Appel de Paris sur la cybersécurité : les États-Unis se retirent

Posté le Sécurité Informatique
Cybersécurité : l'Appel de Paris

Forum sur la gouvernance de l’Internet 2018

Pendant son discours au rendez-vous annuel de l’UNESCO « Forum sur la gouvernance de l’Internet » lundi dernier, Emmanuel Macron a annoncé « l’Appel de Paris pour la confiance et la sécurité dans le cyber espace« . Cette nouvelle initiative a été créée afin d’établir des normes internationales pour l’utilisation d’internet. Ainsi, elle inclue une bonne hygiène informatique, et la divulgation coordonnée des vulnérabilités techniques.

Le document définit 9 objectifs, comme s’assurer que des acteurs extérieurs d’interfèrent pas avec des élections. Ou encore travailler ensemble pour prévenir le « hacking back » des entreprises, et de contrer le cyber-crime. Le texte a été approuvé par plus de 50 états, 90 organisations à but non lucratif et universités, ainsi que par 130 sociétés et groupes privés. Et les États-Unis n’en font pas partie.

L’Appel de Paris qui divise

L’Appel de Paris n’exige pas que des gouvernements ou que des groupes adhèrent légalement à ses principes. En effet, c’est surtout un symbole du besoin de démocratie et de la coopération dans le cyber-espace. Où il est déjà difficile de faire appliquer les lois d’un pays.

Et l’important n’est pas l’accord en lui-même, mais ses signataires. La plupart des géants américains de la tech ont approuvé cet accord, comme Microsoft, Facebook, Google, IBM, HP etc.

Néanmoins, les États-Unis n’ont pas été les seuls à passer leur tour. Ainsi, la Russie, la Chine, l’Iran et Israel n’ont pas non plus signé l’accord. Certains de ces non-signataires sont d’ailleurs actuellement activement plongé dans des cyber-guerres, comme la Chine ou l’Iran.

Gouvernance digitale

Microsoft a déclaré avoir travaillé en étroite collaboration avec notre gouvernement pour créer l’Appel de Paris. Signe que que les corporations technologiques jouent un rôle plus actif dans la gouvernance d’internet.

D’ailleurs, Brad Smith (président de Microsoft) a déclaré que « c’est une opportunité pour les gens de se rassembler autour de quelques-uns des principes-clés. Autour de la protection des civils innocents, autour de la protection des élections, autour de la protection de la disponibilité d’internet lui-même. C’est une opportunité d’avancer dans cette voie grâce à un processus multi-parties ». Quelque part, M. Smith ressemble plus à un député qu’à un exécutif. Ce qui n’est pas si surprenant.

Sur Internet, des entreprises comme Microsoft prennent de plus en plus de responsabilités autrefois réservées aux gouvernements. La directrice de la politique de la cybersécurité de Public Knowledge, Megan Stifel, a déclaré « si on regarde ces 3 ou 4 dernières années, on constate une vague de la nette prise de leadership du secteur privé ». Elle a également ajouté : « le secteur privé est maintenant prêt à dire que nous pouvons en faire plus et que nous en ferons plus ».

Actions

En avril dernier, Microsoft avait déjà annoncé le Cybersecurity Tech Accord. Une mesure similaire à l’Appel de Paris, signée par plus de 60 entreprises de la tech. Ce qui en avait fait « le Convention de Genève Digitale ». En juillet, la société avait publiquement plaidé pour la régulation de la technologie de la  reconnaissance faciale. Et avait annoncé développer ses propres principes de législation de son utilisation. Puis en août, Microsoft a pris des actions comme un groupe de hackers nommé Fancy Bear. Dans une déclaration (qui aurait tout aussi bien pu venir du FBI), l’entreprise avait même directement attribué les cyber-attaques aux russes.

Et ce n’est pas seulement uniquement Microsoft. En effet, en août dernier, Facebooke et Twitter ont travaillé avec les autorités américaines pour supprimer des comptes et des pages faisant partie d’une compagne de propagande dirigée par l’Iran. De plus, la semaine dernière, Facebook a mis en place une war room pour retracer les « fake news » diffusées durant les élections de mi-mandat américaines. Ceci afin de s’assurer que le processus de vote n’a pas été corrompu.

Combattre la cyber-malveillance ensemble

Combattre les cyberattaques et surveiller des élections étaient des tâches autrefois réservées aux gouvernements. Aujourd’hui, la plupart des activistes dans le monde agissent non seulement dans le cyber espace, mais également sur des plateformes privées comme celles de Facebook ou Microsoft. Ainsi, c’est aussi dans leurs intérêts économiques de supporter des mesures comme l’Appel de Paris. Ce qui tend à rendre Internet plus sécurisé et prévisible.

Tous les groupes signataires de l’Appel de Paris ne sont pas forcément d’accord avec tous ses tenants. Ainsi, Access Now (organisation pour un internet gratuit et libre) a critiqué l’accord dans un récent post. En effet, une de leur crainte que l’Appel oblige les entreprises et les gouvernements à partager leur data sans ordonnance judiciaire. De plus, l’organisation craint aussi pour la liberté d’expression.

Drew Mitnick d’Access Now a d’ailleurs déclaré : « le document est imparfait mais il survient à l’heure où d’autres gouvernements, qui n’ont pas approuvé l’Appel de Paris, ont montré une vision opposée de la cybersécurité, fondée sur la souveraineté de l’État et du contrôle ». Access Now a aussi ajouté attendre avec impatience la prochaine édition, prévue l’année prochaine en Allemagne.

Dans le même temps, les organisateurs de l’Appel poursuivront sûrement leurs efforts pour convaincre des états comme les USA de rejoindre l’accord. Tandis que les géants du web continueront de montrer la voie.

Partagez cet article !