L’avènement de l’Internet, et plus généralement du numérique, ont fait émerger un nouveau champ de bataille : le cyberespace.
Certains comparent l’émergence du numérique dans la guerre à celle de la poudre à canon[i]. Il est certain que l’arrivée du numérique, comme celle de la poudre à canon, a permis d’augmenter la force de frappe des États qui peuvent désormais atteindre plus de personnes, plus vite dans le cyberespace. Cela est encore plus vrai pour le numérique et le cyberespace qui ne se heurtent pas à des frontières physiques.
En effet, le cyberespace peut être défini comme undomaine global constitué du réseau maillé des infrastructures des technologies de l’information (dont Internet), des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégrés. Il inclut l’information numérique transportée ainsi que les opérateurs de services en ligne.[ii]
Outre le progrès technique qu’il constitue, le cyberespace a fondamentalement changé les conflit « classiques », on parle d’ailleurs aujourd’hui de cyber conflit.
Tout d’abord, le cyberespace n’oppose pas systématiquement deux États. Au contraire, le cyberespace implique une grande variété de parties prenantes.
Il est vrai que les barrières d’accès au numérique sont très inférieures à celles pour avoir une capacité de nuisance avec les armements traditionnels [iii]; les investissements en numérique étant plus limités que les armes « classiques ». Dès lors, le cyberespace n’appartient pas aux seuls États souverains. Les cyber infractions[iv] peuvent être perpétrées par – et dirigées vers- des personnes isolées, et des groupes.
Ensuite, l’ennemi n’est plus toujours identifiable. Les acteurs du cyber espace agissent souvent dans l’ombre. L’anonymat permis par Internet rend leur identification difficile, ce qui favorise la commission de cyber infractions.
C’est ainsi que le cyberespace est devenu le nouveau champ de bataille de la guerre du numérique, qui peut être étudiée sous trois angles : l’intrusion informatique, les données personnelles et la manipulation de l’information ou pratique des « fake news ».
L’intrusion informatique
Clausewitz disait « la guerre n’est que la simple continuation de la politique par d’autres moyens ». Aujourd’hui, le numérique fournit ces autres moyens aux États dans le cadre de la cyberguerre qui consiste à recourir aux TICS et à l’internet pour toucher directement l’organisation d’un pays, l’informatique se substituant aux armes classiques[v]. L’intrusion informatique offre un exemple de cyberguerre.
Cette pratique renvoie au piratage informatique (hacking) à des fins d’espionnage, de sabotage. C’est l’exemple connu des États Unis qui ont saboté en 2010 les centrifugeuses nucléaires iraniennes.
C’est aussi l’exemple plus récent des services de sécurité allemands, qui ont révélé que les réseaux gouvernementaux et militaires avaient été la cible d’une série de cyberattaques en novembre dernier. Ces attaques consistaient à infiltrer les ordinateurs pour en extraire les données, dans le cadre d’une enquête sur la campagne de cyberattaques « Snake », soulevant ainsi des questions sur l’état de leur sécurité.
Le groupe de pirates « Snake » serait lié aux autorités russes et se serait fait connaître en 2014, quand les systèmes du gouvernement ukrainien ont fait l’objet d’une cyberattaque par une arme informatique russe du même nom.[vi]
L’intrusion informatique peut aussi avoir pour unique but d’intimider : montrer que l’on peut faire, sans passer à l’acte. Ainsi, entre janvier 2017 et juin 2018, le gouvernement américain a relevé plus de quatre cents intrusions russes qui se sont produites sans aucun dégât au cœur de systèmes informatiques dans plus de quatre cents installations de production électrique américaine.
Face à ce phénomène d’intrusion informatique, le législateur européen a réagi en adoptant le 6 juillet 2016 la directive sur la sécurité des réseaux et des systèmes d’information dite « directive NIS ». Les Etats membres avaient jusqu’au 9 mai 2018 pour la transposer dans leur droit national.
