Chronique juri-geek

Chronique juri-geek

Petya, la Convention de Genève du numérique et le besoin urgent de cyber paix

Une cyberattaque en temps réel. Bill Smith/Flickr, CC BY

Les cyberattaques de masse Wannacry et Petya illustrent l'ampleur des vulnérabilités du cyberespace tant pour les institutions que pour les individus. Alors que le dernier cycle de négociations de l'ONU s'est clôturé sur un constat d'échec, les géants du Web cherchent à s'imposer comme des parties prenantes incontournables de la cyberdiplomatie.

Cyber sécurité et communauté internationale: où en est-on?

La lutte internationale contre le cybercrime est organisée par la Convention de Budapest du Conseil de l'Europe, premier traité international sur les crimes informatiques et Internet. Entrée en vigueur en 2004, elle compte aujourd'hui 53 Etats parties, dont les Etats-Unis d'Amérique. Elle a vocation à harmoniser le droit pénal sur des éléments de sécurité tels que l'accès illégal, l'interception, l'atteinte à l'intégrité des données ou des systèmes, les falsifications et fraudes informatiques. La convention améliore les techniques d'enquêtes (conditions de sauvegarde, injonctions de produire, perquisitions et saisies de données) augmentant ainsi la coopération entre les nations.

Cyber Far West. N. Devillier, CC BY

Depuis 2002, la crainte qu'Internet (la « téléinformatique » à l'époque) ne soit utilisé à des fins incompatibles avec le maintien de la stabilité et de la sécurité internationales dans les domaines tant civil que militaire a amené l'Assemblée Générale de l'ONU à inscrire à son ordre du jour une question sur « Les progrès de la téléinformatique dans le contexte de la sécurité internationale ». Un Groupe d'experts gouvernementaux a été mis en place afin de formuler des recommandations sur les normes, règles et principes de comportement responsable des Etats (Allemagne, Bélarus, Brésil, Chine, Colombie, Egypte, Espagne, Estonie, Fédération de Russie,France, Ghana, Israël, Japon, Kenya, Malaisie, Mexique, Pakistan, République de Corée, Royaume-Uni de Grande Bretagne et d’Irlande du Nord et Etats-Unis d’Amérique). Un Code de conduite international pour la sécurité de l'information a été soumis dans ce sens par l’Organisation de Shanghai pour la Coopération.

Des travaux de ce Groupe, il résulte que la Charte des Nations Unies est applicable à la cybersphère, ainsi que le principe de non-ingérence dans les affaires intérieures et le respect des droits de l'homme et des libertés fondamentales. En 2015, de nouvelles normes de comportement ont été affirmées telles que: l'interdiction de viser les infrastructures essentielles fournissant des services au public, l'immunité des systèmes d'information des équipes d'intervention d'urgence (CERT), le devoir pour un Etat de répondre aux demandes suite à une activité malveillante dirigée contre une infrastructure essentielle depuis son territoire, dans le respect de la souveraineté. Or, la session du 19 au 23 juin 2017 du Groupe d'experts gouvernementaux vient de se solder par un constat d'échec.

Aucun consensus ne fut trouvé sur le point de savoir comment répondre aux cyberattaques et si ou comment poursuivre le processus sous l'égide de l'ONU. Christopher Painter, coordinateur des questions cyber pour le Département d'Etat des Etats-Unis d'Amérique a indiqué que plusieurs options sont possibles: de la lettre diplomatique aux sanctions économiques ou de connectivité. Or, de telles actions feraient entrer les cyberattaques dans le champ des conflits armés tel que défini par la Charte de l'ONU.

On se dirige donc vers un repli sur des normes volontaires ou des instruments de coopération bilatéraux dont les contenus et la force juridique sont très variables allant du simple dialogue au traité international. La guerre froide en ligne est ouverte.

Portes dérobées versus chiffrement.

