Sécurité sur le web, comment faire ?
28 février 2015
En juin 2013, Edouard Snowden, un ancien consultant de l’Agence Nationale de Sécurité américaine (NSA), révèle l’existence d’un programme secret de surveillance électronique, nommé PRISM. Depuis 2007, ce programme permet aux Etats-Unis de collecter en masse des informations sur tote forme d'activité en ligne (conversations audio, emails, photos, activités sur les réseaux sociaux, etc.), au niveau mondial, auprès d’entreprises américaines, dont Google, Yahoo!, Microsoft ou Apple, mais aussi de services de pays amis. Depuis, chaque semaine, sont révélées, partout dans le monde, des opérations d’intrusion menées par des services secrets. Dans cette vaste parade de l'observation mutuelle, il n'y a plus ni amis ni ennemis mais que des suspects. Car depuis le 11 septembre, les Etats-Unis, suivis par tous les grands pays, ont engagé une guerre totale contre le terrorisme en utilisant tous les moyens techniques pour capter les informations permettant de réduire le risque terroriste. La première réaction du gouvernement français, à la suite des attentats du 11 janvier 2015 a été d’allouer des ressources supplémentaires aux services de renseignement électronique. Plus encore, l’exploitation de ces informations autorise les Etats à procéder, comme dans Minority report à des interventions préventives contre des personnes dont « tout indique » qu’elle s’apprêterait à commettre un acte terroriste.
A la lumière de ces événements, citoyens et entreprises du monde entier prennent conscience avec indignation, mais aussi fatalisme, de l’ampleur de l’intrusion dans leurs données privées et confidentielles permise par les techniques de plus en plus sophistiquées. Mais est-ce un phénomène nouveau ?
En réalité, toutes ces affaires renvoient à de multiples notions de « sécurité ». Si l’intrusion des Etats dans la vie des citoyens n’est pas une nouveauté propre à la société de l’information, son ampleur et sa précision ont été décuplés par la puissance des moyens techniques. Toutefois il serait préjudiciable que le buzz médiatique autour de la cyber-guerre ou du cyber-terrorisme conduise à discréditer le web au risque d’en paralyser toute initiative d’utilisation pertinente. Cet équilibre délicat entre information, prévention, sanction et interdiction est bien illustré dans le préambule du « Rapport sur la cybercriminalité* » publié en France en février 2014 et fruit d’un groupe de travail interministériel : « Il importe d’avoir les yeux ouverts sur ces dangers nouveaux sans pour autant dramatiser, ni prétendre à un verrouillage sécuritaire d’ailleurs hors d’accès, mais aussi sans tomber dans un discours lénifiant invoquant une évolution inéluctable, un risque acceptable et préconisant le laisser-faire. L’objectif est bien de mieux cerner ces dangers, d’y sensibiliser tout un chacun et d’examiner la meilleure façon de les prévenir ou de les réprimer, sans porter atteinte aux libertés fondamentales auxquelles nous sommes tous attachés ; »
Le web est devenu aujourd’hui le vecteur incontournable de la compétitivité des entreprises et du fonctionnement efficient de la société. On peut plus s'en passer et même les pays autoritaires comme la Chine doivent autoriser que leurs citoyens exploitent le potentiel du web pour favoriser le développement économique. L’enjeu actuel pour les démocraties est bien de réconcilier capacité d’innovation, usages du web créateurs de valeur, et sécurité et ceci dans le respect des personnes et des libertés. Il faut que les démocraties reprenent un tour d'avance et réinventent ce qui a fait leur succès dans un tout autre contexte technique. Comme tout défi qui s’attaque aux conséquences sociétales des potentiels techniques, il est complexe, mulit-facettes et implique des réflexions et des pratiques nouvelles.
Essayons donc d’analyser les composants de la sécurité sur internet pour tenter de faire émerger les bases sereines d’une stratégie de protection. Car toutes les données ne se valent pas et il faut être en mesure, comme avec les biens physiques, de mesurer les risques, les coûts et l'efficacité des mesures de protection. chacun sait qu'une porte blindée banale ne résistera pas des heures à des professionnels équipés. Il en est de même en matière de sécurité numérique !
