La France à la recherche d’un délicat « ordre public dans le cyberespace »
La France à la recherche d’un délicat « ordre public dans le cyberespace »
Propos recueillis par Martin Untersinger
Des négociations sous l’égide de l’ONU tentent de poser des règles de droit. L’ambassadeur pour la cyberdiplomatie explique au « Monde » les positions que défend la France.
QUENTIN HUGON / « Le Monde »
Les accusations, à l’automne, d’ingérence russe dans la présidentielle américaine, ont rappelé à quel point Internet était devenu, ces dernières années et sous la pression des Etats, un lieu de conflictualité, de surveillance et d’influence, une zone où les règles de droit ne semblent pas s’appliquer aux Etats.
La France espère pourtant stabiliser cet espace mouvementé. C’est le sens de la conférence organisée à Paris sur « construction de la paix et [de] la sécurité internationales de la société numérique », qui réunit, jeudi 6 et vendredi 7 avril, à l’Unesco, diplomates, chercheurs, hauts fonctionnaires et experts du domaine. Derrière cet intitulé consensuel, il y a la volonté de Paris d’en faire un instrument pour peser dans les négociations internationales en cours.
David Martinon, ambassadeur français pour la cyberdiplomatie, a expliqué au Monde les positions que la France comptait défendre.
« Approfondir la réflexion juridique sur les questions de paix et de stabilité dans le cyberespace est nécessaire », estime M. Martinon. Depuis 2004 en effet, l’ONU s’efforce, par le biais du groupe des experts gouvernementaux (GGE), d’établir des règles dans le cyberespace. En 2013, puis en 2015, deux rapports avalisés par l’assemblée générale des Nations unies ont reconnu des principes généraux, par exemple l’application du droit international dans le cyberespace ainsi que des normes de comportement. Mais le chemin est encore long pour voir ce cadre précisé et suivi d’effets. Une étape cruciale dans ce processus interviendra fin juin, avec le dernier « round » de négociation qui se tiendra à New York et pourrait déboucher sur des règles du jeu plus précises.
« Guerre froide », un terme inadapté
Ce qu’on appelle, faute de meilleur terme, le « cyberespace », l’espace numérique, défie les catégories habituelles du jeu diplomatique. Le terme de « guerre froide » est fréquemment utilisé, mais il est insuffisant, explique M. Martinon. « Contrairement à ce que nous avions connu après la seconde guerre mondiale – un duopole et des offensives uniquement périphériques – dans le cyberespace, nous sommes dans un affrontement multipolaire où les attaques peuvent être directes. » Le cyberespace, de l’aveu du diplomate, « ressemble au Far West : le droit est applicable mais il est peu appliqué, tout le monde agit ou peut agir de manière offensive, et il n’y a pas grand-chose pour brider les intentions malveillantes. » Avec une difficulté supplémentaire, « les attaques sont difficilement attribuables, leurs auteurs sont difficiles à identifier avec certitude. Il faut des capacités très importantes pour remonter à l’ordinateur de départ ».
Ce difficile processus technique est, de surcroît, insuffisant. « Elle ne permet pas de conclure définitivement sur l’identité de celui qui a lancé l’attaque et encore moins de celui qui l’a commanditée », précise M. Martinon, pour qui l’attribution est avant tout « une décision de nature politique ». Une décision que la France n’a jamais prise, contrairement aux Etats-Unis ou à l’Allemagne, qui ont affirmé par le passé que des attaques informatiques les visant provenaient de Russie ou de Chine. « Aujourd’hui, la comparaison entre les avantages et les coûts d’une attribution nous amène à ne pas nommer publiquement l’agresseur identifié », justifie M. Martinon.
Quelles positions pour la France ?
Actuellement, les doctrines des grands pays industrialisés sont établies et prévoient une riposte, par tout moyen, aux attaques frontales, destructrices et attentant à leur souveraineté. Pour la France, des épisodes similaires à ceux qui ont émaillé la campagne américaine, s’ils étaient commis par un Etat, constitueraient « une atteinte à sa souveraineté et à son indépendance », comme l’avait déjà annoncé à l’Assemblée nationale Jean-Marc Ayrault, le ministre des affaires étrangères et du développement international.
