C. L'INTERNET, SUPPORT D'UN MONDE D'HYPERSURVEILLANCE ET DE VULNÉRABILITÉ
Réseau de réseaux, l'Internet se caractérise avant tout par son architecture décentralisée. Cela semblait a priori garantir sa robustesse, du moins technique. Pourtant, l'expérience de ces dernières années a révélé certaines vulnérabilités et montré que tant l'évolution des technologies que celle des mentalités ont eu pour conséquence de transformer la promesse de liberté que constituait l'Internet en un fantastique outil de surveillance.
En facilitant le stockage et le traitement, le big data a en effet incité à une collecte exponentielle de données, notamment personnelles, que l'Internet des objets devrait encore venir alimenter. Ces données peuvent ainsi être exploitées aussi bien par les géants du net que par les services de renseignement, comme l'affaire Snowden l'a amplement démontré.
Parallèlement, la dépendance croissante de nos sociétés à l'Internet est devenue facteur de vulnérabilité, si bien que le réseau est maintenant le théâtre de véritables attaques.
1. Une collecte exponentielle de données, l'Internet des objets nourrissant le spectre de 1984
a) L'amélioration des techniques a permis l'émergence du big data
Comme l'expliquait M. Pierre Bellanger lors de son audition par votre mission d'information, l'Internet est régi par diverses lois, dont deux intéressent particulièrement la question des données.
La première est la « loi de Moore », du nom du cofondateur de la société de processeurs Intel, qui constatait empiriquement dès 1965 que le nombre de transistors par circuit de même taille doublait tous les dix-huit mois, sans augmentation de leur coût. Ce constat, jamais démenti jusqu'à présent, a ainsi été érigé au rang de loi affirmant que la capacité de calcul des puces électroniques double tous les dix-huit mois, à coût constant . Cette loi a été étendue aux mémoires de stockage des données.
La seconde règle est le « calcul de Grötschel » qui établit que la vitesse de calcul des algorithmes progresse quarante-trois fois plus vite que la puissance des microprocesseurs , les algorithmes pouvant être définis comme les séquences d'opérations et d'instructions d'un programme informatique.
Ces deux lois expliquent la diminution du coût du stockage et celle du coût de la puissance de calcul des ordinateurs. La combinaison de ces deux éléments permet en conséquence de traiter des quantités toujours croissantes de données, donnant naissance au big data . Le big data désigne donc l'ensemble des technologies, infrastructures et services permettant la collecte, le stockage et l'analyse de données recueillies et produites en nombre croissant, grâce à des traitements automatisés et au recours aux technologies de l'intelligence artificielle .
b) Le big data a fait des données « la ressource essentielle de l'économie numérique »
Si de nombreuses données ainsi collectées ou produites sont a priori anodines, le traitement qui en est fait, notamment par rapprochement et recoupement, tend à les rendre signifiantes. Le big data a donc permis aux données, notamment personnelles, de devenir « la ressource essentielle de l'économie numérique » , ainsi que l'ont mis en évidence MM. Pierre Collin et Nicolas Colin dans leur rapport sur la fiscalité du numérique précité. Comme l'indiquent les deux auteurs, « les données permettent aux entreprises qui les collectent de mesurer et d'améliorer les performances d'une application, de personnaliser le service rendu, de recommander des achats à leurs clients, de soutenir des efforts d'innovation donnant naissance à d'autres applications, de prendre des décisions stratégiques. Les données peuvent également être valorisées auprès de tiers concessionnaires de leur utilisation . »
« Carburant » de l'économie numérique, les données font donc l'objet d'une collecte tous azimuts . Celle-ci peut être « volontaire » : données publiées par les utilisateurs sur les différents réseaux sociaux (Facebook, Google +, Twitter...), données issues du développement du « Quantified Self » qui permet à chacun de « se mesurer » ou plus exactement de mesurer ses paramètres physiologiques pour mieux se connaître... Mais elle peut également être opérée à l'insu des individus par online tracking ou « traçage » des internautes lorsqu'ils naviguent sur le réseau, par exemple via des cookies . Ces données de navigation permettent de repérer les sites visités par les utilisateurs afin d'identifier leurs centres d'intérêts et d'élaborer des profils d'utilisateur. Ces profils sont souvent enrichis d'informations recueillies sur diverses bases de données publiques ou privées comme les réseaux sociaux, pour y inclure des données relatives à l'âge, au sexe, au nombre d'enfants, au niveau d'éducation...
Certaines entreprises se sont spécialisées dans le online tracking : les courtiers en données ou data brokers . Ces entreprises revendent les données collectées à des banques, des publicitaires, des agences de crédits, des assurances, des partis politiques... D'autres ont développé un modèle économique propre à l'Internet, qualifié de « bi- » ou « multiface » par MM. Collin et Colin, qui tend à devenir le modèle d'affaires dominant sur l'Internet. Sur la première face, un service rendu, gratuitement, au public permet de collecter des données qui seront exploitées sur un autre versant, par exemple en ciblant la publicité vers l'internaute ou en revendant ces données sur les marchés de traces. Les plateformes telles Google ou Facebook en sont les meilleurs exemples.
c) Des risques de manipulation et de discrimination inhérents au big data
Lors de son audition par votre mission d'information, Mme Valérie Peugeot a cependant dénoncé la « dérive de notre économie vers [ce modèle économique qu'elle qualifie d']économie de l'attention, où le marketing prédictif occupe une place prédominante, car c'est structurellement encourager la captation plus ou moins licite de traces ».
