vendredi 19 décembre 2014

Le piratage de Sony Pictures: du ridicule… et des inquiétudes

Dire que l’affaire fait grand bruit serait un euphémisme… L’un des plus grands studios de cinéma au monde, Sony Pictures, a annoncé aujourd’hui l’annulation de la sortie au cinéma d’une comédie, « The Interview », qui traite avec dérision du régime Nord-coréen, suite aux menaces (floues en vérité) d’un groupe de hackers affirmant s’en prendre à tous ceux qui iront voir le film qui sort à Noël.  Comment en est-on arrivé à pareille situation ? Comment expliquer qu’une entreprise si puissante ait en fin de compte céder au chantage d’un groupe de hackers ? 
Quelques éléments de mise en contexte s’imposent pour voir en quoi cette histoire risque de marquer un tournant dans l’histoire du cyberespace du point de vue des entreprises. 

Tout commence avec un événement pour le moins banal, à savoir l’annonce avant l’été dernier de la sortie d’un film tournant en dérision le régime nord-coréen. Ce dernier a réagi dans la foulée, écrivant à l’ONU pour dénoncer un « acte de terrorisme et de guerre ». Passé la réaction aussi bien exagérée que ridicule pour un simple film, l’affaire aurait pu s’arrêter là, mais elle va devenir un événement aux répercussions massives en novembre avec le piratage des studios Sony par un groupe de hachers. 

Ce dernier, qui se fait appeler GOP pour Guardian of Peace, a réussi à conduire une cyberattaque de très haut niveau contre les infrastructures numériques de Sony Pictures. Deux remarques viennent à l’esprit : 
1. Les auteurs de la cyberattaque sont à la fois organisés et compétents pour réussir à toucher tant d’ordinateurs avec un niveau d’intrusion rarement atteint. Des milliers de courriels, d’informations sensibles sont ainsi dérobés et mis en ligne sur Internet. Cela va du « people » avec les commentaires sur tel ou tel acteur à des informations beaucoup plus sensibles sur les stratégies économiques du groupe. 
2. Cette cyberattaque montre aussi, et sans doute avant tout, les failles béantes et pour le moins surprenantes des systèmes informatiques de Sony Pictures. Selon les informations parues dans la presse, peu de procédures de sécurité de base ont été mises en place, le cryptage des documents sensibles ne semblait pas être une habitude et les mots de passe étaient stockés dans des dossiers « mot de passe ». Bref, tout ce que l’on apprend à ne surtout pas faire dans n’importe quel cursus en sécurité informatique ! 

La cyberattaque a atteint un second niveau avec la diffusion le 1er décembre par les hackers de cinq films qui ne sont pas encore sortis au cinéma. Les pertes financières sont évidemment la première conséquence à laquelle on pense, mais il ne faut pas négliger l’impact médiatique d’une telle action : l’entreprise semble totalement désemparée face à un groupe de hackers qui dicte son agenda et met ses menaces à exécution. Pourtant, le groupe Sony a une certaine expérience en matière de piratage avec les initiatives des Anonymous de 2011 qui s’en étaient pris à une des divisions du groupe. A croire que le groupe n’a pas tiré les enseignements du passé…

Sony Pictures s’est tourné vers une société de sécurité informatique, Mandiant (dont nous avions déjà parlé dans une précédent chronique sur le conflit USA / Chine en matière cyber), en collaboration avec le FBI pour mener l’enquête. Celle-ci s’annonce longue et compliquée, et la prudence doit être de mise ; en effet, accuser, comme certains l’ont fait, la Corée du Nord sans preuve est clairement contre-productif. La piste nord-coréenne ne doit pas être exclue, mais elle ne saurait être la seule à explorer. Des Etats ou des entreprises concurrentes pourraient très bien être à la manœuvre afin de fragiliser le groupe Sony. Vu le niveau du malware employé, il est peu probable qu’il s’agisse d’une initiative de quelques hackers compétents associés pour l’événement. On peut légitimement penser que cette cyberattaque a nécessité des mois de préparation et des moyens humains et financiers conséquents. 

Sony Pictures, déjà affaibli médiatiquement par cette cyberattaque, a pris une initiative pour le moins choquante : mener par des intermédiaires des cyberattaques contre les sites diffusant illégalement les films du groupe. Est-ce le bon moyen de mettre un terme à la situation de crise que traverse le groupe ? Sûrement pas. 

Et la suite des événements semble le montrer puisque l’on est encore monté d’un cran dans cette crise avec la menace par le GOP d’un « destin funeste » pour tous ceux qui iraient voir le film au cinéma. Les hackers du groupe maitrisent parfaitement les codes de la communication, car en faisant référence aux attentats du 11 septembre 2001, ils jouent sur la peur d’attentats, alors qu’en réalité, la menace est pour le moins floue, voire peu probable. Comme l’a évoqué un officiel de sécurité américain, si la Corée du Nord est derrière cette cyberattaque, elle ne semble pas disposer des moyens de perpétrer des attentats sur le sol américain. 

Pourtant, et c’est en cela que la stratégie de Sony Pictures est hautement critiquable, le groupe média a cédé aux pirates en renonçant pour l’instant à sortir le film au cinéma. Les réactions du milieu du cinéma ne se sont pas faites attendre, et la plupart vont dans le même sens : c’est un très mauvais message qu’envoie Sony Pictures. En cédant, il encourage d’autres groupes comme le GOP à attaquer des groupes audiovisuels. Que va-t-il advenir de la liberté d’expression si les studios de cinéma deviennent frileux à produire des films se moquant de tel ou tel pays ? 

Dans cette affaire pour le moins complexe et obscure, Sony Pictures a joué une très mauvaise partition. Le groupe aurait pu limiter les dégâts en diffusant gratuitement le film « The Interview », répondant ainsi par une voie détournée à la provocation du GOP et en se donnant une image de promoteur de la liberté d’expression. Mais sa stratégie à court terme, si l’on peut parler de stratégie, n’est jusqu’à présent qu’une suite d’erreurs qui traduisent un problème plus profond : aujourd’hui, dans le cyberespace, malgré les mises en garde chaque année des acteurs de la sécurité informatique, des entreprises employant des milliers de personnes, dégageant des bénéfices colossaux, ne prennent pas la mesure du danger auquel elles s’exposent en ne se protégeant pas correctement. 

Certes, le malware employé était d’un tel niveau qu’il serait passé dans tous les cas outre les antivirus de base employés par le groupe. Mais des politiques de sécurité en interne, passant par le cryptage des mails et fichiers sensibles, le cloisonnement informatique de services clés, auraient limité la portée de la cyberattaque. 

Sony Pictures est coupable de ne pas avoir mis en place les procédures de base qui auraient évité que les données personnelles d’employés du groupe et de personnalités publiques se retrouvent sur la Toile. Mais les médias qui ont diffusé les informations volées sont également coupables : ils ont été de formidables relais du GOP dans leur volonté de communiquer des informations dont l’intérêt pour le public est pour le moins faible. 

Dans cette histoire qui n’est pas encore terminée, on retiendra qu’un groupe de hackers, sans doute soutenu par un ou des Etats, a réussi à perpétrer une cyberattaque massive contre un des géants mondiaux du cinéma, le faisant chanter en le ridiculisant devant le monde entier et l’obligeant à franchir le Rubicon en lançant (faisant fi des procédures juridiques !) une cyber offensive contre ceux diffusant ses fichiers illégalement. 

Certains voient dans l’affaire Snowden une rupture stratégique dans l’histoire du cyberespace : c’est un point de vue qui peut largement être discuté. On peut cependant, dans la même perspective, voir dans cette « affaire Sony Pictures » une rupture aussi bien politique que médiatique dans l’histoire du cyberespace. 


mercredi 3 décembre 2014

Intervenant Cyber au MEDays 2014, le forum du Sud 14-16 novembre 2014

Intervenant sur le panel "Cyber War and e-security: How to solve the Snowden Equation?" 
lors du MEDays, le forum du Sud 
qui s'est tenu à Tanger du 14 au 16 novembre 2014.







La vérification de l'information sur Internet: une mission sans fin (Article mis à jour)

Publication dans le numéro de novembre 2014 
de l'Observatoire géostratégique de l'information de l'IRIS 
dirigé par François-Bernard Huyghe 
d'un article sur 
"la vérification de l'information sur Internet: une mission sans fin"

Cet article est la mise à jour d'un article publié dans un précédent numéro de l'Observatoire

mardi 23 septembre 2014

Poutine pourrait "couper l'internet russe" en cas de guerre : un gros pétard mouillé

L’information, pour le meilleur et pour le pire, va aujourd’hui à une vitesse fulgurante sur Internet. Une simple dépêche peut ainsi faire le tour du monde, être reprise des centaines, des milliers de fois, tant et si bien qu’au bout de peu de temps, ce qui n’était qu’un article présentant des informations (étranges) non confirmées devient un message politique de première importance selon ses relayeurs. 

C’est exactement ce qu’il s’est passé avec un article du quotidien économique russe Vedomosti (journal créé entre autres en 1999 par le Financial Times et le Wall Street Journal, assez critique du pouvoir) paru vendredi 19 septembre. L’article fait état d’une réunion imminente du Conseil de sécurité russe présidé par Vladimir Poutine pour « aborder la possibilité de coupure du cyberespace russe » en cas de guerre ou de situation de crise. 

La formule entre guillemets est déjà problématique en elle-même et aurait dû alerter les commentateurs tant elle est surprenante : quel intérêt aurait la Russie à se retirer (même temporairement) du cyberespace ? Ce serait au contraire un problème pour elle, car en « sortant » du cyberespace, elle perdrait toute existence numérique. Cela profiterait assurément et immédiatement à ses adversaires. L’idée de « coupure du cyberespace russe » est profondément grotesque, mais l’intérêt de l’information réside dans les réactions du pouvoir qu’elle a suscité, dans le contexte géopolitique dans lequel elle a été donnée et dans les éléments qu’elle donne sur les enjeux du cyberespace. 

