Appel de Paris : pour la cyberpaix, Macron entre régulation et coopération avec les géants du Net
Cyberprospérité économique
Le 14 novembre 2018 à 11h23
12 min
Internet
Internet
Au siège de l’UNESCO, à Paris, se tient actuellement le Forum sur la Gouvernance de l’Internet (FGI). Objectif : discuter de son utilisation et des dangers qui l'accompagnent. Emmanuel Macron y a lancé un vaste appel à la paix numérique. Largement suivi, il est néanmoins boudé par les plus gros acteurs.
Après avoir fêté le centenaire de la paix retrouvée de 1918, le président français a appelé de ses vœux une autre paix : celle du cyberespace. Dans son discours, face au secrétaire général de l’ONU, Antonio Guterres, Macron a qualifié Internet de « révolution formidable », mais « menacée dans sa structure par les cyberattaques », les « propos haineux » ou le fractionnement du « réseau pour en contrôler le contenu », poussé par certains États (aucun nom cité).
L’appel propose d’agir sur un ensemble de points précis. Cependant, en dépit de l’attention générée et des centaines de signatures d’États et entreprises, ce cri dans la nuit pourrait tomber aussi rapidement dans l’oubli que les autres prises de position du même acabit dans le passé.
La France aimerait en finir avec la surenchère d’attaques
L’appel lancé par le président se découpe en neuf axes de réflexion et d’action :
- Empêcher les activités malveillantes contre les individus et infrastructures critiques (OIV)
- Empêcher les activités malveillantes contre la disponibilité ou l’intégrité du cœur public de l’internet
- Développer la prévention contre les interférences dans les processus électoraux
- Empêcher le vol de propriété intellectuelle, notamment les secrets industriels
- Renforcer la lutte contre la prolifération d’outils malveillants et de pratiques informatiques destinés à nuire
- Accroître la sécurité des processus, produits et services numériques tout au long de leur cycle de vie et d’un bout à l’autre de la chaîne d’approvisionnement
- Encourager l’hygiène informatique pour tous
- Empêcher tout acteur non étatique de déclencher une cyber contre-offensive en réponse à une attaque, pour leur propre compte ou celui d’un autre acteur non étatique
- Favoriser les normes internationales de comportement responsable
Rien de particulièrement nouveau, et pour cause : le même discours est rabâché depuis des années par différentes commissions d’enquête, acteurs privés et publics. Les volontés sont ainsi proches des vœux formulés par le directeur juridique de Microsoft, Brad Smith, quand il appelait une « convention de Genève du numérique ». Le géant américain s'imaginait volontiers en juge de paix entre États.
Au-delà de ces points particuliers, l’Appel est enveloppé d'un retour sur des thématiques fortes actuelles, en tout premier lieu les « fake news ».
Structurer la sécurité et la coopération…
L’appel n’est dénué ni de fondements, ni de force. Il braque une nouvelle fois les projecteurs sur la nécessaire coopération entre « toutes les parties prenantes », à savoir les États, les entreprises et la société civile : « Nous reconnaissons que tous les acteurs peuvent apporter leur soutien à un cyberespace pacifique en encourageant la divulgation responsable et coordonnée des vulnérabilités ».
Ce que l’on nomme « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » a également reçu un soutien massif de dizaines de pays et centaines d’entreprises. On retrouve toute l’Europe (y compris le Royaume-Uni), le Canada et la Nouvelle-Zélande (pourtant très proches des États-Unis dans le domaine du cyberespionnage), la Bosnie-Herzégovine, le Chili, la Colombie, la Corée du Sud, les Émirats arabes unis, le Gabon, le Liban, le Luxembourg, Malte, le Mexique, Panama, le Qatar ou encore le Sénégal. On peut y voir une nécessité pour certains de s’unir au sein d’une alliance où les compétences en défense informatique seront plus accessibles et nombreuses.
On ne peut que remarquer cependant la faiblesse inhérente de cette liste : les États-Unis, la Chine et la Russie en sont absents. Ils sont actuellement les trois plus gros acteurs dans le domaine de la cybersécurité, chacun menant ses campagnes d’espionnage et d’attaque comme il l’entend.
