Aux armes cybercitoyens, formez vos bataillons !

Cette mobilisation n’est pas surprenante, car nous savons que l’arme cyber est entrée dans la panoplie des armes, depuis la guerre du Kosovo, mais surtout à l’occasion de l’attaque de la Géorgie par la Russie, en 2008. Le cyber dans la guerre est désormais une réalité. « La guerre cyber a bel et bien commencé. Nous ne serons ni naïfs ni aveugles, et nous allons nous y préparer ». Ainsi s’exprimait Florence Parly, lors du FIC, en janvier 2019.

Aujourd’hui, pas une opération militaire ne se déroule sans être précédée, accompagnée et poursuivie par des cyberopérations. L’emploi de cette arme répond au droit des conflits armés et doit respecter les principes généraux qui en découlent : principe d’humanité, de discrimination, de proportionnalité, de non-perfidie, de neutralité. Dès lors qu’ils agissent directement sous l’autorité du belligérant, les hackers ont le statut de combattants et sont ainsi protégés par le droit de Genève et de La Haye, sous réserve du respect des principes précités. On admettra que, dans la pratique, certains d’entre eux sont difficiles d’application : par exemple, que signifie la discrimination lorsque les systèmes civils et militaires sont connectés au même réseau ?

Dès le début des opérations en Ukraine, Yegor Aushev, cofondateur de Cyber Unit Technologies, a lancé un appel à la communauté de hackers ukrainiens. Il répond ainsi à une demande du gouvernement de Kyiv qui a besoin d’assistance pour protéger les systèmes vitaux et, le cas échéant, pour s’en prendre aux systèmes de traitement automatisé de données russes. C’est la levée en masse des cybervolontaires qui suscite compréhension et adhésion, car les circonstances justifient pleinement une telle mobilisation des compétences. C’est dans ce contexte que le groupe Conti, spécialisé dans le rançongiciel, a été attaqué par un de ses membres, ressortissant ukrainien, en raison du soutien apporté par le groupe à la Russie.

La question de l’engagement de volontaires, qui agiraient depuis une base située hors de la zone d’affrontement, est tout autre. Tout d’abord, si l’action prend naissance depuis un territoire qui n’est pas en conflit avec la Russie, au sens du droit de Genève, le hacker met en difficulté l’État d’où il opère, lequel doit respecter le principe de droit international de « diligence due ». Ce principe fait obligation à l’État de tout mettre en œuvre (obligation de moyens) pour interdire des actions hostiles à l’égard d’un pays tiers. C’est dire si les actions dispersées, certes justifiées par de bonnes intentions, peuvent avoir des effets pervers, dès lors qu’elles ne sont pas maîtrisées.

Il faut aussi se méfier des « faux amis ». Lorsque Anonymous s’en prend à des sites officiels russes, comme le ministère de la défense ou des chaînes de télévision, certains applaudissent, oubliant que cette communauté de circonstances ne manque pas de s’en prendre à nos propres intérêts, lorsque le vent tourne.

En l’état actuel du droit, tout hacker qui agirait en dehors des règles de droit international ne pourrait invoquer le statut de cybercombattant, protégé par l’article L.4123-12 II du code de la défense. L’irresponsabilité pénale n’est accordée que si le militaire agit, par des actions numériques, dans le respect des règles du droit international et dans le cadre d’une opération mobilisant des capacités militaires, se déroulant à l’extérieur du territoire français ou des eaux territoriales françaises, quels que soient son objet, sa durée ou son ampleur. En l’occurrence, le cyberahacktiviste ne peut en aucun cas évoquer cet article, puisqu’il n’est pas enrôlé au sein des forces françaises, lesquelles ne sont pas aujourd’hui en conflit armé avec la Russie. De ce fait, un hacker qui, depuis notre territoire (depuis l’Ukraine, le problème est différent), répondrait à l’appel, serait juridiquement un délinquant. Il commettrait ainsi une des infractions punies et réprimées par la loi Godfrain (art. 323-1 et s. du code pénal). Cette loi est neutre au regard du mobile poursuivi. Peu importe qu’il soit noble – c’est le cas en l’espèce -, l’infraction est qualifiée par sa matérialité. Admettre des dérogations serait fragiliser un corpus juridique en introduisant de la subjectivité là où l’objectivité des faits est déjà complexe à mettre en évidence. En dehors du conflit en Ukraine, toutes les « nobles causes » seraient invoquées pour justifier des cyberattaques.

Il ne faut pas ouvrir la Boite de Pandore ! Tolérer des actions contraires au droit aurait des effets pervers. Les cybervolontaires, plus enthousiastes que compétents, seraient facilement identifiés, même s’ils utilisent un VPN, et seraient l’objet d’actions en hackback, illégales et hasardeuses. Qui sait si celles-ci seraient circonscrites à leurs propres systèmes informatiques ? Dans un tel contexte pourrait naître une cyberconfrontation, voire une cyberguerre non voulue par la France. Notre pays doit pouvoir maîtriser pleinement l’arme cyber, dans ses fonctions défensives ou offensives, ces dernières relevant de la responsabilité opérationnelle du chef d’État-major des armées (CEMA), comme l’indique la doctrine française de lutte informatique offensive (2019). Il n’est pas souhaitable de soutenir des initiatives incontrôlées, même généreuses, qui entraveraient la liberté d’action du gouvernement.

Le cœur a ses raisons, mais le réalisme commande.