Même si les traités formels de cybersécurité sont inapplicables, il est peut-être encore possible de fixer des limites à certains types de cibles civiles et de négocier des règles de base. La question de savoir si Joe Biden a réussi à lancer un tel processus lors de sa rencontre avec le président russe et s’il peut se clarifier prochainement.
Lorsque le président américain Joe Biden et le président russe Vladimir Poutine ont tenu leur premier sommet à Genève le mois dernier, les cyberarmes ont occupé une place plus importante que les armes nucléaires à l’ordre du jour. Le monde a changé depuis la guerre froide, mais qu’est-ce que Joe Biden a accompli, si tant est qu’il ait accompli quelque chose ?
Depuis plus de deux décennies, la Russie propose un traité des Nations unies sur la cybercriminalité. Mais les États-Unis considèrent qu’un tel pacte est invérifiable. Contrairement aux armes nucléaires, la différence entre une cyberarme et un autre code informatique peut dépendre simplement de l’intention du programmeur.
Au lieu d’un traité, la Russie, les États-Unis et 13 autres États ont accepté des normes volontaires, définies par des groupes d’experts gouvernementaux sous l’égide de l’ONU, interdisant les attaques contre les infrastructures civiles des autres pays et n’excluant pas les actes illicites commis à partir de leur territoire. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques notent que peu de temps après avoir accepté un rapport de 2015, la Russie a attaqué le réseau électrique de l’Ukraine et s’est ingérée dans l’élection présidentielle américaine de 2016.
Cyberespionnage
Contrairement aux États-Unis, qui ont créé un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de cybercapacités offensives. Les deux pays pénètrent dans les réseaux de l’autre pour recueillir des renseignements, mais il est parfois difficile de tracer une ligne entre l’espionnage et la préparation du champ de bataille. C’est pourquoi les États-Unis se sont plaints au début de l’année de l’attaque russe contre la société américaine SolarWinds, qui aurait infecté au moins neuf grandes agences gouvernementales et plus d’une centaine d’entreprises importantes.
Même si les traités formels de contrôle des armements sont inapplicables, il peut toujours être possible de fixer des limites à certains types de cibles civiles et de négocier des règles de conduite approximatives. Par exemple, en dépit de profondes divergences idéologiques, les États-Unis et l’Union soviétique ont négocié en 1972 un accord sur les incidents en mer afin de limiter les comportements navals susceptibles d’entraîner une escalade dangereuse.
L’espionnage n’est pas contraire au droit international et un accord visant à l’interdire ne serait pas crédible. Néanmoins, les États-Unis et la Russie pourraient négocier des limites à leur comportement concernant l’étendue (et non l’existence) de leur cyberespionnage. Ils pourraient également convenir de fixer des limites à leur intervention dans les processus politiques nationaux de l’autre partie. Même s’il n’y a pas d’accord sur des définitions précises, ils pourraient échanger des déclarations unilatérales sur les domaines d’autolimitation et établir un processus consultatif régulier pour contenir les conflits.
Cette approche semble avoir été celle explorée par Biden à Genève. Selon les comptes rendus de presse, M. Biden a remis à M. Poutine une liste de 16 secteurs d’infrastructures critiques – dont l’énergie, la santé, les technologies de l’information, les services financiers, les produits chimiques et les communications – qui, selon lui, « devraient être interdits d’attaque, point final ».
Dans un sens, ce n’est pas nouveau. La liste de ce que les Américains considèrent comme des infrastructures critiques est publiée depuis longtemps sur le site web de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais c’est différent lorsqu’un chef d’État remet une liste à un autre.
Après la réunion, M. Biden a révélé qu’il avait demandé à M. Poutine ce qu’il ressentirait si les pipelines russes étaient mis hors service par un ransomware, comme l’a été en mai le pipeline américain Colonial par des criminels opérant depuis la Russie. Cela serait très coûteux pour l’économie russe, qui dépend fortement des pipelines pour exporter son gaz naturel. Les Américains n’ont pas attribué l’attaque par ransomware contre Colonial au gouvernement russe, mais les experts américains ont noté que les bandes criminelles en Russie semblent opérer en toute impunité tant qu’elles n’attaquent pas des cibles russes.
