Cybermenaces : bombe électronique à retardement

En fait. Le 14 octobre se terminent à Monaco les 23e Assises de la cybersécurité qui se sont tenues sur quatre jours. Les cyber-risques n’augurent rien de bon, tant les cyberattaques n’ont jamais été aussi redoutables avec le renfort de l’intelligence artificielle et maintenant de l’informatique quantique.

En clair. Sauve qui peut. Les responsables de la sécurité des systèmes d’information (RSSI) des entreprises et administrations, et leurs dirigeants, ont du souci à se faire. Jamais les cybermenaces et les cyberattaques n’ont été aussi fortes et nombreuses dans le monde. Internet devient le premier théâtre des opérations de la criminalité, de la guerre et de l’ingérence étrangère, tant économique que géopolitique. Cybersécurité et cyberdéfense n’y suffiront pas.
Aux 23es Assises de la cybersécurité (1), à Monaco, les quelque 5.000 visiteurs – Chief Information Security Officer (Ciso) en tête – auraient préféré ne pas verser dans le catastrophisme ni dans les théories du cybercomplot. Hélas, les prévisions sont plus que jamais alarmistes. Steve Morgan, fondateur de la société d’études américaine Cybersecurity Ventures, le confirme à Edition Multimédi@ : « Depuis trois ans, nos prévisions n’ont pas changé. Les coûts mondiaux des dommages liés à la cybercriminalité augmentent de 15 % par an et atteindront 10.500 milliards de dollars en 2025, contre 8.000 milliards de dollars en 2023. C’était 3.000 milliards de dollars en 2015 » (2). Rien que pour 2023, selon nos calculs, le cybercrime mondial pèse financièrement plus de deux fois et demie le PIB de la France, et plus de mille fois le PIB de la Principauté de Monaco où se tiennent chaque année ces Assises de la cybersécurité ! « Cadence des attaques, émergence des innovations [IA, quantique, deepfake, …, ndlr], rotations dans les équipes, profils des attaquants, environnement social et géopolitique, … : le RSSI est sous pression », a confirmé en session plénière (3) Sabrine Guihéneuf, présidente d’honneur 2023 de ces assises internationales, par ailleurs directrice de la cybersécurité et de la gouvernance IT du groupe français URW (4). Certains, comme chez l’électronicien Thales, s’attendent à « l’Apocalypse quantique ». D’autres, comme chez l’hypermarchant Carrefour, craignent les IA génératives dans le retail et le e-commerce. L’équipementier télécoms américain Cisco s’attend, lui, au pire durant les JO de 2024 à Paris.
Se cyberdéfendre à armes égales contre les hackers du monde entier (cryptage et vol de données, rançongiciel, Dos/DDoS (5), hameçonnage, authentification frauduleuse, deepfake, etc.), supposent aux victimes potentielles de recourir elles aussi à l’IA et à la cryptographie quantique voire post-quantique. @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

En bannissant sans limite Donald Trump, les réseaux sociaux Facebook et Twitter ont dépassé les bornes

Persona non grata sur des réseaux sociaux, l’ex-45e président des Etats-Unis Donald Trump – décidé à briguer un nouveau mandat en 2024 – fait l’objet d’un débat sur la régulation mondiale de l’Internet. Facebook, Twitter ou encore YouTube, sociétés privées devenues censeurs sans juge, mettent à mal la liberté d’expression.

(Finalement, le 4 juin 2021, Facebook a décidé de suspendre pour deux ans Donald Trump)