Très rapidement, le porte-parole du Kremlin, Dmitri Peskov, a évidemment précisé qu’il ne s’agissait pas de déconnecter la Russie d’Internet, ce qui reviendrait à s’auto-pénaliser. En revanche, en bon politique, le représentant a indiqué que les autorités réfléchissaient (en réalité, ça fait de nombreuses années qu’elles ont réfléchi et agi) aux moyens possibles pour protéger leur cyberespace, en raison de « l’imprévisibilité totale des Etats-Unis et de l’Union européenne ». 
Rappelons que la Russie fait actuellement l’objet de sanctions économiques pour ses initiatives en Ukraine, avec une escalade des tensions entre la Russie d’un côté, les Etats-Unis et l’Union européenne. 

Une guerre de l’information prend son essor depuis le début des événements en Ukraine fin 2013 avec une stratégie de propagande des deux côtés, des annonces multiples pour accuser l’autre d’être responsable du désastre social, sociétal et économique que connaît depuis de longs mois l’Ukraine. Récemment encore, des propos auraient été prêtés au Président russe quant à une menace d’envahir la Pologne, la Roumanie et les Etats baltes. Sans être spécialiste du monde russe, on peut s’interroger sérieusement quant à la véracité de ces propos, et surtout quant à leur réalité politique et stratégique. 

L’information présentée par Vedomosti apparaît comme un moyen d’influencer la communication du Kremlin, en cherchant à donner une posture de défense et de repli à ce dernier, mais elle est tellement en dehors de la réalité qu’elle ressemble davantage à un « pétard mouillé ». L’Union européenne n’a aucun pouvoir (a-t-elle seulement une diplomatie commune ?) pour déconnecter la Russie du cyberespace. Les Etats-Unis détiennent en revanche cette capacité via l’ICANN qui peut choisir de bloquer les serveurs primaires permettant d’accéder à des sites russes. Il ne s’agit pas de science-fiction : l’été dernier, en raison d’une erreur du FBI selon plusieurs médias, l’internet syrien a été totalement déconnecté du cyberespace. Même si la possibilité existe, une telle initiative (improbable à notre sens) aurait des conséquences politiques et géopolitiques désastreuses pour la puissance qui déconnecterait un autre pays. 

Dans son ouvrage « La cyberstratégie russe » (éditions Nuvis), Yannick Harrel explique brillamment l’appropriation des enjeux du cyberespace par Vladimir Poutine, l’un des rares dirigeants à en comprendre le fonctionnement et les intérêts stratégiques. L’auteur rappelle également que la Russie possède les moyens pour devenir une puissance numérique de première importance (on peut penser à l’éditeur de logiciel de sécurité Kaspersky, à l’inventeur du jeu Tetris d’origine russe, aux écoles de mathématique réputées). La Russie n’a-t-elle pas décidé de financer la construction (on parle d’un minimum de trois milliards de dollars) d’une Silicon Valley russe à Skolkovo (même si ce ne sera pas une mince affaire à notre avis) ?

La stratégie est claire pour la Russie : comme rappelé par un membre du Conseil de la Fédération en avril dernier, Maksim Kavdjarade, la Russie doit créer un Internet national, qui pourrait n’être utilisable que sur le sol russe, afin d’échapper à la tutelle des Etats-Unis. Les sanctions suite à la crise ukrainienne (les sociétés Visa et MasterCard ayant cessé de fournir leurs services à plusieurs banques russes) ont accéléré la nécessité d’avoir des outils numériques nationaux. 

Toutefois, un tel projet, simple dans les mots pour le décrire, sera extrêmement compliqué et coûteux à mettre en place. Il n’y a à aujourd’hui qu’une seule puissance qui peut se dire autonome, capable de se passer des services américains : la Chine. Un tel tour de force (il suffit de voir les carences européennes en matière de stratégie numérique commune pour s’en rendre compte) a nécessité plus d’une décennie de travail, de collaboration entre des acteurs de différente nature, d’une stratégie au long terme. La Russie n’en est pas encore là. 

Certes, elle possède des équivalents de Twitter, Facebook et Google qui lui permettent d’éviter une américanisation des services web, mais elle demeure encore extrêmement fragile sur la partie hardware, car elle est dépendante des autres puissances qui lui fournissent des serveurs. 

En réalité, la Russie cherche souvent à jouer la victime, prenant un plaisir certain à inverser les rôles sur l’échiquier des puissances. Son choix d’accorder (et de renouveler) l’asile à Edward Snowden s’inscrit dans cette volonté d’apparaître comme une puissance numérique respectable, qui défend la liberté d’expression, face, par voie de conséquence, à une puissance numérique américaine qui abuse de ses capacités techniques. Dans le cyberespace comme dans les rapports classiques entre puissances, il n’y a pas de bons et de mauvais. Chacun joue ses atouts pour défendre ses intérêts. La Russie se dit menacée ? Elle possède sans doute les hackers les plus talentueux, ceux-là même qui donnent des sueurs froides à l’OTAN qui craint pour ses infrastructures, aux entreprises américaines qui se sentent démunies face à l’espionnage économique et numérique. 

La déclaration de Peskov a le mérite de rappeler que les tensions géopolitiques sont bien présentes dans le cyberespace, que la Russie est une puissance qui compte sur ce terrain. Nul doute que lors des futures réunions portant sur la réforme de l’ICANN (de nombreux articles expliquent la nature pour le moins particulière de cette structure qui a un pouvoir colossal dans le cyberespace et qui ne dépend que du droit californien), la Russie appuyée par la Chine cherchera à rééquilibrer les rapports de force dans le cyberespace. Autrefois puissance hégémonique du cyberespace, les Etats-Unis vont devoir faire avec d’autres acteurs, qui ne partagent pas leur conception du cyberespace. Ce dernier, dans sa nature et son fonctionnement sera sans doute amené à évoluer profondément.

Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 23 septembre 2014 (http://leplus.nouvelobs.com/contribution/1243335-poutine-pourrait-couper-l-internet-russe-en-cas-de-guerre-un-gros-petard-mouille.html)

mercredi 10 septembre 2014

L'Otan se lance dans la cyberguerre ? Attention aux conclusions hâtives

Suite au Sommet de l’OTAN de Newport au Pays de Galle qui s’est tenu les 4 et 5 septembre derniers, une déclaration finale a été publiée permettant de comprendre ce qui a été décidé par les Etats membres. Parmi les nombreux dossiers évoqués (la nouvelle NRF, une consolidation budgétaire, etc…) figurent deux points dans la déclaration (sur une centaine) portant sur la cyberdéfense. 

Les points 72 et 73 précisent plusieurs éléments déjà connus : les cybermenaces et les cyberattaques sont amenées à se multiplier et surtout à se complexifier avec la probabilité de dégâts accrus. L’OTAN affirme même que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique » et que « leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle ». Nous reviendrons après sur cette analyse qui mérite d’être nuancée. Toujours est-il que cette dernière permet à l’organisation de sécurité collective de considérer que la cyberdéfense relève de la tâche fondamentale de l’OTAN et qu’il convient de mener « une politique de cyberdéfense renforcée ». L’OTAN ajoute même qu’il pourra invoquer le fameux article 5 suite à une cyberattaque en fonction des circonstances. 

Le point suivant indique, sans donner trop de détails (mais ce n’est pas le but principal d’une déclaration finale), la nécessité de renforcer les capacités des membres de l’OTAN en matière de cyberdéfense, d’élargir la collaboration technique à d’autres structures internationales et surtout, d’intensifier la coopération avec le secteur industriel en développant un cyberpartenariat OTAN-industrie, ce qui est sans doute l’idée la plus intéressante des deux points évoqués. 

Que penser de ce sommet en matière de politique de cyber ? Peut-on titrer, comme le fait dans un article paru le 7 septembre (http://www.lemonde.fr/europe/article/2014/09/07/l-otan-se-lance-officiellement-dans-la-cyberguerre_4483314_3214.html), le journaliste du Monde Yves Eudes « Inquiète des avancées russes, l’OTAN se lance officiellement dans la cyberguerre » ? Notons que la déclaration finale ne comporte pas une seule fois le mot « cyberguerre »… L’article re-contextualise cependant à bon escient les avancées de l’OTAN en matière de cyber en revenant sur les positions cyberoffensives russes, mais ne met pas en évidence les lacunes du concept doctrinal de l’OTAN sur ces questions. 

Le terme de « cyberguerre » est très (trop ?) fréquemment employé dans les médias, alors qu’il ne revêt jusqu’à présent aucune réalité concrète. Il y a certes des cyberattaques, mais pas de cyberguerre au sens de conflit entre au moins deux protagonistes identifiés causant des dégâts humains et économiques majeurs à l’un ou l’autre, ou les deux. La déclaration finale tombe également dans un autre travers lorsqu’elle évalue le niveau de la menace cybernétique. Certes, nos sociétés sont de plus en plus ancrées dans le cyberespace, mais il faudra encore beaucoup de temps avant qu’elles subissent des dégâts aussi importants qu’une guerre conventionnelle. 

Les exemples estonien et géorgien témoignent certes de cyberattaques réelles ayant affecté des infrastructures des pays visés, mais il convient de rappeler trois éléments importants : 
- Les pays touchés ont pu dans des temps relativement rapides remettre en marche leurs services, ce qui est rarement le cas lors de guerres conventionnelles.
- L’identité de l’agresseur n’est pas assurée. De forts soupçons pèsent sur la Russie, mais qu’entend-on par « Russie » ? Une division cyber de l’armée ? Des militants nationalistes ?
- Ces cyberattaques semblent nouvelles alors qu’elles ne correspondent qu’à de classiques techniques de sabotage et de perturbation des communications de l’ennemi, comme l’Histoire en a connu des milliers. 