Jeu de dissuasions et lignes rouges
Lors de la conférence de presse qu’il a donnée à l’issue du sommet, M. Biden a déclaré : « Je lui ai fait remarquer que nous disposions d’importantes capacités informatiques. Et il le sait. Il ne sait pas exactement de quoi il s’agit, mais c’est important. Et si, en fait, ils violent ces normes de base, nous répondrons par la cybernétique. Il le sait. » En d’autres termes, Biden sous-entendait une menace dissuasive si la Russie continuait à violer les normes volontaires interdisant les attaques contre les infrastructures civiles et l’utilisation de son territoire à des fins nuisibles. Poutine est intelligent, et il a certainement entendu le message, mais l’amélioration du comportement de la Russie dépend de la crédibilité de Biden.
Il peut être délicat de tracer des lignes rouges. Certains critiques s’inquiètent du fait qu’en spécifiant ce qui doit être protégé, M. Biden pourrait avoir laissé entendre que d’autres zones sont acceptables. En outre, les lignes rouges doivent être appliquées pour être efficaces. Les critiques soutiennent que l’avertissement aurait dû porter sur la quantité de dommages causés, et non sur le lieu ou la manière dont ils sont causés.
Par analogie, on ne dit pas à un hôte de fête d’éteindre toute sa musique ; on l’avertit que si le bruit devient intolérable, on appellera la police. Il reste à voir comment Poutine interprète le message de Biden dans les mois à venir, mais les deux présidents ont convenu de créer un groupe de travail sur la cybernétique qui pourrait tenter de définir les limites du « tolérable ».
Les États-Unis devront énoncer unilatéralement les normes qu’ils s’engagent à respecter. Lorsque la Russie franchira cette ligne, l’Amérique devra se préparer à des représailles ciblées, par exemple en vidant les comptes bancaires de certains oligarques privilégiés, en diffusant des informations embarrassantes ou en perturbant les réseaux russes. La stratégie de défense avancée et d’engagement persistant de l’USCYBERCOM peut être utile pour la dissuasion, mais elle doit être accompagnée d’un processus de communication discrète.
Les groupes criminels agissent souvent, à des degrés divers, comme des mandataires de l’État, et les États-Unis devront faire comprendre que le fait de servir de refuge aux cybercriminels entraînera des représailles. Et parce que les règles du jeu ne seront jamais parfaites, elles doivent être accompagnées d’un processus consultatif régulier qui établit un cadre d’alerte et de négociation. Les mois à venir pourraient bien montrer si Biden a réussi à lancer un tel processus à Genève, ou si les cyberrelations entre la Russie et les États-Unis resteront dans leur mauvais état.
Pour avoir un accès illimité à notre contenu, y compris des articles approfondis, des critiques de livres, des interviews exclusives, veuillez vous abonner.
Personne ne sait quelle tournure prendra la pandémie ou si les récentes augmentations de prix seront transitoires, ce qui signifie que les prévisions économiques sont devenues encore plus hasardeuses que jamais. Néanmoins, certaines tendances doivent être surveillées de plus près que d’autres, et certaines politiques doivent être modifiées quoi qu’il arrive.
Déchirés entre les craintes inflationnistes et la peur de la déflation, les banquiers centraux des principales économies avancées adoptent une approche attentiste potentiellement coûteuse. Seule une refonte progressive de leurs outils et de leurs objectifs peut les aider à jouer un rôle post-pandémique socialement utile.
Bien que les États-Unis soient depuis longtemps à la pointe de la technologie, la Chine constitue un défi de taille dans des domaines clés. Mais, en fin de compte, l’équilibre des forces sera déterminé non pas par le développement technologique, mais par la diplomatie et les choix stratégiques, tant à l’intérieur qu’à l’extérieur du pays.
Sur plus de 10 000 espèces d’oiseaux, près d’une sur sept est actuellement menacée d’extinction. Le sort des oiseaux, qu’il s’agisse d’individus sauvages ou d’animaux de compagnie, serait plus difficile à ignorer si davantage de personnes comprenaient à quel point ils sont intelligents et complexes.
Historiquement, les succès comme la Conférence de Bretton Woods de 1944 sont beaucoup plus rares que les rassemblements internationaux qui produisent soit de l’inaction, soit des récriminations. La clé est de se concentrer sur ce qui peut être mesuré, plutôt que sur les personnes à blâmer.