Il n’a plus rien à perdre. Quarante-cinquième président des Etats-Unis (janvier 2017-janvier 2021), Donald J. Trump (photo) – qui aura 75 ans le 14 juin prochain – compte bien se représenter à la prochaine présidentielle américaine de 2024 afin de reprendre sa revanche et de tenter d’être le 47e locataire de la Maison-Blanche. Car dans le monde réel, le turbulent milliardaire n’a pas été banni ni même jugé devant les tribunaux pour les faits qui lui sont reprochés, à savoir d’avoir « encouragé » – sur Facebook – ses partisans à envahir le Capitole des Etats-Unis lors de l’émeute du 6 janvier dernier. En réalité, le mauvais perdant n’a pas explicitement incité – ni encore moins ordonné – l’invasion par la foule du Congrès américain, alors en plein débat sur la ratification de l’élection présidentielle ayant donné Joe Biden vainqueur, mais peut-être implicitement en clamant qu’il avait gagné l’élection présidentielle. Nuance. Ce jour-là, devenu historique, le président sortant était d’ailleurs introuvable, sauf sur Internet pour affirmer qu’on lui avait « volé » l’élection en organisant une « fraude massive ». Jugé coupable le 5 mai par Facebook d’avoir, selon le numéro un des réseaux sociaux, « créé un environnement où un risque sérieux de violence était possible », Donald Trump a été exclu pour encore six mois – mais pas indéfiniment – de Facebook (où il comptait 35 millions d’amis) et d’Instagram (24 millions d’abonnés).

Entreprises privées versus Premier amendement
Ses comptes avaient été supprimés le lendemain des événements du Capitole. Car dans ce monde virtuel, les entreprises privées telles que Facebook ou Twitter ne sont pas soumises au Premier amendement de la Constitution des Etats-Unis d’Amérique interdisant de limiter la liberté d’expression. Donald Trump a ainsi été condamné dès le 7 janvier dernier au bannissement par ces réseaux sociaux tout puissants. « Les entreprises privées ne sont pas tenues par le Premier amendement. Et donc, il [Donald Trump] n’a pas le droit au Premier amendement. C’est un client. Facebook n’est pas un gouvernement, et il [l’ex-président] n’est pas un citoyen de Facebook », a d’ailleurs bien expliqué le 9 mai dernier Michael McConnell, coprésident du « conseil de surveillance » de Facebook, dans un entretien accordé à la chaîne d’information en continu américaine Fox News.

