Faut-il une Cyberconvention de Genève ?

24.10.2018

De plus en plus de cyberattaques ne sont pas le fait non d'individus, mais d’États. Ce qui présente un risque important pour les infrastructures critiques, donc pour les citoyens. C’est la raison pour laquelle nombreux sont ceux qui, aujourd’hui, préconisent une Cyberconvention de Genève. Qu'est-ce que cela impliquerait exactement ?

Le piratage d'État progresse

Le piratage des ordinateurs peut revêtir diverses formes, avec autant d'objectifs différents. Il y a naturellement les script kiddies, qui infiltrent les systèmes ou réseaux simplement parce que c'est possible : ils en tirent un sentiment de puissance en contrôlant des ordinateurs qui ne leur appartiennent pas. Ici, les motivations sont généralement d’ordre financier. On songe par exemple au rangiciel Wanacry, qui a fait tant de victimes l'année dernière. Au Royaume-Uni, on a même dû fermer des hôpitaux. Le personnel soignant n'avait plus accès aux données, verrouillées par les cybercriminels. Quant à l'armateur Maersk, il a perdu 300 millions de dollars à cause d'un maliciel similaire, NotPetya. Oui, nous en sommes là : dans le monde, 74% des entreprises s'attendent chaque année à subir un piratage. D'ici à 2020, le préjudice pourrait atteindre 3 milliards de dollars. 

Mais un autre danger est en train d'apparaître : les attaques commanditées par des États. Souvenons-nous du piratage de Sony, mené en 2014 par la Corée du Nord à cause… d'un film, The Interview, qui mettait en scène le président Kim Jong-un. Autre exemple de piratage d'État : un groupe de « hackers patriotes » pro-russes s'est attaqué aux sites Internet des pouvoirs publics en Allemagne, en Ukraine et en Pologne, en représailles au soutien allemand à Kiev.  Lié au président syrien Bachar al-Assad, le collectif de pirates Syrian Electronic Army assaille régulièrement les sites des médias occidentaux, notamment Le Monde. 

Cybertranchées

Les autorités sont conscientes du danger des cyberattaques, qu'elles émanent de particuliers peu scrupuleux ou d'autres États. L'Allemagne a récemment annoncé la création d'une cyberforce, qui fait partie de l'armée au même titre que la force terrestre, la marine et l'aviation. En 2021, cette unité comptera 13.500 militaires et 1.500 citoyens. Leur mission première : protéger les réseaux cruciaux. Chez nous, le Service Général du Renseignement et de la Sécurité - la « Sûreté de l'État » en langage courant - recherche d'urgence une centaine d'experts ou « geeks » pour participer à la protection de notre pays contre les cyberterroristes.

En effet, les systèmes de défense militaire traditionnels ne suffisent plus. Un chasseur comme l'Eurofighter, par exemple, est devenu difficile à abattre en vol. Mais l'avion regorge d'équipements électroniques. Les pirates peuvent avoir accès à ces systèmes et forcer l'appareil à s'écraser. Parmi les grandes infrastructures d'un pays, il n'en est pas une qui ne soit sous le contrôle de l'informatique. Il suffit de penser au réseau électrique, à la salle de commande des centrales nucléaires, aux aéroports ou aux réseaux financiers. Toutes ces installations sont vulnérables, que les pirates agissent seuls ou pour le compte d'un État ennemi. Et les dégâts peuvent être considérables, sur le plan économique et matériel, voire en vies humaines.

Les victimes : le citoyen et les entreprises privées

Plus de 30 pays ont déjà avoué disposer de cybermoyens offensifs. C'est difficile à vérifier, car les cyberarsenaux sont secrets par nature. Dans ces conditions de clandestinité, les États sont tentés de tester leurs armes pour affiner leur stratégie. Les soupçons d'influence sur les élections présidentielles américaines et sur le référendum du Brexit pourraient en être un exemple.

Cette nouvelle forme de course à l'armement comporte des aspects qui compliquent la défense contre une cyberattaque.  D'abord, le cyberespace n'est pas un concept tangible. Il ne connaît pas les frontières entre pays. Quelles lois le régissent ? Qui y détient l'autorité ? 
Ensuite, le cyberespace est créé, entretenu, sécurisé et exploité par des entreprises privées : du câble sous-marin au centre de données, en passant par les serveurs, les laptops et les smartphones. 

