Appel de Paris. France : Sécurisons davantage le cyberespace ! Etats-Unis : ah bon ! vraiment ?

Cybersécurité

L’Appel de Paris pour la confiance et la sécurité dans le cyberespace propose des règles d’engagement pour la coopération dans la lutte contre l’ingérence dans les élections, la censure en ligne, le discours haineux, le vol de propriété intellectuelle, la prolifération de malwares et les cyberattaques, entre autres…

cyberespace

Les États-Unis, la Chine et la Russie font partie des quelques grands noms qui ne figurent pas sur la liste des signataires de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace : une initiative visant à établir une éthique internationale vis-à-vis d’Internet, y compris la coordination des divulgations en matière de vulnérabilités techniques.

Le président français Emmanuel Macron a annoncé l’accord lundi, à Paris, lors du Forum annuel de l’UNESCO sur la gouvernance de l’Internet.

Le document propose des règles d’engagement pour toute une série de défis liés à Internet, notamment la coopération pour lutter contre l’ingérence dans les élections, la censure en ligne et le discours haineux, le vol de propriété intellectuelle, la prolifération de malwares et les cyberattaques, ainsi que l’utilisation de cyber-armes dans le but de lancer des attaques de type hack-back… qui dans le jargon de l’armée américaine, se défini comme du “piratage offensif”, et que le département de la Défense s’est donné le pouvoir de faire dans le cadre de la nouvelle stratégie militaire énoncée en septembre dernier.

Le document a été approuvé par plus de 50 pays, 90 organisations à but non lucratif et universités et 130 sociétés et groupes privés.

Vous pouvez imaginer aisément pourquoi l’attitude de l’accord vis-à-vis de la cyberguerre ne pouvait pas être adoptée par de nombreux pays. Outre les États-Unis, certains des pays qui se sont abstenus de signer, y compris la Chine et l’Iran, ont des programmes actifs en matière de cyberguerre. Comme nous l’avions signalé la semaine dernière, l’Iran a révélé au grand jour le réseau en ligne secret de la CIA, il y a plusieurs années maintenant, en effectuant de simples recherches en ligne, laissant ainsi des informateurs vulnérables vis à vis d’éventuelles expositions et exécutions à travers le monde.

Wired a qualifié l’appel de Paris de “manque de courage”, sans obligation légale pour les gouvernements ou les entreprises de respecter ses principes.

C’est surtout un symbole de la nécessité de la diplomatie et de la coopération dans le cyberespace, où il est difficile d’appliquer les lois d’un seul pays.

Même certains des groupes qui soutiennent l’accord de Paris disent que ce dernier n’est pas parfait. Access Now, une organisation internationale à but non lucratif dédiée à un Internet libre et ouvert, a souligné que l’accord, dans la promotion de la coopération entre l’industrie et les forces de l’ordre en matière de lutte contre la cybercriminalité, pourrait avoir certaines conséquences, qui ne sont pas toutes véritablement positives.

Une telle coopération impliquerait-elle un chiffrement plus faible pour autoriser les backdoors, par exemple ? … Une atteinte claire à la sécurité, pour laquelle les forces de l’ordre ont mené une campagne intense ? Access Now le pense sans aucun doute :

Les ordonnances judiciaires devraient constituer la base de toute assistance entre prestataires et forces de l’ordre. La coopération, par contre, peut être interprétée comme un échange informel de données ou un affaiblissement intentionnel des plateformes pour permettre l’accès des forces de l’ordre. En tant que telle, la “coopération” n’est pas le cadre approprié pour définir la relation entre les forces de l’ordre et les entreprises.

L’Appel de Paris fait également référence à la Convention de Budapest : un traité sur la cybercriminalité qui a été critiqué pour sa définition trop large de ce qui constitue un “crime“. Nous pouvons nous tourner vers les États-Unis pour obtenir un exemple récent de la façon dont cela peut se dérouler : en février, aux États-Unis, l’État de Géorgie a élaboré, ce que les critiques ont appelé un projet de loi “malavisé” qui aurait pu criminaliser de simples recherches en matière de sécurité.

Par ailleurs, selon Access Now, le Conseil de l’Europe est en train de mettre au point un protocole supplémentaire qui permettrait aux services de police d’accéder plus facilement aux données stockées hors des frontières. Mais sera-t-il conçu dans le souci de protéger les droits de l’homme ? Ou bien va-t-on donner plus de latitude aux régimes répressifs pour démasquer les militants, les journalistes et/ou les groupes persécutés, tels que les LGBTQ ou les dissidents ?

En dépit de ces réserves et de l’inquiétude quant à la limitation potentielle de la libre circulation de l’information en ligne dans le cas de protections zélées de la propriété intellectuelle, Access Now a adhéré. Parmi les autres entreprises ayant adhéré à l’appel de Paris pour la confiance et la sécurité dans le cyberespace, citons des sociétés technologiques telles que Microsoft, Oracle, Facebook, IBM et HP.

Wired a cité le président de Microsoft, Brad Smith, qui a également prononcé un discours lundi à Paris. Smith :

C’est une occasion pour les gens de s’unir autour de quelques principes clés : protéger les civils innocents, protéger les élections, protéger la disponibilité d’Internet. C’est une occasion de faire progresser cela grâce à un processus multi-parties.

Cette initiative reflète les nouvelles responsabilités que des entreprises telles que Microsoft assument en matière de sécurisation d’Internet. Wired a cité Megan Stifel, cybersecurity policy director chez Public Knowledge, une organisation à but non lucratif qui a également adhéré à l’appel de Paris :

Si vous regardez les trois ou quatre dernières années, nous constatons un véritable raz de marée en matière de leadership émanant du secteur privé. Ce dernier est maintenant disposé à dire que nous pouvons et que nous devons faire davantage.

L’un des nombreux exemples de comportement national en provenance d’entreprises est l’initiative de la “war room” que Facebook a mis en place la semaine dernière dans le but de lutter contre la désinformation au niveau mondial et de protéger l’intégrité des élections. Microsoft, pour sa part, a stoppé les présumés perturbateurs russes d’élections appartenant au groupe Fancy Bear en août dernier.

Bien sûr, il est dans l’intérêt supérieur des entreprises d’avoir un Internet plus sûr et plus prévisible, et d’éviter de se retrouver devant le Congrès et de devoir répondre à des questions concernant d’éventuels ratés en matière de sécurité. Drew Mitnick, conseiller en matière de politiques chez Access Now, a déclaré que l’appel de Paris pour la confiance et la sécurité dans le cyberespace n’était peut-être pas parfait, mais c’était un pas dans la bonne direction et que, pour le moment, nous pouvions attendre patiemment l’appel de Paris 2.0 :

Le document est imparfait mais il évoluera, car certains gouvernements, qui n’ont pas approuvé l’Appel de Paris, ont montré une vision très différente en matière de cybersécurité, fondée davantage sur la souveraineté et le contrôle de l’État.

Nous attendons avec impatience l’Appel de Paris 2.0, lorsqu’il se réunira de nouveau l’année prochaine, en Allemagne.


Billet inspiré de France: Let’s make the internet safer! US: ‘How about NO?!’, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.