« L’erreur » de Facebook et de Twitter
Et sur sa lancée, le spécialiste du droit constitutionnel et professeur à Stanford a expliqué comment ce jury « indépendant » – appelé en anglais Oversight Board, où il a été nommé il y a un an parmi les vingt membres – a obtenu de la firme de Mark Zuckerberg que Donald Trump soit suspendu provisoirement de Facebook et d’Instagram et non sur une durée indéfinie voire ad vitam aeternam : « Ce que nous avons dit, c’est qu’[il n’était] pas justifié de [le] supprimer indéfiniment [comme envisagé initialement par Facebook, ndlr], qu’ils [les dirigeants de Facebook et d’Instagram] n’ont fourni aucune raison pour cela, que ce n’est pas une disposition de leur règlement, que c’est une erreur. Et nous leur avons donné un certain temps pour (…) mettre de l’ordre dans leur maison ».
Dans un tweet du 5 mai, l’Oversight Board, cette sorte d’ombudsman mondial, a même lancé : « Facebook a enfreint ses propres règles en imposant une suspension “indéfinie” » (1). Autrement dit, le groupe aux réseaux sociaux planétaires doit faire le ménage dans ses « règles chaotiques », « non transparentes », « pas claires », « incohérentes en elles » (2). Le « conseil de surveillance », qui a estimé nécessaire de faire des recommandations à la firme de Menlo Park (Californie) sur la façon de mettre de l’ordre dans ses règles pour les rendre plus acceptables, a donc décidé de maintenir jusqu’à début novembre 2021 l’interdiction faite à l’ancien président des Etats-Unis et le temps pour Facebook durant cette période de clarifier sa politique interne en général et vis-à-vis du « puni » en particulier. C’est un peu comme renvoyer dos à dos Trump et Zuckerberg. « Le conseil de surveillance confirme la suspension de l’ancien président Trump mais estime que la sanction de Facebook n’était pas opportune », déclarait le 5 mai l’organe privé de régulation (3) au moment de rendre son verdict sur « le cas 2021-001-FB-FBR » (4).
L’instance « indépendante » aux allures de cour suprême, financée par Facebook, a été créée pour juger et dire « quels contenus supprimer, quels contenus laisser en ligne et pourquoi ». C’est là que le bât blesse. Ecarté virtuellement « pour avoir encouragé les émeutiers » du Capitole (5), mais plus que jamais réellement présent dans la vraie vie pour se préparer à la campagne présiden-tielle de 2024, Donald Trump est devenu un cas d’école pour la régulation mondiale de l’Internet. D’autant que celui qui fut le 45e président des Etats-Unis a aussi été évincé de Twitter, de YouTube (plateforme vidéo de Google), de Snapchat (de la société Snap) et même de Twitch (filiale d’Amazon). Cette affaire montre les limites d’une régulation privée par des entreprises privées, à savoir une auto-régulation sans intervention du juge. Le verdict du tandem « Facebook- Oversight Board » crée un malaise bien au-delà du Nouveau Monde, tout comme son éviction à vie de Twitter (où le twittos @realDonaldTrump avait 89 millions d’abonnés) en début d’année et pour les mêmes raisons. Et ce, là aussi, sans que la firme de Jack Dorsey ne soit liée par le Premier amendement garantissant la liberté d’expression et sans qu’aucun juge n’ait eu à se prononcer sur cette sentence aux limites de l’arbitraire. Twitter a même enfoncé le clou en suspendant le 6 mai dernier plusieurs comptes qui relayaient des messages postés par l’ancien président des Etats-Unis sur sa nouvelle plateforme numérique lancée le 4 mai et baptisée « From the Desk of Donald J. Trump » (6) (*) (**). Celle-ci préfigure sous forme de blog ce que sera le futur réseau social en gestation du candidat à l’élection présidentielle de 2024. Le site web « Depuis le bureau de Donald J. Trump » renvoie aussi vers sa campagne « Save America » pour lever des fonds et où l’on peut lire « Le président Trump est toujours BANNI de Facebook ! Ridicule ! » (7). Tout le monde pourrait en rire, s’il n’était pas question dans cette affaire hors normes du sort de la liberté d’expression sur Internet et, partant, dans les démocraties dignes de ce nom. Que l’on soit partisan de Trump – passé quand même de 63 millions d’électeurs en 2016 à plus de 74 millions en 2020 – ou hostile à sa politique clivante et nationaliste, son cas est sans précédent en matière d’auto-régulation des réseaux sociaux.
La firme de « Zuck » a six mois pour trancher le dilemme que lui pose Donald Trump. Il y a fort à parier que le PDG cofondateur de Facebook réhabilitera l’impétrant dans sa décision finale attendue pour début novembre. Pendant que la pression monte aux Etats-Unis pour que soit réformée la section 230 du « Communications Decency Act » de 1996, qui accorde une « immunité » judiciaire aux plateformes numériques quant aux contenus mis en ligne par leurs utilisateurs (8), l’Union européenne est plus que sceptique sur le bannissement de Trump.

Police privée : l’Europe très sceptique
« Qu’un PDG puisse débrancher le haut-parleur du président des Etats-Unis sans autre forme de contrôle et de contrepouvoir fait plus qu’interpeller », a estimé le commissaire européen au Marché intérieur, Thierry Breton, dans une tribune publiée le 10 janvier (9). La chancelière allemande Angela Merkel a quant à elle jugé « problématique » cette éviction du président américain. De son côté, la Grande- Bretagne a présenté le 12 mai un projet de loi « Online Safety Bill » (10) en vue d’interdire aux plateformes numériques de discriminer les points de vue politique et de protéger la liberté d’expression avec possibilité de faire appel en cas de suppression de contenus. La police privée a des limites. @

Charles de Laubier

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques.

Chaîne de compromission « SolarWinds »
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage.
Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2). Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe.
Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire « forcera une évaluation approfondie des éditeurs de logiciels » et que « la réglementation sur le risque cyber devrait s’accroître pour la chaîne d’approvisionnement ». La « transition numérique » interroge ainsi plus que jamais les pratiques, les garanties, les responsabilités et la régulation même de la sécurité numérique.
Ce qui, en France, invite à rappeler tout d’abord la fonction institutionnelle du Premier ministre dans la protection et la régulation de la sécurité numérique nationale, à souligner ensuite la force de la récente décision n°2019- 810 QPC du Conseil constitutionnel sur les exigences de contrôle des garanties de sécurité, et à évoquer enfin les nécessités d’un renforcement des certifications obligatoires, des garanties et des responsabilités du côté de la chaine des fournisseurs d’informatique et d’infogérance en nuage. Le Premier ministre est institutionnellement le régulateur de la sécurité numérique nationale.
Au titre de ses attributions de responsable de la défense et de la sécurité nationale, il a pour fonction et mission de définir la politique, de coordonner l’action gouvernementale et de fixer et contrôler le respect des règles nécessaires aux besoins de sécurité des systèmes d’information (SSI) dans le cadre de la défense et de la promotion des intérêts fondamentaux de la nation, dont son indépendance, sa sécurité et les éléments essentiels de son potentiel scientifique, technique et économique incluant la « souveraineté numérique ».

