Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
Appel de Paris : pour la cyberpaix, Macron entre régulation et coopération avec les géants du Net
Securité

Appel de Paris : pour la cyberpaix, Macron entre régulation et coopération avec les géants du Net

Cyberprospérité économique
10 min

Au siège de l’UNESCO, à Paris, se tient actuellement le Forum sur la Gouvernance de l’Internet (FGI). Objectif : discuter de son utilisation et des dangers qui l'accompagnent. Emmanuel Macron y a lancé un vaste appel à la paix numérique. Largement suivi, il est néanmoins boudé par les plus gros acteurs.

Après avoir fêté le centenaire de la paix retrouvée de 1918, le président français a appelé de ses vœux une autre paix : celle du cyberespace. Dans son discours, face au secrétaire général de l’ONU, Antonio Guterres, Macron a qualifié Internet de « révolution formidable », mais « menacée dans sa structure par les cyberattaques », les « propos haineux » ou le fractionnement du « réseau pour en contrôler le contenu », poussé par certains États (aucun nom cité).

L’appel propose d’agir sur un ensemble de points précis. Cependant, en dépit de l’attention générée et des centaines de signatures d’États et entreprises, ce cri dans la nuit pourrait tomber aussi rapidement dans l’oubli que les autres prises de position du même acabit dans le passé.

La France aimerait en finir avec la surenchère d’attaques

L’appel lancé par le président se découpe en neuf axes de réflexion et d’action :

  • Empêcher les activités malveillantes contre les individus et infrastructures critiques (OIV)
  • Empêcher les activités malveillantes contre la disponibilité ou l’intégrité du cœur public de l’internet
  • Développer la prévention contre les interférences dans les processus électoraux
  • Empêcher le vol de propriété intellectuelle, notamment les secrets industriels
  • Renforcer la lutte contre la prolifération d’outils malveillants et de pratiques informatiques destinés à nuire
  • Accroître la sécurité des processus, produits et services numériques tout au long de leur cycle de vie et d’un bout à l’autre de la chaîne d’approvisionnement
  • Encourager l’hygiène informatique pour tous
  • Empêcher tout acteur non étatique de déclencher une cyber contre-offensive en réponse à une attaque, pour leur propre compte ou celui d’un autre acteur non étatique
  • Favoriser les normes internationales de comportement responsable

Rien de particulièrement nouveau, et pour cause : le même discours est rabâché depuis des années par différentes commissions d’enquête, acteurs privés et publics. Les volontés sont ainsi proches des vœux formulés par le directeur juridique de Microsoft, Brad Smith, quand il appelait une « convention de Genève du numérique ». Le géant américain s'imaginait volontiers en juge de paix entre États.

Au-delà de ces points particuliers, l’Appel est enveloppé d'un retour sur des thématiques fortes actuelles, en tout premier lieu les « fake news ».

Structurer la sécurité et la coopération…

L’appel n’est dénué ni de fondements, ni de force. Il braque une nouvelle fois les projecteurs sur la nécessaire coopération entre « toutes les parties prenantes », à savoir les États, les entreprises et la société civile : « Nous reconnaissons que tous les acteurs peuvent apporter leur soutien à un cyberespace pacifique en encourageant la divulgation responsable et coordonnée des vulnérabilités ».

Ce que l’on nomme « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » a également reçu un soutien massif de dizaines de pays et centaines d’entreprises. On retrouve toute l’Europe (y compris le Royaume-Uni), le Canada et la Nouvelle-Zélande (pourtant très proches des États-Unis dans le domaine du cyberespionnage), la Bosnie-Herzégovine, le Chili, la Colombie, la Corée du Sud, les Émirats arabes unis, le Gabon, le Liban, le Luxembourg, Malte, le Mexique, Panama, le Qatar ou encore le Sénégal. On peut y voir une nécessité pour certains de s’unir au sein d’une alliance où les compétences en défense informatique seront plus accessibles et nombreuses.

On ne peut que remarquer cependant la faiblesse inhérente de cette liste : les États-Unis, la Chine et la Russie en sont absents. Ils sont actuellement les trois plus gros acteurs dans le domaine de la cybersécurité, chacun menant ses campagnes d’espionnage et d’attaque comme il l’entend.

