Jeux vidéo : pour le champion français Ubisoft, la souveraineté numérique passe par le chinois Tencent

A l’heure où le gouvernement français et l’Europe ne jurent que par la souveraineté – notamment numérique – depuis la crise sanitaire et la guerre en Ukraine, les frères Guillemot, eux, ouvrent un peu plus le capital de leur groupe Ubisoft au géant chinois Tencent. La firme de Shenzhen achètera-t-elle la major française du jeux vidéo en 2030 ?

Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, n’a rien trouvé à redire au fait que le géant tentaculaire chinois Tencent ait augmenté son emprise sur la pépite française du jeu vidéo Ubisoft. A croire que la souveraineté numérique ne concerne en rien le 10e Art. La firme de Shenzhen détenait depuis mars 2018 une participation de 5 % dans le capital du groupe des « Guillemot Brothers », où il est entré en tant qu’ « actionnaire de long terme » mais en promettant de ne pas aller au-delà de ces 5 % avant 2023. Cette sinophilie s’est renforcée avec le feu vert donné à Tencent par le conseil d’administration d’Ubisoft d’augmenter – d’ici l’an prochain – sa participation directe (4,5 % suite à dilution) dans le groupe français à quasiment 10 % (précisément 9,9 %). Mais « Tencent ne pourra augmenter sa participation dans Ubisoft audelà de 9,99 % du capital et des droits de vote d’Ubisoft avant 8 ans », précise cependant le groupe breton (1). Autrement dit, à partir de 2030, la famille Guillemot pourrait – si elle en décidait ainsi – vendre son entreprise créée il y a 36 ans au chinois Tencent.

Tencent, futur acquéreur d’Ubisoft en 2030 ?
Le champion français du jeu vidéo, coté en Bourse depuis 1996 et valorisé aujourd’hui plus de 4,3 milliards d’euros (au 15-09-22), tomberait alors dans l’escarcelle du premier conglomérat multimédia de l’Empire du Milieu (Tencent pesant 86,8 milliards de chiffre d’affaires en 2021, contre 2,1 milliards pour Ubisoft). A moins que la famille Guillemot ne cède entre 2022 et 2030 Ubisoft à un autre prétendant, sans avoir besoin de l’accord du chinois. « Nous sommes ravis d’étendre notre engagement avec les fondateurs, la famille Guillemot, Ubisoft continuant de développer des expériences de jeu immersives, et de porter sur mobile plusieurs des franchises AAA les plus connues d’Ubisoft », a déclaré enthousiaste le Chinois Martin Lau (photo), alias Lau Chi Ping, président de Tencent Holdings Limited. La maison mère de ce géant est cotée à Hong-Kong (367,4 milliards d’euros de capitalisation au 15-09-22) et enregistrée aux Iles Caïmans (l’un des plus célèbres paradis fiscaux). Cette emprise chinoise sur l’une des plus grandes réussites françaises qu’est Ubisoft illustre les limites de la « souveraineté industrielle et numérique » de la France face Continuer la lecture

Dans l’attente de la notification du rachat de Lagardère par Vivendi, la Commission européenne enquête

Avant même d’avoir reçu de Vivendi la notification de son projet de rachat du groupe Lagardère, laquelle devrait être lui être remise en septembre, la Commission européenne questionne depuis le début de l’année des acteurs et des organisations professionnelles pour mesurer l’impact « Vivendi-Lagardère ».

« Sous réserve de l’autorisation de la Commission européenne », précisaient dans les mêmes termes les communiqués de Vivendi annonçant respectivement le 25 mai le succès de la première période de son OPA amicale sur les actions du groupe Lagardère et le 14 juin la détention de 57,35 % du capital et 47,33 % des droits de vote du même groupe Lagardère. Le sort du projet de « rapprochement » de Vivendi et de Lagardère – déjà engagé par endroits et sans attendre l’aval des autorités antitrust – est en fait depuis des mois entre les mains de la Commission européenne. Bruxelles n’a en effet pas attendu que l’opération de contrôle lui soit notifiée – ce qui devrait être fait en septembre – pour questionner les acteurs des marchés potentiellement impactés par cette méga-opération de concentration dans l’édition et les médias. Depuis fin 2021, une « case team » est en place pour, sans tarder, « recueillir des informations auprès des parties notifiantes [en l’occurrence Vivendi, mais aussi Lagardère, ndlr] et des tiers, tels que leurs clients, leurs concurrents et leurs fournisseurs ».

La DG Competition et Margrethe Vestager scrutent
Durant cette phase de pré-notification, où les envois de questionnaires aux intéressés se multiplient pour procéder à des « tests de marché », les informations peuvent prendre la forme de griefs formulés par des concurrents présents sur ces marchés. Et les reproches sont nombreux, notamment dans le secteur de l’édition, où le numéro un français Hachette (Lagardère) est appelé à fusionner avec le numéro deux Editis (Vivendi). Avec leurs multiples maisons d’édition (Calmann-Lévy, Grasset, Stock, Fayard, JC Lattès, Livre de poche, Dunod, Larousse, Hatier, … côté Hachette Livre ; La Découverte, Plon, Perrin, Robert Laffont, Presses de la Cité, Le Cherche Midi, Bordas, Le Robert, … côté Editis), la prise de contrôle du groupe d’Arnaud Lagardère (photo) – lequel conserve 11,06 % du capital – par celui de Vincent Bolloré provoque une levée de boucliers. Car ces deux géants français du livre – édition et distribution – seront en position dominante voire en quasi-situation de monopole en France si un feu vert était donné en l’état par les autorités antitrust. « Les lois (européennes) sont bien faites. Il y a des lois qui empêchent cette concentration (dans l’édition notamment) et elles seront respectées. Si l’on doit revendre des maisons d’édition, on le fera », a tenté de rassurer Arnaud Lagardère dans Continuer la lecture

Les associations de consommateurs veillent à ce que le Data Act mette les utilisateurs au centre

Les particuliers sont les principaux générateurs de données numériques provenant de leurs terminaux et objets connectés. Au-delà de leurs données personnelles, ils doivent avoir le contrôle sur l’ensemble des data qu’ils produisent. Afin que l’économie des données leur profite à eux aussi.