Outre ce risque de « vol » de données, cette « économie de l'attention » met en évidence le risque de manipulation des individus auquel nous expose le big data . À l'heure actuelle, le profilage des individus vise essentiellement à permettre de cibler la publicité, de façon à proposer aux internautes les produits dont leur profil laisse supposer qu'ils les intéresseront. Ce profilage pourrait cependant être utilisé à d'autres fins pour influencer les décisions des individus 53 ( * ) .
Ce risque de manipulation est d'autant plus grand que les capacités techniques nouvelles du big data rencontrent opportunément les aspirations d'une société de plus en plus averse au risque et cherchant par tous les moyens à s'en prémunir . Comme le remarquait M. Philippe Boucher, conseiller d'État honoraire : « Nous entrons dans la société du contrôle permanent, qui refuse tout risque ». Cela explique le succès de la co-production des données à laquelle se prêtent volontiers les internautes et qui aboutit au recueil de données en nombre toujours plus important dans l'idée que cette accumulation nous apportera une meilleure connaissance de tous les phénomènes, y compris humains. Lors de son audition, M. Viktor Mayer-Schönberger, professeur à l' Oxford Internet Institute , spécialisé en gouvernance et régulation de l'Internet, mettait toutefois en garde votre mission d'information : « La dictature des informations mine l'avenir de nos démocraties : on leur accorde davantage d'importance qu'elles n'en ont, en pensant qu'elles peuvent tout expliquer. On veut réduire les risques et les incertitudes. La circulation libre de flux de données sur Internet, combinée à leur analyse, nous donne des prévisions probabilistes semblant très précises. On sera tenté de réagir, non aux comportements, mais à leur prédiction, réalisée par des algorithmes. Cela reviendrait à nier son libre arbitre. Le risque, en abolissant ainsi la responsabilité individuelle, c'est d'abandonner la culpabilité humaine et donc l'innocence . »
En effet, la promesse de prédiction que recèle le big data ne doit pas faire oublier les méthodes mises en oeuvre pour « faire parler » les données. En raison de leur volume croissant, de leur diversité et de leur qualité variable, les données recueillies ne peuvent plus être traitées avec des méthodes traditionnelles ; elles représentent un véritable défi en matière de vitesse de traitement. C'est pourquoi de nouvelles méthodes d'analyse, fondées sur des calculs probabilistes , se font jour qui permettent de tirer des conclusions sans avoir à consulter toutes les données. En outre, le big data ne fait qu'établir des corrélations ; on ne saurait donc faire l'économie de la recherche d'explications causales au risque de commettre des contre-sens et des extrapolations abusives.
La force du big data est donc également sa faiblesse : une confiance aveugle en ses capacités prédictives conduit à réduire chaque être humain à des comportements dont les probabilités auront décrété qu'ils constituent la norme. Cela emporte un fort risque de discrimination entre les internautes, notamment de ceux qui s'éloigneraient de certaines normes.
Ainsi que le montre le rapport de M. John Podesta 54 ( * ) remis à M. Barack Obama, président des États-Unis, le risque de discrimination induit par le big data peut résulter de manière involontaire de la façon dont les algorithmes sont structurés. Le rapport donne ainsi l'exemple d'une application développée par la ville de Boston pour améliorer l'état des voiries en utilisant les données fournies par les GPS et accéléromètres placés dans les téléphones portables. Les développeurs se sont aperçus que les personnes âgées et celles de condition modeste possédant peu de smartphones et étant peu susceptibles de télécharger l'application, cela pourrait avoir pour conséquence de ne dresser l'état des voiries en vue de leur entretien que dans les quartiers occupés par des porteurs de smartphones . Cette discrimination peut toutefois également être volontaire pour écarter d'office certaines catégories de la population de l'accès à un emploi, à un crédit, à un logement...
d) Des risques renforcés par l'essor de l'Internet des objets
Prochaine étape du développement de l'Internet, qui n'en est encore qu'à ses prémices, ce que l'on appelle communément l'Internet des objets renvoie à la faculté dont se voient dotés de plus en plus d'objets, y compris les plus banals de notre quotidien, de communiquer entre eux et avec des systèmes informatiques à travers divers réseaux et en particulier l'Internet, afin de s'identifier, de se géolocaliser et de proposer de nouveaux services . Ce « web 3.0 » se propose, via des capteurs placés sur les objets connectés, de rendre plus « intelligents » un certain nombre d'équipements : la maison devient capable de réguler elle-même sa température, la smart city ou « ville intelligente », d'adapter l'offre de transport au trafic, les compteurs intelligents, de mieux anticiper les besoins énergétiques...