La position de l’Inde sur le charbon lors de la récente conférence sur le changement climatique (COP26) a suscité de vives critiques, mais les économies occidentales les plus riches n’ont pas fait grand-chose pour aider la transition écologique des pays en développement. L’Inde, concernée par les conséquences du réchauffement, fera un effort de bonne foi pour contribuer à éviter la catastrophe climatique, mais seulement dans les limites de ce qu’elle peut faire.
L’ère de la « non-paix »Migrants rassemblés à l'intérieur de la zone tampon de la frontière Turquie-Grèce, à Pazarkule, dans le district d'Edirne, le 20 février 2020.
Les récentes tragédies migratoires dans la Manche et aux frontières occidentales de la Biélorussie montrent à quel point les civils sont devenus des armes involontaires dans une nouvelle ère de conflits perpétuels. Les gouvernements se rendant coupables de mauvais comportements sous couvert d’hypocrisie et de déni plausible, une course « vers le fond » est déjà en cours.
La fin du consensus économiqueLa présidente de la Commission européenne Ursula Von Der Leyen lors de laConférence de presse sur la réponse de l'Union européenne à la crise du coronavirus, à Bruxelles, le15 avril 2020.
Alors que le choc de la pandémie de Covid-19 a initialement suscité l’unité et la convergence en Europe, la phase actuelle de la crise est beaucoup plus délicate sur le plan économique et politique. Si elle est mal gérée, elle peut rouvrir de vieilles blessures et briser la légitimité nouvellement acquise des décideurs politiques.
Connexion/Inscription
Veuillez vous connecter ou vous inscrire pour continuer. L'inscription est gratuite et ne requiert que votre adresse e-mail.
Lorsque le président américain Joe Biden et le président russe Vladimir Poutine ont tenu leur premier sommet à Genève le mois dernier, les cyberarmes ont occupé une place plus importante que les armes nucléaires à l’ordre du jour. Le monde a changé depuis la guerre froide, mais qu’est-ce que Joe Biden a accompli, si tant est qu’il ait accompli quelque chose ?
Depuis plus de deux décennies, la Russie propose un traité des Nations unies sur la cybercriminalité. Mais les États-Unis considèrent qu’un tel pacte est invérifiable. Contrairement aux armes nucléaires, la différence entre une cyberarme et un autre code informatique peut dépendre simplement de l’intention du programmeur.
Au lieu d’un traité, la Russie, les États-Unis et 13 autres États ont accepté des normes volontaires, définies par des groupes d’experts gouvernementaux sous l’égide de l’ONU, interdisant les attaques contre les infrastructures civiles des autres pays et n’excluant pas les actes illicites commis à partir de leur territoire. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques notent que peu de temps après avoir accepté un rapport de 2015, la Russie a attaqué le réseau électrique de l’Ukraine et s’est ingérée dans l’élection présidentielle américaine de 2016.
Cyberespionnage
Contrairement aux États-Unis, qui ont créé un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de cybercapacités offensives. Les deux pays pénètrent dans les réseaux de l’autre pour recueillir des renseignements, mais il est parfois difficile de tracer une ligne entre l’espionnage et la préparation du champ de bataille. C’est pourquoi les États-Unis se sont plaints au début de l’année de l’attaque russe contre la société américaine SolarWinds, qui aurait infecté au moins neuf grandes agences gouvernementales et plus d’une centaine d’entreprises importantes.
Même si les traités formels de contrôle des armements sont inapplicables, il peut toujours être possible de fixer des limites à certains types de cibles civiles et de négocier des règles de conduite approximatives. Par exemple, en dépit de profondes divergences idéologiques, les États-Unis et l’Union soviétique ont négocié en 1972 un accord sur les incidents en mer afin de limiter les comportements navals susceptibles d’entraîner une escalade dangereuse.
L’espionnage n’est pas contraire au droit international et un accord visant à l’interdire ne serait pas crédible. Néanmoins, les États-Unis et la Russie pourraient négocier des limites à leur comportement concernant l’étendue (et non l’existence) de leur cyberespionnage. Ils pourraient également convenir de fixer des limites à leur intervention dans les processus politiques nationaux de l’autre partie. Même s’il n’y a pas d’accord sur des définitions précises, ils pourraient échanger des déclarations unilatérales sur les domaines d’autolimitation et établir un processus consultatif régulier pour contenir les conflits.
