Des justiciers virtuels ripostent illégalement aux cyberattaques

  • Forum
  • Le 21 octobre 2019

  • Mathieu-Robert Sauvé
Les pirates informatiques sont le plus souvent des individus isolés, mais il peut s’agir de personnes engagées par de grandes organisations, voire des gouvernements.

Les pirates informatiques sont le plus souvent des individus isolés, mais il peut s’agir de personnes engagées par de grandes organisations, voire des gouvernements.

Crédit : Getty

En 5 secondes

Laura Baudin explore le phénomène des cyberripostes, un néologisme de son cru qui désigne la tendance à se faire justice soi-même dans le monde numérique.

Le 9 octobre, le site de la chaîne d’information continue française BFM TV annonçait que «39 % des entreprises européennes admettent avoir subi une cyberattaque». Deux semaines plus tôt, il titrait «Airbus visé par des cyberattaques, la Chine suspectée». Au Québec, les cyberattaques contre des entreprises privées font la manchette régulièrement. Le mois dernier, Radio-Canada nous apprenait qu’une enquête policière avait été déclenchée après que Devicom, une entreprise de télécommunications de Saguenay, eut rapporté un incident de ce genre.

«Devant une attaque, les administrateurs d’entreprises privées ont souvent une réaction de riposte: œil pour œil, dent pour dent. Or, il faut savoir qu’on ne peut pas imposer sa justice, même dans un univers numérique. C’est illégal. En droit international, seuls les États possèdent le monopole de la légitime défense active», explique Laura Baudin, qui consacre ses études de doctorat à cette question à la Faculté de droit de l’Université de Montréal.

L’étudiante française, qui a entrepris ses travaux sous la direction de Karim Benyekhlef en 2015, a vu son sujet de recherche se complexifier de jour en jour, en plus de gagner en importance partout dans le monde. «Il ne se passe pas une journée sans qu’une entreprise se voie attaquée par des pirates informatiques. Ceux-ci sont le plus souvent des individus isolés, mais il peut s’agir de personnes engagées par de grandes organisations, voire des gouvernements», indique la jeune femme, qui compte déposer sa thèse en 2020. Or, comme cela se passe souvent, le droit traîne la patte derrière les comportements et un vide juridique s’est installé.

L’ONU entre deux eaux

«En quelques années, le cyberespace est devenu un lieu de confrontation pour une pluralité d’acteurs (États, entreprises et individus) dont les activités déstabilisatrices constituent une préoccupation majeure pour l’ensemble de la communauté internationale», résume la doctorante dans un texte de l’édition courante de Dire, la revue des cycles supérieurs de l’UdeM. Elle y présente un des axes de son projet doctoral, soit la cyberriposte des entreprises privées.

Comme d’autres observateurs, elle estime que seul un organisme international du type de l’Organisation des Nations unies (ONU) peut légiférer en la matière et arbitrer les différends dans ce «nouvel espace de bataille». D’ailleurs, les experts que l’ONU a mandatés relativement à la question en 2014 ont conclu à l’applicabilité du droit international existant. Mais trois ans plus tard, au moment d’établir le rapport final, ce même groupe d’experts n’a pas été en mesure de dégager un consensus.

Qu'en pense la doctorante? «Plusieurs raisons sont évoquées quant à l’échec de cette rencontre. Néanmoins, nous avançons que la principale est d’ordre stratégique, les États membres préférant un encadrement juridique souple du cyberespace, permettant ainsi d’éviter de se pencher sur les questions d’ordre strictement technique dont il retourne réellement», écrit-elle dans son résumé de projet de thèse.

«Oui, il y a des outils, reprend-elle en entrevue, mais le droit international existant n’offre pas un encadrement juridique suffisamment adapté à la règlementation de ces nouvelles armes que sont les cyberattaques.» D’autant plus lorsque celles-ci «menacent la paix et la sécurité internationales». D’où l’importance d’une réflexion approfondie sur la question.

Coup de cœur

C’est alors qu’elle assistait à une présentation sur les réseaux de la criminalité numérique au Centre d'études et de recherches internationales de l'Université de Montréal à l’été 2012 que Laura Baudin a entendu parler pour la première fois de ce sujet. L’impression a été telle qu’elle a décidé d’en faire son sujet de maîtrise, qui portera sur les cyberattaques en contexte de conflits armés. Son mémoire sera publié en 2014 par L’Harmattan (collection Le droit aujourd’hui). Elle est alors inscrite à l’Université du Sud Toulon-Var, en France. Elle met le cap sur le Centre de recherche en droit public de l’Université de Montréal en 2015.

Lauréate de plusieurs bourses, dont une de l’Institut Max-Planck en droit international public en Allemagne et une autre de l’Institut des hautes études de défense nationale en France, Laura Baudin participe aux travaux de la Chaire de cyberdéfense et cybersécurité des écoles de Saint-Cyr Coëtquidan (France), de la Chaire Castex de cyberstratégie (France) et de la Chaire LexUM en information juridique (Canada). Elle a publié plusieurs articles et participé à de multiples rencontres scientifiques.

Engagée dans l’Association des cycles supérieurs en droit et dans le comité Pass’Art, la jeune femme ne se cantonne pas dans le droit classique. Elle a organisé la conférence «L’État de droit et l’opéra», qui s’est tenue au printemps à Montréal en présence d’Anne-Marie Trahan, juge à la retraite de la Cour supérieure du Québec, décédée le 12 juillet dernier.

À propos de la revue «Dire»

La revue Dire publie des articles de vulgarisation scientifique écrits par des étudiants et étudiantes des deuxième et troisième cycles de l’Université de Montréal. La publication, qui traite de tous les domaines (art et culture, histoire, politique, société, sciences et technologies, etc.), est produite par le Fonds d’investissement des cycles supérieurs de l’UdeM. Le numéro d’automne 2019 est accessible en version électronique sur le site Web de la revue.