Nicolas ARPAGIAN

Rédacteur en chef de la revue Prospective Stratégique Directeur scientifique du cycle « Sécurité Numérique » de l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ). Auteur du Que Sais-Je ? consacré à La Cybersécurité (PUF, 2010).

1/ Vous évoquez l'action des Etats : y a-t-il des frontières sur Internet, contrairement à l'idée reçue ? Les Etats n'arrivent-ils pas à dominer ce qui "entre" et "sort" de leur "territoire informatique"? Y a-t-il une "souveraineté informatique" ?

Internet n’est certainement pas un territoire où les Etats auraient renoncé à exercer leurs droits. Il y a des frontières sur le Net. Et quand la Chine souhaite limiter l’accès à certaines informations présentes sur la Toile à partir de son territoire, elle peut matériellement le faire. De la même manière dans le domaine des télécommunications quand l’Arabie Saoudite menace récemment le canadien RIM de couper l’accès à ses téléphones Blackberry sur le territoire du royaume si l’opérateur ne lui donne pas accès aux communications cryptées qui transitent par ses appareils. In fine la question réside surtout dans la capacité de l’Etat à assumer publiquement qu’il effectue un contrôle de l’Internet auquel accèdent ses ressortissants plutôt que de s’interroger sur le principe d’une telle surveillance dont l’existence ne fait plus aucun doute.

Par exemple, en Europe, Leonid Reiman, alors ministre russe chargé des télécommunications, a signé en février 2008 le décret qui oblige les fournisseurs d’accès à Internet et tous les opérateurs privés de téléphonie installés dans la Fédération de Russie ainsi que dans plusieurs pays de la Communauté des Etats Indépendants (CEI) de connecter leurs serveurs sur la base Sorm. La gestion de celle-ci relève directement de l’organe policier héritier du KGB, le FSB. Ainsi, le service de renseignement intérieur dispose en temps réel des moyens de contrôler les communications téléphoniques et Internet qui circulent dans sa zone d’influence. Pour ce faire, Moscou assume donc ouvertement son rôle de surveillant.

2/ A propos de territoire, vous mentionnez l'ICCAN, l'agence qui régule l'Internet, en insistant sur sa localisation états-unienne : s'agit-il vraiment d'un avantage de puissance qui permet de réguler tous les flux ?

Ce qui est choquant dans la tutelle de l’ICANN sur l’Internet mondial est le fait que cette structure de droit californien se trouve sous la double tutelle du ministère californien de la Justice et du ministère fédéral du commerce. Alors que rayon d’action et de responsabilité est mondial. Outre la singularité d’une telle hiérarchie, où le commerce se trouve placé au-dessus de la justice, il n’est pas sain qu’un seul Etat dispose d’un tel privilège.

La récente signature par Barack H.Obama de l’Affirmation of Commitments ayant pour but à terme d’élargir la gouvernance de l’ICANN à d’autres nations peut laisser songeur. En créant une batterie de comités d’audit interne auxquels l’ICANN devra par la suite rendre des comptes mais dont la composition des groupes et le choix des thèmes de compétence de ceux-ci laissent penser que rien de vraiment productif n’en sortira. Comme si la Maison Blanche avait instauré ces nouvelles enceintes de débat pour donner un os à ronger à ceux qui lui demandaient d’élargir sa gouvernance, notamment Pékin, sachant pertinemment que rien de tangible n’émanerait à terme de ces cénacles. Il faut ainsi conserver à l’esprit les mots de Barack H.Obama dans son discours du 29 mai 2009 consacré à la cybersécurité. Il qualifie alors de « bien stratégique national » l’infrastructure numérique. Précisant même que sa défense est une priorité de sécurité nationale.

3/ Les Etats ne reviennent-ils pas dans le jeu, ce qui explique leur faible volonté apparente de mutualisation des défenses, alors que le territoire cyber paraît justement mondialisé et transétatique ?

Comme je vous l’ai indiqué, je ne pense pas que les Etats aient été longtemps retiré du jeu. Hormis les quelques mois de l’ère de la bulle Internet de la fin des années 1990, où ils avaient été quelque peu « ringardisés » au profit des jeunes pousses qui incarnaient alors l’innovation et le dynamisme. Avec en outre le mythe d’une société globalisée, le village planétaire qui aurait Internet comme place du marché. Les Etats ont depuis, notamment après le 11 Septembre 2001, réaffirmé leur surveillance du réseau au nom de la lutte contre le terrorisme. Qu’il s’agisse de filtrer les listings de passagers des compagnies aériennes, les transactions financières transfrontières ou les communications numériques.

Par contre, ils préservent jalousement leur autonomie d’action sur le Net. C’est ainsi qu’en dehors d’une Convention du Conseil de l’Europe de novembre 2001 sur la cybercriminalité, il n’existe pas à ce jour de texte réellement international en matière de sécurité sur la Toile. Et encore les Etats signataires ont pour la plupart traîné des pieds lorsqu’il s’est agit de la transposer dans leur droit interne. Il suffit pour s’en convaincre de lire le tableau des ratifications dudit Traité mis soigneusement à jour par le Conseil. On y apprend ainsi que de grandes démocraties européennes comme l’Autriche, la Belgique, la Pologne ou la Grande-Bretagne ne l’ont toujours pas intégré dans leur législation nationale.

Dans le même temps, de nombreuses organisations internationales ont revendiqué tout ou partie de la compétence relative aux questions de sécurité sur Internet : Interpol, l’OTAN, l’Union Européenne, l’OSCE, le G7/G20… Un trop-plein de sollicitude qui finalement semble avoir eu raison de toute action un peu concertée à l’échelle internationale. Même au sein de l’Europe chaque Etat veille à se doter de ses propres moyens de défense en la matière. A l’instar de l’Allemagne qui a révélé avoir constitué sa propre unité de quatre-vingt cybersoldats. Chacun pour soi…

4/ N'est-ce pas dû justement à la possibilité de mener des actions offensives, ce que des modes plus classiques de conflit ne permettent plus ? Le cyber serait-il le nouveau territoire de la conflictualité ?

Internet a toutes les qualités pour séduire un agresseur. Le ticket d’entrée peut être bon marché, comme par exemple pour disposer d’ordinateurs contaminés afin de mener des attaques en déni de service. A l’insu de leurs propriétaires légitimes ces ordinateurs seront utilisés pour paralyser des sites gouvernementaux. On peut également voler des informations ou de l’argent. A chaque fois, l’établissement de la responsabilité de l’auteur est très incertain et les effets induits peuvent être spectaculaires. L’assaillant a donc tout à gagner avec ce support qui lui permet d’atteindre ses buts sans trop de risques, à ce jour, de voir sa responsabilité démontrer.

A l’instar du récent virus Stuxnet qui a frappé notamment des installations stratégiques iraniennes, pour lequel on s’est perdu en conjectures au sujet l’identité de son auteur. Sur le Net on peut se battre tant sur le terrain des idées, avec une guerre informationnelle qui peut porter sur le terrain économique, politique, culturel ou religieux. Que sur celui de la technique en mettant hors d’état de fonctionner des équipements industriels, des systèmes d’armes ou des installations médicales. Etant donnée l’omniprésence des technologies de l’information dans nos organisations modernes, la seule limite semble ici l’imagination. Et notre capacité à rétablir la situation une fois l’attaque survenue.

Nicolas Arpagian, je vous remercie d'avoir bien voulu répondre à nos questions.

Olivier Kempf