Tout d’abord, cette affaire révèle qu’un homme seul, Snowden, a pu mettre à jour une opération d’espionnage à grande échelle menée par la première puissance mondiale. Ceci prouve que le système est loin d’être infaillible. Or la notion d’espionnage n’est pas nouvelle et a rythmé l’histoire de la géopolitique internationale. Tous les Etats disposent d’une palette d’organismes de renseignements spécialisés dans le domaine militaire (Direction du renseignement militaire en France), économique (Direction de la protection et de la sécurité de la défense en France), de la sécurité intérieure (FBI aux Etats-Unis) ou encore de la sécurité extérieure (MI-6 au Royaume-Uni). Cette surveillance, élaborée au cours du XXe siècle afin de détecter les activités d’espionnage et de terrorisme dirigées contre les intérêts nationaux, se développe dans le nouveau contexte crée par la démocratisation des usages du web et le renforcement des moyens techniques. En France, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) a été créée en 2009 pour assurer la sécurité informatique de l’Etat. Si le numérique offre des possibilités croissantes aux internautes en termes d’accès et d’échanges d’informations, de produits et de services, l’évolution des menaces en termes de sécurité va naturellement de pair.
Les états ne se contentent pas d’une position défensive. Certains n’hésitent pas, comme dans une guerre classique, à exploiter leurs capacités à des fins offensives. Le piratage de Sony Pictures, qui aurait coûté à la firme 35 millions $, attribué à la Corée du Nord, sans preuve formelle pour le moment, en est un exemple récent, comme l’attaque désormais historique subie par l’Estonie en 2007. Les groupes mafieux et radicaux utilisent les mêmes moyens à des fins de chantage, de déstabilisation, de propagande.
Au-delà des actions entre Etats, trois champs distincts peuvent être identifiés: la cybercriminalité, la protection de la vie privée des utilisateurs et l’exploitation commerciale des données personnelles.
La cybercriminalité englobe les formes traditionnelles de criminalité, comme les escroqueries et la diffusion de contenus illicites par voie électronique. Elle comprend surtout des infractions propres aux réseaux électroniques : atteinte à la vie privée, cyberattaque visant les systèmes d’information, fraude informatique, déni de service etc. Le territoire de la cybercriminalité est mondial, les cibles sont multiples (entreprises, particuliers, gouvernements), les actes instantanés et les attaquants difficiles à localiser du fait de l’utilisation de machines mises en chaîne pour diffuser virus, vers et autres chevaux de Troie. Les attaques peuvent viser également directement des installations industrielles, des véhicules, des réseaux comme l’énergie ou les télécommunications, et demain potentiellement tous les objets connectés. Les cyberattaques de grande ampleur, comme celle qui a permis le détournement de 80 millions de dollars auprès de plusieurs établissement bancaire en Europe et en Amérique en 2012 ou celle qui a touché le secteur aéronautique français début 2014, préoccupent les Etats qui ont placé la cybersécurité parmi leurs priorités stratégiques. La Loi de Programmation Militaire (LPM) votée en France en décembre 2013 renforce le contrôle extra-judiciaire du web de façon très large, et controversée. La France a consacré en 2014 un milliard d’euros au renforcement des capacités nationales en matière de cyberdéfense pour se préparer à d’éventuelles attaques à grande échelle. De nouveaux efforts ont été annoncé par le Premier ministre en janvier 2015. La dimension internationale du phénomène implique une régulation et une prévention au niveau mondial, comme l’illustrent les réflexions sur la sécurité du web initiées au sein de l’Union Européenne, de l’ONU et de l’OTAN.
Le deuxième champ est celui de la protection de la vie privée. Courriels, recherches sur le web, géolocalisation, réseaux sociaux : l’adoption croissante des nouvelles technologies de l’information et de communication a multiplié les données personnelles disponibles sur chacun sur la toile. Nos mouvements immatériels sont tracés, comme le sont l’utilisation de notre téléphone mobile ou de notre carte de paiement. La collecte, le traitement et le stockage des données personnelles de chaque internaute sont encadrés par loi “Informatique et Libertés” de 1978 que la Commission nationale de l'informatique et des libertés (CNIL) est chargée de faire respecter en France. Mais le contexte de 1978, pré-internet, où les fichiers informatiques pouvaient être tracés précisément, ne ressemble plus au monde du web qui génère des exaoctets de données structurées et non structurées.
