Les experts chargés de la défense du cyberespace ukrainien estiment que la guerre en Ukraine met à l’épreuve la place des cyberattaques dans les règles actuelles relatives aux crimes de guerre. Ils soulignent notamment que les cyberattaques russes contre les infrastructures « civiles » ukrainiennes doivent être considérées comme des crimes de guerre en vertu du Statut de Rome, le traité qui a institué la Cour pénale internationale (CPI). Ainsi, ces derniers mois, les autorités ukrainiennes auraient communiqué à la CPI diverses informations sur les cyberattaques russes, dans l’espoir que celle-ci les considère comme des crimes de guerre.
En envahissant l’Ukraine le 24 février 2022, la Russie a coordonné ses attaques au sol avec une vague impressionnante de cyberattaques dont certains visaient le service Internet par satellite KA-SAT, perturbant ainsi les communications militaires de l’Ukraine. L’attaque, que les autorités américaines ont attribuée à l’agence russe d’espionnage militaire, a dépassé les frontières de l’Ukraine. Des dizaines de milliers de personnes en Europe, de la France à l’Ukraine, se sont retrouvées sans accès à Internet. En Allemagne, quelque 2 000 éoliennes seraient restées hors service un mois après l’attaque. Depuis, d’autres attaques d’envergure ont suivi celle-ci.
Selon un haut responsable de l’agence de cybersécurité ukrainienne, les cyberattaques ont été multipliées par trois au cours de l’année écoulée, le piratage russe étant parfois associé à des frappes de missiles. « Les cyberattaques russes ont souvent pris la forme de logiciels malveillants destructeurs qui effacent les disques, et dans certains cas », affirme Viktor Zhora, vice-président et chef de la transformation numérique au Service d’État ukrainien des communications spéciales et de la protection de l’information (SSSCIP). Zhora a tenu ces propos en janvier lors d’une visite au Centre national de cybersécurité (NCSC) de Londres, au Royaume-Uni.
Selon les chercheurs et les experts militaires du SSSCIP, il s’agit d’une guerre hybride, avec « des corrélations claires entre les cyberattaques, les attaques cinétiques et les attaques d’information ». Par exemple, le secteur de l’énergie a été la cible de cyberattaques et d’attaques de missiles depuis le début de l’invasion. « Pendant trop longtemps, le monde a considéré le cyberterrorisme comme quelque chose d’irréaliste, trop proche de la science-fiction. Les gens pensaient que les cyberames ne constituaient pas une menace sérieuse. La guerre de la Russie contre l’Ukraine a prouvé que ces idées étaient complètement fausses », a déclaré Zhora.
Aujourd’hui, l’Ukraine demande à la CPI d’enquêter sur les cyberattaques russes en tant que crimes de guerre. Selon Zhora, l’année dernière, l’équipe d’intervention en cas d’urgence informatique de l’Ukraine (CERT-UA) a traité manuellement 2 194 incidents, dont seulement 308 visaient spécifiquement le secteur de la sécurité et de la défense. La situation est restée la même cette année : entre janvier et avril, le CERT-UA a traité 701 incidents, dont 39 seulement visaient le secteur de la sécurité et de la défense. Les Russes auraient également déployé des cyberattaques massives visant à recueillir les informations personnelles des citoyens ukrainiens.
L’objectif de ces activités n’est pas clair pour lui. Zhora affirme : « lorsque nous observons la situation dans le cyberespace, nous constatons une certaine coordination entre les frappes cinétiques et les cyberattaques. Étant donné que la majorité des attaques cinétiques sont organisées contre des civils, ce qui constitue un acte de guerre direct, les actions de soutien dans le cyberespace peuvent être considérées comme des crimes de guerre ». Selon des rapports, les dirigeants ukrainiens ont fourni ces derniers mois à la CPI des informations sur les cyberattaques russes, dans l’espoir que l’organisation les considère comme des crimes de guerre.