Cet essor de l'Internet des objets entraîne plusieurs conséquences.
Au niveau des flux échangés sur l'Internet d'abord, les connexions humaines marquent le pas sur les connexions entre machines, déshumanisant les échanges sur l'Internet . Selon une étude menée par la société américaine Cisco, citée par M. Per Stömbäck, responsable du Forum Netopia, au cours de son audition devant votre mission d'information, le trafic généré par les machines excèderait celui généré par les êtres humains dès 2020.
Ces données de plus en plus produites par des robots et analysées par des robots, conduisent à une prise de décision de plus en plus souvent assurée de manière autonome par des robots . Le big data s'accompagne en effet d'un essor des technologies de l'intelligence artificielle auquel on a recours pour analyser les données de masse, mais également désormais pour en tirer des conséquences et agir. L'exemple le plus flagrant en matière de prise de décision autonome par les automates est le trading haute fréquence : les algorithmes sont programmés de manière à exploiter le moindre mouvement de prix sur les marchés boursiers en se positionnant sur des laps de temps de l'ordre de quelques millisecondes. Le trading haute fréquence représenterait 50 % des échanges boursiers aux États-Unis et 37 % en Europe.
Or, on ne maîtrise qu'imparfaitement les effets de cette autonomisation croissante des machines. M. Murray Shanahan, professeur à l' Imperial College de Londres, observait ainsi qu'« il est très difficile pour les concepteurs de tout prévoir surtout lorsqu'ils ne peuvent apprécier l'interaction de leurs systèmes avec d'autres. Outre cette interdépendance systémique et la globalisation, la rapidité d'exécution empêche que soit vue toute anomalie par un opérateur humain, cette anomalie pouvant, par un effet domino, perturber l'intégralité du système et des infrastructures dont nous sommes dépendants . »
Surtout, la masse des données recueillies et l'intrusion dans nos vies qu'elle implique va connaître avec l'Internet des objets un essor sans précédent . M. Laurent Sorbier expliquait ainsi à votre mission d'information qu'en dépit de la faible mobilisation sociale contre les dangers de l'Internet, « le législateur ne saurait se désintéresser d'un tel sujet - d'autant qu'avec les objets connectés, nous allons franchir un nouveau cap vers des existences complètement numérisées, où les données personnelles et comportementales que nous enverrons en continu aux big data dresseront nos sociotypes avec toujours plus de précision, offrant toujours plus de capacité de contrôle aux États et d'intrusion commerciale aux entreprises. »
À sa suite, plusieurs personnes entendues par votre mission d'information ont exprimé cette même crainte de voir émerger une société de surveillance . Mme Valérie Peugeot décrivait ainsi la manière dont « nous avons inconsciemment construit une société de surveillance absolue » : « plus notre économie inventera des services qui auront besoin de s'appuyer sur de la donnée pour fonctionner [...], plus nous mettrons en place les infrastructures passives qui rendent les logiques de surveillance techniquement possibles, quel que soit le tiers qui décide de s'en servir . [...] Le marketing prédictif est le meilleur ami de la surveillance car il recueille et traite les données toujours plus fines sur l'individu qui rendent cette dernière techniquement possible. »
Dénonçant à son tour une « aliénation généralisée », M. Peter Warren, co-auteur du rapport Can we make the digital world ethical ? du Forum Netopia 55 ( * ) , s'inquiétait d'un « système où la surveillance est la règle, que ce soit dans la rue, désormais intelligente, avec votre portable, qui permet de connaître en temps réel votre géolocalisation, avec vos vêtements, qui seront en mesure d'émettre à tout moment un diagnostic sur votre état de santé et votre maison qui répondra à votre rythme de vie. Bref, la vie des individus va être cartographiée. » Il invitait à mesurer l'« avantage que peuvent retirer les agences de renseignements de cette profusion de données de masse ».
De fait, les révélations de l'affaire Snowden accréditent le risque de surveillance généralisée que comporte le big data et les performances croissantes des algorithmes de traitement des informations.
2. De nouvelles possibilités pour les services de renseignement
Les services de renseignement ont, de tout temps, cherché à collecter des informations et, pour ce faire, intercepté les communications. Comme le rappelait le rapport de MM. Marcilhacy et Monory de 1973, invoquant la tradition du « Cabinet noir », dont l'existence est attestée depuis 1633, et le « ramollissement des cachets » selon l'expression de Beaumarchais, « tous les régimes ont eu recours au viol des correspondances privées, jusqu'à ce que l'accroissement du volume du courrier postal et l'anonymat des envois, consécutif à l'emploi des timbres-poste, aient rendu matériellement impossible cette forme d'inquisition » 56 ( * ) . M. Olivier Guérin, délégué général de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), rappelait quant à lui que les écoutes téléphoniques sont pratiquement aussi anciennes que le téléphone lui-même. Ces exemples montrent combien les services de renseignement ont toujours su s'adapter à l'évolution des techniques. L'Internet n'a pas échappé à la règle .
