Le ministère de la Justice a haussé les sourcils la semaine dernière lorsqu'il a dévoilé des accusations contre quatre membres de l'Armée populaire de libération de la Chine pour avoir piraté l'agence d'évaluation du crédit Equifax et volé des informations sensibles sur 147 millions d'Américains. Ces accusations sont les dernières d'une campagne d'accusations contre des pirates informatiques liés au gouvernement chinois qui remonte à 2014 mais a considérablement augmenté depuis 2017, l'année de la violation d'Equifax. Comme les accusés dans plusieurs actes d'accusation de piratage antérieurs, les hommes dont l'identité a été révélée au monde cette semaine sont basés en Chine et ne comparaîtront certainement jamais devant un tribunal américain pour être jugés. Pris à eux seuls, les actes d'accusation sont une réponse désespérément anémique à l'une des plus grandes violations de données personnelles jamais enregistrées.
La vue d'ensemble n'a pas l'air beaucoup mieux. Comme l’ont dit le professeur de droit de Harvard Jack Goldsmith et moi-même, si la dissuasion est la mesure du succès, la stratégie d’accusation contre le piratage chinois des États-Unis a toutes les caractéristiques d’un échec spectaculaire. Une multitude de rapports des médias et du gouvernement suggèrent que le cyber-vol parrainé par l'État chinois n'a pas sensiblement diminué en réponse à la campagne d'accusation américaine. Cela ne devrait pas surprendre: les coûts pour la Chine d'être «nommés et honteux» sont presque certainement éclipsés par les milliards de dollars de valeur obtenus en pillant les technologies américaines et les avantages indicibles pour l'intelligence de cultiver une énorme base de données sur les citoyens américains.
Sinon dissuasion, quel pourrait être le but de ces actes d'accusation?
Certains ont fait valoir que l’un des objectifs de la stratégie d’accusation était d’appliquer une norme contre le vol de propriété intellectuelle parrainé par l’État pour soutenir les entreprises commerciales d’un pays. La norme a été énoncée lors de la réunion du président Barack Obama en septembre 2015 avec le président chinois Xi Jinping, chaque pays convenant qu'il ne «conduirait pas ou ne soutiendrait pas sciemment le vol de propriété intellectuelle cyber-activé, y compris les secrets commerciaux ou autres informations commerciales confidentielles, avec l'intention d’offrir des avantages compétitifs aux entreprises ou aux secteurs commerciaux. » (Cet engagement a été approuvé par la suite par le G20.) L'accord cybernétique a suivi le premier acte d'accusation américain contre les pirates de l'armée de libération du peuple chinois, en 2014; beaucoup à l'époque attribuent aux actes d'accusation la facilitation de l'établissement de la norme. Rétrospectivement, cependant, le fait que la Chine et d'autres pays ont poursuivi leur vol de secrets commerciaux américains avec peu de sanctions suggère que la norme sur le cyber-vol n'est pas du tout une norme.
Même si la construction de normes était l'objectif, les allégations d'Equifax n'enfreignent manifestement pas une norme adoptée par les États-Unis. L'accord américano-chinois de 2015 ne mentionnait pas le piratage à des fins de sécurité nationale (par opposition aux avantages commerciaux), et le gouvernement américain a à peine suggéré qu'il renoncerait à voler des données pour protéger la sécurité nationale américaine. L'ancien directeur des Renseignements nationaux, James Clapper, a illustré ce dilemme en discutant de la violation par la Chine en 2015 du Bureau de la gestion du personnel, qui a compromis les dossiers d'enquête sur 22 millions d'Américains. Clapper a observé: «Vous devez en quelque sorte saluer les Chinois pour ce qu'ils ont fait. Si nous en avions l'occasion, je ne pense pas que nous hésiterions une minute. »
Certes, les documents de facturation d'Equifax allèguent que les données client détenues par la société constituent des «informations commerciales exclusives». Mais cela ne signifie pas que le ministère de la Justice traite cette violation comme une violation de la norme contre le cyber-vol à des fins commerciales. Si quoi que ce soit, les développements récents – y compris l'enquête en cours sur la sécurité nationale de la société chinoise propriétaire de TikTok – démontrent que le gouvernement américain traite de plus en plus les données personnelles comme un élément à double usage ayant une valeur commerciale et de sécurité nationale. Comme l’a déclaré le procureur général William Barr: «Ces données ont une valeur économique, et ces vols peuvent alimenter le développement en Chine d’outils d’intelligence artificielle ainsi que la création de packages de ciblage du renseignement.»
Il est donc peu probable que le but des actes d'accusation d'Equifax soit simplement de réaffirmer la position américaine sur les normes de conduite acceptable des États dans le cyberespace. Il n'est pas non plus plausible que le ministère de la Justice ait saisi cette occasion pour exprimer une nouvelle position selon laquelle le vol de données personnelles à ce degré – en quantités si massives, avec des implications commerciales et de sécurité aussi vastes – représente une conduite que tous les pays (même les États-Unis) ) devrait jurer.