L’OTAN a évidemment tout intérêt à ne pas prendre de retard sur son analyse des enjeux sécuritaires du cyberespace, mais l’organisation est face à de nombreuses difficultés pour avoir un discours clair et cohérent, et elle en est consciente, comme en témoigne la prudence dans le choix des mots et la nuance de toute idée nouvelle. 

Comme rappelé précédemment, l’un des problèmes majeurs dans le cyberespace est de démontrer de façon irréfragable la responsabilité de telle cyberattaque. De nombreux moyens techniques existent pour brouiller les pistes, et malgré quelques déclarations d’officiels, les preuves concrètes se font souvent attendre, si elles existent d’ailleurs…

Deuxièmement, l’invocation de l’article 5 semble pour le moins surprenante, voire peu probable. En théorie, un Etat faisant l’objet d’une cyberattaque pourrait bénéficier de l’aide des membres de l’Alliance, y compris militaire, si l’invocation était retenue. Les Etats membres seraient-ils prêts à une escalade de menaces verbales et physiques suite à une simple cyberattaque (même si cette dernière paralysait temporairement les services du pays visé) ?

Troisièmement, à de très rares exceptions, les cyberattaques relèvent pour la plupart de l’espionnage numérique : la Chine est suspectée depuis des années d’agir dans le cyberespace pour dérober des secrets industriels et militaires en Europe et aux Etats-Unis. La Russie est pointée du doigt également pour des actions menées contre des intérêts américains. Mais il conviendrait d’ailleurs de s’interroger sur le rôle même des Etats-Unis, premier contributeur de l’OTAN, dans le cyberespace. Les révélations de Snowden témoignent d’une action quasi sans limite des Etats-Unis contre leurs ennemis, mais aussi leurs alliés (dont l’Allemagne…). Il serait assez cynique d’imaginer un membre de l’OTAN demander à l’Organisation de l’aider à se défendre contre un autre membre de l’OTAN…

En effet, la réponse collective demandée par l’OTAN a peu de chances d’aboutir réellement (hormis un discours de façade) pour deux raisons : les Etats, qu’ils soient membres de l’OTAN ou de l’Union européenne, ne sont pas forcément d’accord sur la définition même des concepts relatifs au cyberespace et ne sont pas au même niveau en terme d’analyse, de moyens et de priorisation. Mais surtout, pour beaucoup, la cyberdéfense (et encore plus la cybersécurité) relève de la souveraineté nationale. 

Certes, des échanges de bons procédés existent déjà entre Etats membres avec des mises en situation, mais ils demeurent insuffisants pour répondre efficacement aux menaces cybernétiques qui, par définition, sont imprévisibles (l’assaillant a toujours un coup d’avance), modulables, et plus rapides à exécuter qu’à être bloquées. Dans le document, l’OTAN met en avant ses structures existantes, dont son centre de Tallinn, plus connu pour son manuel scientifique qui tente de fixer le cyberespace dans un cadre juridique clair, que pour l’élaboration de stratégies. 

En ne souhaitant pas être à la traîne, l’OTAN prend aussi le risque de participer à une course aux armements numériques qui sévit déjà entre les Etats-Unis et la Chine. En effet, pour de nombreuses cyberstratégies nationales, la simple protection des infrastructures (via des pare-feux par exemple) n’est plus suffisante et des contre-mesures sont désormais envisagées avec des cyberattaques ciblées qui peuvent toucher des pays non concernés. L’OTAN ira-t-il jusque-là au nom de sa  « politique de cyberdéfense renforcée » ?

Il est encore trop tôt pour le savoir, mais nul doute que la stratégie cyber de l’OTAN sera longue et complexe à mettre en place. On se dirige en tout cas vers une militarisation renforcée du cyberespace avec un risque certain d’engrenage où les cybernautes seront de potentielles victimes. 


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 10 septembre 2014 (http://leplus.nouvelobs.com/contribution/1239101-l-otan-se-lance-dans-la-cyberguerre-attention-aux-conclusions-hatives.html)

mercredi 3 septembre 2014

Interview 1 Radio Classique

Interview / Invité en direct sur 
"Faut-il se méfier du cloud?", 
émission La Question économique de Nicolas Pierron, 6h55, 
Radio Classique, 3 septembre 2014 

jeudi 19 juin 2014

Trop plein : le défi du stockage de données numériques en croissance exponentielle (Interview Atlantico)

1. Selon Eric De Witte, manager pour la Belgique d'EMC, une entreprise américaine de logiciels et de stockage de données, la quantité de données numériques existantes "double tous les deux ans (voir ici) […], le besoin en stockage de données augmente de 30% " pour les entreprises. Risque-ton d'arriver à saturation ? Les dispositifs actuels sont-ils suffisants ?
Je ne crois que nous arrivions à saturation. Ce débat existait déjà au début des années 2000 avec l’essor des vidéos en ligne et des téléchargements compulsifs des internautes. On s’inquiétait déjà à l’époque de la capacité de stockage des ordinateurs individuels (quelques dizaines de giga octets à l’époque !) et des serveurs des entreprises qui n’ont pas connu de « point critique », comme maintenant d’ailleurs. Le besoin de stockage augmente, mais les avancées technologiques également. Les disques durs de plusieurs tera octets sont aujourd’hui disponibles pour tous à un prix relativement accessible. Je ne parle même pas des entreprises spécialisées dans le stockage ou dont l’économie repose sur ce dernier (moteurs de recherche, cloud…) qui ont accès à des technologies de stockage plus perfectionnées et plus sûres que pour le grand public. 


2. Le stockage est une chose, mais qu’en est-il des flux ? La population mondiale étant de plus en plus connectée, ceux-ci ne risquent-ils pas de dépasser les capacités de nos infrastructures ?
En effet, la situation est un peu différente pour ce qui est de la gestion des flux (transfert de données d'un point A à un point B via de nombreux relais dans le secteur informatique). La croissance soutenue d'acquisition des smartphones par de nouveaux utilisateurs oblige à accroître les capacités de transfert de données pour les opérateurs. Cependant, ces derniers ne veulent et ne peuvent être les seuls à supporter cette modernisation de leurs infrastructures, d'où une redéfinition du modèle économique entre ceux qui acheminent le contenu et ceux qui le créent. Cela crée des tensions et risque à moyen terme de créer de brèves situations d'engorgement (chacun se renvoyant la balle pour investir dans des technologies nécessitant des années de développement), même si je persiste à penser que les structures / normes existantes sont solides et largement encore évolutives. Il y aura quelques craintes au maximum, mais rien de bloquant.


3. Comment se fait-il que les données numériques – images, fichiers vidéo…  - augmentent d'une façon aussi exponentielle ? Par quels processus concrets passe-t-on ?
Le poids des données numériques augmente pour deux raisons principales : la volonté de l’internaute d’en avoir toujours plus (même s’il ne les utilise pas toujours…combien de personnes téléchargent des fichiers qu’elles ne consultent pas par la suite ?) et la qualité de celles-ci qui augmente constamment. En une décennie, des progrès considérables ont été faits concernant l’audio (encodage de meilleure qualité), la vidéo (passage de résolution faible à une résolution full HD par exemple) et la photographie (poids des fichiers accrus pour une meilleure qualité, cf les fichiers RAW par exemple) afin de répondre aux demandes consommateurs qui aspirent à des produits fournissant des fichiers de meilleure qualité. Les constructeurs de matériel hi tech ont suivi la tendance, améliorant les disques durs aussi bien au niveau de leur fiabilité que de leur capacité. Il est aujourd’hui commun d’avoir plusieurs disques durs de stockage chez soi, voire même de disposer d’outils de sauvegarde permettant d’assurer la pérennité de ses données. 
Rappelons d’ailleurs que pour une bonne partie des fichiers dont dispose l’internaute, leur obtention est liée à la qualité de leur connexion internet. Plus cette dernière est puissante, plus l’internaute peut aisément télécharger des fichiers de plusieurs giga octets en quelques heures, là où le temps de téléchargement s’estimait en jours auparavant. 


4. Si, comme les données dont nous disposons permettent de le déduire, la taille de l'univers numérique est multipliée par dix entre 2013 et 2020 (soit 4,4 à 44 milliards de GB), sera-ton encore capable de les gérer et de les stocker ? Pourquoi ?
Je serais assez prudent concernant l’estimation avancée, dans la mesure où les utilisations des outils numériques vont évoluer fortement dans les prochaines années avec la possibilité d’une consommation accrue de données ou bien au contraire une mutualisation renforcée des services. Avec l’augmentation des débits d’Internet, la délocalisation de nos fichiers se renforcera et permettra d’économiser l’achat de disques durs supplémentaires, moyennant l’abonnement à un service de cloud par exemple, bien qu’une telle perspective ne va pas sans poser de problèmes en matière de contrôle de ses données. De récentes avancées technologiques, tant en matière de vitesse de traitement des données (augmentation de la puissance des processeurs via une finesse de gravure accrue et un système de cœurs multiples) que de stockage de ces dernières (des disques durs de plusieurs dizaines de tera octets sont à l’étude, de même que des tests assez probants sont conduits sur du stockage à bande magnétique avec des capacités surprenantes !) me laissent à penser que cela ne sera pas un problème en 2020. 
Certes, des changements risquent de s’opérer avec la nécessité de pouvoir aisément faire le tri au milieu de toutes les données accumulées. On peut penser que le coût des unités de stockage sera fluctuant (comme ça avait été le cas lors du tsunami en Thaïlande qui concentrait une part majeure de la construction des disques durs dans le monde), et qu’il ira à la hausse à mesure que la demande augmentera. Rappelons que certains composants informatiques contiennent des métaux rares et que des solutions alternatives devront être envisagées par les constructeurs pour répondre à la demande.  


