Le 26 février, l'Ukraine a lancé un appel aux hackers du monde entier pour soutenir ses efforts dans la cyberguerre. Ils sont désormais plus de 300'000 sur la messagerie Telegram de l'armée informatique ukrainienne. On ne sait pas combien de ces hackers sont réellement actifs.
Tous les jours, ces pirates volontaires reçoivent des missions. L'Ukraine partage avec eux ses objectifs. Dès le départ, 30 cibles ont été désignées pour des cyberattaques. On y trouve des banques, des organes de l'Etat russe ou des entreprises travaillant en lien avec des matières première.
Depuis, chaque jour, une nouvelle cible est présentée avec des données techniques. Dernièrement, les messages ont pointé un réseau social russe, ainsi que le système de paiement mir.
Qui commande?
Un Suisse peut-il répondre à l'appel des autorités ukrainiennes? La réponse est compliquée. Il est interdit pour un citoyen suisse d'entrer dans une armée étrangère. L'article 94 du Code pénal militaire prévoit une peine pouvant aller jusqu'à 3 ans de prison.
L'enjeu est de prouver qu'une armée étrangère a un pouvoir de commandement sur le hacker. Si c'est le cas, il tombe sous le coup du Code pénal militaire. Il n'y a aucune distinction entre se battre avec une arme, travailler dans les cuisines de l'armée ou participer à une cyberattaque. C'est le lien hiérarchique qui compte.
1. Tout Suisse qui, sans l’autorisation du Conseil fédéral, aura pris du service dans une armée étrangère, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.
Contactée, l'armée suisse estime que ce point ne peut pas être résolu de manière abstraite, mais uniquement "dans le cadre d'une enquête concrète". Pour l'instant le cas ne s'est pas présenté. Les hackers protègent leur anonymat.
Un acte illicite
Si le lien avec l'Ukraine ne peut pas être prouvé, le Code pénal intervient. En Suisse, le piratage informatique est illégal. Ce terme peut désigner plusieurs comportements, non seulement l'intrusion dans le système d'autrui mais aussi le vol et la modification de ce qui s'y trouve. Selon la gravité, les peines vont de l'amende à 5 ans de prison.
Pour éviter de tomber sous le coup de la loi suisse, un hacker pourrait penser lancer une attaque virtuellement depuis un autre pays, à l'aide d'un VPN. Mais c'est la résidence physique de l'informaticien qui est prise en compte. Si les autorités suisses l'apprennent, elles pourraient ouvrir une enquête.
Le contexte n'est pas anodin. Nous sommes en période de guerre. Est-ce que cela change quelque chose? "Non, et même si la Suisse était en guerre, les autorités et la population doivent agir conformément à la loi", estime François Charlet, juriste spécialisé en droit, criminalité et sécurité des technologies.
Clémence du juge?
"On sort à peine d'une pandémie qui a montré ce que signifie d'être en situation de crise: à aucun moment la population a reçu l'information lui indiquant que le respect du code pénal et d'autres lois devenait facultatif."
Pourtant, le juge a une marge de manœuvre. Son appréciation est importante au moment de fixer une peine. "En particulier, il doit tenir compte des motivations et des buts de l'auteur; on pourrait imaginer qu'un juge soit sensible à la cause ukrainienne et aux raisons qui ont poussé un hacker suisse à participer à ces missions confiées par le gouvernement ukrainien. Mais l'inverse peut se produire aussi", ajoute le juriste.
"Même si je comprends qu'on veuille agir et aider l'Ukraine et sa population, celles et ceux qui le font en violant la loi doivent s'attendre à être sanctionnés et ne devraient pas trop compter sur la sympathie des autorités pénales suisses."
Pascal Wassmer
L'UE veut avancer sur son "bouclier cyber", selon Thierry Breton
La guerre en Ukraine pousse les gouvernements de l'Union européenne à accélérer sur le "bouclier cyber", un ensemble de mesures de protection des réseaux informatiques européens, a indiqué mercredi le commissaire européen au Marché intérieur, Thierry Breton.
"Nous avons tous exprimé (...) la nécessité de construire maintenant, très rapidement et ensemble un bouclier cyber européen, avec de véritables gardes-frontières cyber pour pouvoir le faire fonctionner de façon totalement coordonnée et unie", a déclaré Thierry Breton, à l'issue de deux jours de réunion informelle des ministres européens chargés des télécoms.
Le "bouclier cyber" reposera notamment sur un réseau européen de centres d'opérations de sécurité, des vigies automatisées qui analysent en permanence les réseaux informatiques pour déceler d'éventuelles cyberattaques, a-t-il précisé.
Pas d'attaque majeure
Ce système suppose aussi le resserrement des liens entre toutes les "communautés cyber" européennes --entreprises, régulateurs, services de l'État -- avec la création d'une "unité mixte cyber européenne" ("Joint Cyber Unit"), a expliqué Thierry Breton. Il prévoit aussi un principe de solidarité entre États en cas d'attaque et la mise à jour du cadre réglementaire européen.
Pour l'instant, l'offensive russe sur l'Ukraine ne semble pas avoir été accompagnée de cyberattaques majeures, contrairement à ce que redoutaient beaucoup de spécialistes. "À ce jour, nous n'avons pas vu d'augmentation des attaques cyber" dans l'UE liée à la crise ukrainienne, mais ça ne veut pas dire qu'il ne faut pas être préparés", a déclaré Cédric O, le secrétaire d'État au Numérique français, qui présidait la réunion ministérielle.
La seule exception est la défaillance la semaine dernière d'une partie du service du satellite Ka-Sat, opéré par le groupe américain Viasat, et qui était notamment utilisé par l'Ukraine pour ses communications. "Il y a de fortes présomptions" qu'il s'agissait d'une cyberattaque, a rappelé Cédric O.
Des milliers d'internautes en Europe qui passaient par le satellite Ka-Sat pour leur accès au web sont privés de connexion depuis le 24 février, date du début de l'offensive russe.
afp