Selon plusieurs experts, c’est l’une des premières occasions réelles de vérifier si et comment les cyberattaques s’inscrivent dans certaines des lois régissant la guerre. L’invasion de l’Ukraine par la Russie est sans doute le conflit mondial le plus marquant à ce jour où les attaques physiques et informatiques coordonnées et conjointes sont monnaie courante. L’Ukraine réclame la mise en place de mécanismes efficaces pour punir les cyberattaques russes. L’idée est soutenue par certains et réfutée par d’autres, ces derniers affirmant que l’Ukraine elle-même livre une cyberguerre contre la Russie et n’est donc pas habileté à transmettre de prétendues preuves.
L’analyste en politique étrangère Jessica Berlin, qui s’est rendue à plusieurs reprises en Ukraine depuis le début de l’invasion à grande échelle, estime que les règles et les classifications devraient être modifiées lorsque l’on parle de cyberguerre. « Nous vivons une époque sans précédent. Il se passe actuellement beaucoup de choses auxquelles personne n’était préparé. Et si nous essayons de résoudre les problèmes auxquels nous sommes confrontés avec nos vieilles règles, nous ne pourrons pas les résoudre », a-t-elle déclaré. D’autres trouvent l’idée intéressante, mais pensent qu’il serait compliqué pour l’Ukraine d’obtenir gain de cause dans ce cas.
Paul Rosenzweig, ancien fonctionnaire du ministère de la Sécurité intérieure des États-Unis et membre de l’initiative sur le droit de la cybersécurité à l’université George Washington, explique qu’il serait compliqué de poursuivre une cyberattaque en tant que crime de guerre pour certaines raisons. « Pour que l’on puisse parler de crime de guerre, il faut que l’attaque soit totalement dirigée contre des civils, sans aucune possibilité réaliste d’en tirer un avantage militaire. L’argument russe serait : « en dégradant leur économie, nous augmentons la possibilité qu’ils demandent la paix, et c’est un avantage militaire significatif » », a expliqué Rosenzweig.
D’un autre côté, bien que l’Ukraine veut que la CPI reconnaisse les cyberattaques russes comme des crimes de guerre, elle livre également activement une cyberguerre à la Russie. Au lendemain de l’invasion russe, Mykhailo Fedorov, vice-premier ministre ukrainien et ministre de la Transformation numérique, a mis en place une armée de pirates et a invité les pirates désirant aider l’Ukraine à combattre la Russie à les rejoindre. Environ un mois après, le groupe Telegram de l’armée informatique de l’Ukraine (« Ukraine’s IT Army ») comptait plus de 300 000 membres, qui ont revendiqué des attaques contre des installations et des chaînes de télévision russes.
Lors d’une interview en septembre dernier, Yurii Shchyhol, le chef du Derzhspetszviazok, la version ukrainienne de l’Agence américaine de cybersécurité et de sécurité des infrastructures aux États-Unis, a laissé entendre que l’Ukraine mène parfaitement le jeu dans le cadre de la cyberguerre qui l’oppose à la Russie. Shchyhol a déclaré que lui et son équipe ont réussi à contenir les cyberattaques de la Russie qui étaient censées semer la panique parmi la population ukrainienne et de montrer au monde extérieur que l’Ukraine est un État faible. Le responsable ukrainien a laissé entendre que l’Ukraine était en train de gagner cette cyberguerre.
David Scheffer, qui fut le premier ambassadeur itinérant des États-Unis pour les questions relatives aux crimes de guerre, a déclaré que pour toute une série de raisons, « l’idée a beaucoup de mérite. Il a ajouté qu’il ne connaissait pas l’étendue de l’expertise interne de la CPI en matière de cybernétique, mais qu’elle pourrait faire appel à des consultants pour l’aider. En outre, un groupe d’experts du Centre des droits de l’homme de la faculté de droit de l’université de Californie à Berkeley a demandé à la CPI d’envisager des poursuites pour crime de guerre à l’encontre des membres du groupe de pirates informatiques Sandworm affiliés à l’État russe.
Et vous ?
Quel est votre avis sur le sujet ?
Les cyberattaques russes contre l’Ukraine peuvent-elles être qualifiées de crimes de guerre ?
Quels pourraient être les impacts d’une telle décision ?
Quid des cyberattaques ukrainiennes contre la Russie ?
Voir aussi