Biden presse la « cyberdétente » à Genève - icono

Biden presse la « cyberdétente » à Genève

Même si les traités formels de cybersécurité sont inapplicables, il est peut-être encore possible de fixer des limites à certains types de cibles civiles et de négocier des règles de base. La question de savoir si Joe Biden a réussi à lancer un tel processus lors de sa rencontre avec le président russe et s’il peut se clarifier prochainement.

Lorsque le président américain Joe Biden et le président russe Vladimir Poutine ont tenu leur premier sommet à Genève le mois dernier, les cyberarmes ont occupé une place plus importante que les armes nucléaires à l’ordre du jour. Le monde a changé depuis la guerre froide, mais qu’est-ce que Joe Biden a accompli, si tant est qu’il ait accompli quelque chose ?

Depuis plus de deux décennies, la Russie propose un traité des Nations unies sur la cybercriminalité. Mais les États-Unis considèrent qu’un tel pacte est invérifiable. Contrairement aux armes nucléaires, la différence entre une cyberarme et un autre code informatique peut dépendre simplement de l’intention du programmeur.

Au lieu d’un traité, la Russie, les États-Unis et 13 autres États ont accepté des normes volontaires, définies par des groupes d’experts gouvernementaux sous l’égide de l’ONU, interdisant les attaques contre les infrastructures civiles des autres pays et n’excluant pas les actes illicites commis à partir de leur territoire. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques notent que peu de temps après avoir accepté un rapport de 2015, la Russie a attaqué le réseau électrique de l’Ukraine et s’est ingérée dans l’élection présidentielle américaine de 2016.

Cyberespionnage

Contrairement aux États-Unis, qui ont créé un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de cybercapacités offensives. Les deux pays pénètrent dans les réseaux de l’autre pour recueillir des renseignements, mais il est parfois difficile de tracer une ligne entre l’espionnage et la préparation du champ de bataille. C’est pourquoi les États-Unis se sont plaints au début de l’année de l’attaque russe contre la société américaine SolarWinds, qui aurait infecté au moins neuf grandes agences gouvernementales et plus d’une centaine d’entreprises importantes.

Même si les traités formels de contrôle des armements sont inapplicables, il peut toujours être possible de fixer des limites à certains types de cibles civiles et de négocier des règles de conduite approximatives. Par exemple, en dépit de profondes divergences idéologiques, les États-Unis et l’Union soviétique ont négocié en 1972 un accord sur les incidents en mer afin de limiter les comportements navals susceptibles d’entraîner une escalade dangereuse.

L’espionnage n’est pas contraire au droit international et un accord visant à l’interdire ne serait pas crédible. Néanmoins, les États-Unis et la Russie pourraient négocier des limites à leur comportement concernant l’étendue (et non l’existence) de leur cyberespionnage. Ils pourraient également convenir de fixer des limites à leur intervention dans les processus politiques nationaux de l’autre partie. Même s’il n’y a pas d’accord sur des définitions précises, ils pourraient échanger des déclarations unilatérales sur les domaines d’autolimitation et établir un processus consultatif régulier pour contenir les conflits.

S'abonner à SAY
mur couv (1)

S'abonner à SAY

Profitez d'un accès illimité aux idées et opinions des plus grands penseurs du monde, y compris des lectures hebdomadaires, des critiques de livres et des interviews !  

Offre de l'été : 70€ au lieu de 78€

S'abonner maintenant !

Instaurer des digues

Cette approche semble avoir été celle explorée par Biden à Genève. Selon les comptes rendus de presse, M. Biden a remis à M. Poutine une liste de 16 secteurs d’infrastructures critiques – dont l’énergie, la santé, les technologies de l’information, les services financiers, les produits chimiques et les communications – qui, selon lui, « devraient être interdits d’attaque, point final ».

Dans un sens, ce n’est pas nouveau. La liste de ce que les Américains considèrent comme des infrastructures critiques est publiée depuis longtemps sur le site web de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais c’est différent lorsqu’un chef d’État remet une liste à un autre.

Après la réunion, M. Biden a révélé qu’il avait demandé à M. Poutine ce qu’il ressentirait si les pipelines russes étaient mis hors service par un ransomware, comme l’a été en mai le pipeline américain Colonial par des criminels opérant depuis la Russie. Cela serait très coûteux pour l’économie russe, qui dépend fortement des pipelines pour exporter son gaz naturel. Les Américains n’ont pas attribué l’attaque par ransomware contre Colonial au gouvernement russe, mais les experts américains ont noté que les bandes criminelles en Russie semblent opérer en toute impunité tant qu’elles n’attaquent pas des cibles russes.

Jeu de dissuasions et lignes rouges

Lors de la conférence de presse qu’il a donnée à l’issue du sommet, M. Biden a déclaré : « Je lui ai fait remarquer que nous disposions d’importantes capacités informatiques. Et il le sait. Il ne sait pas exactement de quoi il s’agit, mais c’est important. Et si, en fait, ils violent ces normes de base, nous répondrons par la cybernétique. Il le sait. » En d’autres termes, Biden sous-entendait une menace dissuasive si la Russie continuait à violer les normes volontaires interdisant les attaques contre les infrastructures civiles et l’utilisation de son territoire à des fins nuisibles. Poutine est intelligent, et il a certainement entendu le message, mais l’amélioration du comportement de la Russie dépend de la crédibilité de Biden.

Il peut être délicat de tracer des lignes rouges. Certains critiques s’inquiètent du fait qu’en spécifiant ce qui doit être protégé, M. Biden pourrait avoir laissé entendre que d’autres zones sont acceptables. En outre, les lignes rouges doivent être appliquées pour être efficaces. Les critiques soutiennent que l’avertissement aurait dû porter sur la quantité de dommages causés, et non sur le lieu ou la manière dont ils sont causés.

Par analogie, on ne dit pas à un hôte de fête d’éteindre toute sa musique ; on l’avertit que si le bruit devient intolérable, on appellera la police. Il reste à voir comment Poutine interprète le message de Biden dans les mois à venir, mais les deux présidents ont convenu de créer un groupe de travail sur la cybernétique qui pourrait tenter de définir les limites du « tolérable ».

Les États-Unis devront énoncer unilatéralement les normes qu’ils s’engagent à respecter. Lorsque la Russie franchira cette ligne, l’Amérique devra se préparer à des représailles ciblées, par exemple en vidant les comptes bancaires de certains oligarques privilégiés, en diffusant des informations embarrassantes ou en perturbant les réseaux russes. La stratégie de défense avancée et d’engagement persistant de l’USCYBERCOM peut être utile pour la dissuasion, mais elle doit être accompagnée d’un processus de communication discrète.

Les groupes criminels agissent souvent, à des degrés divers, comme des mandataires de l’État, et les États-Unis devront faire comprendre que le fait de servir de refuge aux cybercriminels entraînera des représailles. Et parce que les règles du jeu ne seront jamais parfaites, elles doivent être accompagnées d’un processus consultatif régulier qui établit un cadre d’alerte et de négociation. Les mois à venir pourraient bien montrer si Biden a réussi à lancer un tel processus à Genève, ou si les cyberrelations entre la Russie et les États-Unis resteront dans leur mauvais état.

Lire sur le même sujet Cybersécurité : l’état d’urgence de Michael Chertoff, Latha Reddy et Alexander Klimburg (paru dans SAY 4) et Le nouveau Far West du cyberespace de Richard Haass.

https://www.say.media/sGeLXlx