Les cyberattaques permettent de déstabiliser un ennemi en temps de guerre, tout autant que les combats sur le terrain. De nombreuses institutions sont touchées : écoles, administrations, hôpitaux… C’est pour cela que le comité international de la Croix-Rouge (CICR) demande aujourd’hui le soutien de tous les pays afin de créer un « emblème numérique » afin d’identifier facilement les site Web critiques. Cette demande fait notamment suite à une attaque touchant la Croix-Rouge et le vol de données de milliers de personnes. Mais cette proposition n’est pas nouvelle…
Emblème numérique
En mai 2020, un appel demandant la fin immédiate des cyberattaques visant le secteur de la santé a été lancé par une quarantaine de dirigeants internationaux. Des mesures rapides et fermes ont été réclamées afin de prévenir et stopper les assauts envers les hôpitaux, les centres de santé, les instituts de recherche… Un grand nombre d’offensives ont été recensées, contre des établissements médicaux et des autorités sanitaires internationales dans de nombreux pays. Ces cyberattaques n’ont pas forcément le même objectif : compromettre l’intégrité du système et entraîner l’incapacité de l’établissement à fonctionner, lancer une campagne de désinformation, etc. L’augmentation des cyberattaques met clairement en évidence la vulnérabilité du secteur en la matière.
Droit International Humanitaire (DIH)
Il existe des règles très claires à travers le monde. Elles ont été établies afin de faire la distinction entre la population civile/les biens civils et les combattants/objectifs militaires. Dans le Droit International Humanitaire, certains biens bénéficient d’une protection particulière (comme les transports médiaux). Afin que le monde entier puisse les reconnaître, des emblèmes spécifiques ont été créés. Toute attaque envers un bâtiment, du matériel ou une personne portant cet emblème est considéré un crime de guerre selon le droit international.
Un espace humanitaire sur Internet ?
L’idée serait de créer un espace humanitaire au sein de l’Internet afin de protéger les infrastructures qui sont sous la protection du DIH. Ils sont susceptibles de faire l’objet de cyberattaques en temps de guerre, comme en temps de paix. L’emblème numérique permettrait de protéger symboliquement certains équipements comme par exemple les instituts de recherche, les hôpitaux… Ces derniers sont déjà sous la protection du DIH, mais non identifiés comme telle sur Internet.
Le symbole pourrait apparaitre clairement lorsque des pirates tenteraient de pénétrer dans le système informatique d’un établissement sous la protection du DIH. Cela permettrait également de sensibiliser les militaires afin qu’ils épargnent ces structures. Un rapport publié le 3 novembre 2022 par le CICR (Digitalizing the Red Cross, Red Crescent, and Red Crystal emblems) conclut que l’emblème offrirait une meilleure protection numérique des établissements médicaux.
Des idées pour faire avancer le projet
Afin de concrétiser ce projet, tous les pays du monde devront se mettre d’accord sur son utilisation et sur son intégration auprès des trois autres emblèmes rouges déjà présents : le cristal, le croissant et la croix. Trois pistes sont retenues pour l’aspect technique :
- Un système basé sur les DNS : un marqueur afin de rattacher un nom de domaine à l’emblème ;
- Un système basé sur l’adresse IP : une partie de l’adresse permettrait de marquer les ressources et messages protégés ;
- Un système de certification « emblème numérique authentifié » (ou ADEM) : des certificats seraient délivrés afin de signaler la protection.
Afin de concrétiser ce projet, de nombreuses collaborations ont été mises en place. En effet, le comité international de la Croix-Rouge coopère avec de nombreuses universités dans différents pays (Suisse, Allemagne, États-Unis, Russie) afin de créer des outils nécessaires à l’identification des infrastructures protégées. Ils effectuent également le recensement et le rassemblement des acteurs concernés par cet emblème. Des spécialistes de la cybersécurité, des hackers, d’anciens fonctionnaires, des spécialistes en informatique dans le domaine médical et humanitaire, des experts en criminologie et des représentants de différentes Sociétés nationales de la Croix-Rouge et du Croissant-Rouge se rassembleront prochainement afin de recueillir l’avis de chacun sur les éventuelles solutions apportées et sur les avantages / risques qu’elles offrent.
Et après…
Dans la vie réelle, on appose simplement une Croix ou un Croissant rouge sur le bâtiment ou le matériel afin qu’il soit facilement identifiable et protégé. Ce nouvel emblème numérique devra être identifiable et repérable très simplement par toute personne afin d’épargner les infrastructures sensibles et leur permettre de poursuivre leur mission. Évidemment, ce projet présente certaines limites. En effet, les hôpitaux sont depuis la pandémie une cible de choix. Les cyber-assaillants ont peu de scrupule, cette protection virtuelle semble bien dérisoire face aux risques encourus.
Mais attention, ce projet peut également produire l’effet inverse recherché. En effet, il expose aussi clairement les sites à risques et peut en faire des cibles hautement privilégiées par les cybercriminels.