Créé par l’armée américaine mais bâti par des civils, l’Internet est devenu un bien commun qui favorise la croissance et les échanges dans le monde entier, et notamment au travers du web. Mais depuis quelques années, la Toile est de plus en plus malmenée par des acteurs malveillants, souvent d’origine étatique.
Des routeurs BGP sont pervertis pour détourner des flux à des fins d’espionnage. Des hébergeurs sont mis à genoux par des attaques DDoS générant des interruptions de service. Des infrastructures critiques sont piratées dans le cadre de conflits entre nations. Des élections démocratiques sont faussées par des actions de manipulation de l’information. Bref, « Internet est sous le feu des attaques », résume Alexander Klimburg, directeur au Centre des études stratégiques de La Haye, un think-tank géopolitique néerlandais. Il pourrait même se morceler en plusieurs réseaux « Internet » nationaux. Fini alors le rêve d’un réseau global et ouvert.
Des experts venus d’horizons divers
Pour éviter qu’Internet et le web ne disparaissent sous leur forme actuelle et deviennent un terrain d’affrontement sans foi ni loi, cette organisation s’est alliée à l’institut East-West, un autre think-tank géopolitique, pour créer en janvier 2017 la « Commission globale sur la stabilité du cyberespace » (GCSC). Son but est de réunir des experts venus d’horizons divers pour trouver des solutions à tous ces problèmes. Parmi les 28 commissaires désignés figurent des hauts fonctionnaires, des diplomates, des anciens ministres, des experts en géopolitique, des ingénieurs et des militaires. Le célèbre hacker Jeff Moss, créateur des conférences DEF CON et Black Hat, fait également partie de ce cercle de réflexion.
Trois ans après sa création, le GCSC vient de présenter ce 12 novembre, à l’occasion du Forum de Paris sur la Paix 2019, un rapport qui propose un cadre fondamental pour la stabilité du cyberespace. Il s’appuie sur 4 principes : la responsabilité de tous, la retenue dans les actions destructives, l’obligation d’agir pour la cyberstabilité, le respect des droits humains. De ces principes découlent huit normes qui, selon le GCSC, devraient être instaurées de manière globale pour assurer la sécurité, l’intégrité et la disponibilité du cyberespace.
En tête de liste figure la protection du « coeur » de l’Internet, constitué par le système DNS et ses serveurs racine, les protocoles de routage et les points de peering. Aucun acteur ne devrait jamais s’y attaquer. Le piratage d’infrastructures et d’objets connectés – systèmes d’exploitation, cryptographie, routeurs, contrôleurs industriels, etc. – est également à bannir si cela influe sur la stabilité de l’Internet. Chaque produit ou système devrait par ailleurs bénéficier d’un processus de mise à jour afin de colmater les éventuelles failles de sécurité. Aussi, le GCSC estime que ces failles ne devraient pas être collectées aveuglément par les états mais être soumises à un processus d’évaluation permettant de comparer le risque en sécurité publique face aux besoins des agences de cyberespionnage.
Reste à convaincre les principaux belligérants
Toutes ces normes sont détaillées dans le rapport. L’objectif, à terme, est qu’elles servent de référence pour les lois que les états adopteront à l’avenir dans le domaine de la cybersécurité. Contrairement à ce que l’on pourrait penser, ce n’est pas un vœu pieu. Dans le préambule du règlement européen sur la cybersécurité (Cybersecurity Act), qui a été adopté par le Conseil en juin dernier, le « noyau public de l’internet ouvert » est d’ores et déjà considéré comme un « bien public mondial ». Par conséquent, « ses principaux protocoles et ses principales infrastructures » doivent être protégés.
Evidemment, ce n’est qu’un début et la route va encore être longue avant de pouvoir aboutir à un système équivalent aux conventions de Genève, qui ont fourni un cadre éthique aux conflits armés classiques. Le plus dur sera de convaincre les principaux acteurs dans la cyberguerre actuelle, à savoir les États-Unis, la Russie, la Chine et, dans une moindre mesure, la Corée du nord et l’Iran. Ce n’est d’ailleurs pas un hasard si ces états n’ont pas signé l’appel de Paris pour la confiance et le sécurité dans le cyberespace. Cette initiative diplomatique a été lancée en novembre 2018 par le gouvernement français et propose des principes similaires à ceux du GCSC. A ce jour, elle est soutenue par 74 états, 333 organisations et membres de la société civile et 608 entreprises.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