Le soutien du secteur privé est cependant nettement plus vif, avec une très longue liste comprenant une partie des grands noms du secteur informatique : Atlassian, Avast, BitDefender, Capgemini, Cisco, Cloudflare, Dell, ESET, FireEye, F-Secure, Gitlab, HP, Juniper, Microsoft, Nokia, Oracle, Panasonic, RSA, Salesforce, SAP, Trendmicro ou encore VMWare. Des GAFAM, seule Microsoft est donc présente, Google, Apple, Facebook et Amazon faisant l’impasse, en tout cas pour l’instant. À noter tout de même, la décision de Facebook d’autoriser une équipe d’experts gouvernementaux français à examiner la gestion interne des contenus haineux.
Ces noms sont complétés par de nombreux autres, dans des branches différentes, en particulier des OIV et fournisseurs d’infrastructures critiques, comme AES, Airbus, Atos, Deutsche Telelom, IBM, SGS, Siemens, Total, Gemalto, Intel, Kaspersky, Mastercard et Visa.
La liste continue avec des organisations, notamment des universités, des instituts et autres centres d’études. Cependant, et en dépit d’un appel à la collaboration de la société civile, on ne trouve aucune association. Cette situation devrait changer et la liste se compléter, le CLUSIF (Club de la #Sécurité de l'Information Français) ayant par exemple tweeté son soutien à l’Appel de Paris.
... en dépit de faiblesses dès le départ
L’idée est donc largement suivie, mais des acteurs majeurs sont absents. L’Appel reste l’occasion de montrer la voie, mais sans le reste des GAFAM ni les trois plus gros États actifs dans ce domaine, la coopération pourrait rester un vœu pieux.
Le modèle français dispose en outre d’une particularité : l’attaque et la défense sont séparées. Cette dernière est assurée par l’ANSSI, très active dans la sensibilisation à la cybersécurité. Les États-Unis fournissent le contre-exemple parfait, puisque la NSA s’occupe des deux. Cette dichotomie est sans cesse pointée du doigt et est résumée par la problématique des failles de sécurité.
À tel point que l’agence s’était fendue d’une communication officielle pour expliquer que 91 % des failles récoltées étaient communiquées aux éditeurs concernés. Mais non seulement rien n’était dit pour les 9 % restants, mais la NSA ne précisait pas non plus le délai de communication. Il pouvait donc s’agir de failles « ayant fait leur temps », après avoir été exploitées dans des scénarios d’attaque.
Une concentration de vecteurs d’attaques qui nécessite par ailleurs une défense à la hauteur, puisque des pirates ont pu s’emparer d’une partie de cet arsenal numérique, offrant au reste du monde deux des principales attaques de ces dernières années : NotPetya et Wannacry (via la faille EternalBlue notamment). Le premier est attribué par les experts à la Russie, l’autre à la Corée du Nord, régulièrement défendue par la Chine.
On se rappelle également du ver Stuxnet, élaboré selon Kaspersky par les États-Unis et Israël pour bloquer les centrifugeuses des sites iraniens d’enrichissement nucléaire. L’Iran a d’ailleurs accusé à nouveau très récemment Israël de s’en prendre à ses infrastructures stratégiques.
Rappelons également la longue série de publications Vault7 par WikiLeaks sur les activités de la CIA. Dans une cascade de documents, on apprenait comment l'agence de renseignement disposait de techniques pour s'infiltrer dans de très nombreux produits et système, des TV connectées aux voitures, en passant par les routeurs. Avec Marble, la CIA possède même un outil servant un double objectif : cacher ses traces et en créer d'autres pour impliquer d'autres pays.
Comment ne pas penser enfin à l’affrontement actuel entre États-Unis et Russie autour des élections présidentielles américaines de 2016 ? Outre-Atlantique, une enquête est ainsi actuellement menée par le procureur spécial Robert Mueller pour mesurer le degré d’ingérence de la Russie dans le processus électoral. Des liens sont suspectés entre le gouvernement de Vladimir Poutine et des individus proches de la campagne de Donald Trump, qui n’a d’ailleurs jamais caché son désir de se débarrasser de cette enquête.
Emmanuel Macron s’est également permis une pique plus directe. Il a ainsi qualifié Internet d’« évidence menacée » par l’attitude de régimes autoritaires qui, parallèlement, verrouillent leur Internet tout en profitant de son ouverture ailleurs pour fragiliser des acteurs.