« En tant qu’initiateurs d’une grande partie de ces données, grâce à leur utilisation d’appareils connectés et de services numériques, les consommateurs doivent garder le contrôle sur la façon dont les données – qu’ils ont aidé à générer – sont partagées et avec qui. Ces données sont utiles pour toutes sortes de services dans l’économie, dont les consommateurs pourraient également bénéficier, tels que les fournisseurs de services concurrents ou un plus large choix de services après-vente, y compris la réparation et l’entretien », a prévenu Monique Goyens (photo), directrice générale du Bureau européen des unions de consommateurs (Beuc). Monique Goyens a ainsi interpellé le 23 février dernier la Commission européenne qui présentait ce jour-là sa proposition de règlement sur les données, baptisé Data Act, dont l’objectif est de favoriser une « économie des données » dans les Vingt-sept, et de préciser « qui peut utiliser et les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données ».

Data de 398 millions d’internautes européens
Le texte lui-même de ce projet de règlement sur les données est un document de 64 pages. Mais le Beuc, qui est basé à Bruxelles et qui fête cette année ses 60 ans, met en garde l’Union européenne contre la mise en place d’un cadre législatif ne mettant pas les utilisateurs – en l’occurrence les 398 millions d’internautes européens, selon l’Internet World Stats – au coeur de cette « libéralisation » de la data. « Par exemple, illustre concrètement Monique Goyens, les données générées par un réfrigérateur intelligent devraient pouvoir être transmises à un concurrent ou être consultées par un service tiers si le consommateur le souhaite. Ces données peuvent inclure les paramètres du réfrigérateur, des informations sur le contenu du réfrigérateur, la façon dont il interagit avec d’autres appareils intelligents dans la maison, ou sur la façon dont le réfrigérateur est utilisé ou peut être défectueux ». Autrement dit, le Data Act ne doit pas seulement favoriser l’exploitation par des tiers des masses de données, le plus souvent générées par les Européens des Vingt-sept, mais aussi  Continuer la lecture

Mais à quoi sert l’Ambassadeur pour le numérique ?

En fait. Du 11 au 13 novembre dernier, s’est tenue la 4e édition du Forum de Paris sur la Paix (qui est à cette dernière ce que le Forum de Davos est à l’économie). Parmi les quelque 350 intervenants et participants venus du monde entier : l’ambassadeur français pour le numérique, Henri Verdier.

En clair. Le Forum de Paris sur la Paix (1), organisé pour la quatrième année consécutive à l’initiative du président de la République française Emmanuel Macron, a été l’occasion de voir apparaître un personnage assez discret de la diplomatie française : l’ambassadeur pour le numérique, fonction qu’occupe Henri Verdier – ancien directeur interministériel du numérique (DINum) – depuis trois ans maintenant, ayant été nommé par décret présidentiel « à compter du 15 novembre 2018 » mais à la durée de mandat non précisée (2).
C’est le second ambassadeur pour le numérique en titre, à la suite de David Martinon qui fut son prédécesseur à partir du 23 novembre 2017. Mais que fait l’ambassadeur pour le numérique ? Question que nous nous étions d’ailleurs posées pour les « Digital Champion » au niveau européen (3). C’est une lettre de mission signée par le ministre de l’Europe et des Affaires étrangères, Jean-Yves Le Drian, et « validée en interministériel le 3 juin 2019 », qui a délimité ses quatre domaines de « diplomatie numérique » : garantir la sécurité internationale du cyberespace et la régulation des contenus diffusés sur l’Internet ; contribuer à la gouvernance de l’Internet en renforçant son caractère ouvert et diversifié, tout en renforçant la confiance dans son utilisation ; promouvoir les droits humains, les valeurs démocratiques et la langue française dans le monde numérique ; renforcer l’influence et l’attractivité des acteurs français du numérique.
Henri Verdier doit notamment « coordonner l’élaboration des positions de la France sur les questions internationales touchant à cette transformation numérique, puis de les promouvoir auprès de [ses] partenaires internationaux comme auprès des autres acteurs publics et privés » (4). C’est ce qu’il a notamment fait lors des trois jours du Forum de Paris sur la Paix, au cours duquel la vice-présidente américaine Kamala Harris et la présidente européenne Ursula von der Leyen ont annoncé respectivement que les Etats-Unis et l’Union européenne soutenaient l’« Appel de Paris pour la confiance et la sécurité dans le cyberespace » lancé en 2018 et rejoint depuis par 80 Etats (5). Parmi les autres initiatives : l’« Appel de Christchurch », lancé en 2019 à la suite de l’attentat en Nouvelle-Zélande, a permis de renforcer l’action du Forum mondial d’Internet contre le terrorisme (6). @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.