Le soutien du secteur privé est cependant nettement plus vif, avec une très longue liste comprenant une partie des grands noms du secteur informatique : Atlassian, Avast, BitDefender, Capgemini, Cisco, Cloudflare, Dell, ESET, FireEye, F-Secure, Gitlab, HP, Juniper, Microsoft, Nokia, Oracle, Panasonic, RSA, Salesforce, SAP, Trendmicro ou encore VMWare. Des GAFAM, seule Microsoft est donc présente, Google, Apple, Facebook et Amazon faisant l’impasse, en tout cas pour l’instant. À noter tout de même, la décision de Facebook d’autoriser une équipe d’experts gouvernementaux français à examiner la gestion interne des contenus haineux.

Ces noms sont complétés par de nombreux autres, dans des branches différentes, en particulier des OIV et fournisseurs d’infrastructures critiques, comme AES, Airbus, Atos, Deutsche Telelom, IBM, SGS, Siemens, Total, Gemalto, Intel, Kaspersky, Mastercard et Visa.

La liste continue avec des organisations, notamment des universités, des instituts et autres centres d’études. Cependant, et en dépit d’un appel à la collaboration de la société civile, on ne trouve aucune association. Cette situation devrait changer et la liste se compléter, le CLUSIF (Club de la #Sécurité de l'Information Français) ayant par exemple tweeté son soutien à l’Appel de Paris.

... en dépit de faiblesses dès le départ

L’idée est donc largement suivie, mais des acteurs majeurs sont absents. L’Appel reste l’occasion de montrer la voie, mais sans le reste des GAFAM ni les trois plus gros États actifs dans ce domaine, la coopération pourrait rester un vœu pieux.

Le modèle français dispose en outre d’une particularité : l’attaque et la défense sont séparées. Cette dernière est assurée par l’ANSSI, très active dans la sensibilisation à la cybersécurité. Les États-Unis fournissent le contre-exemple parfait, puisque la NSA s’occupe des deux. Cette dichotomie est sans cesse pointée du doigt et est résumée par la problématique des failles de sécurité.

À tel point que l’agence s’était fendue d’une communication officielle pour expliquer que 91 % des failles récoltées étaient communiquées aux éditeurs concernés. Mais non seulement rien n’était dit pour les 9 % restants, mais la NSA ne précisait pas non plus le délai de communication. Il pouvait donc s’agir de failles « ayant fait leur temps », après avoir été exploitées dans des scénarios d’attaque.

Une concentration de vecteurs d’attaques qui nécessite par ailleurs une défense à la hauteur, puisque des pirates ont pu s’emparer d’une partie de cet arsenal numérique, offrant au reste du monde deux des principales attaques de ces dernières années : NotPetya et Wannacry (via la faille EternalBlue notamment). Le premier est attribué par les experts à la Russie, l’autre à la Corée du Nord, régulièrement défendue par la Chine.

On se rappelle également du ver Stuxnet, élaboré selon Kaspersky par les États-Unis et Israël pour bloquer les centrifugeuses des sites iraniens d’enrichissement nucléaire. L’Iran a d’ailleurs accusé à nouveau très récemment Israël de s’en prendre à ses infrastructures stratégiques.

Rappelons également la longue série de publications Vault7 par WikiLeaks sur les activités de la CIA. Dans une cascade de documents, on apprenait comment l'agence de renseignement disposait de techniques pour s'infiltrer dans de très nombreux produits et système, des TV connectées aux voitures, en passant par les routeurs. Avec Marble, la CIA possède même un outil servant un double objectif : cacher ses traces et en créer d'autres pour impliquer d'autres pays.

Comment ne pas penser enfin à l’affrontement actuel entre États-Unis et Russie autour des élections présidentielles américaines de 2016 ? Outre-Atlantique, une enquête est ainsi actuellement menée par le procureur spécial Robert Mueller pour mesurer le degré d’ingérence de la Russie dans le processus électoral. Des liens sont suspectés entre le gouvernement de Vladimir Poutine et des individus proches de la campagne de Donald Trump, qui n’a d’ailleurs jamais caché son désir de se débarrasser de cette enquête.

Emmanuel Macron s’est également permis une pique plus directe. Il a ainsi qualifié Internet d’« évidence menacée » par l’attitude de régimes autoritaires qui, parallèlement, verrouillent leur Internet tout en profitant de son ouverture ailleurs pour fragiliser des acteurs.

Les cyberarmes, nouvelles ogives nucléaires

De la même manière que les armes nucléaires ont fait l’objet d’un traité de non-prolifération, l’arsenal numérique est dans le collimateur des Nations Unies. L’ONU avait déjà mis sur pieds en 2017 un groupe de travail, qui avait fini par abandonner. Or, le 8 novembre, la Première Commission, chargée du désarmement et de la sécurité internationale, a rendu ses propres conclusions.

