Le Manuel de Tallinn 2.0, ou comment le droit veut rattraper la technologie

Par Gabriel Cornet.

Le 27 avril 2007, l’Estonie est paralysée par une cyberattaque d’une ampleur sans précédent. Le pays, dont l’économie dépend en grande partie de ses infrastructures numériques est victime d’une attaque de type déni de service distribué (DDoS)[1]. Elle survient dans un contexte de fortes tensions entre l’Etat estonien et les minorités russes du pays, ces dernières manifestant contre le déplacement du centre-ville vers la banlieue de Tallinn d’une statue à la gloire de l’armée soviétique. De nombreuses institutions estoniennes d’importance stratégique sont délibérément prises pour cibles : médias, banques, ministères, ainsi qu’un certain nombre d’hébergeurs web, entraînant une quasi-paralysie temporaire du pays. Le motif de l’attaque, revendiquée par un groupe de jeunes russes, est évident. Moscou refuse de participer à l’enquête, qui aboutit à une impasse : aucune condamnation n’est prononcée.

Le monde entier est choqué par la fulgurance de l’attaque. Les sociétés occidentales, elles aussi amplement connectées, prennent brutalement conscience de la vulnérabilité de leurs propres infrastructures informatiques, de leur dépendance toujours plus forte vis-à-vis de ces dernières, mais surtout de leur impuissance à riposter face à une telle offensive. L’urgence de combler le vide juridique qui entoure les activités dans le cyberespace apparaît alors comme une priorité, notamment au sein de l’OTAN.

Tallinn Manual

En 2008, l’organisation fonde le Cooperative Cyber Defense Center Of Excellence (CCDCOE). Implanté à Tallinn, son rôle est le suivant :

« Améliorer les capacités, la coopération et le partage d’informations au sein de l’OTAN, des pays membres de l’Alliance et de ses partenaires dans le domaine de la cyberdéfense grâce à l’éducation, la recherche et le développement, la concertation»

Entre 2009 et 2013, une vingtaine d’experts venus de plusieurs pays membres de l’OTAN s’y rassemblent, et entreprennent d’élaborer un outil permettant l’analyse légale des cyberattaques majeures, c’est-à-dire pouvant être considérées comme des violations des lois sur le recours à la force et autorisant ainsi les États à exercer leur droit à l’autodéfense. Il s’agissait donc, dans un premier temps, de transposer les aspects les plus cruciaux du droit international aux activités dans le cyberespace afin de proposer un ouvrage de référence qui permettrait d’analyser les cyberattaques soit entre États souverains, soit entre États et acteurs non-étatiques, et qui pourraient justifier le déclenchement d’hostilités. L’ouvrage passerait en revue le Jus ad bellum (le droit à la guerre) et le Jus in bello (le droit international humanitaire, ou droit de la guerre), et clarifierait la manière dont seraient envisageables les conflits dans le cyberespace en utilisant la juridiction en vigueur pour les guerres « physiques ».

En mars 2013, le Tallinn Manual : International Law Applicable to Cyber Warfare paraît aux presses universitaires de Cambridge. La communauté occidentale l’accueille avec enthousiasme, tandis le reste du monde se montre plus méfiant. Toutefois, comme son nom l’indique (Cyber Warfare), le Manuel de Tallinn « 1.0 », qui répondait en urgence à un besoin de clarification de la juridiction applicable au cyberespace, se limite aux cyberattaques allant à l’encontre de l’article 2.4 de la Charte des Nations Unies (l’interdiction du recours à la force dans les relations internationales) et pouvant donc être assimilées à des actes de guerre. Il ne répond pas à l’ensemble des interrogations liées aux opérations dans le cyberespace.

Dans l’optique de combler la zone grise, le processus est relancé dès la parution du premier volume. À nouveau, une vingtaine d’experts juridiques internationaux – pour la plupart des universitaires européens et américains – apportent au projet leurs compétences et travaillent de concert à la nouvelle version du manuel, qui paraît en février 2017 sous le nom de Tallinn Manual 2 .0 : International Law Applicable to Cyber Operations. Ce deuxième volume est en fait une mise à jour du premier. Il englobe désormais la quasi-totalité des opérations pouvant être menées dans le cyberespace qui nécessitent un arbitrage juridique. Il aborde les problématiques liées à la souveraineté des Etats, à la responsabilité étatique, au droit diplomatique et consulaire, mais aussi au droit aérien, au droit de la mer, de l’espace, des télécommunications, aux droits de l’homme… Plus précisément, là où la première version du manuel traitait des opérations impliquant le recours à la force, le manuel 2.0 couvre également les opérations n’impliquant pas nécessairement la violence ou se produisant en temps de paix. C’est dans cette catégorie que tombent la plupart des cyberattaques que subissent quotidiennement les États. Bien qu’elle ne soit pas assimilable à un acte de guerre, la cybercriminalité cause chaque année des centaines de milliards de dollars de pertes à l’échelle mondiale.