Bien que son architecture décentralisée paraisse à première vue rendre la tâche des services de renseignement plus compliquée, l'Internet semble au contraire, comme on l'a vu ci-dessus, aboutir à une hyper-surveillance que les services de renseignement ont appris à exploiter. Cet effet d'apprentissage a été particulièrement rapide, comme l'expliquait M. Bernard Benhamou à votre mission d'information : « Les révélations d'Edward Snowden ont pris de court les experts, ainsi que les politiques, qui n'imaginaient pas qu'Internet permettait déjà de telles atteintes aux libertés publiques et à la vie privée. Nous pensions que les risques proviendraient de l'évolution vers l'Internet des objets [...] Cet Internet du futur, tel qu'il avait été évoqué lors de la conférence interministérielle européenne de 2008, exigeait que soient mises en place de nouvelles mesures de protection de la vie privée. Mais peu d'experts imaginaient que les violations de nos droits étaient déjà quotidiennes, orchestrées par les services de sécurité en prenant appui sur les réseaux sociaux et les moteurs de recherche, au point de poser un problème de confiance dans le réseau lui-même. »
Cette hyper-surveillance a donc été rendue possible dès lors que les services de renseignement ont su s'approprier les outils du big data . Là où jadis les services de renseignement voyaient leurs capacités limitées par les moyens humains à leur disposition, un agent étant placé derrière chaque écoute, l'accroissement des capacités de stockage et d'analyse décrit précédemment a permis de démultiplier ces capacités via l'automatisation.
Les révélations d'Edward Snowden ont, à compter de juin 2013, mis en évidence que la collecte en masse des données par les services de renseignement s'opère selon différents modes opératoires, l'interception intervenant à toutes les couches de la structuration de l'Internet 57 ( * ) .
Au niveau de la couche des infrastructures techniques d'abord, l' upstreaming permettrait la collecte des données par branchement direct sur les réseaux publics ou privés. Ces branchements seraient effectués aux points d'atterrissement des câbles de fibre optique et dans les centres de commutation des données. Il est également probable que de tels branchements aient été opérés directement sur les très nombreux câbles sous-marins, qui font transiter 99 % du trafic intercontinental de données numériques 58 ( * ) . Lors de son audition par votre mission d'information, M. Francesco Ragazzi, chercheur associé au centre d'études et de recherches internationales (CERI) de Sciences Po Paris et maître de conférences à l'université de Leiden (Pays-Bas), qui a contribué à l'enquête du Parlement européen sur les programmes de surveillance des différents services de renseignement, cet upstreaming serait « le fait des États-Unis, via la NSA, mais aussi du Royaume Uni, qui [aurait] placé quelque deux cents de ces dispositifs sur les câbles qui relient les îles britanniques à l'Europe et aux États-Unis, de la DGSE française, autour de Djibouti et ailleurs, du Bundesnachrichtendienst (BND) allemand, qui s'intéresse entre autres aux données qui transitent à travers l'Internet Exchange de Frankfort, de l'agence suédoise FRA ( Försvarets radioanstalt ), pour les câbles qui relient les pays Baltes à la Russie ».
Source : CNN - 4 mars 2014
Au niveau logique ensuite, les informations recueillies par votre mission d'information feraient apparaître plusieurs procédés d'interception. Ils pourraient, en premier lieu, consister en le détournement de modalités de fonctionnement normal de l'Internet dont les protocoles, ouverts, sont construits sur la confiance. Ainsi de l'exploitation du protocole BGP ( Border Gateway Protocol ) permettant la communication entre les différents réseaux qui forment l'Internet pour détourner des données afin d'espionner le trafic à destination ou en provenance d'une partie du réseau sans avoir à installer de matériel ou modifier les systèmes qui sont attaqués. En deuxième lieu, ces procédés exploiteraient les failles de certains protocoles. Ce serait par exemple le cas pour la faille Heartbleed révélée dans le protocole OpenSSL , dont les services de renseignement américains sont soupçonnés avoir eu connaissance et avoir tiré profit.
M. Edward Snowden a, par ailleurs, révélé l'existence du programme Bullrun visant à affaiblir les technologies de chiffrement. Ce programme aurait permis l'intervention des services de renseignement sous plusieurs formes : « collaboration avec les fournisseurs de produits et de logiciels de sécurité informatique, cryptanalyse mathématique et attaques par canal auxiliaire, falsification de certificats de clés publiques, infiltration et manipulation d'organismes techniques afin de leur faire adopter des normes non sûres, et utilisation coercitive probable d'injonctions judiciaires obligeant les créateurs de solutions de chiffrage à introduire des portes dérobées ( backdoors ) » 59 ( * ) .
Enfin, le programme Prism a permis l'acquisition de données sur réquisition des opérateurs privés après délivrance de mandats par la Foreign Intelligence Surveillance Court (FISC), conformément aux dispositions du Foreign Intelligence Surveillance Act (FISA). La publication par les « géants du net » - Facebook, Microsoft, Yahoo et Google - au mois de février dernier des détails sur le nombre de requêtes judiciaires reçues de la part des autorités américaines l'atteste.
