Chercheuse à l’Oxford Internet Institute et directrice adjointe du Digital Ethics Lab, Université d’Oxford, Royaume-Uni.
La guerre est régie par un ensemble de règles et de droits, même dans un contexte aussi chaotique qu’un conflit armé. Jusqu’où les catégories de l’éthique du conflit armé s’appliquent-elles à la cyber-guerre ? Dans quelle mesure un cyber-conflit peut-il être considéré comme un acte de guerre ?
Sujet d’actualité que la guerre, du moins la guerre commerciale dans laquelle s’enlisent les États-Unis et la Chine à coup d’offensives tarifaires. Bien que moins prépondérant dans la presse, la cyber-guerre n’est pas en reste. Il est grand temps d’entamer un dialogue fructueux pour définir un cadre tangible et global régissant ces questions. Tel est du moins l’appel de Mariarosaria Taddeo, experte prolifique sur l’éthique des cyber-conflits à l’Oxford Internet Institute (OII).
En introduisant la thématique des cyber-conflits et leurs particularités, cet article vise à poser les bases du débat ainsi que les différents niveaux d’acteurs à faire intervenir. La zone d’ombre qui perdure depuis une dizaine d’années et la fantasmagorie tirée de la science-fiction ne sauraient continuer plus longtemps.Il devient urgent de réaliser les dégâts dont sont capables les attaques digitales pour en définir, d’un commun effort, une série de règles, de droits et de valeurs.Il ne sera pas facile d’aborder les questions éthiques, et qui plus est rapidement, pour poser un cadre légal adéquat capable de mitiger les risques sans freiner le potentiel de développement technologique.
Avant toute chose, il convient de clarifier la nature des attaques dans le cyber-espace, à commencer par leChercheuse à l’Oxford Internet Institute et directrice adjointe du Digital Ethics Lab, Université d’Oxford, Royaume-Uni.La guerre est régie par un ensemble de règles et de droits, même dans un contexte aussi chaotique qu’un conflit armé. Jusqu’où les catégories de l’éthique du conflit armé s’appliquent-elles à la cyber-guerre ? Dans quelle mesure un cyber-conflit peut-il être considéré comme un acte de guerre ?terme à utiliser. Si le terme cyber-guerre a le mérite de souligner le sérieux du phénomène, il serait plus juste de parler de conflit. Par définition, une guerre est une lutte violente entre États, qui commence par une déclaration de guerre et qui s’organise selon des règles militaires.
Toute attaque, aussi agressive soit-elle, ne saurait être considérée comme une guerre si elle n’est pas précédée d’une déclaration d’intention ni suivie d’un envahissement ou de représailles. On parle alors d’un conflit. Dépourvus de cet élément crucial qu’est la déclaration de guerre, les conflits n’en sont pas moins réglementés au niveau international par des lois. À terme, les tensions peuvent escalader jusqu’à aboutir à une déclaration de guerre.
Dans les deux cas, l’ensemble des conventions élaborées depuis des millénaires se rejoignent dans l’idée que les attaques belliqueuses s’opèrent dans une réalité tangible : dégâts physiques, destructions visibles, souffrances palpables. Or, pour ce qui a trait au virtuel, ce cadre légal ne semble plus adapté. Où déterminer la limite de l’intolérable, comparable à une invasion territoriale dans un système informatique ? Comment identifier l’ennemi d’une cyber-attaque pour riposter ?Et dans quelle mesure ? Quelles cibles sont à épargner?
Les cyber-conflits peuvent s’avérer très violents, très agressifs, et redoutablement efficaces. Un dommage virtuel peut causer des souffrances bel et bien réelles pour la société dans son ensemble. C’est pourquoi les principes de proportionnalité, de nécessité, de discrimination ainsi que les valeurs morales tirés de la doctrine de la guerre juste sont à transposer dans le cyberespace. Établir un cadre éthique aux conflits cybernétiques requiert une réflexion de fond. Taddeo et ses confrères nous le rappellent souvent, la transposition par analogie ne suffit pas. Il faut traduire, dans son contexte, les justifications éthiques (sous quelles conditions mener un conflit) et la forme (quelle ligne de conduite adopter) de ce nouveau phénomène. Cela nécessite une compréhension approfondie des technologies, leurs particularités et les dynamiques qui les régissent. Tout comme les théories du monde cinétique, le but in fine est de garantir une coexistence pacifique.
