En octobre 2011, on apprenait que le Pentagone avait eu l’intention de lancer une attaque informatique contre la défense aérienne libyenne avant le début de l’opération Harmattan avant d’y finalement renoncer. Plusieurs raisons furent données à cette décision.
La première était d’ordre pratique. Les conditions pour lancer une telle attaque, comme par exemple l’étude des vulnérabilités des réseaux libyens, n’avaient pas été préalablement réunies. Un autre argument consistait à dire qu’il n’était pas question de créer un précédent susceptible de justifier les opérations ultérieures d’autres pays soupçonnés de pratiquer le piratage informatique, comme la Chine ou la Russie.
D’autre part, le Pentagone ne voulait pas donner d’indications sur le potentiel de leurs « cyberarmes » alors que le conflit libyen ne représentait alors qu’une menace mineure pour les États-Unis. Ces moyens offensifs américains « sont encore comme la Ferrari que vous gardez dans le garage et que vous sortez seulement pour la grande course, pas pour faire un tour en ville », avait expliqué, à l’époque, un responsable de l’administration Obama.
Enfin, le dernier prétexte était d’ordre juridique, la question étant alors de savoir si la Maison Blanche avait le droit de lancer une cyberattaque préventive sans en référer préalablement au Congrès, même s’il n’était pas question d’envoyer physiquement des soldats se battre en territoire hostile.
Cela étant, ces éventuelles restrictions juridiques auraient été levées puisque selon le New York Times, qui fait état de récentes règles tenues secrètes en vertu desquelles le président américain a le « pouvoir légitime de lancer des cyberattaques préventives en cas de menaces venant de l’étranger fondées sur des preuves solides ».
La Maison Blanche n’a pas officiellement confirmé cette information. Mais un de ses responsables cité par le quotidien new-yorkais a précisé que « les États-Unis agiront conformément à leur droit intrinsèque à la légitime défense dans le cyberespace, comme le reconnaît le droit international, pour prévenir toute perte en vie imminente ou dommage significatif ».
Qui plus est, ajoute le New York Times, les armes susceptibles d’être utilisées dans le cyberespace sont « tellement puissantes » qu’elle ne peuvent « qu’être activées au plus haut nveau du gouvernement », au même titre que des missiles nucléaires.
Seulement, le concept d’attaque préventive est pour le moins contesté. Il a été avancé pour justifier l’intervention militaire américaine en Irak, il y a maintenant dix ans, au prétexte de la présence d’armes de destruction massive dans ce pays. Et ces dernières n’ont jamais été retrouvées.
Qui plus est, dans le cyberespace, les « preuves » de menaces sont encore plus difficiles à établir. Un pays visé pour avoir préparé une offensive numérique pourra toujours clamer son innocence, ce qui compromettrait la justification de l’attaque préventive.
Quoi qu’il en soit, les États-Unis ont déjà lancé des cyberattaques que l’on pourrait qualifier de préventives en ciblant le programme nucléaire iranien avec le virus Stuxnet. Il s’agissait d’une opération appelée « Olympic Games », dont le principe avait été approuvé par l’administration Bush et confirmé par celle du président Obama.
Par ailleurs, Washington prépare de nouvelles directives visant à préciser les domaines de responsabilités en matière de cyberdéfense. Ainsi, les services dépendant du département de la Sécurité intérieure auront la charge des attaques informatiques « ordinaires », c’est-à-dire visant des entreprises, voire des institutions, comme la Réserve fédérale, qui a indiqué qu’un de ses réseaux Intranet venait d’être piraté.
En revanche, le Pentagone, via l’US Cyber Command, serait amené à intervenir en cas de « cyberattaque majeure », dont le seuil reste à préciser. Ce qui ne sera officiellement pas le cas afin de maintenir l’incertitude chez d’éventuels agresseurs. L’on sait seulement que le secrétaire à la Défense, Leon Panetta, a fixé comme ligne rouge un éventuel « Pearl Harbor » numérique.