5. Devrons-nous changer nos comportements de consommation et de partage de fichiers ? Quel pourrait être l'impact économique ?
Les géants des NTIC incitent de plus en plus les internautes à stocker leurs données en ligne, leur vantant l’accessibilité partout dans le monde, la fiabilité de leurs infrastructures. Néanmoins, il ne faut pas négliger l’ « effet Snowden » qui rappelle aux internautes que la délocalisation de leurs données n’est pas un acte anodin et que cela peut avoir des conséquences difficilement imaginables encore maintenant…
Par ailleurs, un vrai débat aujourd’hui se fait jour concernant la prise en charge financière des infrastructures permettant d’échanger des fichiers numériques, les opérateurs souhaitant que les sociétés comme Google avec Youtube participent à l’augmentation de la capacité des réseaux. Les FAI, aux Etats-Unis pour l’instant mais le mouvement pourrait s’étendre à d’autres pays, se laisseraient bien tenter par l’idée d’un Internet à plusieurs vitesses. La notion d’ « illimité » demeurerait, mais passé une certaine quantité de données récupérées, l’utilisateur verrait sa vitesse de téléchargement diminuée, ce qui aurait un impact évident sur la quantité de fichiers récupérés. Ainsi, des formules « premium » (moyennant un abonnement dont le prix serait fixé à un volume de données) seraient mises en place pour permettre à certains de continuer à consommer à des niveaux importants des données numériques. 
En tout cas, le coût du stockage, longtemps ignoré par le consommateur et certaines administrations, va devenir un enjeu majeur des prochaines avec l’essor du Big Data et la nécessité de se « réapproprier » ses données, en d’autres termes d’en avoir le contrôle en les stockant à un endroit connu et accessible. Les fabricants d’unités de stockage ont un bel avenir devant eux, à condition qu’ils inventent des composants à même de répondre à la demande croissante et inexorable de consommation de données. 


mardi 17 juin 2014

Colloque "Protection des données: individus, entreprises, Etats" du CARM

Participation comme invité à la table Etats 
à la Journée Annuelle du CARM (Cercle des Associés en Risk Management) 
le 17 juin 2014, 
portant sur "Protection des données: individus, entreprises, Etats". 


mercredi 4 juin 2014

Snowden demande l'asile au Brésil : pourquoi les USA feraient mieux de l'accueillir

Voilà près d’un an qu’Edward Snowden a divulgué au monde entier le mode opératoire d’écoutes et d’interceptions opérées par la NSA. Présenté par les uns comme un héros courageux, un défenseur des libertés individuelles, il est vu par d’autres au contraire comme un traître à son pays, manipulé par des puissances étrangères qui tirent parti des révélations en continu qu’il a lancées. 

Après une aventure quasi rocambolesque pour trouver un pays acceptant sa demande d’asile (pour des raisons « humanitaires » selon ses dires), il s’est finalement retrouvé en Russie, seul pays l’ayant accepté sur son territoire, et ce pour un an.  Dans de précédents papiers, nous avions déjà expliqué l’intérêt géopolitique de Vladimir Poutine dans cette histoire qui se donnait une image de défenseur des lanceurs d’alerte et qui faisait passer les Etats-Unis pour une puissance liberticide. 

A présent, on apprend qu’Edward Snowden a fait une demande d’asile pour le Brésil (sa seconde en fait, puisque la première avait été rejetée pour vice de forme, ce qui apparaît clairement comme un moyen grossier pour le pouvoir brésilien de ne pas prendre position…). Cela laisse supposer que soit la Russie a refusé de prolonger sa durée de séjour, soit que l’ancien « espion » (tel qu’il s’est défini récemment dans une interview) a choisi de lui-même de trouver une autre terre d’accueil. C’est cette seconde hypothèse qui semble la plus probable, car il a laissé comprendre récemment que la Russie avait été un choix par défaut. 

La question est désormais de savoir vers quel futur proche se dirige Edward Snowden. En affirmant ne pas avoir promis de documents en échange d’une demande d’asile, ce dernier cherche à ne pas donner l’image d’un espion vendant ses secrets à un autre camp, ce qui ternirait assurément son image. Sans remettre en question sa parole, notons cependant l’habilité de sa démarche puisque l’on sait par ailleurs que la plupart des documents qui restent à être dévoilés ne sont pas en sa possession mais détenus et protégés par des journalistes de confiance qui les révèlent au compte-goutte. La tactique avait parfaitement fonctionné en Russie, où Poutine avait conditionné son accord à sa demande d’asile au fait qu’il ne révèle pas de nouveaux scandales ; Edward Snowden a respecté le « marché », passant en réalité par des intermédiaires, avec l’accord implicite de Moscou. 

Le choix du Brésil fait sens dans la démarche de l’ancien agent américain. En révélant les écoutes opérées contre Dilma Rousseff, les pratiques d’espionnage économique qui semblent massives dans le secteur énergétique, Edward Snowden a pour ainsi dire « ouvert les yeux » aux autorités brésiliennes et surtout à sa présidente qui n’a eu de cesse depuis d’avoir un discours très ferme (sans doute le plus dur avec Angela Merkel) contre les dérives des agences de renseignement américaines. Par ailleurs, en accueillant sur son sol en avril dernier le sommet NetMundial, le Brésil se présente comme une puissance qui compte dans le cyberespace et qui surtout cherche à tracer les lignes d’un cyberespace moins « américanisé » qu’aujourd’hui. 

Mais cela sera-t-il suffisant pour que le Brésil prenne le risque d’accorder une réponse favorable à la demande d’Edward Snowden, soutenu dans sa démarche par une pétition qui rencontre un certain succès ? On ne peut se prononcer catégoriquement sur la réponse du Brésil mais il semble que cela sera très compliqué pour l’ancien agent américain. Même si ses révélations ont eu un écho médiatique très important (sans doute disproportionné d’ailleurs par certains aspects), on peut penser que la realpolitik prendra le dessus et que la présidente brésilienne ne se risquera pas à envenimer ses relations avec le Président Obama, privilégiant la stabilité des échanges politiques et surtout économiques. 

De plus, si l’on s’attarde un instant sur le discours des politiques à l’égard des révélations sur les pratiques choquantes de la NSA, force est de constater que les dirigeants concernés se sont toujours davantage exprimés sur les écoutes en elles-mêmes que sur la personne de Snowden en tant que telle. Les rares fois où cela a été fait, une certaine gêne se faisait sentir, et les politiques cherchaient leurs mots pour « définir » la figure de Snowden ou pour se justifier de lui avoir refusé l’asile. 

Le problème en effet est le suivant : comment les citoyens français, allemands, brésiliens (etc…) auraient réagi si Edward Snowden avait été français, allemand ou brésilien ? Il est fort probable qu’il aurait été considéré comme un traître par les autorités du pays et qu’il aurait divisé profondément la société, sans doute plus d’ailleurs qu’aux Etats-Unis, où le discours sécuritaire est davantage accepté qu’en Europe. 

Edward Snowden a accompli un acte unique en son genre, renonçant à une vie normale pour dénoncer les dérives des services de renseignement de son propre pays. Il a pris des risques immenses, mais au final, malheureusement, il est seul. Les Etats n’ont pas vraiment les instruments juridiques pour assurer sa sécurité et surtout, ils n’ont pas le courage ou l’envie de tenir tête aux Etats-Unis. 

Ces derniers jouent clairement la montre, attendant le moment où Edward Snowden sera dans une situation kafkaïenne, et où les rouages diplomatiques seront inefficaces. En vérité, une solution, sans doute audacieuse et peu probable, mais souhaitable sur le long terme, serait un apaisement entre les autorités américaines et Edward Snowden. Ce dernier a énoncé à plusieurs reprises son désir de retourner vivre dans son pays, moyennant des garanties juridiques. 

En l’acceptant sur leur sol, les autorités américaines pourraient procéder à un « coup de communication » majeur. En le considérant toujours coupable (sans quoi une grande partie des Américains y verrait une faiblesse d’Obama et la porte ouverte à de futurs et nombreux lanceurs d’alerte), mais en lui garantissant la sécurité, les Etats-Unis pourraient inverser une dynamique qui leur est néfaste sur la scène internationale. En allant encore plus loin, en l’associant à une réflexion (avec une commission par exemple) de grande ampleur sur le fonctionnement des écoutes (qui sont nécessaires, mais dangereuses lorsqu’elles connaissent des dérives), les Etats-Unis parviendraient partiellement à mettre fin à une crise diplomatico-médiatique qui a refroidit quelque peu leurs relations avec certains alliés.  

Pour l’instant en tout cas, l’avenir d’Edward Snowden est plus qu’incertain ; ce dernier demeure un pion entre les mains de puissances aux intérêts géostratégiques majeurs.


jeudi 22 mai 2014

Le citoyen face au cyber risque : un risque pour la démocratie ?

Nos sociétés sont de plus en plus régies par la connectivité, vecteur majeur nous intégrant de façon plus massive dans le cyberespace. Au nom du progrès, du « gain de temps » dans des vies de citadins aux rythmes continus, Internet (et les réseaux en général) s’immisce non  seulement dans nos moyens de communication, d’accès à l’information, mais également dans les actions de la vie quotidienne : acheter, se soigner, payer ses impôts, faire des déclarations auprès d’administrations…  La liste s’allonge un peu plus chaque mois, à mesure que les services que nous utilisons se « mettent au numérique », afin de nous en faciliter l’accès et d’assurer une productivité accrue. 

L’objet ici n’est pas de critiquer cette numérisation de nos vies qui par certains côtés constitue une avancée : accès aisé à des informations personnelles indépendamment de l’endroit où l’on se trouve, synchronisation de services permettant des gains de temps non négligeables, etc. La question est plutôt de s’interroger sur les conséquences à moyen et long terme d’un tel processus, et surtout de se demander si l’utilisateur / citoyen / consommateur est réellement conscient des enjeux de la numérisation de son existence. 