Il convient au surplus de noter que la coopération des services de renseignement, dont les attentats du 11 septembre 2001 ont démontré l'impérieuse nécessité, accroît encore la masse de données à disposition de chacun des services de renseignement, compensant les inégalités de moyens 60 ( * ) .
En outre, ainsi que le faisait remarquer M. Maurice Ronai à votre mission d'information, « la centralisation des usages et des trafics autour de quelques plateformes a considérablement facilité la tâche de la NSA. Ce n'est pas elle qui a créé les services Web centralisés, comme Facebook ou Google, mais elle les a utilisés. »
Lors de son audition, M. Francesco Ragazzi indiquait que le plus frappant est l'ampleur du phénomène de surveillance qui s'opère désormais à grande échelle . Ainsi, le Government Communications Headquarter britannique intercepterait « à lui seul 21 pétaoctets de données par jour, l'équivalent de l'utilisation quotidienne de 2,1 millions de gros consommateurs de bande passante, ce qui laisse penser que la surveillance porterait sur 3 à 4 millions de personnes par jour ». Et M. Boris Beaude de conforter ce constat : « les questions de surveillance, c'est un sujet très ancien où Internet, en fait, n'a fait qu'accélérer les choses, en changeant l'ampleur de la surveillance possible et en ouvrant des fenêtres sur la vie privée comme aucun dictateur aurait pu espérer en avoir ».
Une fois les instruments de la collecte massive des données mis en place, les services de renseignement n'ont eu qu'à leur appliquer des algorithmes proches de ceux développés pour le profilage des consommateurs. Comme le disait M. Bernard Benhamou lors de son audition, « les capacités de surveillance et de « profilage » des individus atteignent des niveaux qui n'ont proprement rien à voir avec ce qu'ils étaient il y a vingt ans. La cellule d'écoutes de l'Élysée utilisait des cassettes magnétiques, qu'il fallait transcrire, interpréter ; aujourd'hui, un opérateur peut analyser des milliards de données numériques, grâce à des machines mais aussi à des algorithmes dont la puissance est en évolution constante. [...] L'analyse des « métadonnées » de communication (lieu, heure et type de connexion) permet à elle seule un « profilage » des utilisateurs dont la précision vous étonnerait... »
Tel serait l'objet par exemple du système XKeyscore, décrit comme un « outil d'exploitation/cadre analytique » permettant d'effectuer des recherches sur un ensemble de bases de données regroupant les données stockées dans sept cents serveurs répartis sur cent cinquante sites. Ce système indexerait « les adresses courriel, les noms de fichier, les adresses IP et les numéros de port, les mouchards (« cookies »), les noms d'utilisateurs et les listes d'amis utilisées par les systèmes de messagerie électronique ou de discussion en ligne, les numéros de téléphone et les métadonnées liées aux sessions de navigation (y compris les mots saisis dans les moteurs de recherche ainsi que les lieux observés par l'intermédiaire de Google Maps) ». Ce système permettrait aux analystes de rechercher les événements considérés comme anormaux, par exemple une personne chiffrant ses communications ou recherchant des contenus suspects. À partir d'un « événement anormal » pourrait se déclencher une collecte automatique de données liées à cet événement. 61 ( * )
La tâche des services de renseignement serait ainsi en quelque sorte facilitée par l'évolution des comportements, les individus se dévoilant de plus en plus sur les réseaux sociaux . Telle est la thèse soutenue par M. Laurent Sorbier qui expliquait lors de son audition que « l'action politique se heurte ici au fait que la conscience des citoyens et la mobilisation des décideurs face aux dangers d'Internet paraissent assez faibles, hormis la sphère assez spécialisée des activistes et des associations de défense des libertés ; la dissémination des données personnelles provoque une faible inquiétude, en particulier chez les jeunes ».
Par ailleurs, les études montrent une forme de résignation des populations face à cette surveillance exercée par les services de renseignement . Ainsi, un sondage diffusé le 25 février dernier par Orange/Terrafemina indiquait que 57 % des Français estimaient la surveillance généralisée des échanges sur l'Internet justifiée à des fins de lutte contre les organisations criminelles et ce, bien qu'elle nuisît gravement aux libertés individuelles.
Ces divers éléments ont conduit à une inversion dans la manière dont s'opèrent désormais les activités du renseignement . Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL), tirait des affaires récentes l'enseignement suivant : les affaires Snowden et Prism « illustrent une rupture absolue dans le paradigme de surveillance. Jusqu'à présent, le pacte tacite était que les activités des services de renseignement ne visaient que les populations dites à risque et les dirigeants. Avec Snowden, nous changeons d'univers car tout le monde est maintenant concerné par la surveillance : cela signifie que le système par défaut est devenu la collecte généralisée de données. Il s'agit d'une inversion de la surveillance et donc de la présomption d'innocence . »
Ce changement de paradigme est d'autant plus dangereux que comme M. Francesco Ragazzi l'expliquait à votre mission d'information, « la NSA procède à un traitement algorithmique des données, qui produit directement des listes de cibles potentielles pour les drones de la CIA. De là à l'élimination totale du facteur humain dans la détermination des cibles, il n'y a qu'un pas. »
3. Des cyberguerres à venir
Les drones et autres robots ne sont cependant pas la seule menace qui pèse sur les États et les opérateurs économiques à l'heure du numérique. En matière de cyber-sécurité, outre la cybercriminalité, trois types de menaces sont aujourd'hui à l'oeuvre sur l'Internet.
