Une trentaine de firmes internationales du secteur technologique se sont engagées à ne pas aider leurs gouvernements respectifs à mener des attaques informatiques.
À voir aussi sur Konbini
La Silicon Valley et ses homologues ont désormais leurs “accords de Genève”. Le 17 avril, 34 entreprises du secteur des nouvelles technologies, menées par Facebook et Microsoft, ont dévoilé une série de principes accompagnée d’une déclaration qui les engage à n’aider aucun gouvernement – pas même celui des États-Unis – à déployer des cyberattaques “contre des citoyens innocents ou des entreprises”, à l’heure où la Silicon Valley est de plus en plus critiquée pour ses flirts répétés avec les autorités militaires américaines.
Outre cette promesse de non-alignement, les firmes signataires de l’accord s’engagent également à “protéger tous les clients, peu importe les motivations derrière les attaques en ligne”, notamment en “déployant des défenses plus robustes contre les cyberattaques” et en mettant en place des partenariats entre elles, mais aussi avec “la société civile et les chercheurs en sécurité”. “Les conséquences réelles des menaces informatiques ont été régulièrement constatées. En tant qu’industrie, nous devons nous regrouper pour combattre la cybercriminalité et éviter que de futures attaques ne causent plus de dégâts”, a déclaré Kevin Simzer, Chief Operating Officer (CTO) de Trend Micro. Et sur le papier, on aurait presque envie d’y croire.
Le bien nommé “Tech Accord”, qui regroupe non seulement des géants comme Microsoft ou Facebook (qui, on imagine, a dû sauter sur l’occasion de se refaire une vertu médiatique) mais intègre également des entreprises de services structurellement essentiels au fonctionnement d’Internet (comme Cloudflare, qui gère et protège près de 35 % des noms de domaines dans le monde, ou Cisco, leader mondial de la fabrication de routeurs). On retrouve également des grands noms de la sécurité informatique (Symantec, Avast, F-Secure) et une flopée d’autres acteurs périphériques du hardware ou du software, comme Nokia ou LinkedIn. Résultat : une alliance inédite par sa taille et son hétérogénéité, qui tombe plutôt bien dans un contexte de défiance généralisée vis-à-vis de la Silicon Valley. À quelques détails près.
Sans Google ni Amazon, sans entreprises chinoises et russes…
Si l’empilement de noms posé sur la belle promesse de rendre les Internets plus sûrs pour vous, moi, et “le milliard d’objets connectés qui devraient être déployés dans les vingt prochaines années”, peut sembler au premier abord une bonne nouvelle pour la cybersécurité, difficile d’ignorer les absents de la liste, comme le rappelle le New York Times. Alphabet (Google), Apple et Amazon, pour commencer, qui ont refusé de signer l’accord… alors que plusieurs milliers d’employés de Google signaient la semaine dernière une lettre de protestation pour s’opposer à la collaboration entre l’entreprise et le Pentagone, via le projet Maven, pour améliorer la reconnaissance d’image des drones américains.
Ensuite, aucune firme russe, nord-coréenne, iranienne et dans une moindre mesure chinoise n’a rejoint cette liste, ce qui peut sembler problématique quand on se souvient que ces pays sont régulièrement cités comme responsables des attaques informatiques d’États de par le monde. Lundi 16 avril, les États-Unis et le Royaume-Uni publiaient un rare communiqué conjoint en forme de bilan de plusieurs années de cyberattaques, qui identifiait la Russie comme principale menace informatique non seulement pour les gouvernements occidentaux mais aussi pour les entreprises et les particuliers.
Autre absent de taille, la firme russe d’antivirus Kaspersky, un des leaders de l’industrie devenu persona non grata aux États-Unis après des révélations sur son implication, encore imprécise, dans la fuite de données de la NSA opérée en septembre 2014. Depuis le 12 décembre dernier, par décret de l’administration Trump, tous les produits de la firme sont interdits à la vente sur le territoire américain, alors que celle-ci continue de nier sa complicité.
Aux Nations Unies d’agir, pas au secteur privé
En l’état, donc, cette initiative privée est surtout une jolie déclaration de bonnes intentions, qui souligne surtout l’absence de réels “accords de Genève” de la guerre informatique, qui encadreraient les pratiques des États belligérants et minimiserait l’impact sur les populations civiles – un projet dans les cartons des Nations unies, mais encore très loin d’être réalisé.
Pourtant, le temps presse : selon Juniper Research, l’un des signataires de l’accord, la cyberguerre coûtera 8 000 milliards de dollars de pertes économiques dans le monde d’ici 2022. Outre l’aspect financier, la modernisation des attaques informatiques leur permet désormais de multiplier les victimes civiles (on pense notamment à WannaCry) et de mettre en péril des infrastructures physiques (comme la cyberattaque NotPetya, attribuée au Kremlin par Washington, qui paralysait le réseau électrique ukrainien en décembre 2017). Vu l’évolution rapide des menaces, les instances internationales ne peuvent pas se permettre de déléguer le problème au seul secteur privé.