Règles et référentiels de sécurité
Le Premier ministre dispose en particulier à cet effet :
du Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui préside le Comité stratégique de la SSI et prépare la réglementation ;
de l’ANSSI, qui élabore les référentiels d’exigences pour l’évaluation et la qualification des produits et des prestations de confiance pour les besoins de la SSI ;
du Service de l’information stratégique et de la sécurité économiques (SISSE), qui informe sur les entités, les réglementations, les standards de conformité et les pratiques d’affaires extérieurs susceptibles de menacer les technologies, les entreprises et les filières stratégiques pour l’économie française. Le Premier ministre structure les conditions et la filière de la cybersécurité nationale en promouvant et en approuvant les référentiels de qualification et d’exigences des produits de sécurité et des prestataires de service de confiance (3).
Des référentiels de qualification ont été fixés pour les prestataires d’audit de la SSI (PASSI), les prestataires de détection des incidents de sécurité (PDIS), les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires de services d’informatique en nuage (PSIN IaaS PaaS et SaaS). Ils sont en cours d’élaboration pour les prestations d’administration et de maintenance sécurisées (PAMS) et les prestations d’accompagnement et de contrôle de SSI (PACS).

Pouvoir de régulation du Premier ministre
Le Premier ministre fixe et contrôle le respect des règles de politique de SSI des opérateurs désignés d’importance vitale (OIV) et des opérateurs publics ou privés qui participent à leurs systèmes (4), ainsi que des opérateurs désignés de services essentiels au fonctionnement de la société et de l’économie (OSE) (5). Ces règles recouvrent les domaines de la gouvernance, de la protection, de la défense et de la résilience des systèmes et des activités concernés. Elles obligent ou préconisent le recours aux prestataires de service de confiance qualifiés, et peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
L’ANSSI souligne à cet égard, d’une part, que « la mise en conformité d’un [système d’information essentiel (SIE)] à la réglementation est de la responsabilité de l’opérateur », que « lorsque l’opérateur confie tout ou partie de la conception ou de l’exploitation [de son SIE] à un prestataire, le contrat doit prévoir les mesures de sécurité que le prestataire doit mette en oeuvre », et que « le niveau de sécurité exigé pour [son SIE] est le même que celuici soit directement géré par l‘opérateur ou qu’il soit confié à un prestataire », d’autre part, qu’« un prestataire qualifié fournissant une prestation qualifiée est considéré comme étant de confiance par défaut, alors que si la prestation n’est pas qualifiée, l’opérateur a la responsabilité de s’assurer du respect des exigences de sécurité par son prestataire » (6). Enfin, le Premier ministre contrôle et autorise l’exploitation par les opérateurs de réseaux 5G, directe ou par l’intermédiaire de tiers fournisseurs, des appareils (tous dispositifs matériels et logiciels) de connexion des terminaux au réseau qui, par leurs fonctions (7), présentent un risque pour le respect des règles de permanence, d’intégrité, de sécurité ou de disponibilité du réseau ou de confidentialité des messages transmis et des informations liées aux communications, et refuse l’octroi de cette autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense nationale « résultant du manque de garantie du respect [de ces] règles », en considération du « niveau de sécurité » et des « modalités de déploiement et d’exploitation envisagées » de ces dispositifs et du « fait que l’opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d’ingérence d’un Etat non membre de l’Union européenne » (8).
Dans sa décision du 5 février dernier (n°2020-882 QPC), le Conseil constitutionnel a remarquablement validé ce régime de contrôle et d’autorisation par le Premier ministre, en affirmant tout d’abord qu’il mettait « en oeuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la nation » en ce qu’il avait pour objectif de « prémunir les réseaux mobiles des risques d’espionnage, de piratage et de sabotage pouvant résulter des nouvelles fonctionnalités offertes par la 5G », en soulignant ensuite qu’il ne visait « ni un opérateur ou un prestataire déterminé ni les appareils d’un fabricant déterminé » et que le critère d’appréciation du risque sérieux d’atteinte « dû à l’insuffisance des garanties du respect des règles » lié à la considération du « fait que l’opérateur ou son prestataire est sous le contrôle ou soumis à des actes d’ingérence d’un Etat étranger » est cohérent avec l’objet de l’autorisation, laquelle est accordée « non pas seulement en fonction des caractéristiques de l’appareil », mais aussi au regard des modalités de déploiement et d’exploitation envisagées, « ce qui recouvre les opérations de configuration, de supervision ou de maintenance par des prestataires et sous-traitants ».