Les entreprises et administrations adoptent une communication quasi identique pour nous forcer à « passer le pas », à « adopter le numérique » : gain de temps, respect de l’environnement (discutable quand on sait le coût environnemental des serveurs stockant nos données…), efficacité. Elles cherchent à créer une confiance chez le citoyen qui doit s’habituer au virtuel pour des actions aux conséquences bien réelles. Cela passe par l’assurance que ce que fait le cybernaute est sûr, protégé, davantage qu’en dehors du cyberespace, où il est en réalité un peu plus maître de ses initiatives. 

Ainsi, nous laissons toujours plus d’informations en ligne, pas seulement sur les réseaux sociaux comme Facebook par exemple, mais bien aussi auprès des entreprises auprès desquelles nous sommes liés : FAI, compagnie d’électricité, banque… Or, ces entreprises, bien que disposant d’une panoplie d’outils importante, ne peuvent garantir à 100% l’intégrité de nos données. Ou alors, c’est qu’elles mentent !

Il suffit de faire de brèves revues de presse de ces derniers mois pour se rendre compte que le phénomène s’accentue : nos données ont non seulement une valeur largement monnayable pour des cybercriminels, mais elles font par-dessus-tout l’objet de toujours plus de vols. Les récentes révélations sur le vol d’informations de clients chez l’opérateur français Orange en sont un exemple. Dans tous les pays où Internet a une place importante dans la société, les services utilisés par les cybernautes sont sous la menace de criminels avec des conséquences potentiellement graves. En mars 2013, plusieurs banques de Corée du Sud ont subi une cyberattaque de grande ampleur qui a paralysé leurs services pendant deux heures. La durée semble à première vue faible, mais lorsqu’il est question de services utilisés en continu, qui ont des implications économiques et financières facilement imaginables, on se rend compte de la gravité de la situation. 

Les entreprises visées doivent réagir d’autant plus rapidement qu’il en va de leur crédibilité. Une entreprise qui tarderait à colmater une faille, à prévenir ses clients du danger, et surtout à mettre en place de nouvelles mesures de sécurité, prendrait le risque de voir une partie de ses clients la quitter pour un concurrent. La situation serait encore pire pour une administration publique qui incarne le pouvoir de l’Etat. Imaginons un instant une cyberattaque sophistiquée contre le service informatique des impôts d’un pays (je ne parle pas ici des faux mails, du phishing, dont l’efficacité pourrait être facilement réduite à peu de choses si les cybernautes étaient plus prudents) : des millions de données personnelles se retrouveraient ainsi en ligne, sans filet, à la merci d’un groupe de cybercriminels capables de tirer profit d’une telle aubaine. Si ces derniers aspirent au chaos, ils pourraient même modifier les correspondances d’informations, créant un désordre d’une ampleur jamais vue. 

Ce n’est pas de la science-fiction. Certes, de telles actions nécessiteraient des mois de préparation, des protagonistes aux compétences informatiques poussées, des moyens financiers conséquents, mais rien d’improbable. N’oublions pas que dans le cyberespace, l’assaillant a toujours une longueur d’avance sur la cible qui se défend a posteriori. Des politiques de cybersécurité sont mises en place à de multiples niveaux afin de maintenir la confiance chez le citoyen / utilisateur. Sans cette dernière, les services numériques ne sont que des coquilles vides…

Mais ces politiques ne sauraient suffire ; elles doivent être accompagnées de campagnes de sensibilisation auprès des citoyens qui sont de moins en moins éduqués à la notion de risque. Il faudra bien, même si cela nécessitera des années, que les citoyens acceptent la fragilité du numérique auquel ils se lient pourtant de plus en plus. Des scandales vont se faire jour, où les citoyens voudront protester contre l’ « erreur » de telle entreprise ou de telle administration. Dans bien des cas, celles-ci seront responsables car elles auront négligé leur niveau de sécurité, mais il y aura aussi des situations où rien de plus ne pouvait être fait pour empêcher le problème. 

Les citoyens doivent évidemment tirer parti du numérique, mais ils ne doivent pas en être l’esclave. Le numérique doit demeurer un outil au service de l’homme qui doit pouvoir continuer à vivre, travailler, en cas de défaillance d’un service informatique. Ce ne sera pas chose aisée lorsqu’on observe les milliers de commentaires parfois surprenants d’utilisateurs de plateformes qui « ont le malheur » de connaître un dysfonctionnement, souvent temporaire et très bref. 

Avec une sensibilisation à la notion de risque dans le cyberespace, mais également en développant un enseignement en informatique accessible à tous (notions de base sur le fonctionnement et pas que sur l’utilisation qui met à l’écart le citoyen de la compréhension complète de l’outil utilisé), les futures défaillances numériques pourraient être acceptées plus facilement par les citoyens. La panique, le chaos, ne deviendraient que des hypothèses extrêmes et cela renforcerait la vie démocratique des Etats.  

Tribune publiée initialement le 22 mai 2014 pour le Huffington Post Québec (http://quebec.huffingtonpost.ca/maxime-pinard/citoyen-cyber-risque-danger-democratie_b_5358786.html)

mardi 20 mai 2014

L’inefficace arme judiciaire américaine contre le cyberespionnage chinois

L’information a largement de quoi surprendre. On était habitué jusqu’à présent à des échanges, parfois musclés, entre les Etats-Unis et la Chine sur les questions de cyberespionnage via la voie diplomatique ou via des fuites savamment diffusées dans la presse américaine. Mais pour la première fois dans l’histoire (encore jeune il est vrai) du cyberespace, un pays choisit (mais est-ce réellement le cas ?) l’arme judiciaire pour défendre ses intérêts.

Ainsi, le 19 mai, le département américain de la Justice a annoncé l’inculpation de cinq militaires chinois, accusés d’avoir piraté des systèmes informatiques d’entreprises américaines travaillant dans des secteurs sensibles comme le nucléaire. Parmi les 31 chefs d’accusation, Il leur est également reproché d’avoir pratiqué de l’espionnage économique de 2006 à 2014 afin d’avoir un avantage concurrentiel lors de négociations de contrats avec des entreprises américaines, ce qui, selon le document du département de la Justice (http://www.justice.gov/opa/pr/2014/May/14-ag-528.html), nécessite une « réponse agressive ». 

Dans ce même document, le procureur américain pour le district Ouest de la Pennsylvanie déclare : « ce cambriolage du 21ème siècle doit cesser ». De même, il est rappelé que la bonne marche de l’économie mondiale doit reposer sur « la capacité d’une entreprise à innover » et non « à utiliser la voie de l’espionnage ». 

Si l’on oubliait un instant les révélations de Snowden, on pourrait penser que les Etats-Unis sont une victime de la puissance cybernétique chinoise qui tirerait son pouvoir de ses seules capacités d’espionnage. Une vision manichéenne serait facile à présenter, mais il est évident que dans le cas présent, les choses sont radicalement différentes. 

Grâce au risque pris par l’ancien analyste de la NSA Edward Snowden, on sait aujourd’hui que les Etats-Unis ont abusé (et abusent encore !) de façon massive de leur puissance dans le cyberespace. Les différents programmes d’écoutes, d’interception de communication, de collectes massives de données ont démontré de façon irréfragable que les Etats-Unis n’étaient pas ce bienfaiteur d’Internet, soucieux de faire de ce dernier un vecteur pour la démocratie et un moyen d’assurer la paix. Ils ont fait de cet outil un moyen d’assurer, voire même de renforcer leur softpower (et sans doute plus tard leur smartpower), bafouant les principes démocratiques, trahissant la confiance vis-à-vis de leurs alliés (en écoutant les communications de dirigeants) avec deux objectifs : assurer la sécurité de leurs citoyens et défendre les intérêts économiques de leurs entreprises. 

C’est pourquoi on ne peut s’empêcher de souligner le « culot » de cette déclaration de justice qui donne l’impression que « la victime » serait étrangère à tout ce qui est reproché aux « accusés ». La déclaration pourrait être quasi identique si les rôles avaient été inversés et que des militaires américains avaient été mis en accusation par la justice chinoise. 

En réalité, il y a peu de chances que cette initiative débouche sur quelque chose de concret. La Chine a déjà répondu à cette menace, qualifiant les charges de « fabriquées » et mettant en garde contre la pérennité de la « coopération et de la confiance » entre les deux Etats. D’ores et déjà, le groupe de travail sino-américain sur la sécurité informatique (que nous avions présenté dans de précédents papiers comme structurellement inefficace) est suspendu. 

Le problème est que toutes les puissances, à partir du moment où elles disposent des moyens techniques, financiers et humains suffisants, se livrent aux mêmes pratiques que les Etats-Unis et la Chine. En profitant des immenses possibilités que recèle le cyberespace, elles se livrent à une intense guerre économique, et les Etats-Unis qui étaient il y a encore quelques années les leaders, se voient contestés leur avance par la Chine entre autres. 

A cette guerre économique s’ajoute clairement une guerre de l’information. Selon le Washington Post, le pillage informatique des Etats-Unis coûterait entre 24 et 120 milliards de dollars par an… Autant dire que l’écart est suffisamment important entre les deux valeurs pour s’interroger sérieusement sur la manière employée pour compter les pertes. Dans le même esprit, de nombreux médias ont fait le rapprochement entre ces accusations pour le moins ciblées (les photographies des officiers chinois sont visibles par le monde entier !) et le rapport de la société de sécurité américaine Mandiant qui avait fait beaucoup de bruit l’an passé. En effet, pour la première fois, une entreprise parvenait à localiser avec une précision stupéfiante les auteurs de cyberattaques à des fins de cyberespionnage (ils étaient membres de l’Unité 61398 dont les locaux étaient situés dans les environs de Shanghaï).

Dans un précédent billet, nous avions émis quelques doutes quant à l’exactitude de ce rapport, qui n’est pas exempt de défaut et qui peut laisser à penser qu’il était avant tout un bon moyen de pression (en terme de communication) des Etats-Unis sur la Chine, à la veille (on était en 2013) de rencontres importantes sur la cybersécurité. Si le rapport avait été aussi précis techniquement qu’il a été puissant médiatiquement (du moins pendant un temps), il est à peu près certain qu’il y aurait eu davantage de remous dans les relations sino-américaines. 