Qui plus est, les justifications éthiques permettent de légitimer la violence pour se défendre et préserver l’ordre. En quelque sorte, elles permettent d’obtenir le soutien du public. Dans l’espace virtuel, il est difficile d’éveiller un sentiment de fraternité et de collaboration à l’effort de guerre collectif. Les effets de la destruction ne sont pas non plus visibles à l’œil nu, bien que notre dépendance accrue aux infrastructures digitales nous rende de plus en plus à découvert.
Le cas de l’Estonie est à ce titre révélateur. On fait souvent référence aux cyber-attaques par déni de services de 2007 comme la première cyber-guerre entre l’Estonie et la Russie (selon la définition précédente, nous persistons à penser que conflit serait le terme adéquat). La population, informée en toute transparence par son gouvernement, a participé sur base de volontariat à l’éducation et au piratage à "chapeau blanc". Le rapport au digital des citoyens, tout comme le rapport de confiance envers leur gouvernement, s’en trouvent durablement transformés.
La transparence n’est pourtant pas de mise en cas de cyber-attaque. Il faut trouver un juste milieu. D’un côté, s’avouer victime pourrait semer la panique, nuire à la crédibilité du système mis en place et entacher la confiance dans le gouvernement chargé de protéger sa population. D’un autre côté, taire une attaque permet de dissimuler ses défaillances à d’autres ennemis potentiels, contenir la situation, et même de riposter sans avoir de compte à rendre.
Un autre avantage à pas faire chou gras des cyber-attaques et à laisser le phénomène sous-réglementé est la possibilité pour certains acteurs gouvernementaux de diriger, au moyen d’actions virtuelles, leurs relations internationales dans les coulisses, et ce depuis plus d’une quinzaine d’années. De même pour les activités de cyber-espionnage à des fins de sécurité nationale. Les différents moyens, à différents niveaux, ne peuvent se faire que sur la base d’une réglementation nuancée.
De par sa nature, tout système informatique est vulnérable. Personne ne peut garantir une sécurité infaillible. L’omniprésence de ces systèmes, notamment pour les infrastructures nationales clés, accroît notre vulnérabilité aux cyber-assauts. À l’heure actuelle, ce genre de dommages virtuels ne pourrait plus se cacher. Les répercussions seraient trop grandes pour que personne ne soit au courant. L’État cyber-victime aura besoin de lois pour engager des poursuites et user de représailles.
Doit-on attendre que cette menace se matérialise pour légiférer ? Non, espérons qu’aucune crise ne soit pas nécessaire. La première véritable tentative de l’ONU de réguler le comportement des États n’a jamais abouti. On ne saurait repousser davantage le débat étant donné la gravité des enjeux. Les États commencent certes, individuellement, à définir leurs moyens de cyber défense. À plus grande échelle, lesÉtats membres de l’ONU, l’EU et l’OTAN, de même que chaque nation, devraient intensifier la pression pour parvenir à une convention éthique.
Soulignons à quel point ce niveau international est crucial. Définissons en première instance les valeurs qui importent, les principes auxquels nous souhaitons adhérer et comprenons comment réguler ce phénomène encore jamais vu auparavant. Aménageons un espace de confiance pour permettre un dialogue de haut niveau, un dialogue constant, ainsi qu’une transparence entre les acteurs impliqués ou exclus du dialogue.
