Que peut le droit international contre les cyberarmes ?

Que peut le droit international contre les cyberarmes ?

La prolifération d’outils informatiques malveillants dans le cyberespace pose des problèmes de sécurité à la communauté internationale. Des experts gouvernementaux cherchent des parades.

Temps de lecture : 9 min

 

Les technologies de l’information et des communications ont profondément contribué à la transformation des sociétés, des économies et des relations internationales. « Les TIC ouvrent des possibilités immenses pour le développement économique et social et continuent à gagner en importance pour la communauté internationale. L’environnement informatique mondial présente toutefois des tendances préoccupantes, notamment la hausse spectaculaire du nombre d’actes de malveillance dans lesquels des États ou des acteurs non étatiques sont impliqués »(1) .
 
Cette situation présente un risque pour la paix et la sécurité internationales et nécessite que les États continuent de renforcer leur coopération à ce sujet. À la fin du mois d’août 2016, le Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, au sein de l’Organisation des Nations unies (Onu), se réunira pour une quatrième série de réunions. Parmi les pistes de réflexion qui devraient être abordées, figure la problématique de la prolifération des outils informatiques malveillants.

Course à l’armement et augmentation des menaces dans le cyberespace

 

Il est aujourd’hui communément admis qu’il existe une course à l’armement dans le cyberespace. Elle résulte d’un sentiment d’insécurité face aux autres États et du besoin, qui en découle, de s’armer pour se protéger d’une menace externe. Elle illustre ce dilemme qui consiste à diminuer le niveau de sécurité général, en augmentant le risque de conflit, en voulant assurer sa propre sécurité. Pour faire face à cette augmentation quantitative et qualitative des armes, les États se sont organisés et ont signé un certain nombre d’accords visant à encadrer la production, la vente, le transfert, voire l’utilisation de ces armes. Le désarmement, la maîtrise des armements ou encore les régimes de contrôle des exportations d’armes en sont l’illustration.
 
 De plus en plus d’États développent des capacités offensives  
Trois types d’acteurs y participent : les États, les entreprises, les écosystèmes criminels. D’une part, de plus en plus d’États développent des capacités offensives. Leur mise en œuvre peut s’effectuer tant dans le cadre d’un conflit armé que lors d’opérations de renseignement ou encore dans un cadre judiciaire. D’autre part, les entreprises ont profité de l’émergence de la cybersécurité — devenue objet de sécurité nationale, ayant donc acquis une importance grandissante dans les domaines civil et militaire — pour développer un marché de la cybersécurité. Parmi les solutions proposées, figure tout un panel d’outils dédiés aux attaques informatiques. De même, des entreprises se sont spécialisées dans la vente de vulnérabilités, c’est-à-dire de faiblesses dans un système informatique, non connues et ne bénéficiant d’aucun correctif, appelées 0-days, ainsi que de systèmes de surveillance. Enfin, un « écosystème » criminel a émergé, proposant à la vente des outils et services à caractère offensif.  
 
Quel que soit le but poursuivi par un acheteur/utilisateur (recherche d’un profit, avantage commercial, espionnage, etc.), celui-ci disposera d’une offre large et plus ou moins discrète en termes d’affichage et de publicité. Cette prépondérance des acteurs privés constitue une difficulté supplémentaire, dans la mesure où les acteurs du droit international sont traditionnellement les États et les organisations internationales, et non les individus. La seconde difficulté réside dans le caractère flou du concept d’arme cyber. Outils informatiques offensifs, outils informatiques malveillants, cyberarmes, arme informationnelle, il n’existe pas de consensus, tant sur l’appellation à retenir pour ce concept que sur ce qu’elle contient. De plus, les scandales liés aux systèmes de surveillance sont venus compliquer le débat en mélangeant plusieurs notions.
 