Toutefois rechercher et agréger les données en ligne sur un individu devient beaucoup plus facile que par le passé. Entre les données ajoutées volontairement par les utilisateurs et celles rendues publiques par d’autres, l’usurpation d’identité personnelle est un délit accessible, bien que puni pénalement. De nombreux sites ont renforcé leurs options de protection de vie privée depuis le scandale de PRISM mais la transparence sur les données conservées par les services en ligne n’est pas toujours au rendez-vous. L’exemple de Facebook est assez frappant : en 10 ans d’existence, le réseau social est passé d’un réseau fermé, restreignant l’accès aux informations uniquement à un groupe de personnes défini par chaque utilisateur, au partage public par défaut d’informations personnelles (nom, prénom, photos, listes d’amis, centres d’intérêts, etc.). De plus, même après la suppression de son profil, la firme californienne conserve sur ses serveurs les informations publiées sur son site : une politique, également appliquée par d’autres sites, qui alimente le débat encore naissant sur le droit à l’oubli numérique.
Enfin, au-delà de la protection de la vie privée des internautes, se posent des questions autour de la commercialisation des données personnelles récoltées sur le web. Les géants d’Internet ont développé un modèle d’affaires basé sur la monétisation des données personnelles de leurs utilisateurs en proposant des publicités ciblées en fonction de l’historique de navigation ou de l’analyse des emails, grâce notamment aux cookies. Ces fichiers qui permettent de stocker des informations spécifiques sur un utilisateur permettent en partie de bénéficier des services en ligne de façon gratuite. La CNIL a d’ailleurs prôné fin 2013 une plus grande transparence vis-à-vis des cookies en recommandant l’affichage de bandeaux informatifs sur leur exploitation et en demandant le consentement des internautes, technique appelée opt-in actif qui impose de demander expressément l’accord des intéressés pour interférer avec leur usage du web.
Il semble que ce compromis entre gratuité du service et exploitation des données privées ne soit plus satisfaisant pour les internautes. En effet, 20% à présent d’entre eux utiliseraient des bloqueurs de publicité dans leurs navigateurs Internet, comme AdBlock Plus, outil open source. Cette pratique en progression qui n’est pas sans conséquence pour les sites de contenus : ces blocages publicitaires se traduisent en pertes financières nettes pour les sites qui se tournent désormais vers des solutions payantes comme l’abonnement. Largement adopté par les plus technophiles au sein d’une panoplie d’outils anti-traçage, ces pratiques soulignent la volonté d’une partie des internautes de ne plus être la source passive de données susceptibles d’être exploitées commercialement.
Or l’exploitation des données en masse est considérée comme un des moyens marketing les plus puissants à la disposition des entreprises. Le marché du Big Data (ou « données massives »), qui représenterait déjà une dizaine de milliards d’euros en 2013 devrait ainsi croître entre 30 et 50% dans les prochaines années afin de permettre aux entreprises de tirer parti de ces flux de données et d’adapter leur stratégie. Certaines entreprises sont conscientes des risques pour leur image d’une stratégie abusive d’utilisations des données qu’elles collectent. Moins nombreuses sont celles qui ont pris conscience que leurs bases d’informations sur leurs clients, même transparentes et éthiques, peuvent devenir l’objet d’exploitation délictueuse des données qu’elles renferment par des tiers. Elles deviennent de fait garantes de l’usage indirect de ces données. La prise de position du président et directeur général de Ford au CES 2015, Mark Fields, sur le ferme engagement de sa société de protéger toutes les données conservées par Ford a indiqué une évolution majeure de la responsabilisation des entreprises.
Les objets connectés vont devenir une source majeure de collecte de données dans des domaines qui touchent de très près la vie quotidienne. L’irruption de données personnelles très privées liées à la santé, aux pratiques sportives, à l’alimentation, au rythme de vie et aux permettra d’établir des analyses précises des comportements individuels pour cibler encore mieux les propositions commerciales. Les risques d’intrusion non désirée et d’abus rendent indispensable une protection efficace de ces données et la répression efficace des pratiques délictueuses.
La sécurité sur le web est donc un thème à facettes multiples qui va alimenter le débat et la production juridique dans les prochaines années. Comme à chaque étape de la transformation technique de la société, l’arbitrage entre la liberté individuelle et les contraintes d’usage reste un exercice d’équilibre délicat où s’opposent capacités techniques, opportunités et inquiétudes. Lucidité et vigilance s’imposent dans un débat complexe loin de s’éteindre.
*http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf
Commentaires