S'abonner à SAY
Abonnez-vous à notre Newsletter ! Ne loupez plus les dernières actualités économiques, environnementales, technologiques et plus encore.
Je m'abonne !S'abonner maintenant !
Instaurer des digues
Cette approche semble avoir été celle explorée par Biden à Genève. Selon les comptes rendus de presse, M. Biden a remis à M. Poutine une liste de 16 secteurs d’infrastructures critiques – dont l’énergie, la santé, les technologies de l’information, les services financiers, les produits chimiques et les communications – qui, selon lui, « devraient être interdits d’attaque, point final ».
Dans un sens, ce n’est pas nouveau. La liste de ce que les Américains considèrent comme des infrastructures critiques est publiée depuis longtemps sur le site web de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais c’est différent lorsqu’un chef d’État remet une liste à un autre.
Après la réunion, M. Biden a révélé qu’il avait demandé à M. Poutine ce qu’il ressentirait si les pipelines russes étaient mis hors service par un ransomware, comme l’a été en mai le pipeline américain Colonial par des criminels opérant depuis la Russie. Cela serait très coûteux pour l’économie russe, qui dépend fortement des pipelines pour exporter son gaz naturel. Les Américains n’ont pas attribué l’attaque par ransomware contre Colonial au gouvernement russe, mais les experts américains ont noté que les bandes criminelles en Russie semblent opérer en toute impunité tant qu’elles n’attaquent pas des cibles russes.
Jeu de dissuasions et lignes rouges
Lors de la conférence de presse qu’il a donnée à l’issue du sommet, M. Biden a déclaré : « Je lui ai fait remarquer que nous disposions d’importantes capacités informatiques. Et il le sait. Il ne sait pas exactement de quoi il s’agit, mais c’est important. Et si, en fait, ils violent ces normes de base, nous répondrons par la cybernétique. Il le sait. » En d’autres termes, Biden sous-entendait une menace dissuasive si la Russie continuait à violer les normes volontaires interdisant les attaques contre les infrastructures civiles et l’utilisation de son territoire à des fins nuisibles. Poutine est intelligent, et il a certainement entendu le message, mais l’amélioration du comportement de la Russie dépend de la crédibilité de Biden.
Il peut être délicat de tracer des lignes rouges. Certains critiques s’inquiètent du fait qu’en spécifiant ce qui doit être protégé, M. Biden pourrait avoir laissé entendre que d’autres zones sont acceptables. En outre, les lignes rouges doivent être appliquées pour être efficaces. Les critiques soutiennent que l’avertissement aurait dû porter sur la quantité de dommages causés, et non sur le lieu ou la manière dont ils sont causés.
Par analogie, on ne dit pas à un hôte de fête d’éteindre toute sa musique ; on l’avertit que si le bruit devient intolérable, on appellera la police. Il reste à voir comment Poutine interprète le message de Biden dans les mois à venir, mais les deux présidents ont convenu de créer un groupe de travail sur la cybernétique qui pourrait tenter de définir les limites du « tolérable ».
Les États-Unis devront énoncer unilatéralement les normes qu’ils s’engagent à respecter. Lorsque la Russie franchira cette ligne, l’Amérique devra se préparer à des représailles ciblées, par exemple en vidant les comptes bancaires de certains oligarques privilégiés, en diffusant des informations embarrassantes ou en perturbant les réseaux russes. La stratégie de défense avancée et d’engagement persistant de l’USCYBERCOM peut être utile pour la dissuasion, mais elle doit être accompagnée d’un processus de communication discrète.
Les groupes criminels agissent souvent, à des degrés divers, comme des mandataires de l’État, et les États-Unis devront faire comprendre que le fait de servir de refuge aux cybercriminels entraînera des représailles. Et parce que les règles du jeu ne seront jamais parfaites, elles doivent être accompagnées d’un processus consultatif régulier qui établit un cadre d’alerte et de négociation. Les mois à venir pourraient bien montrer si Biden a réussi à lancer un tel processus à Genève, ou si les cyberrelations entre la Russie et les États-Unis resteront dans leur mauvais état.
Lire sur le même sujet Cybersécurité : l’état d’urgence de Michael Chertoff, Latha Reddy et Alexander Klimburg (paru dans SAY 4) et Le nouveau Far West du cyberespace de Richard Haass.