Philippe Langlois, Yann Le Bel et Guillaume Tissier

Le cyberespace est aujourd’hui un concept reconnu et bien établi, qui fait d’ailleurs partie intégrante de notre société à tous points de vue. Toutefois, ses nombreuses spécificités et le contexte de mouvance qui l’anime rendent son encadrement fort complexe, notamment au niveau juridique.

Pour Guillaume Tissier, Directeur du pôle Management des risques de CEIS, le contexte du cyberespace a vraisemblablement changé ces dernières années :
– On observe à la fois un changement de taille et de centre de gravité, avec un nombre prépondérant d’internautes en Chine,
– L’érosion de la puissance américaine en matière d’innovation, d’infrastructures, d’équipements réseau, de dépôt de brevets, de gouvernance…
– Les technologies et protocoles montrent leurs faiblesses,
– Les affrontements au sein du cyberespace ne cessent de croître : les situations de conflit ou d’opposition ont quasiment toutes aujourd’hui une version virtuelle,
– Dans le monde réel, il existe une logique de légitime défense, qui n’est pas transposable dans le cyberespace. On y observe un déséquilibre plus fort entre l’attaquant et la victime,
– Une dilution de la souveraineté étatique,
– Ou encore une réappropriation du cyberespace par le politique. Avant c’était un espace marchand, aujourd’hui il a aussi un rôle politique.

Pour lui, dans le cyberespace il faut raisonner en termes de rapports de force. Le modèle sécuritaire basé sur une logique défensive ne suffit plus. Il faut penser la défense active. Toutefois, on ne peut pas y transposer les concepts traditionnels, qu’il s’agisse de dissuasion ou de légitime défense. Pour que cette dernière soit reconnue dans la législation actuelle, elle suppose le respect de trois principes fondamentaux, que sont la simultanéité, la proportionnalité et la garantie que seul l’attaquant en soit la cible. Néanmoins, ces trois aspects sont très difficiles, voire impossibles, à garantir dans le cyberespace, notamment celui de simultanéité. L’application du concept de légitime défense au plan numérique s’avère donc être un exercice complexe.

Plusieurs pistes de réflexion restent, selon lui, à développer pour un modèle de sécurité active. Tout d’abord, la force ou la puissance dans le cyberespace peut s’exprimer par d’autres moyens que ceux informatiques : économique, juridique, politique, militaire, ... La stratégie doit, en outre, comprendre différents paliers, selon qu’il s’agisse d’un état ou d’une entreprise :
– L’amélioration de la résilience des réseaux,
– La mise en place d’une démarche SIEM,
– L’amélioration de la gestion des traces,
– Une veille sur ce qui se passe à l’extérieur de l’entreprise, et notamment sur le Black Market,
– La mise en place de systèmes de pots de miel (toutefois attention aux limites juridiques),
– Les frappes du juridique ou de l’économique, avec la possibilité de mettre en œuvre des attaques préventives contre certains maillons de la chaîne cybercriminelle (hébergeurs bulletproof, systèmes de monnaie virtuelle, etc.),
– La lutte contre le développement d’un certain nombre de paradis numériques, tels que la Russie, l’Ukraine, ...
– Enfin, le développement des capacités informatiques offensives.

Il n’existe pas de cadre juridique pour encadrer la légitime défense numérique

Force est de constater que l’application de la légitime défense au monde numérique apparaît comme une utopie, en tous cas en l’état actuel des choses. Toutefois, le cadre juridique peut évoluer, les technologies aussi. De plus, l’Internet du futur sera certainement moins anonyme. Quoiqu’il en soit, ce problème devra également surmonter le manque de volonté politique des états et des intérêts croisés qu’ils entretiennent avec certaines entreprises. Aujourd’hui, le remède coûterait plus cher que l’impact de la menace elle-même.

Philippe Langlois, Directeur de P1 Security, chercheur en sécurité informatique, rappelle toutefois que les cas de contre-intrusion ne sont pas nouveaux. Il en recense dès les années 80, avec par exemple le cas du piratage « est-ouest » allemand en 1986, dans un contexte qui n’était toutefois pas lié à Internet. Ce cas de figure restait tout de même rare à cette époque.

Plus récemment, il se réfère au cas d’une grande entreprise internationale directement visée par un botnet. Suite à cette attaque, l’entreprise a choisi de remonter au niveau du centre de commandement du botnet, afin de voir entre autres d’où se connectaient les bots. Cette action a permis à l’entreprise de savoir ce qui a été collecté, quelles étaient les machines infectées et de remonter à la personne qui contrôle le botnet. Toutefois, cette contre-intrusion est une vraie prise de risque pour l’entreprise, car elle peut très rapidement dépasser les limites légalement autorisées.

Pour lui, la légitime défense numérique est, néanmoins, quelque part communément appliquée. Quand un serveur automatique refuse des mails, venant du Nigéria par exemple, nous sommes déjà dans la légitime défense numérique. Toutefois cette forme de défense est beaucoup mieux acceptée dans les esprits.

Contre-attaquer peut entraîner l’entreprise dans une spirale infernale

Outre l’aspect législatif, la notion d’interprétation et d’acceptation occupe, en effet, une place importante dans ce débat, et l’actualité de ces derniers mois en est la preuve. Une contre-attaque peut, en effet, entraîner des réactions surprenantes dans l’opinion publique. Comme l’explique Philippe Langlois, dans l’affaire Paypal/Wikileaks, Paypal a été victime d’une attaque DDoS par les Anonymous pour avoir refusé de fournir un service à Wikileaks. La question de la « légitimité » d’une contre-attaque se pose donc, car l’entreprise qui contre-attaque peut dans certains cas rentrer dans un cercle vicieux qui n’en finit pas : une véritable spirale infernale. Une fois rentré dans cette dynamique, il est très difficile d’arrêter et d’en sortir. C’est pourquoi il faut faire extrêmement attention. Si une entreprise ou un état se défend de manière agressive dans le cyberespace, le fait de légitimer cette contre-attaque peut entraîner cette spirale. Avant de se lancer dans ce type d’action, une entreprise doit donc se poser la question suivante : quelles sont les conséquences, les dynamiques et les spirales dans lesquelles elle ne veut pas tomber ?

Quoiqu’il en soit, la contre-intrusion ne doit pas être automatique, et il est plus que dangereux, notamment pour entreprises du secteur privé, de s’y risquer, en l’état actuel des choses du moins. C’est une zone encore floue qui manque d’encadrement juridique. Répondre à une attaque dans le cyberespace n’est donc pas sans conséquences pour une entreprise.

Néanmoins, comme le souligne le Lieutenant-colonel Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité - Gendarmerie nationale, « il n’existe pas de cadre juridique pour encadrer la légitime défense telle qu’elle est décrite aujourd’hui. Toutefois, il existe d’autres moyens de faire cesser l’attaque sans avoir besoin de riposter ».