Au début d’une semaine de trois réunions à Paris sur la paix, les technologies gouvernementales et la gouvernance de l’Internet, Emmanuel Macron a lancé l’Appel de Paris, un appel à soutenir un « cyberespace ouvert, sûr, stable, accessible et pacifique ». Cet appel est un autre exemple de la volonté du président d’établir un leadership mondial dans la lutte pour la stabilité économique et sociale contre la menace croissante du nationalisme.
L’appel de Paris demande la collaboration entre les organisations publiques et privées et la société civile pour créer de nouvelles normes de cybersécurité afin d’améliorer la protection en ligne. En particulier, l’appel de Paris cite la nécessité de capitaliser sur un accord existant entre les pays pour lutter contre la cybercriminalité, la Convention de Budapest. Cet accord a été créé dans le but d’harmoniser l’incrimination des comportements contre les systèmes, réseaux et données informatiques et au moyen de ceux-ci, afin de faciliter la coopération internationale des services répressifs en matière d’échange de preuves et d’aide à l’arrestation et à la poursuite des cybercriminels.
Contrer les nationalismes
Le message est absolument clair. Il s’agit d’un appel à la coopération au niveau international, évitant la rhétorique nationaliste et isolationniste de dirigeants comme le président américain Donald Trump.
L’Appel de Paris mentionne expressément les règles des droits de l’homme internationales, la charte des Nations unies et son application aux technologies de l’information et de la communication. Le rôle des Nations unies dans le rapprochement des pays autour des accords internationaux est essentiel. L’appel de Paris a été la déclaration d’ouverture du Forum de Paris pour la paix et du Forum sur la gouvernance de l’Internet 2018, qui se sont tous deux tenus à Paris, l’FGI se tenant à l’Unesco, une organisation dont Trump a sorti les États-Unis.
L’Appel de Paris a reçu le soutien de 51 États, y compris tous les membres de l’UE, 90 groupes à but non lucratif et 130 entreprises privées et universités. Les absents notables de la signature de l’engagement étaient la Chine, la Russie, l’Iran, Israël et les États-Unis, ironiquement les pays les plus susceptibles d’être en conflit en matière de cybersécurité les uns avec les autres.
Le « cyber-offensisme »
Un élément particulier de l’appel de Paris est litigieux, ne serait-ce que parce qu’il sera difficile à interpréter. Il s’agit d’une disposition :
« de mener des actions cyber offensives en réponse à une attaque dont ils seraient victimes, pour leur propre compte ou pour celui d’autres acteurs non étatiques. »
Les « actions cyber offensives » (hacking-back en Anglais) est un terme ambigu utilisé pour décrire une réponse offensive à une cyberattaque d’organisations privées ou d’individus. Il est largement considéré comme une mauvaise idée pour les organisations privées, en particulier de s’engager dans cette pratique parce qu’elle s’apparente au vigilantisme et souffre des mêmes problèmes.
La première est l’attribution, c’est-à-dire le fait de trouver les véritables auteurs d’une attaque. C’est notoirement difficile à faire et cela peut aboutir à ce que des parties innocentes fassent l’objet de représailles injustifiées.
L’autre problème des « hack-backs » est que les attaques de représailles peuvent elles-mêmes causer des problèmes et de l’instabilité pour l’ensemble des internautes, ces derniers subissant des dommages collatéraux en conséquence de ces contre-mesures. Enfin, il est également très douteux que les organisations privées agissant seules parviennent réellement à obtenir de très bons résultats en adoptant cette ligne de conduite plutôt que de laisser agir des agences de sécurité.
Proposition de loi aux États-Unis
Il n’est peut-être pas surprenant qu’en dépit de la condamnation quasi universelle des actions cyber offensives, un membre du Congrès républicain américain, Tom Graves, ait présenté au Congrès américain un projet de loi qui légaliserait les organisations privées souhaitant prendre des « mesures de défense active » tout en suggérant qu’elles devraient également éviter « de violer la loi de tout autre pays où l’ordinateur d’un attaquant pourrait se trouver ».
Le projet de loi a reçu peu de soutien et il est donc intéressant que l’appel de Paris se donne la peine de mentionner une pratique qui est universellement considérée comme une mauvaise pratique, si ce n’est pour souligner à nouveau que les politiques et les lois potentielles émanant des États-Unis ne devraient pas être soutenues au niveau international.
L’appel de Paris est largement symbolique et ne dispose pas de signataires d’actions ou de responsabilités formelles. Il n’est pas non plus considéré comme parfait, même par ceux qui se sont inscrits à l’appel. Le groupe de défense des droits numériques Access Now, en particulier, a noté des engagements particuliers qui devraient être réévalués. La première est que la coopération et l’échange d’informations entre pays dans la lutte contre la cybercriminalité devraient être fondés sur des ordonnances judiciaires et non sur une base informelle et trop générale pour la transmission de données personnelles d’un pays à un autre. L’autre faiblesse réside dans l’engagement pris dans l’appel de Paris en faveur de la prévention du vol de propriété intellectuelle qui, s’il est mis en œuvre avec zèle, pourrait à nouveau porter atteinte au partage légitime des idées et des informations en ligne et porter atteinte au droit à la vie privée.
Malgré ses limites, le fait que l’appel de Paris ait reçu un soutien aussi large suggère un grand enthousiasme pour la proposition parmi les pays qui s’accrochent à l’idée que la coopération internationale est la réponse à la paix et la stabilité. Seul l’avenir nous dira comment cette proposition fonctionnera dans la pratique.
David Glance, Director of UWA Centre for Software Practice, University of Western Australia
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
Quelque chose à ajouter ? Dites-le en commentaire.