Il ne s'agit pas de nier la légitimité de l'application des lois nationales américaines qui interdisent «la fraude et les abus informatiques» ou «l'espionnage économique». Mais étant donné les faibles chances que cette approche de la mise en œuvre réussisse à freiner le comportement chinois, nous devons nous demander à quelles autres fins (outre la dissuasion) les actes d'accusation sont censés servir.
Étant donné les faibles chances que cette approche de la mise en application réussisse à freiner le comportement chinois, nous devons nous demander à quelles autres fins (outre la dissuasion) les actes d'accusation sont censés servir.
Une possibilité est que la stratégie d’accusation puisse fonctionner de manière imperceptible conjointement avec la nouvelle position offensive des États-Unis dans le cyberespace. Le résumé non classifié de la cyber-stratégie du ministère de la Défense en 2018 s'engage à « défendre en avant pour perturber ou arrêter les cyber-activités malveillantes à sa source, y compris les activités qui tombent en dessous du niveau de conflit armé ». Cette tournure de phrase peut signaler un effort pour passer de la dissuasion à la perturbation et à la dégradation des capacités d'acteurs malveillants. La stratégie de «défense en avant» a été approuvée par le Congrès dans un statut qui autorise «une action appropriée et proportionnée dans le cyberespace étranger pour perturber, vaincre et dissuader» une campagne active de cyberattaques contre les États-Unis commise par l'un des quatre pays, dont la Chine.
Il est concevable que le ministère de la Justice piratant les actes d'accusation fournisse un prédicat juridique qui aide le Pentagone (par le biais du US Cyber Command) à certifier la légalité des options de défense avancée en réponse à une «campagne d'attaques». L'attribution des cyber-opérations est une entreprise notoirement complexe et difficile. Mais si les procureurs peuvent convaincre un grand jury impartial des cyberintrusions chinoises contre les intérêts américains, ce dossier public pourrait aider à justifier la décision des responsables de la défense de donner le feu vert aux opérations perturbatrices dans les réseaux chinois. Une telle approche serait conforme à la remarque de l'ancien procureur général adjoint John Carlin en 2016 selon laquelle «dans certains cas… une poursuite peut ne pas être la bonne option, mais l'attribution (par le ministère de la Justice) ouvre la porte à des sanctions, des opérations de perturbation et une diplomatie bilatérale.»
Même si cette spéculation est correcte, cependant, on ne sait pas pourquoi l'attribution doit être faite publiquement, avec les risques que le gouvernement américain apparaisse sans faille aux tiers et invite à de nouvelles activités malveillantes sur les réseaux américains. Peut-être que les actes d'accusation visent à jeter les bases pour justifier de futures sanctions contre la Chine si l'administration américaine choisit d'exercer cette autorité comme elle l'a fait en rapport avec la cyberactivité de l'Iran, de la Corée du Nord et de la Russie. Mais les sanctions rendraient les entreprises américaines qui opèrent en Chine vulnérables aux représailles à un moment délicat des relations commerciales bilatérales, ce qui pourrait expliquer pourquoi elles n'ont jamais été déclenchées.
Ou peut-être que les actes d'accusation remplissent une fonction de signalisation plus précise en liant temporellement les opérations américaines de «perturbation et dégradation» aux activités (inculpées) qu'elles visent à contrer. Les États-Unis et la Chine sont plongés dans un dilemme de cybersécurité dans lequel toutes les parties s'efforcent de distinguer les actes de préemption et de représailles. Les concepts de cyberattaque et de défense sont au mieux flous. Ainsi, l'effet de signalisation d'un acte d'accusation suivi de près par une cyberattaque perturbatrice pourrait potentiellement aider à éviter les erreurs de perception et à atténuer les risques d'escalade. Mais l'inverse pourrait également être vrai. Si elle est perçue par la Chine dans le cadre d'un effort coordonné «pangouvernemental» pour contrecarrer la montée en puissance de la Chine, l'acte d'accusation et les perturbations pourraient aggraver les dangers d'une spirale d'escalade. Les États-Unis ont-ils intégré ces considérations dans leur stratégie
En fin de compte, les efforts pour discerner le calcul derrière les actes d'accusation de piratage chinois sont nécessairement spéculatifs et peut-être moins éclairants que la version la plus simple de la réalité: que les actes d'accusation sont l'un des rares outils qu'un États-Unis vulnérable est prêt à utiliser pour montrer au public qu'il est «Faire quelque chose» contre les cybermenaces persistantes. Il est juste de se demander si et quand les ressources consacrées à cet effort seront complétées par des politiques tout aussi énergiques pour inciter les entreprises à adopter la cyber-hygiène de base qui aurait pu empêcher la violation d'Equifax en premier lieu.
