Que risque un citoyen suisse en participant à la cyberguerre?

Le 26 février, l'Ukraine a lancé un appel aux hackers du monde entier pour soutenir ses efforts dans la cyberguerre. Ils sont désormais plus de 300'000 sur la messagerie Telegram de l'armée informatique ukrainienne. On ne sait pas combien de ces hackers sont réellement actifs.

Tous les jours, ces pirates volontaires reçoivent des missions. L'Ukraine partage avec eux ses objectifs. Dès le départ, 30 cibles ont été désignées pour des cyberattaques. On y trouve des banques, des organes de l'Etat russe ou des entreprises travaillant en lien avec des matières première.

Depuis, chaque jour, une nouvelle cible est présentée avec des données techniques. Dernièrement, les messages ont pointé un réseau social russe, ainsi que le système de paiement mir.

Qui commande?

Un Suisse peut-il répondre à l'appel des autorités ukrainiennes? La réponse est compliquée. Il est interdit pour un citoyen suisse d'entrer dans une armée étrangère. L'article 94 du Code pénal militaire prévoit une peine pouvant aller jusqu'à 3 ans de prison.

L'enjeu est de prouver qu'une armée étrangère a un pouvoir de commandement sur le hacker. Si c'est le cas, il tombe sous le coup du Code pénal militaire. Il n'y a aucune distinction entre se battre avec une arme, travailler dans les cuisines de l'armée ou participer à une cyberattaque. C'est le lien hiérarchique qui compte.

1. Tout Suisse qui, sans l’autorisation du Conseil fédéral, aura pris du service dans une armée étrangère, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

Contactée, l'armée suisse estime que ce point ne peut pas être résolu de manière abstraite, mais uniquement "dans le cadre d'une enquête concrète". Pour l'instant le cas ne s'est pas présenté. Les hackers protègent leur anonymat.

Un acte illicite

Si le lien avec l'Ukraine ne peut pas être prouvé, le Code pénal intervient. En Suisse, le piratage informatique est illégal. Ce terme peut désigner plusieurs comportements, non seulement l'intrusion dans le système d'autrui mais aussi le vol et la modification de ce qui s'y trouve. Selon la gravité, les peines vont de l'amende à 5 ans de prison.

Pour éviter de tomber sous le coup de la loi suisse, un hacker pourrait penser lancer une attaque virtuellement depuis un autre pays, à l'aide d'un VPN. Mais c'est la résidence physique de l'informaticien qui est prise en compte. Si les autorités suisses l'apprennent, elles pourraient ouvrir une enquête.

Le contexte n'est pas anodin. Nous sommes en période de guerre. Est-ce que cela change quelque chose? "Non, et même si la Suisse était en guerre, les autorités et la population doivent agir conformément à la loi", estime François Charlet, juriste spécialisé en droit, criminalité et sécurité des technologies.

Clémence du juge?

"On sort à peine d'une pandémie qui a montré ce que signifie d'être en situation de crise: à aucun moment la population a reçu l'information lui indiquant que le respect du code pénal et d'autres lois devenait facultatif."

Pourtant, le juge a une marge de manœuvre. Son appréciation est importante au moment de fixer une peine. "En particulier, il doit tenir compte des motivations et des buts de l'auteur; on pourrait imaginer qu'un juge soit sensible à la cause ukrainienne et aux raisons qui ont poussé un hacker suisse à participer à ces missions confiées par le gouvernement ukrainien. Mais l'inverse peut se produire aussi", ajoute le juriste.

"Même si je comprends qu'on veuille agir et aider l'Ukraine et sa population, celles et ceux qui le font en violant la loi doivent s'attendre à être sanctionnés et ne devraient pas trop compter sur la sympathie des autorités pénales suisses."

Pascal Wassmer