nye219_BeeBrightGetty Images_USRussiacybersecurity BeeBright/Getty Images

Quels résultats pour Biden à Genève ?

CAMBRIDGE – Dans le cadre du tout premier sommet qui a réuni le président américain Joe Biden et son homologue russe Vladimir Poutine à Genève le mois dernier, les armes cybernétiques ont davantage occupé l’agenda que les armes nucléaires. Le monde a clairement changé depuis la guerre froide. Qu’est alors parvenu à accomplir Biden ?

Depuis plus de vingt ans, la Russie propose un cybertraité dans le cadre des Nations Unies. Les États-Unis estiment cependant que le respect d’un tel traité ne serait pas vérifiable. Contrairement au domaine des armes nucléaires, la différence entre une arme cybernétique et un simple code informatique dépend simplement de l’intention du programmeur.

En lieu et place d’un traité, la Russie, les États-Unis et 13 autres États membres ont convenu de normes volontaires, aux contours tracés par plusieurs groupes d’experts gouvernementaux appuyés par l’ONU, qui interdisent les attaques contre l’infrastructure civile d’un État, mais qui ne couvrent pas les actes malveillants organisés depuis le territoire de chacun. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques n’ont pas manqué de souligner qu’après avoir accepté les règles énoncées dans un rapport de 2015, la Russie s’en est prise au réseau électrique de l’Ukraine, et s’est ingérée dans l’élection présidentielle américaine de 2016.

À les différence des États-Unis, qui ont mis en place un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de capacités cybernétiques offensives. Les deux pays pénètrent le réseau l’un de l’autre pour recueillir des renseignements, mais il est parfois difficile d’établir une distinction entre espionnage et préparation d’un champ de bataille. C’est pourquoi les États-Unis ont dénoncé cette année l’attaque russe contre la société américaine SolarWinds, une agression qui pourrait avoir infecté au moins neuf agences gouvernementales américaines majeures, et plus d’une centaine de sociétés importantes.

Même si les traités officiels de contrôle de ces armes sont impraticables, il est peut-être encore possible de fixer des limites à certains types de cibles civiles, et de négocier un code de conduite ferme. Malgré des divergences idéologiques profondes, les États-Unis et l’URSS ont par exemple négocié en 1972 un Accord sur les incidents en mer, afin de limiter les comportements navals susceptible d’engendrer une escalade dangereuse.

L’espionnage n’enfreint pas le droit international, et tout accord censé l’interdire ne serait pas crédible. Pour autant, États-Unis et Russie pourraient négocier certaines limites à leurs agissements concernant la mesure (plutôt que l’existence) de leurs manœuvres de cyberespionnage, ou certaines limites à leur ingérence dans le processus politique national l’un de l’autre. Même sans convenir de définitions précises, les deux pays pourraient échanger des déclarations unilatérales d’automodération, et mettre en place une procédure consultative régulière de maîtrise des conflits.

Subscribe to Project Syndicate
Bundle2021_web4

Subscribe to Project Syndicate

Enjoy unlimited access to the ideas and opinions of the world's leading thinkers, including weekly long reads, book reviews, topical collections, and interviews; The Year Ahead annual print magazine; the complete PS archive; and more. All for less than $9 a month.

Subscribe Now

C’est l’approche que semble avoir exploré Biden à Genève. Selon la presse, Biden aurait remis à Poutine une liste de 16 zones aux infrastructures critiques – couvrant énergie, santé, informatique, services financiers, produits chimiques, et communications – sur lesquelles « toute attaque serait inacceptable, point final ».

En un sens, rien de bien nouveau. La liste des infrastructures que les Américains considèrent comme critiques figure depuis longtemps sur le site Internet de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais lorsqu’un chef d’État remet cette liste en main propre à un homologue étranger, les choses sont différentes.

Après leur rencontre, Biden a révélé avoir demandé à Poutine quelle serait son sentiment si les pipelines russes étaient pris d’assaut par des logiciels malveillants, comme l’a été au mois de mai le pipeline américain Colonial par des cybercriminels opérant depuis la Russie. La réciproque serait extrêmement coûteuse pour l’économie russe, qui dépend très largement de ses pipelines pour exporter son gaz naturel. Les Américains n’ont pas directement accusé le gouvernement russe d’avoir attaqué informatiquement le pipeline Colonial, mais les experts américains ont relevé que les cybercriminels russes semblaient opérer en toute impunité tant qu’ils ne s’en prenaient pas à des cibles russes.

Dans sa conférence de presse tenue après le sommet, Biden a déclaré : « Je lui ai rappelé que nous disposions de puissantes capacités cybernétiques. Et il le sait. Il ignore de quoi il s’agit précisément, mais ces capacités sont conséquentes. Et s’ils venaient effectivement à enfreindre ces règles basiques, nous répondrions sur le terrain cybernétique. Il en a conscience ». Autrement dit, Biden a formulé une menace dissuasive, dans le cas où la Russie continuerait de violer les normes volontaires qui interdisent les attaques contre des infrastructures civiles, et l’utilisation du territoire à des fins malveillantes. Poutine est intelligent, et il a certainement entendu le message, mais la question de l’amélioration du comportement de la Russie dépendra de la crédibilité de Biden.

Fixer une ligne rouge peut constituer un exercice délicat. Certaines critiques redoutent qu’en spécifiant les interdits, Biden ait implicitement signifié tolérer d’autres actes. Une ligne rouge doit par ailleurs être mise en application pour être efficace. Les détracteurs de Biden estiment ainsi que l’avertissement aurait dû porter sur l’ampleur des potentiels dégâts commis, pas sur leur lieu ou leurs modalités.

À titre d’illustration, vous ne demandez pas à l’organisateur d’une soirée d’éteindre purement et simplement la musique ; vous l’avertissez que si le bruit devient intolérable, vous appellerez la police. Il restera à observer l’interprétation du message de Biden par Poutine dans les mois à venir, mais les deux présidents ont bel et bien convenu de mettre en place un groupe de travail cybernétique chargé de définir les limites de ce qui est « tolérable ».

Les États-Unis vont devoir formuler unilatéralement les normes auxquelles ils entendent se conformer. Lorsque la Russie franchira la ligne, l’Amérique devra être prête à mener des représailles ciblées, par exemple à vider les comptes bancaires de certains oligarques privilégiés, à divulguer des informations compromettantes, ou à perturber les réseaux russes. La stratégie de défense et l’engagement constant de l’USCYBERCOM peuvent être utiles en termes de dissuasion, mais devront s’accompagner d’un processus de communication pacifique.

Les groupes criminels agissent souvent comme intermédiaires des États, à des degrés différents, et les États-Unis vont devoir faire clairement savoir que le fait d’abriter des cybercriminels conduira à des représailles. Et dans la mesure où le code de conduite ne sera jamais parfait, il devra s’accompagner d’un processus consultatif régulier établissant un cadre d’avertissement et de négociation. À la question de savoir si Biden aura réussi à amorcer un tel processus à Genève, ou si les relations cybernétiques entre Russes et Américains sont vouées à demeurer mauvaises, la réponse devrait apparaître plus clairement dans les prochains mois.

Traduit de l’anglais par Martin Morel

https://prosyn.org/pD76jYSfr