas propres au numérique. Elles ouvrent donc la
voie aux interprétations. » indique la chercheuse.
Une trentaine de pays, l’Union
africaine, l’Union européenne, l’OTAN ont donc publié leurs points de vue. Ces
documents expriment des objectifs politiques et des idées susceptibles
d’inspirer d’autres gouvernements. Ainsi, la conception française de ce qui
constitue une atteinte à la souveraineté est partagée. De la même façon, les
positions très écoutées du département de la Défense américain et du U.S. Cyber
Command, à l’égard du droit international, influencent une pléiade de pays,
notamment européens. Ces publications sont importantes parce qu’elles
permettent, en particulier pour un ou des agresseurs, d’évaluer la réaction à
un assaut informatique d’un territoire ciblé.
Alors, si les forces françaises mènent des opérations qui entrainent des
dommages sur les systèmes d’information d’autres états, est-ce que,
juridiquement, elles portent atteinte à la souveraineté des pays en
question ? Ou bien est-ce que la France peut invoquer
des circonstances particulières pour se justifier et dire qu’elle se trouve
en-dessous du seuil d’une attaque afin d’échapper à l’application des règles
relatives à l’engagement d’hostilités ?
Début mars, l’Élysée dénonçait l’implication de la Russie dans des
attaques contre plusieurs hôpitaux français. A ce propos, l’interprétation
traditionnelle commune de l’attaque entre pays se définit comme un acte de
violence offensif ou défensif. « Cependant, comment la spécifier dans
l’espace numérique ? Doit-elle s’y accompagner d’effets
physiques ? », interroge Aude Géry. Pour ceux qui adoptent ce
seuil, en-deçà, l’hacktivisme étatique est donc sensé échapper aux limites qui
définissent une agression belliqueuse. Quant aux pays qui, a contrario,
estiment que les violences physiques ne sont pas requises pour qu’une action
cyber malveillante soit qualifiée d’attaque, le champ des possibles se retrouve
restreint d’autant. Ces choix interprétatifs ont donc des répercussions
opérationnelles concrètes pour l’armée et le renseignement. Le périmètre de
nuisance ou de répression y est asservi.
Confidentialité, intégrité, accessibilité
Les attaques informatiques sont d’abord motivées par la politique ou par
la cupidité. Elles proviennent de plusieurs sources. Il peut s’agir des
services opérationnels d’un pays, de mercenaires ou de fanatiques travaillant
au profit d’un gouvernement, et de criminels. Le milieu est perméable et toutes
ces sources communiquent entre elles. En vue d’une lutte coordonnée contre ces
associations potentielles, le ComCyber des armées et celui du ministère de
l’Intérieur partagent des liens.
La cyberguerre est constituée d’actions cyber hostiles contre un pays,
menées pour le compte d'un autre pays. Le ministère des Armées affirme par
exemple que la Russie mène depuis février 2022 des attaques contre Starlink
pour empêcher l’accès des Ukrainiens à internet. Les attaquants, qui
n’apparaissent généralement pas comme des entités nationales, visent des
systèmes d'information privés comme publics. L’hybridation de la guerre dans le
cyberespace, amène à reparler de pirates et de corsaires. Plusieurs groupes,
sans ou avec une appartenance affichée à un État, mènent aujourd’hui des
actions hacktivistes. On peut citer APT28, Black Storm, UNC5174, Lazarus, etc.
Ils participent ainsi à la réalisation d’objectifs géopolitiques ou économiques
pour le gouvernement qu’ils soutiennent. Sont souvent pointées du doigt dans ce
domaine la Chine et la Russie. « Ce qu’il faut retenir, c’est qu’il
existe une grande porosité, éventuellement favorisée par les pouvoirs en place,
entre cybercriminalité et cyberguerre. », souligne Ludovic Vestieu
pendant la discussion.
Le colonel Ludovic Vestieu appartient au commandement du ministère de
l'Intérieur dans le cyberespace (ComCyber-MI), entité qui assure la lutte
contre les cybermenaces d’ordre criminel. Concernant cette facette, le ComCyber-MI constitue
l’échelon intermédiaire entre la justice et les services d'enquête.
Les chiffres du rapport annuel du ComCyber établissent que le secteur privé est victime
de 70 % des attaques. Celles qui sont liées à des cellules hacktivistes
expriment des revendications politiques sur le net. L’obédience idéologique
n’est pas exclusive d’une recherche d'appropriation, et majoritairement la
motivation est financière.