Garanties des fournisseurs d’informatique en ligne
Ces exigences constitutionnelles de sécurité numérique nationale pourraient supporter un renforcement des garanties de sécurité et de confiance du côté des fournisseurs d’informatique et d’infogérance en nuage, qui sont à la fois les principaux transitaires et bénéficiaires de la « transformation numérique » et des facteurs et des vecteurs de risques de sécurité bien identifiés avant l’affaire « SolarWinds » (9).
En décembre 2020, l’ANSSI appelait l’Union européenne à « élever le niveau de sécurité de la chaine d’approvisionnement » et à « garantir la sécurisation des chaînes de valeur numériques » en activant des « leviers tels que la certification ou encore l’encadrement de la responsabilité des acteurs privés ». A cette date, aucun des grands fournisseurs d’informatique et d’infogérance en nuage actifs en France ne présentait la certification de confiance de l’ANSSI. Elle n’était que volontaire et pourrait légitimement devenir une « norme » obligatoire. @

Contenus toxiques : la régulation des réseaux sociaux devra être a minima européenne, voire mondiale

La commission des affaires culturelles de l’Assemblée nationale s’est réunie le
21 mai pour examiner la proposition de loi pour lutter contre la haine sur Internet. Le texte sera débattu à partir du 19 juin à l’Assemblée nationale. Mais la rencontre entre Emmanuel Macron et Mark Zuckerberg, le 17 mai, avait des allures de négociation.

La pression monte autour de la députée Laetitia Avia (photo), la rapporteure de la proposition de loi visant à lutter contre la haine sur Internet, mais aussi sur les réseaux sociaux eux-mêmes.
Le texte, qui fut déposé le 20 mars à l’Assemblée nationale à l’initiative du gouvernement et du président de la République, doit être débattu à partir du 19 juin prochain au Parlement. Il s’inspire de la loi allemande de 2017, appelée « NetzDG« , en imposant aux Facebook, YouTube, Twitter et autres Snapchat, de retirer ou de rendre inaccessible dans un délai maximal de 24 heures après notification tout contenu haineux.