Au travers des âges, il a fallu la synergie de philosophes, théologiens, éthiciens, dirigeants militaires, décideurs politiques ou encore hommes de loi de tout horizon pour élaborer un ensemble de conventions et d’accords pour encadrer l’acte de guerre. Cette synergie horizontale se doit d’intégrer aujourd’hui des expertises du secteur privé dans le dialogue de haut niveau. Les ingénieurs possèdent une expertise supérieure en sécurité des systèmes d’information : ils sont à même de les concevoir, les pénétrer ou les défendre.Leurs compétences sont essentielles pour nous aider à comprendre les technologies, mais – tout comme l’armement traditionnel – il serait inapproprié de déléguer au secteur privé la charge de leur légifération.
Les plus hautes instances doivent poser les premiers jalons réglementaires. Le temps presse, notamment pour réguler le comportement des États et les obliger à rendre des comptes sur leur conduite, comme cela serait le cas dans le monde cinétique. En agissant comme jusqu’à présent dans l’ombre de la toile, lesÉtats incitent à une course au cyber-armement, voire à une escalade de cyber-agressivité menant au conflit armé. En particulier, il faut désigner une autorité – par exemple l’OTAN ou l’ONU – qui endosserait le rôle de surveillance, de redressement et d’exécution des sanctions. Il doit être politiquement coûteux pour lesÉtats de déroger aux lois du cyber espace.
Parmi les mesures incitatives, mentionnons la divulgation de vulnérabilité. Une vulnérabilité dans un système informatique correspond à une défaillance. Une fois identifiée, cette brèche peut être corrigée. Taddeo compare cela à une fenêtre ouverte dans une maison.Peut-être que personne ne va s’en apercevoir pour y pénétrer. La divulgation de vulnérabilité serait comme un voisin qui prévient du risque d’infraction. Ne pas prévenir devrait être passif de complicité dans le cyberespace. Pour illustrer un tel cas de figure, citons l’attaque WannaCry qui a fait usage d’une vulnérabilité dans le système Microsoft, vulnérabilité dont la NSA était au courant depuis longtemps sans la dévoiler afin de l’utiliser à ses propres fins d’espionnage. À l’avenir, ce comportement devrait être punissable, la sécurité des États comme des individus étant mise en péril.
Le cadre légal chapeauté par une autorité ne sert pas uniquement à sanctionner, mais aussi à créer un espace de confiance et d’entraide entre les pays alliés.L’OTAN, en collaboration avec l’expertise privée, organise déjà des exercices de simulation de cyber-attaques. La participation aux cyber-joutes n’est pas obligatoire, mais imaginez les avantages si elle l’était entre alliés ? Outre ceux non spécifiques au monde virtuel (renforcer les alliances, consolider les défenses, améliorer les stratégies, partager les expertises techniques, etc.), ces entraînements permettraient de tester et perfectionner les cyber-armes basées sur l'IA grâce à l’afflux de données. Plus l’intelligence artificielle est utilisée, plus elle est performante.
L’effort collectif ne s’arrête pas à l’échelon décisionnel.Une discussion verticale à des fins éducationnelles doit prendre place auprès de la population à l’échelon inférieur. Dans tout système de sécurité, les hommes en sont souvent le maillon faible. La diffusion d’une cyber-attaque massive comme WannaCry reposait sur la crédulité du public non-initié.
Ceci étant dit, Taddeo prévient que la science-fiction ne peut être méprise pour de l’éducation. C’est un divertissement populaire. En plus d’être potentiellement anxiogène, la science-fiction est problématique si elle détourne du débat actuel. La fiction nourrit le débat de la singularité, l’idée d’une machine humanoïde plus intelligente, plus puissante et plus diabolique que l’homme, venue presque par magie pour nous dominer ou nous détruire.