Il est cependant important de souligner que bien que l’initiative du Manuel de Tallinn soit venue d’un organisme otanien, qu’il soit le fruit du travail de nombreux experts reconnus, et que le projet ait été officiellement soutenu par plusieurs Etats, l’ouvrage en lui-même n’a aucune valeur juridique ni force contraignante. Il constitue un appui pour la réflexion, supposée aider les institutions étatiques et internationales à y voir plus clair dans les méandres juridiques que constitue le cyberespace. Le poids du Manuel de Tallinn ne réside que dans la pertinence du raisonnement logique et intellectuel des experts qui ont contribué à son écriture.

Le choix de ces experts soulève par ailleurs de nouvelles questions. À l’instar des critiques du droit international qui avancent, entre autres, qu’il n’est qu’un outil aux mains des grandes puissances pour préserver leur domination, le Manuel de Tallinn peut potentiellement faire figure de « bras armé » de l’Occident dans le cyberespace. C’est en particulier le point de vue du Kremlin, qui lui reproche de légitimer la cyberguerre en lui donnant des règles, et d’intensifier du même coup la stratégie d’endiguement de la Russie par l’Alliance Atlantique. L’ouvrage n’est en effet que le prolongement non-officiel du droit international et provient d’un centre de l’OTAN. L’absence d’experts russes et la quasi-absence d’experts asiatiques, ainsi que l’attribution de la direction éditoriale à un universitaire américain pose question quant à l’objectivité avec laquelle le manuel traite le sujet de la cyber-juridiction : il contribue aux yeux de certains à renforcer l’influence des normes occidentales sur la justice internationale.

Il serait ainsi précipité de considérer le Manuel de Tallinn, aussi colossal qu’il soit (638 pages), comme la panacée qui fera régner la loi et l’ordre dans le cyberespace. La principale difficulté que rencontrent les autorités dans la chasse aux cybercriminels n’est pas de disposer d’outils juridiques pertinents, mais bien d’attribuer les attaques afin de pouvoir arrêter ceux qui les ont perpétrées. Le cyberespace est par nature transfrontalier et immatériel. Il est possible d’y agir sous couvert d’anonymat, et des innovations technologiques naissent chaque jour de nouveaux modes d’action, comme par exemple l’utilisation massive de (ro)bots à des fins criminelles : près de 52% du trafic internet mondial est aujourd’hui le fait de machines, pour la plupart utilisées à des fins malveillantes. Enfin, le droit international (et par extension le Manuel de Tallinn) ne peut s’imposer à des États qui n’y consentent pas. Un pays comme la Corée du Nord, régulièrement soupçonnée d’abriter des pirates informatiques, voire de fournir un soutien logistique et financier à leurs cyberopérations illégales, n’a donc pour le moment rien à craindre, du moins du point de vue juridique, de la part de la communauté internationale en ce qui concerne ses activités dans le cyberespace.

L’exemple du ransomware « WannaCry », qui a frappé en mai 2017 plus de 300 000 machines dans 150 pays du monde illustre les limites auxquelles est confronté le Manuel de Tallinn. Cette cyberattaque – qu’Europol a décrite comme étant « d’un niveau sans précédent » – en plus de causer en quelques jours entre plusieurs centaines de millions et plusieurs milliards de dollars de pertes en empêchant certaines entreprises et services publics d’utiliser leurs ordinateurs, n’a pas été revendiquée. Les pirates responsables n’ont pas été identifiés, et l’enquête ne dépasse pas le stade des soupçons. Ironie du sort, l’exploit utilisé par le virus WannaCry provenait apparemment d’un groupe de hackers intimement lié à la NSA, « Equation Group », et fut mis à disposition du public – en même temps qu’un bon nombre d’autres outils – par un autre groupe de hackers, les « Shadow Brokers. »

Plutôt qu’une solution à un problème, le Manuel de Tallinn peut être vu comme un avertissement : la technologie évolue, et les cyberopérations sont chaque jour plus fréquentes et efficaces. L’ouvrage propose une lecture nouvelle du droit international dans le domaine de la cybersécurité, mais n’a pas le statut de doctrine officielle de l’OTAN. Il n’aura donc d’utilité que si les méthodes de la justice évoluent, et les experts qui l’ont conçu espèrent qu’il servira de base aux évolutions futures du droit international. Il s’avère que le Manuel de Tallinn est la cristallisation du dilemme auquel fait face le droit depuis de nombreuses années : tech is fast, law is slow. Il ne reste qu’à savoir si un ouvrage de ce calibre saura précipiter l’émergence d’un consensus juridique en ce qui concerne les cyberopérations.


[1] Le but de ce type de cyberattaque est d’inonder de « requêtes » un ou plusieurs serveur(s) via un réseau d’ordinateurs « zombies » contrôlés à distance par les attaquants (ce que l’on appelle un « botnet », pour « robot network »). Ce procédé, bien que relativement basique et simple à mettre en œuvre, reste néanmoins redoutable : il permet en un temps réduit de rendre inutilisable le serveur visé en accaparant toutes ses ressources de traitement des données ou en saturant sa bande passante. Pour plus de précisions, voir cette page.

 

Share
This entry was posted in Analyses and tagged , , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *