Nous vivons dans un monde de plus en plus interconnecté, où les nouvelles technologies avancent à une vitesse vertigineuse, soi-disant pour nous faciliter la vie et la rendre plus pratique. Or les conséquences inattendues de ces évolutions ont fait émerger des menaces sinistres qui mettent non seulement notre vie privée mais aussi notre sécurité immédiate en péril.
Green European Journal: Quels sont les dangers réels et les menaces pour les citoyens de l’UE aujourd’hui en matière de sécurité numérique ?
Jan Philipp Albrecht: Les plus grands dangers proviennent de systèmes extrêmement peu sûrs, développés au fil des années, et du fait que la plupart des technologies actuelles n’ont pas été conçues pour être constamment connectées à Internet ni pour faire face à des attaques très sophistiquées. Cela rend chaque personne et chaque système vulnérables aujourd’hui. De nombreux produits et systèmes en ligne largement utilisés manquent de garanties de sécurité informatique de base et pourraient donc être piratés facilement avec des résultats très dommageables actuellement.
Ainsi, les menaces les plus importantes restent invisibles pour nous aujourd’hui. Lorsque l’on traite avec des banques ou des compagnies d’assurance, par exemple, les individus savent qu’ils prennent un risque de perte financière, mais ne perçoivent pas souvent le danger plus vaste de ce qui pourrait être fait avec leurs données ou avec certains systèmes s’ils venaient à être compromis à l’avenir. Le point, c’est que nous ne connaissons pas encore toutes les possibilités, et c’est là le plus grand danger.
Ralf Bendrath: Je pense que la menace principale pour le moment va au-delà du traitement des données – il s’agit de systèmes connectés qui peuvent désormais avoir des effets matériels. Récemment, une chaîne hôtelière a été victime d’une attaque informatique qui a bloqué les portes de toutes les chambres. C’était dû à des serrures électroniques reliées à des systèmes de contrôle centraux. Les hackers ont ensuite exigé une rançon aux propriétaires de l’hôtel — rançon qui a été payée. De même, des hackers américains ont démontré qu’ils pouvaient prendre à distance le contrôle du système de gestion du moteur d’une voiture et couper le moteur, roulant à environ 112 km/h sur l’autoroute, simplement en utilisant Internet depuis leur canapé. Cela peut coûter des vies. Cela peut empirer. Pensez aux pacemakers. On peut les programmer via Bluetooth sans chiffrement ni sécurité par mot de passe. Vous pourriez tuer quelqu’un, à quelques mètres de distance, grâce au Bluetooth. Voilà le vrai danger. Nous n’avons pas encore pleinement réfléchi à tous ces appareils physiques qui sont désormais connectés.
Et alors, c’est une menace très tangible, d’autant plus que nous voulons tous disposer d’appareils intelligents, de la voiture connectée au verrou intelligent ou à l’aspirateur intelligent. Comment réguler ce « Internet des objets » ?
Jan Philipp Albrecht: Ce n’est pas qu’il n’existe aucune réglementation, mais elle n’est pas appliquée ! Les nouvelles avancées technologiques se font sans respecter des normes de sécurité de base et des obligations légales. Il existe des règles, mais il n’est pas clair lesquelles s’appliquent aux nouvelles technologies et comment les appliquer. La première tâche consiste donc à vérifier dans quelle mesure les lois existantes pourraient s’appliquer. La seconde tâche consiste à concevoir de nouvelles lois, par exemple sur la sécurité informatique.
Aujourd’hui, il n’existe pas de norme de sécurité générale applicable à tous ces nouveaux outils – nos téléphones, nos montres connectées, ou nos voitures intelligentes. Nous avons besoin d’un standard technique de sécurité qui assure la sûreté des citoyens dans l’« Internet des objets ». Mais il faut aussi rendre les concepteurs et les fabricants responsables, avec des amendes et des sanctions s’ils ne se conforment pas. Non pas seulement en cas de dommage, mais en général : si une faille est détectée, ne serait-ce que par le simple fait du risque élevé qu’elle comporte.
En d’autres termes, la législation actuelle n’est pas adaptée à l’objectif. Le problème est que la réglementation, souvent issue du niveau national, prend du temps à suivre le rythme de la technologie. Comment s’y prendre ?
Jan Philipp Albrecht: Pour l’instant, de nombreuses entreprises produisent de nouvelles technologies et proposent directement de nouveaux services en ligne. C’est problématique, car elles n’arrêtent pas de se demander quelles lois elles doivent respecter et se contentent souvent de suivre leurs propres standards, attendant de voir si quelqu’un a un problème avec cela.
Beaucoup de pays sont laxistes dans l’application de leur propre réglementation et lois. Les entreprises profitent de cette faiblesse du régulateur, et dès qu’un État se plaint, bien souvent bien après les faits ou l’entrée sur le marché, elles invoquent le fait que les citoyens utilisent déjà leurs services et produits. En Europe, nous n’avons pas insisté suffisamment sur nos propres normes, mais cette position faible provient aussi du fait que nous ne disposons pas de normes mondiales. Pour une entreprise, il serait quasi impossible de produire et de se conformer à des centaines de lois nationales différentes.
Existe-t-il des normes de sécurité de base au niveau de l’UE pour protéger les citoyens ?
Jan Philipp Albrecht: Actuellement, il manque des normes de sécurité de base et une idée fondée d’environnements sûrs. C’est comme si l’on utilisait les routes sans code de la route clair, sans autorités indépendantes vérifiant la sécurité des véhicules ou le fonctionnement des feux. Tel est le paysage numérique actuel. Il ne s’agit pas d’imposer des mesures de sécurité excessivement contraignantes qui violent les droits fondamentaux des personnes, mais de normes de sécurité simples pour l’infrastructure fournie. Le problème ici est que cette infrastructure est, dans la plupart des cas, conçue et gérée par des entreprises privées. Elles n’ont pas d’incitation à appliquer des normes de sécurité de base, donc le politique doit les y inciter — créer l’environnement juridique dans lequel chacun peut sortir sans être blessé. C’est le principal défi du moment. Une fois que vous avez des normes de sécurité, savoir si des hackers peuvent pénétrer dans un système devient une autre question. Il faut discuter d’actions et de mesures proportionnées en matière de sécurité.
Ralf Bendrath: Dans le monde non numérique, ou analogue, la sécurité est souvent comprise comme la protection contre les dommages physiques. Mais nous savons aussi que l’on ne peut pas transformer chaque maison en bunker pour se protéger du monde extérieur. Dans le monde numérique, c’est différent, car tout repose sur du code informatique. Ce n’est que lorsque mon code présente des vulnérabilités qu’un coup numérique peut viser ma maison. Dans le monde numérique, si je le souhaite, je peux réellement fortifier mes systèmes et placer ma « maison virtuelle » sous un bunker numérique en m’assurant qu’il n’y a pas de vulnérabilités ou de portes dérobées. La défense est, théoriquement, plutôt solide.
Alors, comment garantir et faire respecter la sécurité dans l’Internet des objets en Europe ?
Jan Philipp Albrecht: D’abord, il faut poser des limites basiques puis s’assurer qu’elles soient respectées, afin de minimiser les risques d’attaques. Ensuite, en matière d’application, ce n’est pas très différent du monde physique : lorsqu’il y a un crime, on poursuit le criminel ! C’est aussi pourquoi il est important d’échanger des informations sur les attaquants afin d’enquêter sur les réseaux.
Ralf Bendrath: Peut-être que c’est légèrement différent et plus difficile que dans le monde analogique, dans la mesure où c’est toujours transfrontalier. Non seulement au sein de l’UE — bien sûr nous disposons d’un certain niveau de coopération et de coordination policières européennes, qui pourrait être amélioré — mais nous avons aussi besoin de règles communes avec d’autres pays.
Jan Philipp Albrecht: Il existe un centre de cybercriminalité à Europol et des efforts pour améliorer les compétences techniques et les capacités d’interopération afin d’obtenir une application juridique transfrontalière des affaires numériques. Je pense que les enquêtes dans le monde analogique devraient de plus en plus devenir numériques, car lorsqu’il s’agit de lutter contre le crime organisé ou le terrorisme, le champ d’action est de plus en plus numérique.
Ralf Bendrath: En plus des normes de sécurité et des questions d’application de la loi, il y a un troisième élément à traiter : le système d’immunité de l’Internet des objets. Les hacking bien intentionnés — appelés « white hat hackers » — ne doivent pas être criminalisés s’ils découvrent par hasard une vulnérabilité préalablement inconnue. Ils ne causent aucun dommage s’ils avertissent l’opérateur ou le fabricant du logiciel. Il faut encourager cela.
Les fabricants de logiciels renforcés ne peuvent corriger leurs vulnérabilités que s’ils en ont connaissance. Si les hackers ne les informent pas parce qu’il existe, par exemple, un marché noir rentable où ils peuvent vendre ce savoir — notamment sur les vulnérabilités que personne d’autre n’a encore découvertes, les fameux « zero days » — alors ils peuvent les vendre à des criminels ou même à d’autres acheteurs fréquents sur ces marchés : les agences de renseignement nationales ! Cela signifie aussi que les agences de sécurité nous rendent chacun moins en sécurité, en augmentant la rentabilité de la vente de ces vulnérabilités.
Sûrement les normes de sécurité sont essentielles, mais si c’est la réponse politique, quelle différence les Verts et les forces progressistes peuvent-ils apporter ?
Jan Philipp Albrecht: C’est là toute la différence ! Bien sûr, tout le monde souhaite un environnement sûr, mais lorsque l’on exige réellement qu’une entreprise, par exemple, installe des protections de base, les choses se corsent. Si un site doit n’utiliser qu’une connexion sécurisée, chiffrée avec HTTPS, ce qui le rend légèrement plus lent que la connexion normale, ces entreprises diront qu’elles ne peuvent pas se conformer à de telles exigences de sécurité car c’est un obstacle majeur pour les affaires et cela donne un avantage à leurs concurrents, car les clients iront ailleurs. De nombreux acteurs politiques se contentent de cette réponse. C’est comme la lutte pour les ceintures de sécurité dans les voitures. Pendant longtemps, les constructeurs automobiles pensaient que les obliger à installer des ceintures de sécurité pour protéger les conducteurs et les passagers signifierait la disparition de l’industrie automobile. Les responsables politiques ont accepté cela jusqu’à ce que les Verts et les militants des droits humains se mobilisent pour rendre cela obligatoire. Il ne faut pas sous-estimer l’importance même de petits changements dans ce système pour les consommateurs, ni la résistance que l’industrie va opposer.
Ralf Bendrath: Peut-être les Verts se trouvent-ils ici dans une position assez unique, car nous avons toujours été très forts sur les libertés civiles numériques – contre la surveillance de masse de nos télécommunications, par exemple – et grâce à cela, nous avons traditionnellement travaillé avec des personnes qui savent vraiment ce qu’est le numérique, comme la communauté des hackers, tel le Chaos Computer Club en Allemagne. Cela nous a permis de comprendre plus tôt que d’autres familles politiques qu’il fallait vraiment s’attaquer aux causes profondes. L’approche des autres familles politiques s’oriente généralement soit vers plus de surveillance, soit vers des partenariats public-privé utiles mais faibles.
Cette discussion nous amène également à des questions géopolitiques et matérielles très lourdes qui ont émergé après que le téléphone de Merkel a été mis sur écoute et que les révélations de la surveillance de la NSA au Brésil ont suscité l’idée d’avoir des câbles à fibre optique sous-marins « indépendants ».
Ralf Bendrath: Si l’on rend les systèmes plus sûrs, peu importe qu’un criminel ou un service de renseignement veuille m’attaquer et pénétrer mon ordinateur. Si mon ordinateur est plus sûr, alors toutes ces menaces, dans une certaine mesure, sont réduites.
Nous aurions alors besoin d’ordinateurs européens, car si ces produits proviennent d’ailleurs nous ne pouvons pas réguler le fabricant.
Ralf Bendrath: Oui, c’est là le point. Si c’est un logiciel libre et open source, c’est déjà plus facile. L’industrie européenne de l’open source est comme un géant endormi, soutenu par des entreprises et par le mouvement qui se cache derrière. Les révélations de Snowden indiquent aussi que nous devrions envisager de retrouver la capacité de produire du matériel en Europe que nous contrôlons et de ne pas dépendre de la Chine ou des États‑Unis, comme nous l’avons fait avec Airbus pour dépasser notre dépendance et le monopole de Boeing.
Jan Philipp Albrecht: L’Europe a été très naïve à cet égard par le passé. Nous avons accepté que des dispositifs venus des États‑Unis ou de Chine soient acceptables et nous n’avons pas jugé utile de vérifier les entreprises de télécommunications qui installent des logiciels et fabriquent nos objets connectés. Si nous voulons vraiment un environnement sûr, nous devons contrôler ce qui se trouve dans ces dispositifs et logiciels. Cela ne signifie pas produire tout en Europe, mais cela signifie que si nous achetons quelque chose ailleurs, lorsque les règles — et aussi les intérêts politiques — diffèrent, nous devons examiner chaque petit détail du système.
Les révélations de Snowden furent un tournant, car elles ont conduit les responsables politiques européens à prendre conscience de l’ampleur du problème — et du fait que les autorités ne peuvent pas garantir, à cent pour cent, que ce qui se passe en leur nom ou sur leurs systèmes est conforme à la loi. Cela remet en cause les principes fondamentaux sur lesquels nos démocraties reposent. Pour que les autorités agissent dans le cadre de la loi, elles doivent avoir la capacité de vérifier leurs systèmes. Si elles utilisent des produits, tels que des systèmes Microsoft, pour lesquels elles n’ont pas accès au code source complet, alors peut-être devraient-elles être interdites de continuer à les utiliser. Elles devraient être obligées d’acheter une alternative. Dans ma circonscription, quelqu’un est déjà en train de développer une alternative aux systèmes Microsoft, qui est open source, mais elle n’est tout simplement pas achetée. C’est étrange, car les autorités européennes pourraient être bien mieux loties et mieux maîtriser ce qui se passe si elles investissaient simplement dans une alternative différente.
En Europe, la sensibilisation à ces questions est encore bien trop faible, non seulement du grand public, mais surtout au sein des cercles des décideurs politiques. En particulier, si l’on pense deux coups d’avance et que l’on envisage les machines intelligentes qui s’auto-programment, la question sera immense sur le plan politique, social et éthique. Nous n’avons pas encore saisi dans quelle mesure tout cela va influencer nos vies. J’espère que nous pourrons continuer à nous former et à progresser rapidement sur ce sujet, sans avoir besoin d’événements extrêmes ou négatifs comme les révélations de Snowden pour réaliser à quel point cela est important.
Voyez-vous des signes que l’élan se construit, sur le plan politique ou parmi les militants de base, en faveur d’une action dans ce domaine ? Peut-on attendre que cela devienne l’un des grands thèmes des prochaines élections, en Allemagne ou au niveau européen ?
Jan Philipp Albrecht: Plutôt que la sécurité numérique, les questions centrales qui surgiront lors des élections européennes de cette année porteront sur la sécurité dans la lutte contre le terrorisme et sur la gestion des frontières extérieures et la question des réfugiés et de l’immigration. À mon sens, c’est une grave erreur, car les questions prospectives sur la sécurité numérique exigent réellement une prise de conscience publique et un débat politique. À l’avenir, beaucoup de métiers, des agents d’assurance jusqu’aux banquiers d’investissement, ne seront plus exercés par des humains mais par des algorithmes. Il se pourrait même qu’il y ait des chars autonomes en guerre. Nous devrons certainement nous pencher sur les lignes éthiques nécessaires pour de tels développements et sur les conséquences pour les personnes qui ont travaillé dans ces domaines auparavant. En parallèle des répercussions sur le système social, nous devons faire face au fait que tout cela est vulnérable aux attaques numériques, aux erreurs techniques et à l’insécurité. Cela touche tous les domaines.