Un débat scientifiquement fondé reconnaît au contraire qu’un ordinateur accomplit les actions sans forme d’intelligence humaine, c’est-à-dire sans processus cognitif doté d’intuition, de réflexion et d’émotion. En ce sens, le débat interroge l’utilisation des technologies plutôt que leur nature. Ce qui n’empêche pas cette intelligence artificielle d’être autonome dans les actions à accomplir : sélectionner une cible, lancer une attaque virtuelle dans le système, riposter, etc. Cette forme d’intelligence performative n’envisagera pas la conséquence de ses actes. Et pour l’instant, nous non plus. C’est là que réside le problème de la législation : la machine ne mène pas de guerre, c’est un outil dans les mains d’humains qui cautionnent le conflit. Ils doivent être tenus pour responsables des machines déployées, et être punis le cas échéant.
Arrêtons-nous un instant sur les compétences des cyber-armes, en particulier sur celles basées sur l’intelligence artificielle. Les cyber-attaques requièrent relativement peu de ressources pour une portée globale, elles sont anonymes et décentralisées, et elles se déploient dans un système interconnecté et poreux par nature. Une défense infaillible étant techniquement impossible, la sophistication et le temps permettant toujours devenir à bout des barrières, la meilleure stratégie envisageable est la cyber-défense active.
C’est là qu’intervient l’intelligence artificielle comme un outil de défense active. En surveillant les activités, détectant des signatures récurrentes, en retraçant des attaques anonymes, les algorithmes peuvent déterminer automatiquement les cibles potentielles, voire de les attaquer. Nous n’en sommes qu’aux prémices de ces capacités de l’IA, mais il est clair que sans cadre législatif, ces outils feront d’internet un champ de bataille constant.
La militarisation de l’intelligence artificielle ainsi que la potentielle surveillance accrue des comportements sur la toile sont deux menaces qui pèsent sur le futur proche du développement technologique, comme le reconnaît Taddeo. Mais le message qui lui tient le plus à cœur, c’est de rappeler qu’il faut se concentrer non pas sur les risques, mais sur le potentiel des nouvelles technologies. Elle le répète, l’IA n’est pas l’ennemi. Premièrement, parce qu’elle ne peut pas être dirigé sans une volonté humaine derrière. Deuxièmement, parce qu’un cadre politique permet de mitiger les risques. La peur ne nous permettra pas de prendre des décisions éthiques ni de résoudre les problèmes de surveillance de masse.
Cependant, la peur risque de provoquer une réaction de rejet de la population. Cela serait une erreur monumentale que de laisser le développement de l’intelligence artificielle ralentir et dépérir. Les gouvernements et les institutions internationales ne devraient pas, par crainte d’éroder la confiance en l’économie et les institutions politiques, imposer un frein au processus de numérisation. Pour éviter la militarisation du cyber-espace, créons plutôt un cadre éthique qui permet l’essor florissant des technologies dans notre société.
Comme le veut la sagesse chinoise, c’est dans le [potentiel] danger que résident les opportunités. En parlant de la Chine, Mariarosaria Taddeo a bien compris l’importance de voir le bien et de tirer le meilleur de l’IA. Preuve en est, son gouvernement a mis l’accent sur un système stratégique national et une capacité d’intégration militaro-civile dans le cadre de son «Plan de développement de la prochaine génération d’intelligence artificielle » pour 2030. L’utilisation militaire n’est pas vue comme indépendante de son utilisation civile.
La technologie est très malléable. Cette approche permet de répartir les coûts et de faire fructifier les partenariats avec le secteur privé. Rappelons que lesGPS, les drones, et même internet, sont des progrès technologiques que l’on doit à des projets militaires.Leurs applications dans d’autres contextes bénéficient grandement au développement économique et à l’amélioration durable de notre qualité de vie.
La “Paix”, au sens militaire du terme, est synonyme de guerre latente, disait le philosophe américain WilliamJames. La cyber-paix, elle aussi, n’est pas exempte de préparation, d’attaques et de contre-attaques. La doctrine de la guerre juste doit être traduite à l’ère digitale, mais le fond demeure inchangé : à l’époque comme aujourd’hui, elle permet de légitimer la défense et les mesures servant à maintenir la paix et à aménager un espace d’épanouissement individuel et collectif prospère.