La directive prévoit le renforcement des capacités nationales de cybersécurité et établit un cadre formel de coopération entre États membres. La directive prévoit également le renforcement de la cybersécurité d’opérateurs issus de secteurs clés tels que la santé, l’énergie, ou encore les banques, ainsi que de certaines plateformes numériques.
Les données personnelles : nouvel or noir
Les particuliers ne sont pas en reste : leurs données aussi sont des cibles de prédilection dans le cyberespace. Les collectes illégales de données d’au moins 87 millions d’utilisateurs de Facebook dans le cadre du scandale Cambridge Analytica[vii]ne le montre que trop bien.
Plus encore, l’ONG Privacy International a montré que des données étaient envoyées à Facebook par des applications Android, alors même que les utilisateurs desdites applications ne disposaient pas de compte Facebook.
Aussi, les particuliers doivent faire face aux cyberattaques des hackers qui piratent messagerie électronique, comptes en banques etc.
Dans ce cadre, le droit à la vie privée se trouve dangereusement menacé.
En matière de protection des données, il y a bien sûr le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018 dont l’objectif principal est de de réguler la collecte, le stockage et le traitement des données personnelles.
Ainsi, le 21 janvier 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a condamné Google à une amende record de cinquante millions d’euros pour ne pas avoir informé suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles en application du RGPD. Le géant s’est vu reprocher un manque de transparence, une information insatisfaisante, et l’absence de consentement valable pour la personnalisation de la publicité.
Par ailleurs, outre l’aspect régulation, au niveau interne, M. Mahjoubi, secrétaire d’État chargé du numérique et le Conseil national du numérique (CNNum) ont ouvert, le 14 janvier 2019, un débat national sur des nouvelles régulations à l’ère du numérique, notamment en mettant en place une grande consultation en ligne avec l’ensemble des parties prenantes.
En effet, selon la présidente du CNNum, Mme Toko, « le CNN veillera à recueillir les avis du plus grand nombre des parties prenantes afin de faire vivre le débat notamment sur les enjeux suivants : se protéger des contenus illicites tout en préservant la liberté d’expression ; faire évoluer les instances publiques de régulation à tous ces enjeux ; inciter au partage des données qui présentent un intérêt collectif ».
La guerre informationnelle ou « fake news »
La reine d’Angleterre soutient le Brexit, l’existence d’un réseau de pédophilie autour de l’ancien directeur de campagne d’Hillary Clinton…
Ces « fake news » font partie de la guerre informationnelle, autre aspect de la « guerre du numérique ».
Il s’agit ici de la manipulation de l’information, aussi connue sous le nom de « fake news » ou encore intox (en français « infox »). La guerre informationnelle est un concept plus vieux que le numérique. Il suffit de se rappeler le célèbre exemple des renseignements soviétiques, qui dans les années 1980, avaient déclaré que le sida était le fruit d’une expérience ratée de la CIA en Afrique. Cette nouvelle avait mis deux ans à se diffuser par les journaux.
Au niveau interne, le droit français n’ignore pas les fake news.
En effet, la loi du 29 juillet 1881 sur la liberté de la presse punit « la publication, la diffusion ou la reproduction, par quelque moyen que ce soit, de nouvelles fausses, de pièces fabriquées, falsifiées ou mensongèrement attribuées à des tiers lorsque, faite de mauvaise foi, elle aura troublé la paix publique, ou aura été susceptible de la troubler»[viii].
Aussi, le Code électoral punit d’un an d’emprisonnement et d’une amende de 15 000 euros « ceux qui, à l’aide de fausses nouvelles, bruits calomnieux ou autres manœuvres frauduleuses, auront surpris ou détourné des suffrages, déterminé un ou plusieurs électeurs à s’abstenir de voter»[ix].
Aujourd’hui, si le principe de la fake news est resté le même, les réseaux sociaux qui facilitent la circulation de l’information et sa rapidité, ont accru et donc aggravé la portée du phénomène.
Prenant acte de cette évolution numérique, le législateur français a adopté une loi contre la manipulation de l’information. Ainsi, la loi ordinaire et la loi organique promulguées le 22 décembre 2018 visent à lutter contre la manipulation de l’information à l’heure numérique et la diffusion de fausses informations pendant les périodes de campagne électorale.