Durant le G20 à Hambourg, l'Australie s'est engagée à promouvoir l'adoption de lois interdisant le chiffrement et soutenant la création de portes dérobées (backdoors) sur les ordinateurs et les téléphones mobiles dans le cadre de la lutte anti-terroriste. A la tête du groupe des Five eyes (Canada, États-Unis d'Amérique, Nouvelle-Zélande et Royaume-Uni), elle compte rallier à sa cause l'Allemange et la France qui ont exprimé être favorables à cette idée. Un tel assaut coordonné sur le chiffrement est pourtant nuisible à la fois à la cybersécurité mais aussi à l'économie globale. L'intérêt des entreprises serait plutôt de permettre le chiffrement notamment pour les données sensibles afin de faire de la cybersécurité un avantage concurrentiel.

En effet, les individus sont bien conscients que leurs données à caractère personnel sont un vrai trésor: Consumer Report a d'ailleurs indiqué qu'il utilisera la cybersécurité et la protection de la vie privée dans son système de notation des produits et objets connectés. Une telle protection à la fois du cyberespace et des consommateurs est prônée par le Parlement européen qui a retoqué la Commission européenne et préconise un chiffrement de bout en bout par les fournisseurs de services de communications électroniques (projet de rapport du 9 juin 2017).

La cyber diplomatie des sociétés transnationales

Le secteur privé joue un rôle clé dans cette problématique, en particulier les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) et demain peut-être les BATX (Baidu, TenCent et Xiaomi). Construction de villes flottantes en Polynésie, contestation de la politique migratoire du président Donald Trump, leur emprise s’affirme lentement mais sûrement sur la scène internationale. Le Danemark est allé jusqu’à nommer un ambassadeur auprès des GAFAM en février dernier, offrant ainsi aux géants de la Silicon Valley la reconnaissance de nouvelles nations, avec à la clé certes, des contrats pour la création de centres de données avec Facebook à Odense pour 2020 (150 emplois créés) et avec Apple pour 850 millions d’euros. Est en revanche passée inaperçue, l’attribution du statut d’observateur permanent auprès de l’Assemblée générale de l’ONU à la Chambre de Commerce Internationale. L’association internationale basée à Paris développe des activités dans trois domaines : politique générale, élaboration des règles commerciales et résolution des litiges. Après six ans de procédure, elle obtient donc le droit d’assister aux sessions et travaux de l’Assemblée générale de l’ONU. Or, ceci est un événement historique puisque la CCI est la première organisation du secteur privé à accéder à ce privilège.

Une autre initiative a été prise par Google qui souhaite aider les gouvernements à trouver ce délicat équilibre entre sécurité numérique et protection de la vie privée. Partant du constat que les lois actuelles entravent la mise en œuvre des lois et le respect de la vie privée (???), la société propose tout simplement une solution pour court-circuiter les traités d’assistance juridique mutuelle entre les Etats-Unis d’Amérique et le Royaume-Uni.

Enfin, c’est surtout l'offre de Microsoft qui a retenu l’attention : celle d’une convention de Genève du numérique. Dans sa formulation la plus récente (2016: livre blanc « De l’articulation à la mise en œuvre : permettre le progrès sur les normes de cyber sécurité »), la société développe un modèle de normes offensives, défensives et industrielles. En réalité, Microsoft s’appuie sur les normes volontaires de l’Organisation de Shanghai pour la Coopération, le rapport du Groupe d’Experts gouvernementaux des Nations Unies et l’accord USA-Chine de 2015 de non-agression dans le cyberespace garantissant… leurs droits de propriété intellectuelle ! Autres recommandations de Microsoft : ne pas cibler le secteur privé et l’aider à faire face à une cyberattaque. En somme, un droit international économique du numérique, une lex mercatoria digitalis.

On prend donc toute la mesure de cette stratégie qui vise à faire l’amalgame déplacé avec les conventions de Genève qui sont le fondement du droit international humanitaire et protègent les blessés en campagne et en mer, les prisonniers de guerre et les civils durant un conflit armé… Reste à savoir si le public est prêt à s’en remettre aux sociétés privées pour assurer leur sécurité sur le Net ! Pourquoi ne pas demander leur avis au 200 millions de citoyens qui ont vu leurs données personnelles exposées au public « accidentellement » par le Parti républicain ?

The Conversation is a non-profit + your donation is tax deductible. Help knowledge-based, ethical journalism today.