Alors que les cybermenaces continuent de se multiplier, les gouvernements du monde envisagent la possibilité de ripostes cyber, comme le hack back. C’est ce sur quoi l’UE se penche dans un nouveau plan d’action publié mardi (21 novembre) et consulté par Euractiv.
Alors que les gouvernements de l’Union s’efforcent de contenir la croissance des cybermenaces, le plan d’action propose d’autoriser les opérations de cyberdéfense actives.
Contrairement à des options de cyberdéfense passives, telles que l’utilisation d’antivirus, ou de pare-feu, le hack back (« hacking de représailles ») regroupe un ensemble de mesures agressives qui consistent à pirater, désactiver ou endommager les appareils informatiques ou les infrastructures de l’organisme responsable de la cyberattaque.
Soutenu par le groupe de travail sur la cyberdéfense active du Forum cybernétique transatlantique (Transatlantic Cyber Forum) et par les contributions de 23 chercheurs cyber et analystes informatiques, le plan d’action a été rédigé par Sven Herpig, expert en politique de cybersécurité au sein du groupe de réflexion SNV basé à Berlin.
« Des États membres de l’UE comme l’Allemagne débattent de cette question depuis des années, tandis que d’autres pays comme la Roumanie ont annoncé qu’ils mettaient en œuvre de telles mesures si nécessaire », a souligné M. Herpig à Euractiv.
Que font les autres acteurs internationaux ?
L’Australie, le Japon, la Chine et les États-Unis cherchent également à mener des opérations de riposte contre la cybercriminalité de type hack back et ont tous annoncé la mise en place d’une politique de cyberdéfense active au cours des deux dernières années.
L’UE envisage elle aussi de recourir aux techniques de hack back comme solutions pour faire face aux cybermenaces.
« De nombreux États membres de l’UE ont déjà [fixé] des seuils et conditions qui autorisent un déclenchement d’actions de représailles », a expliqué à Euractiv le chercheur indépendant Lukasz Olejnik, qui a contribué à la rédaction du plan d’action.
En mai, le Conseil de l’UE encourageait les États membres à développer « leurs propres capacités à mener des opérations de cyberdéfense, y compris, le cas échéant, des mesures de cyberdéfenses proactives de protection, de détection, de défense et de dissuasion face aux cyberattaques ».
« La France, en particulier, indique clairement dans sa stratégie, que, pour les cyberattaques atteignant un certain niveau d’intensité, les représaillent étaient une option valide. Et il en va de même pour d’autres types de représailles, y compris dans [le monde physique]. Et c’est bien là l’essentiel : les réponses ne doivent pas se limiter au monde cyber », a affirmé M. Olejnik.
De son côté, l’OTAN a commencé à étudier comment un bras armé cyber pourrait participer à des opérations de cyberdéfense en juillet.
Le cœur du problème
L’un des principaux arguments contre le hack back consiste dans les risques encourus de dommages collatéraux et d’escalades diplomatiques.
« Le hack back est un sujet délicat. Il n’est pas toujours évident de savoir si ou quand il est judicieux de riposter dans le domaine cyber », a commenté M. Olejnik.
Le débat sur une potentielle utilisation du hack back dure depuis plusieurs années déjà. « Dans le débat public, les arguments sont rarement allés au-delà de “nous avons besoin de ceci ; sinon, nous perdons face aux Chinois et aux Russes” d’un côté, et “si nous faisons ceci, nous pouvons paralyser des hôpitaux” d’un autre côté », a indiqué M. Herpig à Euractiv.
Parmi les opérations de cyberdéfense active prévues dans le plan d’action se trouvent la possibilité de mandater les fournisseurs d’accès pour bloquer ou réorienter le trafic malveillant, de prendre le contrôle d’une infrastructure de commande ou de contrôle utilisée par l’organisme qui a lancé la cyberattaque, de désinstaller ou neutraliser les logiciels malveillants sur les systèmes des victimes ou encore de déployer des patchs correctifs.
Contrairement aux cyberopérations offensives, l’objectif de la cyberdéfense active n’est pas d’aller chercher activement, dans les systèmes des assaillaient, des renseignements sur qui ils sont et pourquoi ils attaquent, par exemple.
« Les États doivent trouver un équilibre entre la proportionnalité de leur réponse et les objectifs recherchés. Il est également primordial d’évaluer la légalité des réponses cyber lorsque les activités se déroulent en dessous du seuil du conflit armé », a recommandé M. Olejnik.
Les principes du hack back
Le plan d’action indique que le respect du droit international et une communication efficace entre alliés et partenaires stratégiques sont deux facteurs qui jouent un rôle crucial dans la mise en place d’un cadre solide d’une pratique responsable du hack back.
« Nous avons donc décidé de réunir un groupe de chercheurs et de praticiens pour élaborer des normes concrètes et opérationnelles qui permettraient aux États qui prévoient de mettre en œuvre ces mesures ou qui les mettent déjà en œuvre pour le faire de manière plus responsable », a expliqué M. Herpig.
« Cela ne devrait en aucun cas refléter une position sur la question, mais offrir un moyen de mieux faire les choses si les États prévoient de le faire de toute façon », a-t-il ajouté.
D’autres aspects importants sont le développement, l’expérimentation et l’utilisation de mesures afin de s’assurer que la cyberdéfense active est précise et fonctionne comme prévu contre les cyberattaques.
« En d’autres termes, est-il judicieux de réagir ? L’État ciblé s’en souciera-t-il ? Les conséquences en termes de représailles légales ou de mesures de représailles quelles qu’elles soient doivent également être prises en compte. Est-ce que l’attaque provenant d’un pays a été menée par l’État lui-même ? Quelle est la gravité d’une telle action ? » explique M. Olejnik.
« Les cyberattaques dont nous sommes souvent victimes n’ont pas d’impact ou atteignent la limite de l’ingérence dans les affaires intérieures. Mais aucune n’atteint le niveau de gravité qui nécessite un recours à la force », a-t-il ajouté.
Le plan d’action énonce neuf normes opérationnelles qui doivent répondre au besoin de compréhension précise de l’attaque et des objectifs des assaillants, pour permettre aux gouvernements d’élaborer au mieux leurs politiques de cyberdéfense active.
Pour garantir la proportionnalité des mesures, les gouvernements doivent avoir une compréhension technique de l’environnement de cyber de leurs adversaires et limiter autant que possible les mesures de représailles, afin d’éviter de cibler des chaînes d’approvisionnement logistiques ou des infrastructures critiques tierces.
« Les gouvernements devraient mettre en place des cadres politiques, juridiques et de contrôle des opérations de cyberdéfense active et mettre l’accent sur la conduction d’analyses d’impact et de transparence [de leurs activités] », peut-on également lire dans le plan d’action.
[Édité par Anne-Sophie Gayet & Théophane Hartmann]