Cette loi impose aux plates-formes numériques telles que Facebook ou Twitter, des obligations de transparence lorsqu’elles diffusent des contenus contre rémunération[x]. Celles qui dépassent un certain volume de connexions par jour doivent avoir un représentant légal en France[xi]et rendre publics leurs algorithmes[xii].
Le Conseil supérieur de l’audiovisuel peut aussi empêcher, suspendre ou interrompre la diffusion de services de télévision contrôlés par un État étranger ou sous l’influence de cet État, et portant atteinte aux intérêts fondamentaux de la nation[xiii].
La loi du 22 décembre 2018 créé une nouvelle voie de référé civil visant à faire cesser la diffusion de fausses informations durant les trois mois précédant un scrutin national. Quand il est saisi, le juge des référés doit apprécier, sous 48 heures, si ces fausses informations sont diffusées « de manière artificielle ou automatisée » et « massive »[xiv].
Le Conseil constitutionnel a jugé les dispositions des lois conformes à la Constitution sous plusieurs réserves d’interprétation. Ainsi, dans le cadre de la nouvelle voie de référé civil, le juge ne peut faire cesser la diffusion d’une telle information que si le caractère inexact ou trompeur de l’information est manifeste et que le risque d’altération de la sincérité du scrutin est également manifeste[xv].
Les interventions du législateur français et du législateur européen dans le numérique montrent que la cyber-ingérence est devenu un outil de soft power presque incontournable, qu’il s’agisse d’intrusion informatique, ou de guerre informationnelle, la machine est lancée : la cyber-ingérence est devenu un outil de soft power presque incontournable. L’influence des États sur les autres États qu’exerce le numérique et ce même en temps de paix, le prouve.
On peut regretter l’absence de convention internationale sur la sécurité du numérique, malgré la proposition de Microsoft d’une « Convention de Genève Numérique».
Toutefois la menace de ces nouvelles formes de conflit qui émerge dans le cyberespace est bien réelle. Si réelle que le 12 novembre 2018, lors du 13e Forum sur la gouvernance de l’Internet, 53 pays et des dizaines d’entreprises et organisations internationales ont signé l’« Appel de Paris pour la confiance et la sécurité dans le cyberespace », condamnant notamment « les cyber activités malveillantes en temps de paix, notamment celles qui menacent des individus et des infrastructures critiques ou qui ont pour effet de leur causer des dommages importants, sans discernement ou systémiques ».
Raphaëlle Mauret
[i]J-L Gergorin et Léo Isaac Dognin. Cyber. La guerre permanente.
[ii]https://www.defense.gouv.fr/portail/enjeux2/la-cyberdefense/la-cyberdefense/presentation
[iii]J-L Gergorin, i.e. les ressources nécessaires pour avoir une capacité de nuisance dans le numérique.
[iv]P.Achilleas, i.e. actions illicites mettant en jeu des outils informatiques ou des réseaux de communication visant à la fois le cyberespace proprement dit, mais aussi le monde réel avec les délits traditionnels (vol, escroquerie, recel, abus de confiance, extorsion).
[v]P.Achilleas
[vi]https://www.euractiv.fr/section/politique/news/germany-critical-cyberattacks-target-government-and-military-networks/
[vii]https://www.lesechos.fr/17/04/2018/lesechos.fr/0301577365473_cambridge-analytica—le-nombre-de-comptes-facebook-affectes-pourrait-etre-bien-superieur-a-87-millions.htm )
[viii]Article 27 de la loi du 29 juillet 1881 sur la liberté de la presse.
[ix] Article L.97 du Code électoral.
[x] Article 11 de la loi du 22 décembre 2018 n°2018-1202
[xi]Article 13 de la loi du 22 décembre 2018
[xii]Article 14 de la loi du 22 décembre 2018
[xiii]Article 8 de la loi du 22 décembre 2018
[xiv]Article 1 de la loi du 22 décembre 2018
[xv]Décision n° 2018-773 DC du 20 décembre 2018.