Ce à quoi on assiste aujourd’hui, c’est à une guerre de l’ombre, faite de pressions diplomatiques, de coups médiatiques (comme l’est cette menace judiciaire) et d’espionnage économique à grande échelle. Si l’on cherchait à voir le problème autrement, on devrait plutôt s’inquiéter du succès de ces opérations de cyberespionnage. Lorsque la première puissance militaire au monde se fait dérober les plans de types d’armements sensibles, on est en droit de s’interroger sur ses capacités en termes de cybersécurité et de cyberdéfense. Certes, ces dernières ne sauraient être des barrières ultimes contre les menaces extérieures qui profiteront toujours de l’effet de surprises, mais à coup sûr, elles peuvent sensiblement être améliorées. 

Attendons la prochaine attaque médiatique : on peut gager qu’incessamment sous peu, la Chine va se plaindre de cyberattaques américaines visant ses intérêts économiques. Et ce sera de bonne guerre ! Mais le système d’espionnage perdurera, peu importe les soubresauts tels que celui présenté le 19 mai.   

lundi 21 avril 2014

Heartbleed et les faiblesses d'Internet (Interview Atlantico)

Heartbleed a récemment secoué l'ensemble du web. Pour autant cette faille existe depuis plus de deux ans, et n'a été découverte qu'il y a peu. Que traduit-elle finalement, de l'état d'Internet  et de l'open source ? Est-ce vraiment le lieu sûr qu'on prétend souvent qu'il est ?

Je pense qu’il faut distinguer les problèmes posés par Heartbleed. Le temps d’existence de cette faille me semble le plus préoccupant, même si ce n’est pas un cas isolé, de même qu’il serait intéressant de savoir qui était au courant de Heartbleed : NSA, géants du Web, hackers ? 
Concernant la nature open source d’OpenSSL, j’y verrais au contraire davantage une chance qu’une faille, dans la mesure où il s’agit d’un logiciel libre, capable d’être analysé par tout bon codeur. Certes, cela signifie que les clés du logiciel sont accessibles en théorie à l’ensemble des internautes, dont des cybercriminels, mais l’histoire d’Internet montre que c’est avec ce genre de conception de l’informatique (open source) que l’on parvient à améliorer sensiblement et dans un délai relativement court la sécurité des logiciels. 
La situation aurait été radicalement différente s’il s’était agi d’un logiciel propriétaire, l’entreprise détentrice des droits subissant les foudres de ses clients et devant parer avec ses propres ressources. On l’imagine mal en effet dévoiler à la communauté d’internautes le code source du dit-logiciel, même si cela serait dans l’intérêt commun. 
L’histoire d’Heartbleed montre en tout cas qu’Internet, en dépit d’un discours bien trop rassurant vis-à-vis des internautes, n’est pas l’espace sûr à 100% que l’on imagine. Internet est un assemblage de technologies de pointe et du travail de millions d’êtres humains qui peuvent faire des erreurs. Comme toute « machine », Internet peut connaître des dysfonctionnements.  


Quelles sont les premières causes de ces failles ? L'harmonisation du web, si elle forme un plus indéniable, n'en est-elle pas une également ?

Pour répondre à la première partie de votre question, je ferai un parallèle avec l’industrie automobile. A l’exception de très rares cas, lorsqu’on achète une voiture, elle répond à un cahier des charges extrêmement précis et rigoureux et demande plusieurs phases de test et de sécurisation avant d’être commercialisée pour des raisons de sécurité évidentes. Dans le secteur des NTIC, la situation devrait être identique, mais ce n’est pas le cas. Afin de ne pas être dépassé par un concurrent, une entreprise des NTIC va sortir très fréquemment (des cycles de 6 mois parfois !) des produits certes opérationnels, mais non totalement finalisés techniquement. On se retrouve ainsi avec des outils technologiques, des logiciels ou des services Web qui vont faire l’objet de mises à jour successives  (comme chez Microsoft avec Windows) afin de combler les failles de sécurité ou les bugs laissés inévitablement par les programmeurs. De toute manière, on ne peut garantir pour des logiciels aux fonctions complexes comme un système d’exploitation qu’une erreur ne se sera glissée dans les millions de lignes de code écrites. 
Concernant la notion d’harmonisation du Web, elle me paraît fondamentale. Ce qui fait la force d’Internet aujourd’hui, c’est son interopérabilité : que vous soyez aux Etats-Unis ou dans une ville au nord du Japon, que vous utilisiez un ordinateur équipé de tel ou tel OS, vous devez pouvoir (si les services ont bien été conçus) accéder à l’information comme n’importe quel autre internaute. Internet doit continuer à obéir à des standards appliqués par tous pour conserver son identité. L’idée de protocoles plus ciblés, sûrs mais cloisonnés à un univers informatique précis, peut sembler séduisante mais elle serait dangereuse à court terme.


Des experts américains évoquent un "nœud de spaghettis" pour parler des lignes de codes qui composent le web. Y-a-t-il moyen de "démêler" tout cela ? Comment sécuriser Internet, finalement ?

La solution ultime n’existe clairement pas. En revanche, il y a une marge de progression possible pour améliorer sensiblement la sécurisation d’Internet. Cela passe déjà par une plus grande attention des créateurs de protocoles et logiciels à la correction de bugs et de failles avant la publication de leur travail, tout en reconnaissant que ce n’est guère évident dans un contexte économique et stratégique où c’est souvent le premier à sortir un produit qui s’assure une position confortable. 
Cela nécessite aussi, et surtout, une plus grande prise de conscience de la part des internautes qu’Internet est une entité en construction et que même si ses fondations sont solides, elle n’en demeure pas moins fragile. De plus, il serait envisageable que les internautes soient plus en alerte sur les services qu’ils utilisent, exigeant que ces derniers soient mis à jour régulièrement, selon un calendrier prédéfini, ce qui est déjà fait par de nombreuses sociétés des NTIC. 
Enfin, on pourrait souhaiter une plus grande démocratisation des savoirs liés globalement à l’informatique, ce qui participerait à une réactivité accrue en cas de défaillance d’Internet (réinitialisation des services). 


Faut-il se préparer à d'autres catastrophes de l'ampleur d'Heartbleed ?

C’est une probabilité qu’il faut assurément envisager, même s’il faut reconnaître qu’Heartbleed a un tel niveau de dangerosité qu’il est un peu à part. Avec une part toujours plus croissante des nouvelles technologies dans nos sociétés et nos modes de vie, les failles vont s’accroître, de même que les conséquences pour le bon fonctionnement de nos services. Le vrai problème avec ce genre de « catastrophes », c’est qu’elles sont difficiles à cerner rapidement. La faille a certes été découverte, mais à aujourd’hui, personne n’est en mesure de dire combien il y a eu d’actes cybercriminels utilisant cette faille. 

Interview réalisée le 17 avril 2014 et publiée le 21 avril 2014 pour le compte d'Atlantico (http://www.atlantico.fr/decryptage/comment-heartbleed-mis-en-evidence-faiblesses-internet-open-source-maxime-pinard-1047764.html)

mardi 1 avril 2014

Dis moi qui t'écoute... Comment les métadonnées récoltées par la NSA parviennent à prédire votre personnalité (Interview Atlantico)

1. Barack Obama a annoncé il y a peu que la NSA ne disposerait plus aussi aisément des 
données des internautes. Mais, finalement, à quoi servent les données récupérées ? Une partie de la presse anglo-saxonne  estime qu'il est possible de décrypter la personnalité de l'internaute. Comment ? Dans quel but ?
Lors des révélations de Snowden, les services de sécurité américains ont beaucoup insisté sur le type d’écoutes menées entre autres par la NSA, rappelant qu’il ne s’agissait que des métadonnées (qui ?, avec qui ?, quand ?, où ?, durée ?, etc…) et non des contenus des messages en eux-mêmes. C’était déjà des informations précieuses dans la mesure où ces métadonnées permettent d’établir des connexions entre individus, de retracer leur parcours sur un temps déterminé, en d’autres termes, de connaître la vie (du moins sur la forme) d’un individu. 
Néanmoins, comme on peut aisément le comprendre (et comme le rappelle à présent des sites web anglo-saxons), les métadonnées ne sont pas que des données temporelles et physiques. De façon implicite, elles donnent des indications très précises sur la nature même de l’individu écouté. La fréquence de ses appels, le lieu où ces derniers sont passés (travail, soirées), leur durée, permettent aujourd’hui de dresser des profils type d’individus, qui s’affinent de plus en plus avec des algorithmes prenant en compte un nombre impressionnant de paramètres. Le résultat ne saurait être sûr à 100% mais il donne déjà de sérieuses indications quant aux tendances psychologies d’un individu (est-il ouvert, introverti ?, etc...). Cela fait partie de l’analyse prédictive, très en vogue dans les milieux sécuritaires américains, avec les dérives que l’on peut facilement imaginer. 


