Cyberattaques: «Les fournisseurs de logiciels devraient être tenus pour responsables»

 

WannaCry, WannaCrypt ou encore WCry. Voici un éventail des surnoms donnés au rançongiciel qui sème la pagaille planétaire depuis vendredi dernier. Selon Europol, WannaCry aurait fait plus de 200 000 victimes à travers 150 pays. Et ce n’est pas fini! Cette attaque, considérée comme la plus grande cyberextorsion de l’histoire, met en lumière d’importantes failles en matière de cybersecurité et le manque de coordination entre gouvernements et compagnies privées. Le point avec le spécialiste en e-diplomatie Jovan Kurbalija.

Ancien diplomate, docteur en droit international, Jovan Kurbalija est le directeur de la DiploFoundation (organisme spécialisé dans la formation des diplomates aux enjeux stratégiques d’Internet) et de la Geneva Internet Platform (GIP) (plateforme de discussion sur les enjeux numériques).

– Leila Ueberschlag: Quel regard portez-vous sur cette cyberattaque?

– Jovan Kurbalija: WananCry montre notre extrême vulnérabilité face aux cyberattaques et à quel point les gouvernements, des pays émergents comme des pays développés, manquent d’outils pour gérer ce type de problèmes. Cette attaque met également en lumière un problème structurel lié à l’architecture d’Internet. A l’époque de la conception du World Wide Web, les questions de sécurité auxquelles nous faisons face aujourd’hui ne se posaient pas. Les concepteurs d’Internet, des véritables experts dans leur domaine, n’avaient pas cela en tête.

– Faudrait-t-il changer la structure d’Internet ?

– C’est une question difficile qui pose des enjeux éthiques considérables. D’un côté, ce type d’attaque ne va faire que continuer si Internet reste dans sa configuration actuelle. D’un autre côté, si pour renforcer la sécurité on change la structure d’Internet, avec ses possibilités d’anonymat, nous prenons le risque de toucher à des droits fondamentaux tels que la liberté d’expression et le droit au respect de la vie privée.

– Le dirigeant de Microsoft a récemment proposé une Convention de Genève Numérique. Une telle initiative pourrait-elle être une solution?

– Une telle convention constituerait définitivement une avancée majeure en terme de gouvernance d’Internet. Cela permettrait d’augmenter la coordination – nécessaire et insuffisante à l’heure actuelle – entre gouvernements et compagnies privées. Cela permettrait également de rendre la gestion de ce type d’attaque plus facile, mais pas de résoudre le problème de base. Il est également important de noter que la convention proposée par Microsoft demande aux gouvernements de ne pas attaquer les internautes. Cependant, dans le cas de WannaCry on a affaire à des acteurs non-gouvernementaux, ce qui pose la question de l’attribution de ce genre de crime. On ne saura probablement jamais qui se trouve derrière cette attaque.

– Microsoft accuse la NSA de ne pas avoir assez protégé des données qui, après avoir été dérobées, ont rendu possible la gigantesque cyberattaque de vendredi dernier. Quelle est la part de responsabilité de Microsoft ?

– Microsoft est en partie responsable. Quand une série de voitures a un défaut de construction, les fabricants doivent payer pour les dommages causés. Je pense que les fournisseurs de logiciels devraient, comme ils tirent des avantages commerciaux de la vente de leurs produits, être tenus responsables pour ce genre de faille et les conséquences qui en découlent.

 

Pour aller plus loin:  la cyberattaque WannaCry est expliquée en détail sur le site de The Geneva Internet Platform Digital Watch Observatory.

Leila Ueberschlag

Leila Ueberschlag travaille actuellement pour «The Institute of Network Cultures» de l’Université des sciences appliquées d’Amsterdam, institut consacré à la recherche sur les nouveaux médias. Elle participe à l’organisation de MoneyLab, une conférence sur l’économie digitale. Journaliste de formation.

6 réponses à “Cyberattaques: «Les fournisseurs de logiciels devraient être tenus pour responsables»

  1. Article très intéressant, une grande question dans tout cela est: Est ce qu’une majorité des pays serait pres à adopter la convention internationale pour protéger l’information de leur citoyen? C’est un argument assez complexe, surtout dans un monde avec une nouvelle vague de nationalisme.