a) Une cyber-menace aux multiples visages
La première menace en termes d'importance est l'espionnage, et particulièrement l'espionnage économique . Cette menace concerne aussi bien les réseaux des administrations que des grandes entreprises : les informations visées peuvent être de nature politique, militaire, diplomatique ou économique lorsqu'un État est visé, technologique, commerciale ou financière lorsque l'attaque cible certains acteurs publics ou des entreprises. Selon M. Patrick Pailloux, ancien directeur général de l'Agence national de la sécurité des systèmes d'information (ANSSI), entendu par la commission des affaires étrangères du Sénat le 10 juillet 2013, « le patrimoine de notre nation est littéralement pillé par voie informatique », au point qu'il estimait qu'on n'avait jamais connu dans l'histoire « une telle situation de pillage organisé à grande échelle ». L'espionnage, souvent d'origine étatique, serait massif. Cette analyse semble partagée par d'autres, à l'instar de M. Philippe Lemoine qui déclarait lors de son audition par votre mission d'information que certains États tels les États-Unis n'hésitaient pas à mettre leurs services de renseignement au service des milieux d'affaires : « Aux États-Unis, le contexte juridique, avec au premier chef le Patriot Act, s'est traduit, ainsi que le révèle le Washington Post, par une habilitation au secret-défense de 840 000 personnes, dont 135 000 seulement dans les agences de renseignement. Autrement dit, beaucoup sont dans les entreprises. Ces personnes ont deux employeurs, leur entreprise, et la NSA... Dans cet important appareillage, une part, très visible, se concentre sur la lutte contre le terrorisme, mais la plus grande part, beaucoup moins visible, se voue à l'espionnage économique. »
La deuxième menace est la déstabilisation . Elle prend la forme de cyber-attaques visant à modifier le contenu des sites Internet attaqués, à en bloquer l'accès ou encore à voler les informations qu'ils contiennent afin de les rendre publiques. D'après M. Pailloux, de telles attaques seraient utilisées aussi bien dans des conflits internationaux - la France en aurait ainsi connu de faible ampleur alors qu'elle intervenait en Libye et au Mali - que dans des conflits franco-français. Il citait à cet égard l'attaque informatique contre le blog de M. Jean-Marc Ayrault, alors Premier ministre, dans le contexte de contestation du projet d'aéroport de Notre-Dame-des-Landes. L'exemple le plus marquant de cyberattaque demeure toutefois à ce jour celui de l'Estonie en 2007. Dans ce pays où la dématérialisation est très poussée - presque toutes les démarches administratives se font par l'Internet -, des attaques dites « en déni de service » ont visé les sites gouvernementaux, les médias, les banques et les opérateurs téléphoniques : saturés par une multitude de demandes de connexion simultanées, les sites ne répondaient plus, paralysant des pans entiers de l'activité du pays durant plusieurs semaines.
La troisième menace est le sabotage des infrastructures critiques , à commencer par les réseaux d'importance vitale comme l'énergie, l'eau, les transports ou des opérateurs également d'importance vitale tels les hôpitaux. Lors de son audition, M. Pailloux citait divers exemples d'attaques avérées : le virus informatique Stuxnet qui a détruit des centrifugeuses de la centrale nucléaire de Natanz en Iran ou l'attaque contre les banques de Corée du Sud lors de tensions entre les deux Corées.
Si aucune de ces menaces n'est tout à fait nouvelle, l'Internet leur confère une acuité d'autant plus vive que les attaques peuvent venir comme jadis de services de certains États, d'entreprises, d'organisations criminelles, mais aussi, et là réside la nouveauté, de simples individus . En effet, le coût d'une attaque informatique est minime, la location d'un serveur coûtant moins d'un dollar. Le bénéfice attendu en revanche peut être énorme car chacun place de plus en plus de valeurs sur l'Internet : les individus, leurs données bancaires ; les bureaux d'études, leurs productions intellectuelles ; les industriels, leurs outils de production... En 2013, année où l'on aurait découvert 26 millions de logiciels malveillants, la cybercriminalité aurait pillé pour l'équivalent d'une valeur économique de 190 milliards d'euros en pertes directes, hors coûts d'arrêt des serveurs infectés ou coûts de communication sur l'incident.