La prolifération d’outils informatiques offensifs a conduit certains États ou organismes à s’interroger sur un éventuel contrôle de ce qu’ils ont appelé les cyberarmes. Cette initiative a été lancée, et est soutenue depuis, par la Russie et la Chine qui, en 2011, ont proposé un Code de conduite international pour la sécurité de l’information, dans lequel elles appelaient à ne pas « diffuser l’arme informationnelle »(2) . Depuis, plusieurs propositions ont été faites ou adoptées par les États pour lutter contre cette prolifération.

Un panel d’outils internationaux contre la prolifération d’armes

 

Le droit international offre un panel d’outils aux États pour faire face à la lutte contre la prolifération de certaines armes. Les États, depuis quelques années, ont exploré différentes voies pour y parvenir : le contrôle aux exportations, les normes de comportement responsable des États et la lutte contre la cybercriminalité. 
 
Les années 2012 et 2013 ont été marquées par des scandales sur la vente, par des entreprises privées, de solutions de surveillance à des États peu démocratiques. De même, des rapports ont fait état de l’achat et de l’utilisation de vulnérabilités 0-days par l’Agence de sécurité nationale américaine. La France et la Grande-Bretagne, membres de l’Arrangement de Wassenaar, ont alors proposé de modifier la liste des biens à double usage (à usage civil et militaire) devant faire l’objet de contrôles aux exportations, pour y inclure les outils et technologies associées aux programmes malveillants. La motivation liée à la protection des droits de l’homme est une grande première pour l’Arrangement de Wassenaar, qui n’a traditionnellement jamais retenu cette approche. Les critères de sélection des biens à double usage ne les mentionnent d’ailleurs pas. Parmi les modifications de 2013, deux nouvelles catégories de produits ont été créées : les logiciels d’intrusion (intrusion software) et IP network surveillance systems(3) .
 
Le terme de logiciels d’intrusion désigne les outils créés pour contourner les défenses d’un système, accéder aux systèmes et extraire des données de ces systèmes(4) . Cependant, l’Arrangement de Wassenaar ne vise pas directement les exploits, rootkits, porte dérobées, virus (voir(5) ) et autre codes malveillants. En effet, le contrôle ne s’applique qu’aux technologies permettant de générer, de créer, de délivrer et de communiquer avec ces logiciels d’intrusion(6) .
 
 Certains outils ayant de graves incidences sur les droits de l’homme ne sont pas couverts par la définition des logiciels d’intrusion  
Les modifications apportées à la liste des biens devant être soumis à contrôle ont fait l’objet de nombreuses critiques. En effet, la définition des logiciels d’intrusion comprend de nombreuses lacunes. Elle inclut des outils et pratiques ayant un intérêt majeur pour la recherche en matière de sécurité, tels que des échantillons de malware ou rootkit, ainsi que des outils dédiés à l’analyse des menaces. À l’inverse, certains outils ayant de graves incidences sur les droits de l’homme ne sont pas couverts par la définition donnée. À titre d’exemple, on peut citer les applications mobiles malveillantes ou modifiées à des fins malveillantes,les attaques entraînant une impossibilité de chiffrer les données(7) . Ces carences sont régulièrement dénoncées par certaines institutions ou entreprises. Ainsi, le Parlement européen a émis le souhait que les contrôles aux exportations ne portent pas atteinte à la recherche et à l’échange d’informations en matière de sécurité informatique(8) . Les transpositions en droit interne des dispositions de l’Arrangement de Wassenaar ont offert aux acteurs privés une nouvelle tribune pour dénoncer les conséquences néfastes qu’auraient ces contrôles sur la sécurité des réseaux(9) .
 
Il semblerait que le Département d’État américain ait entendu ces doléances, puisqu’il envisagerait de proposer la suppression des dispositions sur les logiciels d’intrusion lors de la prochaine assemblée plénière de l’Arrangement de Wassenaar qui se déroulera en décembre 2016(10) .
 
