ra2 studio - Fotolia
Cyberguerre : l’Union Européenne bientôt prise dans les méandres de l’attribution
Les gouvernements de l’Union envisagent de répondre aux attaques informatiques comme à des actes de guerre. Mais les liens avec les états nations restent difficiles à établir.
Les gouvernements de l’Union Européenne prévoient de signer une déclaration selon laquelle les cyberattaques pourraient être appréhendées comme des actes de guerre, jusqu’à éventuellement motiver une réponse avec des armes conventionnelles.
La déclaration a été conçue comme une dissuasion destinée aux pays conduisant cyberattaques et espionnage informatique contre les états membres de l’Union, directement ou indirectement via des acteurs indépendants, selon le Telegraph.
Nos confrères expliquent que la déclaration devrait être validée dans les prochaines semaines par tous les états membres de l’Union Européenne, y compris le Royaume-Uni, et avertit qu’une attaque informatique pourrait déclencher une riposte conventionnelle dans les « cas graves ».
Officiellement intitulé « framework pour une réponse diplomatique conjointe aux activité cyber malicieuses », le brouillon de déclaration prévoit qu’un pays attaqué pourrait exercer son « droit inhérent à l’auto-défense individuelle ou collective » prévu par le droit international. Cette position renvoie clairement à celle adoptée en 2014 par les états membres de l’Otan et intervient dans un contexte d’aspiration de l’Ukraine à adhérer l’organisation. Et cela alors même que le pays a ouvertement accusé la Russie d’avoir piloté l’attaque NotPetya/ExPetr.
Mais dans la pratique, l’approche européenne risque de se heurter à la difficulté de l’attribution dans le monde Cyber. Bien conscient de celle-ci, Microsoft estimait d’ailleurs, en juillet 2016, qu’il était temps d’améliorer le processus d’attribution des cyberattaques, en appelant au passage au recours à un tiers indépendant.
Plus récemment, le général d’armée (2S) Marc Watin-Augouard, fondateur du Forum International de la Cybersécurité il y a dix ans, exprimait ses réserves dans nos colonnes : « souvenez-vous de l’Estonie. Tout le monde a dit “ce sont les russes”. Mais qui a été capable d’en apporter la preuve ? […] Je pense qu’aujourd’hui, il faut être extrêmement prudent dans l’attribution. Parce que cela fait aussi partie d’un jeu potentiellement dangereux consistant à se faire peur pour pouvoir renforcer ses propres moyens ». La base d’une course au cyber-armement, en somme.
En mars dernier, James Scott, membre de l’ICIT, abondait plus que largement, dénonçant même sans ambages « faux experts » et « tentatives mal-informées de gagner en crédibilité en attribuant rapidement chaque cyber-attaque à quelque groupe chinois ou russe, spécialiste des attaques avancées persistantes (APT), qui monopolise l’attention à ce moment-là ». L’ICIT est un groupe de réflexion dédié à la sécurité des infrastructures critiques. Parmi ses membres, on compte notamment l’ISC2, Anomali, Cylance, Exabeam, Securonix, mais encore HPE ou KPMG.
Pour James Scott, l’attribution de certains hauts faits aux services russes est basée « sur du bouche-à-oreille et sur des analyses criminalistiques fragiles » exploités pour service un discours politique. Selon lui, « lorsqu’un officiel de gouvernement affirme que “ce sont les russes” », la réaction immédiate devrait être de multiplier les questions : « quel groupe APT ? Comment savez-vous ? Quels imitateurs ont été étudiés […] ? Quels outils ont été utilisés [par les attaquants] ? Et depuis combien de temps sont-ils disponibles sur le marché noir ? »
Avec nos confrères de ComputerWeekly (groupe TechTarget).