En outre, l'efficacité des attaques virales s'accroît au fur et à mesure de l'interconnexion des différents systèmes via le protocole Internet . Pour reprendre l'image utilisée par M. Hervé Guillou, président du Comité des industries de la confiance et de la sécurité (CICS) 62 ( * ) , le cyberespace est un pavé à neuf cases composé de trois couches traversant trois mondes. Ainsi qu'on l'a déjà vu, ce qu'on appelle usuellement l'Internet est en fait une superposition de trois couches : la couche physique - les câbles, les liaisons radios, les liaisons satellites -, la couche technique comprenant les normes et protocoles standards assurant le transport de l'information, et la couche informationnelle comportant les applications et les contenus. Ces trois couches « horizontales » sont communes à trois mondes « verticaux » que les développements informatiques ont historiquement conduit à cloisonner : l'informatique générale, l'informatique industrielle avec ses automates, sa robotique, ses outils de gestion de la production assistée par ordinateur, et l'informatique embarquée, à bord des avions notamment, qui se caractérise par la gestion en temps réel.
On assiste à l'heure actuelle à un double mouvement affectant cet ordonnancement traditionnel. En premier lieu, le protocole Internet est en train de déborder de sa deuxième couche originelle vers la première via la virtualisation des infrastructures et matériels : réseaux de télécom, routeurs, serveurs avec le cloud computing qui désigne le stockage des données et des applications non plus sur le terminal mais sur des serveurs distants, offrant la faculté d'accéder à ses données depuis n'importe quel terminal, tout en éloignant l'individu de ses propres données. En second lieu, le protocole Internet permet de connecter informatique générale et informatique industrielle d'une part, et informatique industrielle et informatique embarquée d'autre part. À titre d'illustration, on peut citer l'exemple de l'avion Airbus doté de sept adresses IP lui permettant de se connecter à des services électroniques d'approvisionnement, mais également de télécharger son plan de vol et de transmettre ses données de vol. Cette interpénétration des couches et des univers informatiques différents rend plus vulnérables les systèmes face à des attaques qui deviennent systémiques. Des pans entiers de la vie sociale ou économique peuvent désormais être détruits par une attaque ; le hacking est devenu une véritable arme .
Milton L. Mueller, professeur à la Syracuse University, a ainsi expliqué à votre mission d'information qu'à l'instar des marchés d'armes, il s'était développé un véritable marché des « Zero Day vulnerabilities ». La valeur d'une vulnérabilité informatique réside en ce qu'elle n'a pas encore fait l'objet d'une publication et est encore méconnue de la communauté de la cyber-sécurité. Son efficacité tient donc au fait qu'aucune réponse n'a encore été développée. Le virus Stuxnet qui a détruit des centrifugeuses iraniennes exploitait par exemple quatre de ces « vulnérabilités Jour Zéro ». Le magazine américain Forbes révélait en 2012 que les prix pouvaient varier entre 5 000 et 250 000 dollars selon les systèmes d'exploitation dans lesquels se trouvait la vulnérabilité 63 ( * ) .
b) Un constat d'impréparation des États et des entreprises
Face à cette cyber-menace de plus en plus prégnante, les différentes personnes entendues par votre mission d'information font montre de leur préoccupation quant au degré d'impréparation des différentes organisations et infrastructures européennes, en particulier des entreprises. La raison principale en est le coût de la mise en place de systèmes de cyber-sécurité efficaces qui constitue un investissement sans rentabilité immédiate. M. Jean-Claude Mallet, conseiller auprès du ministre de la défense, faisait ainsi le constat que les capacités de défense sont inversement proportionnelles à l'imprégnation du numérique dans notre vie quotidienne .
Pourtant, la cyber-sécurité fait l'objet d'une grande attention au niveau de l'Union européenne depuis le début des années 2000, attention renouvelée après la cyber-attaque dont a été victime l'Estonie en 2007. Dès 2001, dans sa communication sur la « Sécurité des réseaux et de l'information : proposition pour une approche politique européenne », la Commission soulignait l'importance croissante de ces enjeux de cyber-sécurité. En 2004 a ainsi été créée l'ENISA, Agence européenne pour la sécurité des réseaux et de l'information, qui a pour mission d'assurer un niveau élevé de sécurité des réseaux et de l'information. À ce titre, l'ENISA intervient en tant qu'expert en matière de sécurité des réseaux et de l'information auprès des autorités nationales et des institutions européennes et favorise l'échange de bonnes pratiques. Depuis 2010, elle organise, en coordination avec l'ensemble des agences nationales en charge de la cyber-sécurité ainsi que les entreprises privées du secteur des télécommunications et de l'énergie, des exercices de simulation de cyberattaque. Le troisième exercice de ce type a eu lieu les 28 et 29 avril derniers.
Malgré cette attention particulière et devant l'inefficacité des mécanismes purement incitatifs jusqu'alors prescrits dans ses communications de 2009 et 2011, la Commission européenne a publié le 7 février 2013 une proposition de directive sur la sécurité des réseaux et des systèmes d'information, dite « directive SRI ». Cette directive a pour objet le renforcement des capacités des États membres face aux cyber-menaces. Pour ce faire, la Commission propose deux types d'actions. D'une part, elle impose aux États un certain nombre d'obligations : désigner une autorité nationale compétente en matière de SRI - ces autorités nationales étant appelées à coopérer au sein d'un réseau européen -, se doter d'un centre d'alerte et de réaction aux attaques informatiques, élaborer une stratégie nationale de cyber-sécurité ainsi qu'un plan national de réponse aux cyber-crises. D'autre part, s'agissant des entreprises, la proposition de directive souhaite étendre à certains opérateurs de marché incluant les secteurs d'importance critique, les obligations pesant actuellement sur les seuls opérateurs de télécommunication en matière de notification d'incidents informatiques significatifs et de soumission à des audits réguliers conduits par l'autorité nationale compétente, sous peine de sanction.