Les cyberarmes, nouvelles ogives nucléaires
De la même manière que les armes nucléaires ont fait l’objet d’un traité de non-prolifération, l’arsenal numérique est dans le collimateur des Nations Unies. L’ONU avait déjà mis sur pieds en 2017 un groupe de travail, qui avait fini par abandonner. Or, le 8 novembre, la Première Commission, chargée du désarmement et de la sécurité internationale, a rendu ses propres conclusions.
Problème : à l'ONU comme à Paris, deux camps s'affrontent. Incapable de départager deux textes, l'un porté par les États-Unis, l'autre par la Russie, cette commission onusienne a proposé la création de deux groupes de travail distincts, pour ériger des règles de « conduite responsable dans le cyberespace ».
La Russie souhaite ainsi une approche basée sur le consensus, tandis que les États-Unis aimeraient des règles plus claires dans le domaine de la coopération. Des décisions polarisées, les États-Unis étant schématiquement soutenus par l'Occident, la Russie par le reste du monde.
Cette ligne de partage existait déjà en 2012 à l'ONU, la France refusant de signer un traité sur la gouvernance d'Internet. L'Hexagone et d'autres pays européens estimaient qu'il donnait une trop grande importance aux États, ouvrant la voie à la reprise en main du Net par des pays non démocratiques.
Le 11 novembre, l’Initiative pour l’information et la démocratie, lancée par Reporters sans frontières, publiait elle aussi les résultats de son étude. Elle souligne « que les acteurs en position de structurer cet espace global ont des responsabilités, notamment en matière de neutralité politique et idéologique, de pluralisme et de redevabilité ». En outre, « les individus ont un droit, non seulement à une information indépendante et plurielle, mais aussi à une information fiable, condition indispensable pour qu’ils se forgent librement une opinion et participent valablement au débat démocratique ». En d’autres termes, sus aux « fake news » et manipulations politiques.
La commission résume en proposant « que l’espace mondial de l’information et de la communication soit considéré comme un bien commun de l’humanité, dans lequel doivent être garantis la liberté, le pluralisme et l’intégrité des informations ».
L’Appel de Paris s’inscrit donc dans une double continuité, jouant sur l’effet d’accumulation pour profiter de l'écho. Mais son succès est bien loin d’être garanti.
Entre espoirs et réalités du terrain
Les pays signataires réclament de leurs vœux un Internet neutre, aux informations fiables, et où personne ne serait pris pour cible. Un patrimoine de l’humanité où le désarmement règnerait.
En pratique, la coopération est possible, mais sans oublier les difficultés rencontrées sur le terrain. Notamment parce que les lois ne passent que rarement les frontières et que tout est affaire de diplomatie et d’accords. Le texte français rappelle cependant que cette paix numérique est essentielle à la confiance, donc à la prospérité économique mondiale. Un argument qui séduira peut-être davantage les acteurs privés non-signataires.
Les autres ont déjà prévu de se retrouver l’année prochaine autour de deux évènements pour faire le point : le Forum de Paris et celui sur la gouvernance de l’Internet à Berlin. Un cycle régulier sera mis en place pour mesurer les progrès accomplis. Les signataires souhaitent ancrer ces bonnes résolutions dans un processus qui pourrait drainer de nouveaux acteurs.
Mais en dépit des bonnes volontés, l’Appel n’est pas un accord. D’un point de vue juridique, il n’est pas contraignant et ne pourra donc sanctionner les mauvais élèves. Même si la France atteignait son objectif, on reste sur un volontariat qui ne saurait bloquer de secrètes actions au gré des enjeux politiques. Et ce d’autant plus que la responsabilité des cyberattaques est difficile à attribuer.
Une troisième voie, européenne
L'Appel est fondé sur l'idée de pays garants de la bonne tenue d'Internet, auxquels des organisations et entreprises peuvent se greffer, loin des discours de gouvernance multipartite habituellement portés en Occident. Il suit en cela la ligne française, en particulier de l'ANSSI, qui veut réserver les conflits cyber aux États, en luttant contre les velléités d'entreprises de contre-attaquer en cas d'assaut (voir notre analyse).
Dans un monde où les grands groupes privés, en premier lieu les géants du Net américains et chinois, s'imposent comme des membres incontournables du débat démocratique et économique, Emmanuel Macron tente donc de réaffirmer la position centrale des États, en demandant leur collaboration.