Ce commandement intervient pour assurer la protection des systèmes
cyber. Au sens de l'ordonnance de 1957, cela implique de garantir, en tout lieu
et en tout temps, la continuité des secteurs importants et vitaux pour la vie
de la Nation. Suivant cette ligne directrice, la cybersécurité se conçoit comme
un état de sécurité des systèmes d'information qui garantit trois principes
fondamentaux : la confidentialité des données ; l'intégrité des
données ; l'accessibilité aux données. Elle s’accompagne d’une politique
d'authentification de l'ensemble des accédants. « Le rôle du
ComCyber-MI consiste pour partie à scruter en permanence les réseaux pour
s’assurer que ni la confidentialité, ni l'intégrité, ni l'accessibilité n'ont
été endommagées. », détaille Ludovic Vestieu.
Le colonel se focalise sur deux formes d’actions illégales sur les
réseaux. Premièrement, les actions « traditionnelles »
trouvent avec internet un amplificateur. C’est le cas pour le crime de haine,
les insultes, les discriminations, les attaques de religion ou d’ethnie, mais
aussi pour toutes les escroqueries en ligne. Deuxièmement, il cite les actions
criminelles qui portent véritablement atteinte aux systèmes de traitement
automatisé des données (STAD). Leurs auteurs adoptent pour mode opératoire
l’attaque des fondements déjà cités (confidentialité, intégrité,
disponibilité).
Le renseignement cyber surveille les attaques de STAD perpétrées sur le
réseau et leurs émetteurs. Son objectif principal est d’enquêter, d’interpeler
et d’ester en justice.
Le rapport annuel du ComCyber sur le suivi de l’état de la menace
dénombre environ 350.000 atteintes numériques en 2024. Soit une croissance de
2%, ce qui pourrait s’interpréter comme une pause. « Mais pour le
ComCyber l’explication tient d’une part au fait que les victimes paient et ne
déclarent rien après la remédiation, ou d’autre part au fait qu’elles n’ont
même pas remarqué que leurs données ont été pillées. La meilleure attaque,
c’est celle qui n’a jamais été repérée. », explique le colonel.
65 % des évènements visent l’appropriation de biens, souvent au moyen de
rançongiciels, déposés grâce à une intrusion. Dernière entreprise de poids
victime, Bouygues Construction a préféré arrêter ses systèmes pour endiguer
l’attaque. Généralement, celle-ci intervient après plusieurs mois d’observation
de la cible, afin de comprendre son fonctionnement, son organigramme, et de
connaitre ses faiblesses. Ce que l’assaillant recherche avant tout durant cette
phase, c’est à obtenir l’identifiant et le mot de passe d’une personne qui a
accès au réseau de la cible. Ensuite, l’amorce est souvent tentée via un mail à
un moment de relâchement, par exemple le vendredi à 16 h 30.
Pour le colonel du ComCyber, « L'action malveillante principale,
ce n'est pas le logiciel qu’on introduit chez quelqu’un, c'est le fait d'avoir
réussi à déjouer la sécurité de son système. » Beaucoup d’hôpitaux ont
été victimes de ce mode opératoire en 2023, avec des conséquences dramatiques.
Personne n’est mort directement d’une attaque cyber. Pourtant, cette
possibilité est bien réelle. « Les systèmes d’information des hôpitaux
ont redémarré après quelques jours, mais une partie de leurs données demeure chiffrée
et n’a pas pu être reconstituée, entraînant des pertes de chance. »
Aujourd'hui, un agresseur pourrait tuer via une attaque cyber. Les
secteurs de l’industrie ou de l’énergie se sont informatisés par ajout de
couches successives. Cela a été fait dans un souci de rapidité et d’efficacité,
mais pas nécessairement de sécurité. Les systèmes industriels en place
disposent de strates récentes très bien protégées et d'autres plus anciennes
susceptibles de subir des intrusions. Ludovic Vestieu prend un exemple : « Les
installations hydroélectriques françaises existent depuis des décennies. Au fil
du temps, des systèmes de commandes à distance y ont été installés, réduisant
ainsi les coûts liés à la masse salariale. La sécurité du système n’était pas à
l’ordre du jour. La question est de savoir maintenant, si une vanne de barrage
en montagne pilotée depuis la ville peut être piratée depuis ailleurs. »
Autre exemple : « Souvent, les caméras de surveillance
mises en place sont laissées avec un mode d'accès administrateur. C’est un peu
comme laisser une fenêtre ouverte. C’est une des failles exploitables connues
des hackers. »
C2M