  2. La fin me laisse dubitatif… M. Kurbalija propose de faire payer les fournisseurs de services internet. Mais la cyberattaque actuelle est basée sur des failles de Windows (comme la plupart des malwares d’ailleurs), donc c’est Microsoft qui devrait être responsable, pas les gestionnaires de réseau! De plus, autant il serait moralement nécessaire que les éditeurs puissent être attaqués lorsqu’il y a négligence (faille évidente, porte dérobée, faille connue mais non corrigée dans des délais raisonnables), autant l’utilisateur final à sa part de responsabilité (ie installer les correctifs lorsqu’ils sont publiés. Les responsables IT des hôpitaux touchés doivent être renvoyés immédiatement pour faute grave, ils sont 100% responsables). Les choses se compliquent lorsqu’un éditeur (en l’occurrence Microsoft) pousse des choses autres en tant que correctifs de sécurité (par exemple des pubs et du siphonnage de données personnelles sous couvert de mise à jour de sécurité pour Win7): cela aussi devrait mettre en jeux la responsabilité de l’éditeur.

    1. Bonjour, merci pour votre commentaire. M. Kurbalija parlait des “software providers” donc des fournisseurs de logiciels et non pas des fournisseurs de services internet, il s’agit en effet
      d’une erreur de traduction de ma part qui a été corrigée. Cordialement. Leila Ueberschlag.

    2. Oui… mais si des utilisateurs bêtes ne mettent pas leurs machines à jour, est-ce la faute de Microsoft?
      Ou, si des idiots ouvrent des courriels reçus des personnes inconnues, est-ce la faute de Microsoft?
      Et, dans les entreprises, est-ce la faute de Microsoft que les entreprises ne font pas évoluer leur réseau ou les logiciels?
      Même quand le fabricant leur dit que IL FAUT mettre a jour?
      On ne peut pas tout le monde convaincre d’utiliser Unix, ou de leur expliquer, pour la Nième fois, qu’il faut être attentif avec tout ce que c’est électronique.
      J’utilise Microsoft depuis qu’il existe, et je n’ai jamais eu aucune attaque, et jamais je n’ai pas eu un virus. Mais je suis très a jour avec les patch de Microsoft, SQL ou tous les autres produits que j’utilise.

  3. Il y aussi quelque chose qui m’intéresse…
    La plupart des virus viennent par courriel. En dehors de ceux qui utilisent le courriel d’entreprise, la plupart utilisent des fournisseurs comme Yahoo, Google, Outlook… ou d’autres fournisseurs de ces services gratuits. Pas aussi gratuits comme ça parait, n’oublions pas toute la publicité qui s’affiche une fois que tu es en train de lire ton courriel.
    Ben, EUX… pourquoi ne peuvent-ils pas scanner les fichiers “joints” des courriels? Ça n’implique pas une perte de la vie privée, le courriel et/ou le fichier ne doit pas être ouvert… et on recevrait (éventuellement) un entête du courriel nous informant que le fichier joint au courriel que je voudrais lire contient (probablement) un virus… Je ne crois pas que c’est infaisable, un peu de volonté arrangerait cela.

  4. Pas seulement eux….

    http://www.sueddeutsche.de/digital/it-sicherheit-schwerwiegendes-datenleck-legt-zehntausende-schuldnerdaten-offen-1.3805589

    Donc une société reçoit des actes et dossiers médicaux ce qui est probablement juridiquement limite, ne se charge pas que ses équipements informatiques soient à jour et laisse ainsi une porte ouverte au hackers et leur permet de récupérer des gigabytes de données de personnes qui n’en sont pas informées….

    Tant que les dirigeants et responsables ne seront pas passibles de poursuites pénales comme c’est le cas lorsqu’il y a non-respect du secret bancaire, il n’y aura que peu de sécurité. Le jour où ils risquent des problèmes, ils mettront à disposition les budgets, le temps, les compétences, les équipements pour protéger les données.

    Mais bon on peut toujours rêver

    En attendant, des milliers de personnes ont leurs informations médicales et financières à dispostion de qui voudra payer …. pire, pas un journal ici en Suisse Romande n’en parle si j’en crois ce que ma dernière recherche internet me dit. Et le fameux Melani….rien.

    Alors peut-être que ce cas vous intéressera

Les commentaires sont clos.