Microsoft propose la création d'une nouvelle « convention de Genève », qui protège les entreprises privées, infrastructures et limite la prolifération du cyberarmement. L'entreprise se place en bouclier des intérêts des internautes, trois ans après le scandale de la surveillance de la NSA.

Les géants du numérique prennent peu à peu leur place dans le débat politique. Dans un billet de blog, le directeur juridique de Microsoft, Brad Smith, demande aux États d'adopter une convention de Genève du numérique. « L'heure est venue d'appeler les gouvernements du monde à implémenter des règles internationales pour protéger les civils sur Internet », écrit-il. Une manière de répliquer le texte de 1949, avec des règles contraignantes pour tous les signataires.

Une multiplication des attaques

Pourquoi maintenant ? L'entreprise constate une prolifération d'attaques venues d'États sur l'an dernier. Elle prend pour premier exemple celle de Sony en 2014, attribuée à la Corée du Nord, et le vol de secrets industriels en 2015. Le groupe ne se risque tout de même pas à citer d'autres noms, l'attribution étant une activité hasardeuse. Surtout quand certaines des attaques les plus importantes, comme Stuxnet, remonteraient directement aux États-Unis eux-mêmes.

« Nous nous trouvons soudainement dans un monde où rien ne semble hors de portée des attaques étatiques » déclare Brad Smith. Il évoque un risque de plus en plus grand de voir les capacités logicielles utilisées à des fins militaires, avec des investissements croissants.

Rappelons que l'agence de sécurité informatique française (l'ANSSI) peut, depuis la loi de programmation militaire (LPM) de 2013, contrôler la défense d'une infrastructure vitale. Du côté de l'armée, l'un des principaux arguments était que, jusqu'alors, la Défense ne pouvait pas remonter le fil des attaques qu'elle subissait. Les capacités de surveillance, notamment offensive, ont ensuite été largement renforcées par la loi Renseignement.

Des civils « en première ligne »

Microsoft affirme que les cibles de ces guerres numériques sont surtout la propriété de civils, comme les câbles sous-marins, serveurs, ordinateurs ou les smartphones. Les emails seraient même au centre de la bataille actuelle de la cybersécurité, avant tout via le phishing.

En parlant pour le secteur, Microsoft se félicite des avancées des sociétés dans la protection des emails des internautes. Des services comme Gmail fournissant régulièrement des alertes sur les « tentatives de piratage » de comptes par un État, même si les détails manquent très souvent à l'appel.

Tech’s cybersecurity promise must be clear. We will assist & protect customers everywhere. We will not help attack customers anywhere. #RSAC pic.twitter.com/tX1x9mtmn7

— Brad Smith (@BradSmi) 14 février 2017

Il est donc temps de lancer cet appel aux gouvernements, affirme Brad Smith. Il met en avant les deux dernières années de conception de normes. En juillet 2015 marquait ainsi l'adoption de recommandations de sécurité pour les États, par les experts de 20 gouvernements. L'un des principes est de ne pas utiliser d'attaque informatique pour endommager les infrastructures d'un autre pays.

Rappelons qu'en 2013, Barack Obama et Xi Jinping avaient discuté en tête à tête des attaques dont les deux pays s'accusaient mutuellement... Après l'intrusion au long cours dans le réseau de la société de défense américaine Qinetiq. En 2015, les deux pays s'étaient mis d'accord sur l'interdiction de soutenir le vol informatique de propriété intellectuelle.

Mettre le secteur privé hors de portée des États

En fait, Microsoft présente les acteurs privés comme les grands défenseurs des intérêts des internautes, car chargés de leur protection au quotidien. Une position qu'il aurait été difficile de tenir il y a encore trois ans, au moment des révélations d'Edward Snowden sur la surveillance de la NSA. Depuis, les groupes américains multiplient les actions contre les « abus » des autorités dans l'accès aux données des internautes, notamment chez Microsoft.

Désormais, le directeur juridique du groupe de Redmond demande une défense sans équivoque du secteur privé, des infrastructures critiques et l'interdiction du vol de propriété intellectuelle par les gouvernements. Selon la société, les gouvernements devraient également assister le secteur privé dans la protection numérique.

Les États devront également déclarer les vulnérabilités aux entreprises plutôt que de les conserver. Le développement du cyberarmement doit être encadré, notamment par un engagement à la non-prolifération, quand les attaques informatiques doivent être limitées autant que possible.

Une organisation internationale pour identifier les attaques

Microsoft demande la constitution d'une organisation indépendante, regroupant acteurs publics et privés. « Cette organisation devrait être constituée d'experts techniques des gouvernements, du secteur privé, d'universités et de la société civile. Cela avec la capacité d'examiner des attaques et partager les preuves qu'une attaque vient d'un État particulier » écrit le géant du Net.

La proposition, qui se veut inclusive, est dans la droite lignée du modèle consensuel promu par les Etats-Unis. Ce mélange était même l'une des conditions pour l'émancipation de l'ICANN, qui gère les ressources du Net, intervenue en octobre dernier. Avec un tel plan, Microsoft se met au centre du débat, sans pouvoir être accusé de tirer la couverture à lui.

En contrepartie, les entreprises du secteur devront « construire une Suisse numérique ». « Le secteur technologique agit comme première ligne face aux attaques d'États sur Internet » rappelle encore le groupe, qui demande à l'industrie de prendre des mesures claires sur la défense des internautes et des infrastructures. Parmi celles-ci figure la diffusion des correctifs logiciels pour tous, l'adoption de pratiques communes en matière de divulgation de failles et le soutien des efforts internationaux de défense. Rien qui ne diverge des bonnes pratiques actuelles, en somme.