Par Farid Gueham.
Un article de Trop Libre
Le 12 novembre, à l’occasion de la réunion à l’UNESCO du Forum de gouvernance de l’internet (FGI), le président de la République, Emmanuel Macron, lançait l’Appel de Paris pour la confiance et la sécurité dans le cyberespace. Une déclaration en faveur de l’élaboration de principes communs de sécurisation du cyberespace ayant reçu l’appui de certains États, mais aussi d’entreprises privées et d’organisations de la société civile.
Cet appel se veut une nouvelle tentative visant à promouvoir la mise en place de normes internationales pour l’internet, de bons usages pour une « hygiène numérique » et davantage de coordination afin de limiter les failles techniques. Un document faisant office de feuille de route liste neufs objectifs, invitant les acteurs étrangers à ne pas s’immiscer dans les élections, ou encore à inciter les entreprises privées à se prémunir contre le piratage et à réagir face à la cybercriminalité. Le document fut approuvé par plus de 50 pays, 90 ONG et universités et près de 130 entreprises du secteur privé.
Un appel de Paris ignoré par les États-Unis
Au delà de l’adhésion optionnelle des États, l’Appel de Paris se veut avant tout un symbole : celui de la nécessité d’une nouvelle diplomatie, d’une coopération dans le cyberespace, un environnement où un État, isolé, peine à faire respecter ses lois. Mais au-delà du nombre de pays signataires, le fait marquant est certainement le nombre d’entreprises approuvant le texte, à commencer par les géants américains de l’internet, Microsoft, Facebook, Google, IBM ou HP.
Les États-Unis n’étaient pas les seuls à boycotter la démarche : la Russie, la Chine, l’Iran et Israël n’ont pas souhaiter ratifier le texte. Et parmi les absents, certains ont fait le choix d’une stratégie plus offensive en matière de cyberguerre, comme la Chine et l’Iran.
Microsoft revendique une collaboration étroite avec le gouvernement français dans l’élaboration de l’appel de Paris
Les observateurs voient dans cet engagement le signe que les entreprises du secteur de l’innovation entendent jouer un rôle actif et plus responsable dans la gouvernance d’Internet. « Il s’agit d’une occasion de s’unir autour de quelques-uns des principes clés : protéger les citoyens, les élections, l’accès à Internet. C’est une occasion majeure de progresser dans cette voie, grâce à un processus multipartite », déclarait Brad Smith, président de Microsoft, qui a également prononcé un discours lors de la rencontre. Le PDG s’est illustré dans une posture plus proche du législateur que celle du PDG.
Les géants de l’internet assument des responsabilités autrefois réservées aux États-nations
« Si l’on regarde en arrière, sur les trois ou quatre dernières années, nous constatons un mouvement de fond, une vague de leadership issue du secteur privé », déclare Megan Stifel, responsable des politiques de cybersécurité chez Public Knowledge, une des ONG signataires de l’Appel de Paris. « Le secteur privé est aujourd’hui assez mature pour affirmer que nous pouvons et que nous ferons plus ».
En avril 2018, Microsoft annonçait sa signature du « Cybersecurity Tech Accord », un accord similaire à l’Appel de Paris, ratifié par plus de 60 entreprises innovantes et souvent qualifié de « convention de Genève numérique». En juillet, la société plaidait publiquement en faveur d’une réglementation autour des technologies de reconnaissance faciale, affirmant que la société mettait en place sa propre charte, sanctuarisant les bonnes pratiques.
Microsoft s’est montré particulièrement offensif, entamant des mesures en justice contre le groupe de pirates informatique « Fancy Bear », dont les actions malveillantes émaneraient de Russie, selon les éléments d’enquête recueillis par le FBI. En août 2018, Facebook et Twitter collaboraient avec les autorités américaines afin de supprimer des comptes et des pages soupçonnés de faire partie d’une campagne de propagande provenant d’Iran.
Facebook a mis en place une « war room », une salle de guerre, véritable QG traquant les fake news, lors des élections de mi-mandat aux États-Unis, afin de rassurer ses abonnés sur l’absence de fraude pendant le scrutin. La lutte contre le cyber-terrorisme et l’observation de la légalité des élections étaient autrefois des tâches réservées aux gouvernements et à leurs administrations.
Cela n’est plus le cas : aujourd’hui, une grande partie de nos démarches civiques se fait en ligne, et nous nous exprimons sans retenue sur des plateformes privées propriétés de Facebook et de Microsoft, pour qui les mesures de l’Appel de Paris ne sont pas incompatibles avec leurs intérêts.
Si les entreprises adhèrent à l’accord, le soutien n’est que partiel
Mais peu nombreuses sont les entreprises qui souscrivent à la totalité des points de l’accord de Paris. Access Now, ONG qui plaide pour un internet plus libre et plus ouvert, s’est montrée particulièrement critique vis-à-vis de l’accord, s’attaquant plus précisément à deux parties du texte dans un billet publié lundi dernier sur son blog : l’ONG redoute qu’au nom de la lutte contre la cybercriminalité, entreprises et gouvernements ne soient contraints de partager les données des internautes, sans qu’une décision de justice ne l’ordonne.
L’Appel de Paris préconise également des mesures préventives contre le vol de propriété intellectuelle, mais ici encore, l’ONG pense que cette mesure pourrait nuire à la liberté d’expression. « Le document n’est pas parfait, mais il est nécessaire, car d’autres gouvernements, notamment ceux qui n’ont pas approuvé l’Appel de Paris, ont une vision opposée de la cyber-sécurité fondée sur la souveraineté et le contrôle de l’État », déclarait Drew Mitnick, conseiller politique de l’ONG Access Now, ajoutant que son organisation attendait avec impatience la prochaine édition de l’Appel de Paris, qui se réunira l’année prochaine en Allemagne.
D’ici là, il faudra convaincre les pays réfractaires comme les États-Unis ou la Chine d’adhérer, en misant sur le lobbying des grandes entreprises innovantes. Pour les observateurs et les ONG présentes, l’accord ne s’inscrit pas dans un champ d’action opérationnel : il n’a aucune valeur contraignante, et il n’est fait aucune référence au chiffrement des télécommunications, aux VPN ou à l’authentification à deux facteurs, pas même dans la partie dédiée à « l’hygiène numérique », comme le souligne AccessNow. Des écueils qui expliquent sans doute l’attentisme des non-signataires, peu inquiets quant à la portée effective du texte.
—