2. Dans quelle mesure la déclaration de Barack Obama va-t-elle changer les choses ? 
Transférer les données de la NSA aux opérateurs se fait-il dans l'intérêt des internautes ?
En réalité, il faut être très prudent avec les récentes annonces de réforme du Président Obama. Personnellement, je doute d’une véritable réforme et les premières informations disponibles tendent à montrer que l’on se dirige vers un semblant d’avancée sans réelle remise en cause du fond (mais en pouvait-il être autrement…). Il est question que ce ne soit plus la NSA qui stocke les métadonnées des internautes mais les opérateurs téléphoniques. De plus, une autorisation individuelle pour la collecte des données devra être demandée
auprès du tribunal secret régissant les interceptions de communications (FISC). Enfin, les analystes de la NSA devront se contenter des données d'un individu ayant au maximum deux degrés de séparation avec l'internaute écouté, contre trois actuellement. 
A première vue, ces changements semblent massifs et même Edward Snowden s’en est félicité, mais concrètement rien ne change. Cela va obliger les opérateurs téléphoniques à assurer davantage la sécurité des informations stockées, prenant une responsabilité supplémentaire et sensible, qu'ils n'étaient pas forcément enclins à accepter. La NSA ne voit pas son travail remis en cause; de -petites- barrières sont mises en place pour contenir le flux d'informations que demandera la NSA, mais concrètement, en invoquant l'impératif sécuritaire (les commissions d'attribution des autorisations ne s'opposeront qu'au compte goutte aux demandes de la NSA), on peut gager que son pouvoir ne sera que très peu altéré. Enfin, soulignons l'habileté (ou le cynisme) du Président Obama qui confie au Congrès la validation des mesures indiquées, jouant sur les dissensions des représentants et sur les projets concurrents pour édulcorer la version finale du projet.  
Est-ce que ces mesures vont dans l'intérêt des internautes? Dans la mesure où ces derniers savent que leurs métadonnées peuvent être communiquées aisément à la NSA, cela ne leur apporte pas grand-chose. Tout au plus auront-ils à l'avenir un "petit" pouvoir de pression sur leurs opérateurs téléphoniques s'ils découvrent que ces derniers font preuve d'une coopération "appuyée" avec la NSA. Néanmoins, rappelons que lors des révélations de Snowden, certes les Américains ont été choqués par les dérives de la NSA, mais des sondages ont montré qu'ils ne remettaient pas en cause pour autant les mesures censées assurer leur sécurité.


3. Les internautes vont-ils changer de comportement ? Dans quelle mesure ? Au fond, 
n'avons-nous pas accepté d'être tant les clients que les produits de la gratuité du net ?
Je ne crois pas du tout à un changement de comportement des internautes dans leur ensemble. Tout au plus y aura-t-il quelques mouvements isolés d’internautes sensibles aux thématiques de vie privée et de protection de l’information qui utiliseront des services moins ouverts aux oreilles de la NSA. 
Les révélations de Snowden ont fait la Une des médias pendant des mois, et chaque semaine, de nouvelles révélations (plus ou moins intéressantes d’ailleurs) arrivent, sans que les internautes ne se désinscrivent de Facebook, Google, Yahoo, ou renoncent à leur smartphone aux OS (Androïd et iOS principalement) qui communiquent en permanence des informations sur leur propriétaire. En vérité, il y a une sorte de schizophrénie chez l’internaute qui s’offusque d’être écouté, mais qui dans le même temps s’inscrit à des services dont il accepte les conditions d’utilisation sans les avoir lues, attiré par leur gratuité mais omettant (volontairement souvent, comme une mauvaise conscience) le fait que cette dernière n’est pas réelle et qu’il est en fin de compte le produit tant recherché par les géants du Net. 
Pour profiter gratuitement des services d’Internet, nous avons renoncé à comprendre le fonctionnement de ces services, les utilisant aveuglement et de manière coupable, puisqu’en fin de compte, ces derniers ont des conséquences potentiellement graves pour notre vie privée et notre libre arbitre. J’invite d’ailleurs à lire le premier chapitre du livre d’Eric Schmidt et Jared Cohen « A nous d’écrire l’avenir » qui explique à merveille comment sera notre futur grâce aux informations que nous laissons dans le cyberespace. 



lundi 24 mars 2014

Interview France 24 "La censure de Twitter en Turquie"

Interview en direct le 21 mars 2014 dans le journal de 20h30 de France 24 
sur la censure de Twitter en Turquie par le Premier ministre Recep Erdogan.

LIEN


mardi 18 mars 2014

La menace nouvelle des groupes informels pour la sécurité des entreprises (Veille Mag)

Participation au numéro 139 septembre / octobre 2013 de Veille Mag, 
le magazine professionnel de l'intelligence économique et du management de la connaissance, 
portant sur l'entreprise face au risque de déstabilisation.

Rédaction d'un article sur "la menace nouvelle des groupes informels pour la sécurité des entreprises".  

INTERVIEW CROISÉE Les Américains lâchent le volant de la gouvernance d'Internet... mais qui va le reprendre et avec quels risques ?

Les Etats-Unis vont vers un retrait de la gouvernance Internet, après l'annonce du 14 mars dernier. Un changement sans précédent.

Atlantico : Le 14 mars, les USA annonçaient le début d'un processus de transition, concernant la gouvernance internet. Ce qui avait toujours été Américain devrait se diriger vers un modèle multi-acteur. Les Etats-Unis sont-ils en train de lâcher du lest ? Dans quelle mesure ?

Maxime Pinard : Il est encore trop tôt pour dire que les Etats-Unis ont véritablement « lâché du lest » ; nous n’avons pour l’instant qu’une déclaration du Département du commerce mais il est clair que l’on se dirige vers un désengagement américain progressif de l’ICANN qui, il est vrai, avait jusqu’à présent un statut un peu particulier. Sans remettre en cause la qualité des membres de l’ICANN, il convient de rappeler que cet organisme dépend jusqu’à présent du droit américain, alors que ses prérogatives ont des conséquences pour l’ensemble des internautes. De plus, l’histoire de l’ICANN (16 ans) témoigne d’une influence américaine certaine dans les choix stratégiques adoptés, même si ces dernières années, l’organisme a fait preuve de courage en entendant les revendications des autres puissances numériques (Russie, Chine avec des noms de domaines dans des alphabets non latins…). Les Etats-Unis sont donc depuis plusieurs années revenus sur leur inflexibilité, même si je ne crois pas à un réel désengagement américain. Le poids des Etats-Unis dans le cyberespace est tel (niveaux stratégique, économique, culturel…) qu’ils demeurent incontournables.

David Fayon : Il s’agit d’une annonce de la National Telecommunications & Information Administration (voir ici) relativement à un changement de gouvernance pour la gestion du DNS. Actuellement ce rôle est joué par l’ICANN (Internet Corporation for Names and Numbers), association à but non lucratif qui dépend du Département du Commerce américain. Et cette gestion du DNS pour les noms de domaine Internet (qui concerne tous les sites de type .com, .fr, etc.) va être privatisée. En revanche ce n’est pas parce que les Etats-Unis lâchent du lest qu’ils vont pour autant se désengager d’Internet. Ils souhaitent tenir compte de la pression internationale et en particulier du fait que les internautes américains sont minoritaires depuis maintenant plusieurs années et que le risque d’un éclatement du réseau en Intranet locaux est possible (déjà amorcé en Chine et en Russie qui jouent un double jeu avec un réseau national – possible du fait de l’immensité de leur territoire et permet un contrôle des populations plus facile – et présence sur Internet pour le commerce international, risque potentiel au Brésil). Il est d’autant plus tactique d’un point de vue calendaire que cette annonce surprise arrive peu avant le 48e meeting de l’ICANN à Sao Paulo les 23 et 24 avril et que celle-ci coupe d’une certaine façon l’herbe sous le pied des détracteurs des Américains.


Quel pourrait-être le premier candidat à cette nouvelle gouvernance ? Qui pourrait être tenté d'en profiter ?

Maxime Pinard : Logiquement, l’ONU, au travers de l’IUT, devrait proposer ses services. Elle en a les compétences ainsi que la légitimité, étant la structure rassemblant le plus grand nombre d’Etats agissant dans le cyberespace. Néanmoins, la partie s’annonce compliquée, les Etats-Unis ayant à plusieurs reprises par le passé refusé cette piste, prétextant que des pays non-démocratiques auraient leur mot à dire dans le développement de cet nouvel ICANN. Cependant, on ne peut souhaiter un organisme qui sélectionnerait ses membres sur leur seul caractère démocratique. Qui serait compétent pour juger ainsi ?

Il semble plausible que des puissances comme la Russie, la Chine, le Brésil et l’Union européenne (si elle parle d’une seule voix forte) vont chercher à redéfinir les contours de l’ICANN, en mettant des garde-fous contre la toute-puissance numérique américaine. Mais d’un autre côté, il est clair que tous devront s’entendre, c’est-à-dire faire des compromis, sans quoi Internet deviendrait ingérable.

David Fayon : Cette privatisation du DNS va permettre un transfert au secteur privé avec non pas un mais une kyrielle d’acteurs et du coup la création d’une instance mondiale comprenant les Etats et la société civile comme envisagée par les pro-onusiens n’est pas possible. Globalement, le contrôle sera assuré par des parties prenantes d’Internet contrôlées indirectement ou directement par les Etats-Unis avec les majors du net, les GAFA au premier rang. Il s’agit pour les Etats-Unis de trouver un moyen de garder le contrôle du réseau qui est stratégique pour l’économie et la société tout en ayant un affichage différent et en rebondissant après les révélations des écoutes sur Internet avec l’affaire Snowden en juin 2013 qui a eu un effet déclencheur auprès de la population. Nous avons eu un avant et un après Swoden. Avant, peu de personnes mesuraient l’importance stratégique de la gouvernance d’Internet pour la société et l’économie.


Quelles conséquences peut-on prévoir à ce changement, y compris concrètement pour l'internaute ? De quelles améliorations est-il potentiellement porteur ?

Maxime Pinard : On peut légitimement penser que la nouvelle entité, si elle a les outils juridiques adéquats et les moyens financiers suffisants, aura à cœur de développer de nouveaux mécanismes pour sécuriser davantage Internet et de répondre plus rapidement aux demandes d’entreprises (nouveaux noms de domaine par exemple). Pour l’internaute, il est peu vraisemblable qu’il observe des changements dans un premier temps : sa connexion internet sera la même. Seulement, il aura au fur et à mesure un accès encore plus poussé aux services web, les entreprises du Net cherchant avant tout à individualiser leurs outils pour mieux cibler l’internaute / consommateur.

David Fayon : Concrètement, rien ne va changer pour l’internaute qui utilisera toujours des services gratuits avec en l’échange une utilisation de ses données à des fins de ciblage marketing. L’ère de big data va battre son plein. En outre l’internaute ou l’entreprise sera toujours locataire d’un nom de domaine.


