Depuis l’invasion de l’Ukraine en février dernier par la Russie, la notion de cyberguerre a pris une autre dimension. D’une intensité jamais inégalée, elle prend une place tout aussi importante que les combats sur le terrain pour déstabiliser l’ennemi et remporter des batailles. Première conséquence de cette guerre en ligne : de nombreuses institutions, administrations, écoles, entités médicales mais aussi des hôpitaux voient leurs sites et systèmes informatiques directement impactés et mis hors service. Pour cette raison, le comité international de la Croix-Rouge (CICR) sollicite le soutien des États du monde entier pour créer un « emblème numérique » de la croix rouge et du croissant rouge, « qui indiquerait clairement aux pirates informatiques militaires et autres hackers qu'ils ont pénétré dans les systèmes informatiques de structures médicales ou d’entités de la Croix-Rouge ». Cette initiative intervient quelques mois après la cyberattaque touchant la Croix-Rouge et volant des milliers de données de personnes.
Cet emblème numérique signalerait à toute personne tentant de pénétrer ou d’attaquer ces systèmes que ces derniers sont protégés contre toute atteinte, de même que les données qu'ils contiennent, en vertu du droit international humanitaire en période de conflit armé. Le CICR a publié le résultat de ses recherches sur le sujet sous la forme d’un rapport intitulé Digitalizing the Red Cross, Red Crescent, and Red Crystal emblems (Numérisation des emblèmes de la croix rouge, du croissant rouge et du cristal rouge). Publié ce 3 novembre, il conclut que l'emblème proposé présenterait plusieurs avantages et permettrait notamment de mieux protéger l’infrastructure numérique des établissements médicaux ainsi que de la Croix-Rouge.
Trois solutions mises en évidence par le CICR
La création de cet emblème constitue l’un des premiers moyens concrets mis à disposition des services médicaux et humanitaires pour se protéger de toute atteinte numérique dans les conflits armés. « Avec la numérisation de la société, les cyber-opérations font désormais partie de la réalité des conflits armés. Si nous voulons accomplir notre mandat, à savoir protéger la vie et la dignité des victimes de conflits, nous devons comprendre comment ce type d’opérations peut causer des dommages. La création d’un emblème numérique est une mesure concrète qui permettra de mieux protéger les infrastructures médicales essentielles et le CICR dans le monde numérique », a déclaré Robert Mardini, directeur général du CICR.
Pour faire de ce projet une réalité, les États doivent donc s'accorder sur son utilisation et l'intégrer dans le droit international humanitaire aux côtés des trois emblèmes actuellement utilisés que sont la croix, le croissant et le cristal rouge. Le CICR a identifié trois solutions techniques possibles pour la création d’un emblème numérique. La première consiste en un emblème fondé sur le système DNS, qui utiliserait un marqueur spécial pour lier l’emblème numérique à un nom de domaine (par exemple, www.hopital.embleme). La deuxième solution pourrait être un emblème fondé sur les adresses IP. Il utiliserait donc une partie de l'adresse IP (c'est-à-dire une séquence spécifique de chiffres) pour identifier à la fois les ressources numériques protégées et les messages protégés transitant par un réseau. Enfin, la dernière solution évoquée est un système d’« emblème numérique authentifié » (ou ADEM), qui utiliserait des chaînes de certificats pour signaler la protection. Ces certificats pourraient dans ce cas être authentifiés par différents acteurs et transmis via différents protocoles Internet.
Plusieurs acteurs mobilisés
Le CICR collabore avec le Center for cyber trust (une initiative conjointe de l’École polytechnique fédérale de Zurich et de l'Université de Bonn en Allemagne), l'Université Johns Hopkins – située à Baltimore, dans le Maryland – et l'Université ITMO de Saint-Pétersbourg pour développer les solutions technologiques nécessaires à l'identification de l'infrastructure numérique des installations protégées dans le cyberespace. Dans le même temps, le CICR et la Croix-Rouge australienne travaillent déjà au rassemblement des différents acteurs concernés par cet emblème numérique et les questions de cybersécurité. Sont notamment cités des entreprises de cybersécurité, d'anciens fonctionnaires, d'anciens cyber-opérateurs, des spécialistes en informatique des domaines médical et humanitaire, des représentants de diverses Sociétés nationales de la Croix-Rouge et du Croissant-Rouge, des experts en criminologie et des hackers éthiques afin de recueillir leurs avis sur les solutions potentielles et sur les risques et avantages qu'elles présentent.
A l’instar du monde réel où l’on appose une croix ou un croissant rouge sur le toit d'un hôpital, cet emblème doit donc être facilement repérable et identifiable par tout individu ou groupe menant une cyber-opération pendant un conflit armé. De fait, les infrastructures pourraient être épargnées et poursuivre leur mission. Toutefois, cette proposition d’emblème numérique montre certaines limites. Les infrastructures critiques, et plus précisément les hôpitaux et structures médicales, sont plus que jamais des cibles de choix depuis la pandémie de covid-19. Les cybercriminels, s’estimant au-dessus des lois, font rarement preuve de clémence envers de telles structures. Cette ligne imaginaire, que certains acteurs voudraient mettre en place pour se protéger, s’efface ainsi complètement durant les guerres hybrides comme celle que connaissent aujourd’hui l’Ukraine et la Russie, et par extension le reste du monde.
Commentaire