Cyberattaque et droit international: la position consensuelle des États-Unis.

Harold Koh, conseiller juridique au Département d’État a tenté de clarifier la position des États-Unis sur l’application du droit international aux cyberattaques lors d’un discours à la U.S. Cyber Command Inter-Agency Legal Conference, mardi 18 septembre.

Ainsi, une cyberactivité constitue un usage de la force au sens de l’article 2 § 4 de la Charte des Nations Unies lorsqu’elle a pour résultat des morts, des blessés et des destructions importantes. Différents facteurs sont à prendre en compte dans cette évaluation: le contexte, l’acteur, la cible et sa localisation, les effets et l’intention. Ainsi, une cyberopération contre le système de contrôle du trafic aérien entraînant le crash d’un avion remplit les conditions de l’article 2 § 4.

Il s’agit là d’une interprétation consensuelle de l’usage de la force qui, traditionnellement, s’est toujours référée à la force armée. Or, elle pose problème dans le contexte du cyberespace, dans lequel une cyberattaque peut produire des effets dévastateurs qui ne se traduisent pas nécessairement par la violence. Lors du conflit russo- géorgien de 2008, des cyberattaques russes (mais non revendiquées) ont bloqué des sites institutionnels, provoqué la fermeture de banques et empêcher le gouvernement géorgien d’informer la population.

Harold Koh est conscient de cette problématique mais la nécessité d’obtenir un consensus sur le plan international le conduit à la mettre de côté. De plus, cette position permet de plus facilement reconnaître le droit naturel à la légitime défense puisque, selon les termes de l’article 51 de la Charte, il requiert la reconnaissance d’une « agression armée ». Mais, dans ce cas, se pose le problème de l’anonymat propre à internet. En effet, bien souvent, les cyberattaques ne sont pas revendiquées. Tracer l’origine d’une telle attaque peut être extrêmement difficile et demander beaucoup de temps et de moyens. Cependant, si on met de côté l’aspect technique de la question, les États sont juridiquement responsables des actes des acteurs privés qui agissent sous leur instruction ou leur contrôle. Ils pourraient donc se voir attribuer une cyberattaque commise par un groupe qu’ils contrôlent.

Dans le contexte d’un conflit armé, le jus in bello s’applique aux cyberattaques pour autant, là encore, que celles-ci aient des effets dommageables sur l’objectif militaire. Nonobstant ce qu’on entend par « effets dommageables » (« harm » pour Harold Koh) le caractère éventuellement non violent de ces attaques posent moins de problème puisque l’article 52 2) du Protocole additionnel I fait explicitement référence à la neutralisation d’un objectif militaire.

Enfin, dans un cybercontexte, le principe de proportionnalité comprend trois évaluations:

- celle des effets de la cyberarme sur les infrastructures militaires et civils, dont les infrastructures partagées (telles que les barrages ou le réseau électrique) qui affecteraient les civils;

- celle relative aux dommages physiques potentiels pouvant résulter des effets de l’attaque de l’infrastructure touchée;

- celle relative aux effets potentiels de la cyberattaque sur les objets civils, tels que les ordinateurs privés pouvant être reliés à ceux constituant un objectif militaire.

Cette dernière appréciation pose le problème de l’interconnexion des réseaux informatiques qui, ajoutée au caractère viral de certaines attaques informatiques, rendent difficiles leur maîtrise.

About these ads

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s