Notons également que le manque de clarté des dispositions évoquées pourrait entrer en contradiction avec certaines normes adoptées en 2015 par le Groupe d’experts gouvernementaux de l’Onu chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale. En effet, les contrôles pourraient impacter le développement de capacités cyber, ainsi que le rôle des entreprises, de la société civile et des chercheurs dans la recherche d’un haut niveau de cybersécurité(11) , s’opposant ainsi à l’objectif de création d’une culture mondiale de la cybersécurité(12) .  
 
Une approche, complémentaire, a été adoptée par les États : le recours aux normes de comportement responsable des États. Le rapport 2015 du Groupe d’experts gouvernementaux fait en effet mention de la nécessité de prévenir « la prolifération des techniques et outils informatiques malveillants et l’utilisation de fonctionnalités cachées malveillantes »(13) . C’est une norme non contraignante qui a pour objectif de permettre d’aboutir « à une vision commune afin de renforcer la stabilité et la sécurité de l’environnement informatique mondiale »(14) .
Cette disposition vise, d’une part, la multiplication des outils informatiques malveillants et, d’autre part, leur utilisation. Cette démarche tend à se concentrer sur le comportement des États, sur ce qu’ils font dans le cyberespace. L’intégrité de la chaîne logistique peut également être interprétée comme un élément de la lutte contre la prolifération, puisqu’il vise à limiter le développement et le recours à des outils affaiblissant la sécurité des systèmes. Enfin, les dispositions relatives à l’interdiction de certaines attaques informatiques concourent également à cet objectif.
 
Cette approche présente l’intérêt de ne pas empêcher le développement de capacités cyber, la recherche en sécurité informatique ou l’analyse des menaces. De plus, son incidence sur le risque systémique et l’escalade des conflits est notable, dans la mesure où le risque d’attaque, dont les effets ne seraient pas contrôlés, est diminué. En revanche, ces normes sont non contraignantes, leur portée est donc limitée. De plus, la question de leur mise en œuvre ne fait l’objet d’aucune disposition. La pratique des États sera donc déterminante dans leur évaluation.

Une coopération internationale contre la cybercriminalité

 

En 2001, à l’initiative du Conseil de l’Europe, a été adoptée la Convention pour la lutte contre la cybercriminalité (Convention de Budapest). C’est un instrument international contraignant sur la lutte contre la cybercriminalité. Elle sert également de « cadre pour la coopération internationale contre la cybercriminalité parmi les États parties ». Elle est complétée par le Protocole relatif à l’incrimination d’actes de nature raciste et xénophobe. Elle contient un ensemble de dispositions de droit pénal et de procédure pénale visant à lutter contre la criminalité dans le cyberespace.
 
Certaines dispositions participent à la lutte contre la prolifération des outils informatiques offensifs. L’article 6 dispose que les parties adopteront les mesures nécessaires pour ériger en infraction pénale, lorsqu’elles sont commises intentionnellement, « la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition (i) d’un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l’une des infractions établies conformément aux articles 2 – 5 ci-dessus ; (ii) d’un mot de passe, d’un code d’accès ou des données informatiques similaires permettant d’accéder à tout ou partie d’un système informatique », ainsi que la possession de l’un de ces éléments.
 
Cependant, plusieurs éléments viennent limiter la portée de cet article, affaiblissant ainsi la lutte contre la prolifération. D’une part, ces outils doivent servir à commettre « intentionnellement et sans droit » l’une des infractions visées par les articles 2 à 5 de la Convention. D’autre part, les parties à la Convention peuvent mettre en œuvre partiellement l’article 6. De plus, les cas d’essais autorisés ou de protection d’un système informatique sont exclus. Enfin, seuls 49 États ont ratifié la Convention. Elle n’est donc pas appliquée de façon universelle. En revanche, le recours à la lutte contre la cybercriminalité présente un intérêt pour la lutte contre la prolifération. En effet, dans la mesure où les individus peuvent facilement avoir accès à ces technologies, cela permet de prendre en compte cette donnée et d’y remédier. De plus, elle offre un cadre de débats et négociations ainsi qu’un modèle en la matière. 
 
