OPINION – La guerre à l'âge du numérique: le «crowdsourcing» d’un conflit armé

Stéphane Duguin

Stéphane Duguin est le directeur du CyberPeace Institute, une ONG basée à Genève qui s'engage en faveur de la paix dans le cyberespace.

Alors que la Russie poursuit son invasion dans les territoires ukrainiens, la résistance s’organise aux quatre coins du pays. Le 26 février 2022, le ministère de la transformation numérique d'Ukraine a annoncé la création d'une armée de cybervolontaires. Son appel, unique dans une situation de conflit armé, est un appel aux talents ukrainiens, afin de les inciter à «poursuivre le combat sur le front numérique». Cet appel s’adresse aux femmes et hommes d’Ukraine en capacité d’aider à la défense numérique de leur pays, mais, dans un contexte où la communauté internationale est sous le choc de l’invasion, cet appel a été entendu partout sur la planète. 

Depuis des jours, des volontaires se pressent pour répondre présent. Leur organisation reste souple et organique. Usant de nombreux outils de communications ad hoc, ils se retrouvent notamment sur un groupe Telegram qui leur permet d'échanger sur les tâches à accomplir dans l’effort de guerre. Chacun est libre de mettre à disposition ses compétences pour aider l'armée ukrainienne. Les résultats opérationnels de l’initiative sont difficiles à évaluer, étant donné qu’il est difficile de tracer les actions et leurs impacts. Nous pourrions ainsi comparer ceci à n'importe quelle initiative de «crowdsourcing»: on pose une problématique sur Internet, et on espère une émulsion globale pour la résoudre.  

Dans cet esprit, cette situation n'est pas nouvelle. On peut la comparer avec d'autres groupes de volontaires qui ont émergé ces dernières années dans le domaine de la cybersécurité. Par exemple, au début de la pandémie de Covid-19, des communauté se sont créées pour protéger le secteur hospitalier, cible à l’époque d’attaques quotidiennes. Des collectifs d’experts s'étaient organisés en un temps record, afin de mettre à disposition gratuitement leur capacité de cybersécurité aux professionnels de santé. 

Si le parallèle est intéressant, il ne s'applique pas à la situation ukrainienne. Un conflit armé porte en son sein des enjeux bien plus complexes. Si des individus, basés en dehors d’Ukraine ou de Russie, se décident à répondre à l’appel et s’impliquent dans des actions offensives, ils peuvent être considérés comme combattants, et ouvre le champ à une escalade internationale du conflit au-delà des frontières russes et ukrainiennes. En effet, un tel engagement obéit aux règles du droit international. En situation de guerre, le droit humanitaire international réglemente les situations de conflits armés internationaux ou internes. Son objectif est double : limiter les cibles et les formes de violences armées et garantir des secours aux populations victimes du conflit. Les règles qu’il édicte permettent notamment de régir ce qui constitue une cible légitime durant le conflit, et ce qui définit le statut de militaire ou de civil. 

Compte tenu de la gravité des hostilités en Ukraine, il est important que les outils et les cibles soient des objectifs militaires légitimes et que toutes les précautions en cas d’attaque soient assurées.  Pour toutes les parties au conflit armé, il est important que les civils, les objets civils et les infrastructures essentielles à la survie de la population civile soient épargnés des attaques.  

L’implication d’experts en cybersécurité pour participer à des attaques militaires a des implications pour ces personnes qui peuvent sans le savoir perdre leur statut civil et la protection juridique en tant que civils en vertu du droit international humanitaire. Ils peuvent eux-mêmes faire l’objet d’attaques (cybernétiques ou cinétiques) et de poursuites potentielles. Dès lors, de tels appels à la participation comportent un risque d’escalade, avec des retombées potentielles, où ce qui n’était pas considéré comme permis auparavant est maintenant perçu comme admissible.  

Le droit international humanitaire établit une distinction claire entre les civils et les forces armées militaires et prévoit des modalités sur ce que signifie pour une personne de participer directement ou indirectement à un conflit armé. Selon le Comité international de la Croix-Rouge (CICR), «Des personnes participent directement aux hostilités lorsqu’elles commettent des actes visant à soutenir une partie au conflit en causant directement un préjudice à une autre partie, soit en infligeant directement la mort, des blessures ou des destructions, soit en nuisant directement aux opérations ou aux capacités militaires de l’ennemi. Si et aussi longtemps que les civils commettent de tels actes, ils participent directement aux hostilités et perdent leur protection contre les attaques». 

Dès lors, dans le cadre de cet appel, une question se pose : quel est le statut de ces volontaires, résolus à utiliser leurs capacités afin de défendre l’Ukraine, et, le cas échéant, pour certains, attaquer des cibles militaires russes? Et qu’en est-il de la politique étrangère de l’État qui les héberge, s'ils demeurent hors de l’Ukraine et de la Russie? 

Comme souvent lorsqu'il s'agit d'internet, la réalité technologique évolue plus vite que la lecture du droit. Selon le CICR encore: «Alors que les membres des groupes armés organisés appartenant à une partie au conflit perdent leur protection contre les attaques directes, les civils perdent leur protection contre les attaques directes pendant la durée de chaque acte spécifique équivalant à une participation directe aux hostilités». 

Dès lors, quiconque se décide à prendre les armes numériques et à participer à ce conflit se doit de se poser les questions suivantes: quelle certitude a-t-il que ses actions ne vont pas causer des dommages à des populations civiles, y compris des populations dans le pays qu’il ou elle pense protéger? Selon l’impact de cette attaque, est-ce que ce volontaire sera toujours considéré comme civil, ou s'expose-t-il à des répercussions potentielles de contre-attaques et/ou de poursuites judiciaires? 

Il ne fait aucun doute que de nombreux analystes du droit international se pencheront sur la question, mais en attendant, la retenue est de mise. Protéger les plus vulnérables dans le cyberespace est une noble cause, et il existe de multiples façons pour tous les experts en cybersécurité du monde de participer à un effort collectif, sans avoir à franchir la ligne rouge de l’attaque. Le CyberPeace Institute, entre autres organisations, fournit des solutions à ceux qui veulent aider les communautés civiles à renforcer leur résilience face aux attaques. Dans cette situation d’invasion militaire, c’est ce dont les populations civiles ont besoin: toutes les bonnes volontés et une attention de tous les instants pour ne pas créer plus de souffrance.