Symétriquement, l’espionnage, tant qu’il reste politique, est considéré comme une donnée inévitable de ce nouvel espace, que l’on ne peut interdire mais contre lequel les Etats doivent se protéger. Que faire pour la multitude d’autres attaques qui ne correspondent pas à ces deux situations ? On peut penser, par exemple, à l’offensive contre TV5 Monde en 2015, qui avait totalement paralysé la chaîne française. « Ce que nous voulons faire désormais [dans le cadre de l’ONU] c’est tirer les conclusions pour ce qui est des activités cyber qui sont sous le seuil de l’agression ou du recours à la force. Nous voulons pouvoir engager des contre-mesures, des rétorsions. Celles-ci pourront être politiques, diplomatiques, économiques ou techniques, publiques ou secrètes », explique David Martinon.
Rendre responsables les « proxies »
Après une attaque informatique, il est souvent possible de remonter non pas vers son origine, mais vers des systèmes par lesquels a transité l’attaque – un fonctionnement par rebonds qui permet aux assaillants de masquer leurs traces. L’idée de la France est donc de rendre les Etats responsables, du moins en partie, des offensives qui transitent sur leurs infrastructures pour viser un pays tiers. Bref, de créer un « mécanisme collectif de responsabilité ».
« Imaginons que si la France est attaquée par un pays qui utilise comme “proxy” les infrastructures de réseaux (essentiellement privées, donc) situées dans un autre pays, alors nous considérons que ce troisième pays, dès qu’il est informé de cette attaque, doit veiller à la faire cesser, explique David Martinon. Nous en avons fait une norme de comportement dans le rapport du GGE de 2015 : “Aucun Etat ne peut sciemment laisser ses infrastructures servir de base d’attaque à un autre Etat.” Nous aimerions approfondir cette logique. »
Une démarche qui ne peut s’appliquer à tous les types de réseaux, dont certains échappent par nature au contrôle des Etats, qui rencontrera des contraintes de mises en œuvre techniques et juridiques. Une manière de déplacer le problème ? « Sauf qu’en remontant la chaîne des proxies, on se rapproche de l’auteur de l’attaque, se défend M. Martinon. Mais en effet, on essaie de déplacer la solution sur un terrain plus accessible. Cette idée pose problème à certains pays, reconnaît-il également, qui font valoir la difficulté à contrôler les infrastructures de leur territoire, tant elles sont importantes. »
Contrôle des biens à double usage
L’autre axe de négociation français porte sur le contrôle des outils permettant de mener des cyberattaques, et plus précisément d’universaliser « l’arrangement de Wassenaar », qui permet un contrôle de l’exportation des biens dits « à double usage », pouvant à la fois être utilisé à des fins pacifique comme belliqueuse, particulièrement courants dans le domaine numérique. Cet arrangement ne concerne actuellement que 41 pays. « C’est comme pour le désarmement conventionnel : sans contrôler les armes, on ne peut pas empêcher les conflits », explique M. Martinon, tout en reconnaissant que « la négociation est difficile ». « Tous les pays veulent aujourd’hui s’armer, quel que soit leur niveau de développement, et certains Etats très en avance considèrent qu’ils ont une industrie et une innovation à protéger. »
Troisième point sur lequel tentera de peser la France, la logique du « hack back », les piratages effectués par des entreprises en guise de réplique à une attaque, contre elle ou leurs clients. Cette riposte privée « est un facteur hautement déstabilisateur, juge David Martinon, car cette riposte peut être déclenchée suite à une mauvaise attribution. Il y a bien sûr des avantages, c’est efficace, et cela peut avoir un effet dissuasif. Mais cela aboutit au fond à internationaliser le second amendement à la constitution américaine, celui du droit de porter une arme ». De plus, estime-t-il, « cela revient à très court terme à minorer la légitimité et l’efficacité des Etats, et c’est de nature à empêcher toute désescalade dans une crise cyber ».
Un dernier round de négociations délicat
Aujourd’hui, l’apaisement des relations entre Etats dans le cyberespace semble lointain. David Martinon veut cependant croire à la construction « d’un ordre public dans le cyberespace », dont le prélude serait la « définition, en commun, des comportements acceptables ou non ». Mais il y a un hic, « ces objectifs sont partagés par un grand nombre de pays, mais pas par tous. Certains Etats considèrent que dans cette paix relative ou cette guerre sans mort, les contre-mesures ne sont pas forcément licites », explique M. Martinon, dans une allusion transparente à la Russie.
Après de véritables avancées en 2013 et 2015, le dernier round de négociations à l’ONU s’annonce ardu, plombé par le contexte très lourd issu des accusations américaines à l’encontre de Moscou. « L’épisode n’a pas favorisé la confiance entre les parties, euphémise ainsi David Martinon. La négociation, cette année, est particulièrement difficile. »