Vers des pouvoirs du CSA encore accrus
Sont visés les contenus comportant une incitation à la haine en général et toutes injures discriminatoires en raison de la race, de la religion, de l’ethnie, du sexe, de l’orientation sexuelle ou du handicap. Le Conseil d’Etat, dans son avis du 16 mai, a demandé plus de « clarté » sur les contenus listés au regard de ceux « odieux » déjà visés dans l’article
6 de la loi dite LCEN sur la confiance dans l’économie numérique. Le manquement à cette obligation de retrait sous 24 heures sera passible d’une sanction pécuniaire
fixée et infligée par le Conseil supérieur de l’audiovisuel (CSA) – aux pouvoirs encore renforcés (4) – et pouvant atteindre 4 % du chiffre d’affaires annuel mondial (sur l’exercice précédent) de la société opérant ce réseau incriminé. Ainsi, dans le cas de Facebook qui a fait l’objet d’un rapport de mission d’experts en France remis le 10 mai au secrétaire d’Etat au Numérique, Cédric O, l’amende pourrait atteindre 2 milliards d’euros (5) en cas d’infraction à cette future loi française. La France marche donc dans les pas de l’Allemagne, les deux pays de l’axe cherchant à convaincre leurs partenaires européens à adopter le même arsenal pour lutter contre ces contenus toxiques. Il s’agit pour le tandem Merkel-Macron de mettre le curseur au bon milieu, entre la censure généralisée de la Chine de Xi Jinping et le laisser-faire des Etats-Unis de Donald Trump. Alors que la France assure du 1er janvier 2019 au 1er janvier 2020 la présidence du G7, lequel accueillera à Biarritz du 24 au 26 août prochains les Etats-Unis, le Royaume-Uni, l’Allemagne, le Japon, l’Italie et le Canada (avec l’Union européenne), une réunion informelle des ministres du Numérique s’est tenue le 15
mai dernier à Paris (avec en plus l’Australie, le Chili, l’Inde, la Jordanie, le Sénégal, l’Indonésie, l’Irlande, la Norvège et la Nouvelle-Zélande). Parmi les trois thèmes principaux qui ont été à ordre du jour des discussions, est arrivée en premier la lutte contre les contenus haineux sur Internet (6). « Les pays du G7 doivent être en mesure d’assurer à leurs citoyens le respect de leurs droits et de leurs libertés en ligne.
La difficulté à lutter contre la haine en ligne témoigne de la nécessité de bâtir collectivement un cadre d’action plus efficace avec les plateformes en ligne », explique l’Elysée. Se prépare donc, sous l’impulsion de l’axe franco-allemand, une régulation mondiale des réseaux sociaux – pour ne pas dire de l’Internet. Cela se traduit par l’élaboration par les pays du G7 d’une charte contre les contenus de haine en ligne ainsi que la cosignature – prévue en août – par les Etats et les plateformes numériques d’un texte de lutte contre le cyberterrorisme et le cyberextrémisme. Les Etats-Unis ne sont pas signataires à ce stade.
C’est le 15 mai, dans le cadre de la 2e édition du sommet Tech for Good (7) créé à l’initiative du Président de la République (8), que ces engagements ont été pris.
Ils ont pris la forme d’un « appel de Christchurch », en mémoire du massacre de 51 musulmans dans une mosquée de Christchurch (Nouvelle-Zélande), le 15 mars 2019, par un suprémaciste australien qui a diffusé son acte en direct durant 17 minutes sur Facebook Live. L’appel a été signé par huit entreprises du Net : Amazon, Dailymotion, Facebook, Google, Microsoft, Qwant, Twitter et YouTube. La Fondation Wikimédia (Wikipedia) aurait également adopté ce texte, mais elle n’est pas mentionnée dans l’appel mis en ligne (9). Des réseaux sociaux chinois tels que Wechat, TikTok ou encore Weibo manquent à l’« appel de Christchurch » – pour l’instant (soutenir : ChristchurchCall@mfat.govt.nz).

La durée de 24 heures ne plaît pas à « Zuck »
Invité à l’Elysée le 17 mai, le PDG du numéro un mondial des réseaux sociaux s’est
vu remettre le rapport « Régulation des réseaux sociaux Expérimentation Facebook » élaboré durant un an en coopération avec son entreprise multinationale qui avait accepté cette « collaboration volontaire et hors de tout cadre juridique ». Emmanuel Macron et Mark Zuckerberg, qui s’était déjà rencontrés lors du 1er sommet Tech for Good l’an dernier, s’en étaient mis d’accord lors du Forum sur la gouvernance de l’Internet en novembre 2018. « Je suis encouragé et optimiste sur le cadre de régulation qui sera mis en place. Ce sera difficile pour nous et nous serons en désaccord sur certaines choses, c’est normal », a tout de même confié le patron de Facebook à sa sortie de l’Elysée, faisant notamment allusion à certaines dispositions de la proposition de loi française portée par Laetitia Avia comme la durée de 24 heures au-delà de laquelle il y aura sanction de 4 % du chiffre d’affaires. Il a demandé à Emmanuel Macron de remplacer cette durée par une « limitation de la viralité du contenu indésirable ».