Problème : à l'ONU comme à Paris, deux camps s'affrontent. Incapable de départager deux textes, l'un porté par les États-Unis, l'autre par la Russie, cette commission onusienne a proposé la création de deux groupes de travail distincts, pour ériger des règles de « conduite responsable dans le cyberespace ».

La Russie souhaite ainsi une approche basée sur le consensus, tandis que les États-Unis aimeraient des règles plus claires dans le domaine de la coopération. Des décisions  polarisées, les États-Unis étant schématiquement soutenus par l'Occident, la Russie par le reste du monde.

Cette ligne de partage existait déjà en 2012 à l'ONU, la France refusant de signer un traité sur la gouvernance d'Internet. L'Hexagone et d'autres pays européens estimaient qu'il donnait une trop grande importance aux États, ouvrant la voie à la reprise en main du Net par des pays non démocratiques.

Le 11 novembre, l’Initiative pour l’information et la démocratie, lancée par Reporters sans frontières, publiait elle aussi les résultats de son étude. Elle souligne « que les acteurs en position de structurer cet espace global ont des responsabilités, notamment en matière de neutralité politique et idéologique, de pluralisme et de redevabilité ». En outre, « les individus ont un droit, non seulement à une information indépendante et plurielle, mais aussi à une information fiable, condition indispensable pour qu’ils se forgent librement une opinion et participent valablement au débat démocratique ». En d’autres termes, sus aux « fake news » et manipulations politiques.

La commission résume en proposant « que l’espace mondial de l’information et de la communication soit considéré comme un bien commun de l’humanité, dans lequel doivent être garantis la liberté, le pluralisme et l’intégrité des informations ».

L’Appel de Paris s’inscrit donc dans une double continuité, jouant sur l’effet d’accumulation pour profiter de l'écho. Mais son succès est bien loin d’être garanti.

Entre espoirs et réalités du terrain

Les pays signataires réclament de leurs vœux un Internet neutre, aux informations fiables, et où personne ne serait pris pour cible. Un patrimoine de l’humanité où le désarmement règnerait.

En pratique, la coopération est possible, mais sans oublier les difficultés rencontrées sur le terrain. Notamment parce que les lois ne passent que rarement les frontières et que tout est affaire de diplomatie et d’accords. Le texte français rappelle cependant que cette paix numérique est essentielle à la confiance, donc à la prospérité économique mondiale. Un argument qui séduira peut-être davantage les acteurs privés non-signataires.

Les autres ont déjà prévu de se retrouver l’année prochaine autour de deux évènements pour faire le point : le Forum de Paris et celui sur la gouvernance de l’Internet à Berlin. Un cycle régulier sera mis en place pour mesurer les progrès accomplis. Les signataires souhaitent ancrer ces bonnes résolutions dans un processus qui pourrait drainer de nouveaux acteurs.

Mais en dépit des bonnes volontés, l’Appel n’est pas un accord. D’un point de vue juridique, il n’est pas contraignant et ne pourra donc sanctionner les mauvais élèves. Même si la France atteignait son objectif, on reste sur un volontariat qui ne saurait bloquer de secrètes actions au gré des enjeux politiques. Et ce d’autant plus que la responsabilité des cyberattaques est difficile à attribuer.

Une troisième voie, européenne

L'Appel est fondé sur l'idée de pays garants de la bonne tenue d'Internet, auxquels des organisations et entreprises peuvent se greffer, loin des discours de gouvernance multipartite habituellement portés en Occident. Il suit en cela la ligne française, en particulier de l'ANSSI, qui veut réserver les conflits cyber aux États, en luttant contre les velléités d'entreprises de contre-attaquer en cas d'assaut (voir notre analyse).

Dans un monde où les grands groupes privés, en premier lieu les géants du Net américains et chinois, s'imposent comme des membres incontournables du débat démocratique et économique, Emmanuel Macron tente donc de réaffirmer la position centrale des États, en demandant leur collaboration.

Surtout, il entérine l'idée d'un Internet européen défenseur de valeurs universalistes et protégé par une régulation spécifique, faute d'avoir de grands groupes numériques pour les exporter, comme les États-Unis et la Chine. Une voie déjà symbolisée par le Règlement général sur la protection des données (RGPD) et les amendes de la Commission contre Google sur la concurrence, censée fédérer l'UE autour de la défense d'un modèle de vie propre au vieux continent.

Publiée le 14 novembre 2018 à 12:23


Chargement des commentaires