Surtout, il entérine l'idée d'un Internet européen défenseur de valeurs universalistes et protégé par une régulation spécifique, faute d'avoir de grands groupes numériques pour les exporter, comme les États-Unis et la Chine. Une voie déjà symbolisée par le Règlement général sur la protection des données (RGPD) et les amendes de la Commission contre Google sur la concurrence, censée fédérer l'UE autour de la défense d'un modèle de vie propre au vieux continent.
Appel de Paris : pour la cyberpaix, Macron entre régulation et coopération avec les géants du Net
-
La France aimerait en finir avec la surenchère d’attaques
-
Structurer la sécurité et la coopération…
-
... en dépit de faiblesses dès le départ
-
Les cyberarmes, nouvelles ogives nucléaires
-
Entre espoirs et réalités du terrain
-
Une troisième voie, européenne
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/11/2018 à 13h02
La DGSE ne pourra donc plus créer des programmes comme Babar ?
Le 14/11/2018 à 15h12
Pour lutter contre les États, l’étatiste en chef de la nation la ~plus étatiste n’a rien trouvé de mieux que d’appeler à plus d’État, selon le bon principe chers aux étatistes que si l’aspirine étatique n’a pas guéri du cancer étatique, c’est que la dose n’a pas été assez forte (étatiquement parlant). Logique. " />
Le 14/11/2018 à 19h48
“Le soutien du secteur privé est cependant nettement plus vif, avec une très longue liste”
Sans blague ?
Pour les Etats, France compris, nous ne sommes que du “dommage collatéral” de leurs cyber-guerres et diverses conneries dans le cyber espace…
Pour le secteur privé, nous sommes des clients qu’il faut satisfaire et donc préserver des folies étatiques.
Le 14/11/2018 à 19h59
" /> pour l’article !
Je suppose que du chemin a été fait depuis Échelon.
PS: euh… par contre, la photo " />
Le 14/11/2018 à 20h32
“Il a ainsi qualifié Internet d’« évidence menacée » par l’attitude de régimes autoritaires ”
J’essaie d’imaginer à quoi peut ressembler un “régime autoritaire” pour un fasciste européiste payé à vendre son pays. Vu les bras d’honneurs et les insultes qu’il balance sur le peuple français dès qu’il est à l’étranger, et vu son arrogance sans limite, l’exercice de pensée est particulièrement difficile.
Le 15/11/2018 à 08h36
Macron se dit être engagé pour un internet civilisé et chantre de la “startup nation”, mais il s’apprête à devenir le pourfendeur de l’économie numérique européenne avec sa proposition conjointe avec l’Allemagne de revoir la directive ecommerce de 2000 afin d’imposer à tous les hébergeurs et plateformes de contenu l’obligation de détecter, filtrer et retirer les contenus haineux et terroriste en 60 minutes sous peine de sanction.
Au final cela revient à donner aux GAFA un monopole sur tout une part de l’économie numérique et de leur faire jouer le rôle de police du Web pour la censure des contenus.
Au niveau de l’imposture et de la lâcheté, on arrive à des sommets.
https://www.laquadrature.net/fr/reglement_terro_gafamacron
Le 15/11/2018 à 09h49
Et le principe est le même pour le droit d’auteur, et il traine beaucoup de casseroles niveau surveillance de masse. au fonds “terrorisme” c’est l’équivalent de l’Etat pour faire passer n’importe quelle loi que “blockchain” pour un privé qui veut lancer un business.
Le degré d’hypocrisie est si élevé que je suis plus étonné qu’il puisse en arriver là que fâché.
Le 15/11/2018 à 10h14
C’est pourtant simple comme tout, il suffit de faire comme la chine, un internet privé. A la place d’E-Bay, on aura le Bon Coin, avec obligation pour les vendeurs de s’enregistrer au commissariat ou à la mairie du quartier. Plus de Google recherche, remplacé par Qwant. A la place de Facebook, Diaspora, avec la aussi obligation de s’enregistrer physiquement. " />
Le 15/11/2018 à 13h49
A force de traiter des sujets dont on ne comprends rien l’imposture en devient flagrante. Mais c’est un habitué de l’hypocrisie, que ce soit une fois de plus ou une fois de moins, ça doit pas trop le chiffonner.
Le 16/11/2018 à 07h59
Il y a pire…
Au Japon le ministre de la cybersécurité n’a jamais utilisé un ordinateur de sa vie et est incapable d’envoyer un simple email… " />
Et oui, qu’importent les compétences pourvu qu’on ait le boulot… " />