Et de quels risques ?

Maxime Pinard : Les risques sont nombreux si les désaccords politiques ne sont pas résolus. On ne peut négliger l’hypothèse des Etats-Unis cherchant à laisser la situation s’enliser, rappelant ainsi à tous que l’ancienne gouvernance était plus stable et plus sûre. De la même façon, des puissances numériques comme la Chine ou la Russie pourraient être tentées de faire cavalier seul si leurs demandes n’étaient pas prises en compte avec une balkanisation du web au final. En fin de compte, c’est l’internaute qui serait perdant car il pourrait voir son accès au cyberespace contrôlé au niveau national, sans pouvoir en référer à une instance supérieure. Enfin, il conviendra d’analyser lors des futurs réunions de l’ICANN le rôle précis et le poids politico-stratégique des géants du Net (américains dans leur écrasante majorité), en espérant ne pas retrouver avec un Internet contrôlé par le seul pouvoir économique. Ce serait la fin de l’idée même d’Internet tel que pensé à l’origine.

David Fayon : En reprenant les scénarios qui figurent dans les résultats du projet européen Towards a Future Internet, dont le rapport final a été publié le 22 novembre 2010, on risque plus de s’orienter vers un scénario du "big brother commercial" par quelques géants du Web plutôt qu’un pouvoir aux internautes ou par les Etats eux-mêmes.

Alors même que le pouvoir est dans l’architecture même du réseau situé en bout de chaîne, ce qui a favorisé jusqu’alors l’innovation, il devrait être moins facile à terme pour des simples internautes ou entrepreneurs d’être des David terrassant des puissants Goliath numériques.


Qu'est-ce qui a pu motiver ce retrait américain ? Doit-on vraiment y voir une bonté généreuse ? Quels intérêts les Etats-Unis y trouvent-ils ?

Maxime Pinard : Contrairement à ce qu’on peut lire, je ne suis pas convaincu que ce soient les révélations de Snowden qui aient provoqué cette décision. Les Etats-Unis de façon générale au niveau géopolitique cherchent à ne plus être les seuls "gendarmes du monde". Ils invitent les autres puissances à prendre leur part de responsabilité, conscients que s’ils font tout tous seuls, ils prennent de grands risques d’être critiqués par la suite.

C’est également un moyen de s’assurer qu’il n’y aura pas une dislocation d’Internet. En acceptant de renoncer (même si on peut en douter sur le fond, mais la forme compte dans le cas présent) à un contrôle aussi fort de l’ICANN, les Etats-Unis cherchent à ramener à la table des négociations et des décisions des puissances qui seraient tentées de créer des Internet alternatifs. La Chine et la Russie en ont les moyens par exemple. Une telle hypothèse aurait des conséquences sur l’économie numérique mondiale à la fois incertaines et potentiellement catastrophiques pour les géants américains qui doivent être contents de l’initiative du Département du commerce. Cela leur évite une image "d’empire numérique", absolument néfaste pour acquérir de nouveaux marchés.

David Fayon : Tout est calculé avec en toile de fond l’importance des lobbying et des lawyers américains au cas où certaines décisions quant à l’avenir d’Internet soient contraintes aux intérêts stratégiques américains, ce qui est tout à fait compréhensible. Ce qui est donné d’une main et repris de l’autre à travers une complexité de l’organisation de la gouvernance d’Internet (ICANN, solution alternative à la fin de la fonction IANA fin septembre 2015, IETF, etc.) à l’image des organigrammes des entreprises avec des filiales et des prises de participation dans tous les sens.

Propos recueillis par Vincent Nahan

lundi 17 mars 2014

Les Etats-Unis renoncent à la gouvernance d'Internet : pourquoi il faut rester prudent

On n’en est qu’au milieu de l’histoire, mais il semble bien qu’un tournant soit en train de s’opérer, et ce à la surprise générale. Les Etats-Unis, par la voix du département du commerce, ont annoncé vendredi dans un communiqué vouloir repenser leur rôle au sein de l’ICANN (Internet Corporation for Assigned Names and Numbers).

Cet organisme, créé en 1998, gère le système de nommage qui permet de faire correspondre des noms de domaine (.com, .org, etc…) avec les adresses IP des serveurs hébergeant des sites internet. C’est une structure fondamentale dans le bon fonctionnement d’Internet, qui a une dimension technique évidente, mais également une dimension politique et géopolitique grandissante, comme le rappellent fréquemment les États critiquant son mode de fonctionnement.

L'ICANN avait souvent traîné des pieds 

En effet, cet organisme est sous une très étroite influence américaine depuis sa création, de par le choix de ses membres et des politiques menées jusqu’à il y a peu, où les demandes d’autres puissances, chinoise, indienne ou russe étaient refusées ou ont fait le choix d’âpres joutes politiques.

On pensera notamment à la possibilité offerte en mai 2010 d’avoir des noms de domaine dans un alphabet non latin, ce qui privait jusqu’alors la Chine, la Russie et les pays arabes d’une utilisation complète des services internet.

Sous prétexte de contraintes techniques, les Etats-Unis à travers l’ICANN avaient traîné des pieds pour adopter ce dispositif qui, dans une certaine mesure, rappelait déjà qu’Internet ne saurait reposer sur le seul modèle occidental (et américain surtout) et qu’il devrait prendre en compte les spécificités des puissances numériques.

Une redistribution des cartes est en marche 

L’annonce de vendredi est donc un pas supplémentaire vers une redéfinition des cartes des puissances d’Internet.

En acceptant d’abandonner leur rôle central dans l’attribution des noms de domaine, les Etats-Unis cherchent peut-être à se donner une meilleure image dans le domaine numérique, suite aux révélations de Snowden qui ont fait prendre conscience de la superpuissance numérique que sont les Etats-Unis, mais surtout de l’absence de limite de ces derniers dans le contrôle d’Internet. Comme un effet d’écho, ils ont involontairement rappelé le caractère à la fois politique et stratégique du cyberespace.

Néanmoins, tout en soulignant l’espoir que suscite cette nouvelle, dont se sont félicités de nombreux responsables, au premier duquel le directeur de l’ICANN Fadi Chehade, il convient de faire preuve de l’extrême prudence face à ce tournant historique qui pourrait bien n’être qu’une stratégie des Etats-Unis afin de gagner du temps.

Pourquoi il faut rester vigilant 

En effet, notons tout d’abord que le communiqué est extrêmement flou dans sa formulation. Il est question de réunir les "acteurs" d’Internet : s’agira-t-il seulement des États et des entreprises, ou bien la société civile sera-t-elle écoutée ? Avec une concentration des géants du Web sur son territoire, les Etats-Unis ne risquent-ils pas d’être toujours les maîtres du jeu ?

De plus, le texte parle de "gouvernance globale d’Internet", de "transition", mais aucune information ou piste n’a été donnée quant aux contours juridiques que devrait avoir cette nouvelle organisation. La logique voudrait que ce soit l’Union internationale des télécommunications (UIT) – l’agence des Nations unies spécialisée dans les TIC – qui récupère les prérogatives de l’ICANN. Forte de son histoire (c’est la plus ancienne organisation intergouvernementale technique) et du nombre de membres qui la composent (193 États membres), elle répond en théorie aux critères.

Mais les Etats-Unis se sont toujours opposés à cette idée (on se souvient de l’échec en 2012 du Sommet de Dubaï à ce sujet), prétextant ne pas vouloir que des États non démocratiques et peu respectueux de la liberté sur Internet aient leur mot à dire dans le processus décisionnel. On peut penser qu’ils restent sur la même ligne, conscients du caractère conflictuel croissant du cyberespace. Mais leur position sera difficilement tenable sur le long terme, eu égard aux dérives auxquelles ils se sont livrés et se livrent encore.

Une évolution à double tranchant 

Rien n’est donc figé dans la redéfinition de l’ICANN. L’"ICANN 2.0" peut devenir l’instrument international indépendant qu’il aurait dû être dès sa création, œuvrant dans le cadre de l’ONU. Mais sa tâche sera à coup sûr ardue, avec un impératif d’autorité et d’efficacité pour se faire entendre des puissances numériques qui, pour certaines d’entre elles, ne seraient pas contre gérer leur propre ICANN, avec le risque de remettre en cause le sens même d’Internet et de participer toujours un peu plus à la balkanisation du Web.

Il ne s’agit pas d’un simple débat technique. Il est question de la consolidation d’Internet dans un cyberespace mouvant, où les droits des internautes peuvent être bafoués à grande échelle.

La France a une position ambiguë sur la question, avec un organisme comme l’AFNIC très au fait du sujet et conscient des dérives du pouvoir américain, mais également avec un pouvoir politique assez frileux qui reste pour l’instant inaudible. L’Europe semble pour une fois en avance sur les États-Unis sur ce sujet, mais elle est impuissante si ces derniers se s’associent pas et ne se mettent pas d’accord. Le Parlement peut multiplier les recommandations et rapports, sa marge de manœuvre reste étroite.

Ne pas raisonner en "gagnants / perdants" 

Le processus s’annonce compliqué, et nul doute que les Etats-Unis ne feront rien pour le simplifier, afin de rappeler leur rôle "positif" de stabilité jusqu’à présent, mais tous ont intérêt à se mettre d’accord sur un mode de gouvernance démocratique, stable : les États, car il y aura un rééquilibrage des influences, et les entreprises, car de nouveaux marchés seront ouverts avec l’essor de nouveaux noms de domaine.

Les prochaines réunions de l’ICANN seront intéressantes à observer pour voir quel type de gouvernance d’Internet (rappelons que sans les serveurs DNS racines, Internet ne fonctionne plus) se profile à l’horizon.

Il ne faudra pas penser en "gagnants / perdants" pour les Etats, mais veiller avant tout à ce qu’un ICANN fort, indépendant et évolutif voit le jour.