Cette proposition ambitieuse de la Commission européenne a cependant été partiellement vidée de sa substance lors de l'adoption du texte en séance plénière au Parlement européen, le 13 mars dernier. L'obligation de notification des failles de sécurité n'a ainsi été maintenue que pour les « acteurs du marché », à l'exclusion des fournisseurs de matériel et de logiciel 64 ( * ) . Seuls les réseaux « critiques » y seraient donc soumis tandis que les administrations publiques, les éditeurs de logiciel, les réseaux sociaux, les fournisseurs de services en cloud et les fournisseurs de contenus notamment resteraient libres de notifier les incidents sur la base du volontariat. Pourtant, ainsi que le remarquait un observateur, dans 84 % des problèmes constatés, les failles se trouvaient du côté des logiciels 65 ( * ) . Cette position du Parlement européen augure mal des progrès nécessaires des entreprises en matière de cyber-sécurité.
La France a, quant à elle, d'ores et déjà mis en oeuvre une partie des obligations qui devraient résulter de la directive SRI. Après la création en 2009 de l'Agence nationale de sécurité des systèmes d'information (ANSSI) et la publication en 2011 de sa stratégie nationale de sécurité et de défense des systèmes d'information, elle a en effet érigé au rang de priorité nationale la cyber-défense dans son Livre blanc sur la sécurité et la défense nationale de 2013. À la suite de quoi, la France s'est dotée, avec la loi de programmation militaire du 18 décembre 2013 66 ( * ) , de nouveaux outils. Parmi ceux-ci, la faculté offerte au Premier ministre d'imposer aux opérateurs « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » les règles organisationnelles ou techniques de sécurité nécessaires à la protection de leurs systèmes d'information. Le Premier ministre sera désormais également en mesure de demander des audits ou des contrôles de sécurité à ces opérateurs qui ont, par ailleurs, une obligation de notifier les incidents affectant leurs systèmes d'information. 67 ( * ) Ce dispositif devrait concerner environ deux cents opérateurs.
Le chemin vers la sécurisation de l'Internet est donc encore long.
* 53 Cf. « Des utilisateurs de Facebook « manipulés » pour une expérience psychologique », LeMonde.fr , 30 juin 2014 : http://www.lemonde.fr/pixels/article/2014/06/30/des-utilisateurs-de-facebook-manipules-pour-une-experience-psychologique_4447625_4408996.html
* 54 Cf. big data : seizing opportunities, preserving values , Executive Office of the President, mai 2014.
* 55 Peter Warren, Michael Streeter and Jane Whyatt, Can We Make the Digital World Ethical ? Exploring the Dark Side of the Internet of Things and Big Data , Netopia, février 2014.
* 56 Cf . le rapport fait par MM. Pierre Marcilhacy et René Monory, au nom de la commission de contrôle des services administratifs procédant aux écoutes téléphoniques (n° 30, 1973-1974) disponible à l'adresse suivante : www.senat.fr/rap/r73-030/r73-0301.pdf
* 57 Les développements qui suivent s'appuient notamment sur l'étude « Les programmes de surveillance des États-Unis et leurs effets sur les droits fondamentaux des citoyens de l'UE » de la direction générale des politiques internes, Départements thématique C, du Parlement européen, septembre 2013.
* 58 Cf . David Fayon, ibid. p. 49.
* 59 Cf . l'étude du Parlement européen précitée, p. 19.
* 60 M. Francesco Ragazzi a en effet indiqué à votre mission d'information que « les chiffres [...] révèlent l'extrême disproportion dans les moyens. La NSA emploie 37 000 personnes pour un budget annuel de 7 milliards, le GCHQ britannique ( Government Communications Headquarters ), 5 600 personnes pour un budget de 1,2 milliard, et la DGSE française 4 600 personnes pour un budget de quelque 650 millions ».
* 61 Cf . l'étude du Parlement européen précitée, p. 18.
* 62 Cf . l'entretien donné à ParisTech Review le 25 avril 2014.
* 63 Cf . Andy Greenberg, « Shopping For Zero-Days : A Price List For Hackers' Secret Software Exploits», Forbes , 23 mars 2012.
* 64 Le considérant 24 bis de la directive à l'issue de son examen par le Parlement européen énonce en effet que « les fournisseurs de matériel et de logiciel ne sont pas des acteurs du marché comparables à ceux visés dans la présente directive » .
* 65 Cf. Nathalie Steiwer, « Accord fin 2014 sur la cybersécurité en forme de coquille vide » , Europolitics , 27 mars 2014.
* 66 Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
* 67 Cf . les articles L. 1332-6-1 et suivants du code de la défense.