Les difficultés sont nombreuses, mais l’expérience de la communauté internationale en matière de maîtrise des armements et lutte contre la prolifération pourrait être une aide précieuse face à ce nouveau défi. La Charte des Nations unies mentionne expressément le désarmement et la réglementation des armements comme facteurs de paix et de sécurité internationales. Un traité sur le modèle de la maîtrise des armements ou de la lutte contre la prolifération semble aujourd’hui difficilement imaginable. Au-delà de la volonté politique, la vérification du respect des obligations serait compliquée à mettre en œuvre. On imagine en effet mal les réseaux des États être scannés à la recherche des outils régulés. En revanche, d’autres mesures peuvent permettre de lutter contre la prolifération des outils informatiques offensifs. Elles devront cependant être pensées dans une logique globale et non décorrélées les unes des autres, sous peine de contradiction et de perte d’efficacité.

Références

 

 
Trey HERR, « Malware Counter-Proliferation and the Wassenaar Arrangement », dans CCDCOE, Cyber Power, 8th International Conference on Cyber Conflict, NATO CCD COE Publications, 2016 , pp.175-190
 
Trey HERR, “PrEP : A Framework for Malware and Cyber Weapons”, The Journal of Information Warfare 13 (1), 2014, 87-106
 
ONU, Rapport du Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, A/70/174, 22 juillet 2015, 20 p.
 
Parlement européen, Report on « Human rights and technology : the impact of intrusion and surveillance systems on human rights in third countries », A8-0178/2015, 3 juin 2015, 16p.
 
Jervis ROBERTS, Perception and Misperception in International Politics, Princeton University Press, 1976, 464 p.
 
Arrangement de Wassenaar, List of dual-use goods and technologies and munitions list, WA-LIST (15) 1 Corr.1*, 4 avril 2016, 228 p.

--
Ina.Illustration Livio Fania
    (1)

    ONU, Rapport du Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, A/70/174, 22 juillet 2015. 

    (2)

    Code de conduite international pour la sécurité de l’information, A/66/359, 14 septembre 2011

    (3)

    The Wassenaar Arrangement, List of dual-use goods and technologies and munitions list, WA-LIST (15) 1 Corr.1*, 4 avril 2016, p.80

    (4)

    Trey HERR, « Malware Counter-Proliferation and the Wassenaar Arrangement », dans CCDCOE, Cyber Power, 8th International Conference on Cyber Conflict, NATO CCD COE Publications, 2016, p.176

    (5)

    Bertrand BOYER, Dictionnaire de la cybersécurité et des réseaux, Nuvis, 2015, 412p.

    (6)

    Thomas DULLIEN, Vincenzo IOZZO, Mara Tam, Surveillance, Software, Security, and Export Controls. Reflections and recommandations for the Wassenaar Arrangement, 2015, p.15

    (7)

    Ibid., p.14 

    (8)

    Parlement européen, Report on « Human rights and technology : the impact of intrusion and surveillance systems on human rights in third countries », A8-0178/2015, 3 juin 2015, 16p. 

    (9)

    EFF, What is the U.S. doing about Wassenaar, and why do we need to fight it ? n 28 mai 2015, disponible sur EFF  

    (10)

    Sean GALLAGHER, « US to renegotiate rules on exporting ‘intrusion software’ », Ars Technica, 2 mai 2016 Ars Technica

    (11)

    ONU, Rapport du Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, op.cit.

    (12)

    Assemblée générale des Nations unies, résolution sur la Création d’une culture mondiale de la cybersécurité et protection des infrastructures essentielles de l’information, A/RES/58/199, 30 janvier 2004

    (13)

    ONU, Rapport du Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, op. cit., 13i

    (14)

    Ibid., 9.

Ne passez pas à côté de nos analyses

Pour ne rien rater de l’analyse des médias par nos experts,
abonnez-vous gratuitement aux alertes La Revue des médias.

Retrouvez-nous sur vos réseaux sociaux favoris

Autres épisodes de la série