Bien entendu, les autorités ont un rôle à jouer, mais les vraies cibles d'une cyberattaque sont des biens privés qui appartiennent aux citoyens et aux entreprises. En d'autres termes, une cyberattaque menée par un pays ne cible pas directement un autre pays, mais vise prioritairement les citoyens et les entreprises. Ce sont eux les premières victimes.

Une cyberversion de la Convention de Genève 

En 1949, la Quatrième Conférence de Genève formulait des règles de protection des civils en temps de guerre. Mais le piratage d'État se traduit par des attaques à l'encontre des citoyens en temps de paix. 

Aussi des voix s'élèvent-elles en faveur d'une nouvelle Conférence de Genève pour préserver les civils des cyberattaques. Divers organismes publics et autres, ainsi que des entreprises privées, appuient l'initiative. Peu à peu, la feuille de route prend forme.

La feuille de route

Il y a 20 ans déjà, les Nations unies constituaient un organe chargé de se pencher sur les divers aspects de la technologie informatique, en particulier la cybersécurité. En 2015, on a confirmé que les lois internationales s'appliquaient aussi au cyberespace. Si cela peut sembler évident aujourd'hui, cette sécurité juridique n'existait pas à l'époque. En même temps, 11 normes de cybersécurité ont vu le jour.

Vingt pays, dont les États-Unis, la Chine, la Russie, la France et le Royaume-Uni, faisaient partie du consensus, que le G7 a encore confirmé en avril. Il s'en est suivi des traités bilatéraux de cybersécurité entre la Chine et la Russie, les États-Unis et la Chine, les États-Unis et l'Inde, la Chine et le Royaume-Uni, ainsi qu'un accord de collaboration entre la Chine et l’Australie cette année encore.

Malheureusement, les termes de ces conventions sont vagues. C'est pourquoi le Forum Économique Mondial souhaite qu’on aille plus loin dans le sens d'une véritable Conférence numérique de Genève. D'après ce document de Microsoft, la conférence devrait poursuivre les objectifs suivants :

  • Les autorités doivent s'engager à ne pas mener de cyberattaques visant le secteur privé ou les infrastructures critiques, et à ne pas pratiquer le piratage pour voler des propriétés intellectuelles. Les États doivent aussi aider le secteur privé à identifier les attaques, les confiner, y réagir et réparer les dégâts. Les autorités doivent également avertir les concepteurs lorsque des vulnérabilités sont décelées dans leurs produits, plutôt que les tenir secrètes à des fins d'espionnage ou autres.
  • Il convient de mettre en place un organisme indépendant représentant les secteurs public et privé. Cet organisme examinera les faits imputant la responsabilité d'une attaque d’État à un pays déterminé et publiera les résultats de son enquête. On peut établir ici une comparaison avec l'Agence internationale de l'énergie atomique, qui a joué un rôle important dans le désarmement nucléaire.
  • La première ligne de défense en cas de cyberattaque est assurée par les entreprises technologiques. Elles doivent se déclarer prêtes à repousser activement les attaques et à y répondre. Exactement comme la Quatrième Conférence de Genève comptait sur la Croix-Rouge pour aider les civils en temps de guerre, le secteur technologique doit contribuer activement à la protection contre les cyberattaques d'État.
  •  Non contents de respecter eux-mêmes les normes de cybersécurité, les États doivent aussi réclamer des comptes aux autres nations qui les enfreignent. En d'autres termes, imposer des sanctions, par exemple économiques, ou condamner publiquement. Faute de condamnation, les pays en cause pourront conclure que leur comportement est acceptable, et la Convention sera sans pouvoir ni effet.

Le secteur technologique, neutre comme la Suisse

Si cela ne tenait qu'à Microsoft, les entreprises technologiques devraient être en quelque sorte une Suisse numérique neutre. Ces entreprises devraient s'engager à ne pas produire de logiciels d'attaque et à ne pas participer à des agressions. Les correctifs des vulnérabilités devraient être mis à la disposition de tous les utilisateurs, sans tenir compte des pirates ou de leur motivations. Il faudrait aussi convenir de pratiques communes quant à la manière d'annoncer au public une faille dans un produit ou service.

Les concepteurs de logiciels opèrent généralement au-delà des frontières nationales. Leur neutralité ne doit faire aucun doute. Chaque pays, quelle que soit sa politique, doit pouvoir compter sur une infrastructure IT nationale et internationale digne de confiance. 

Loin d'une noble utopie, la Cyberconférence de Genève est une nécessité absolue pour protéger le citoyen contre une menace bien réelle. Il appartient au monde politique et au secteur technologique de traduire l'initiative en conventions concrètes.

 

DNS Belgium