Un régulation ex ante européenne ?
« Zuck » a pourtant appelé fin mars à « réguler Internet » dans une tribune publiée dans des journaux aux Etats-Unis et en Europe, dont Le JDD en France (10). Le « F » de GAFA et le « F » de France sont en tout cas d’accord sur le fait que, seule, cette future législation française serait un coup d’épée dans l’eau face aux réseaux sociaux sans frontières si elle n’était pas reprise au niveau européen.
La régulation des médias sociaux devra être a minima européenne, voire mondiale,
si elle veut être sérieusement efficace. Le rapport d’experts d’une trentaine de pages (11) estime à cet égard que l’Europe doit passer du pays d’installation au pays de destination. « Compte tenu de l’unicité et de l’ubiquité des réseaux sociaux, qui dépassent les frontières des Etats membres – un service unique accessible sur plusieurs géographies – cette régulation ex ante doit s’inscrire dans une dynamique
et un cadre européens. Néanmoins, la règle actuelle dite du pays d’installation, selon laquelle seul le pays qui accueille le siège du réseau social peut intervenir pour réguler ce réseau, s’avère inefficace ». Et de prévenir : « Toute initiative française devra donc avoir pour ambition d’inverser la logique européenne actuelle au profit d’une logique du pays de destination, selon laquelle la plateforme est responsable devant l’Etat membre où le dommage se produit, pour renforcer la capacité de chacun des Etats membres à maîtriser les conséquences de la globalisation ».
Le rapport « Facebook » et la proposition de loi « Antihaine » interviennent alors que
le cofondateur de Facebook, Chris Hughes, a appelé le 9 mai dernier à « démanteler Facebook » pour dissocier le réseau social des applications Instagram et WhatsApp. Outre un voyage d’étude à Berlin, pour étudier loi allemande NetzDG, et un séjour à Londres, les huit membres de la mission coauteurs du rapport « Facebook » – sous la direction de Benoît Loutrel, ex-directeur général de l’Arcep devenu quelques mois en 2017 directeur des relations publiques de Google – se sont entretenus avec : le ministère de l’Intérieur pour sa Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (Pharos) qui pourrait permettre le signalement et
la détection des contenus (12) ; le Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie nationale au sein du Service central du renseignement criminel (SCRC) ; le Secrétariat général aux affaires européennes (SGAE) auprès du Premier ministre ; ainsi que la Direction générale des entreprises (DGE) et la Direction générale du Trésor (DGT) au ministère français de l’Economie et des Finances.
La mission s’est en outre appuyée sur un précédent rapport remis en septembre 2018
au Premier ministre par la députée Laetitia Avia, l’écrivain Karim Amellal et le vice-président du Crif, Gil Taieb, visant à renforcer la lutte contre le racisme et l’antisémitisme sur Internet. En dehors de l’Etat français, la mission a aussi auditionné le Conseil national du numérique (CNNum) dont les membres sont nommés par le secrétaire d’Etat chargé du Numérique, l’Institut national de la recherche en informatique et automatique (Inria), ainsi que des acteurs privés ou associatifs, à savoir : Reporters sans frontières (RSF), le Centre on Regulation in Europe (Cerre), qui est
un think tank basé à Bruxelles (son directeur général, Bruno Liebhaberg étant aussi président de la chaire « EU Observatory on Online Platform Economy »), Google, Twitter, Snap, Webedia, Netino et la Quadrature du Net. Cette dernière, association française de défense des droits et libertés numériques, craint la mise en place d’une police privée. « Le but est purement et simplement de remplacer la justice publique par Facebook, Google et Twitter, en les laissant seuls maîtres de ce qui peut ou non être dit sur le Web », s’est-elle inquiétée.

« Police privée » versus juge des référés
Tandis que le ministère de la Justice, marginalisé dans ce projet « Anti-haine », a rappelé dans sa circulaire du 4 avril qu’il était préférable de recourir au juge des référés (13) pour éviter « un usage abusif (…) des dispositions permettant d’engager la responsabilité des acteurs d’Internet et de celles susceptibles de restreindre l’accès
à ces services de communication ». La proposition de loi « Macron-Avia » prévoit en outre de créer un « parquet spécialisé numérique » (14) ainsi que l’interdiction temporaire pour un individu condamné d’utiliser un réseau social. @

Charles de Laubier