En route vers de nouveaux possibles

Je remercie le journal Le Temps pour l’opportunité qui m’a été offerte de partager mes réflexions au travers de ce blog Cybersécurité (2018-2023) ainsi que toutes les personnes qui par leur lecture ou par leurs commentaires ont contribué à rendre concret ce partage.

A toute chose, il y a un début et une fin et la fin est une ouverture vers de nouveaux possibles. Ce blog s’arrête, un autre s’ouvrira à l’automne 2023 sur le site de la fondation à but non lucratif FONDATION SGH – INSTITUT DE RECHERCHE CYBERMONDE https://fondationsgh.org/

L’information sera annoncée sur le site de la Fondation et sur mon site Swiss Cybersecurity Advisory & Research Group https://www.scarg.org/

Témoins de mes réflexions et de mon regard sur l’évolution de la cybersécurité et des pratiques numériques, les articles de ce blog et quels autres publiés ces dernières années sont devenus de facto constitutifs de « Mon Journal de la Cybersécurité ». Il est composé de trois volumes.

Mon Journal de la Cybersécurité – Saison 1, Cyberconscience (2014 -18).

Mon Journal de la Cybersécurité – Saison 2,  Cyberréalités (2019 – 21).

Mon Journal de la Cybersécurité – Saison 3 Fables de l’ère numérique, fables écrites durant la pandémie et illustrées par le dessinateur-philosophe Pecub.

Ces recueils sont disponibles en version électronique et / ou en version papier sur le site d’autoédition de Suisse romande ISCA (et sur toutes les plateformes associées).

Il viennent compléter mes derniers ouvrages, à savoir : Le roman « OFF » écrit à quatre mains avec Philippe Monnin (Slatkine 2023), «Cybersécurité. Analyser les risques. Mettre en œuvre les solutions » 7ème édition Dunod, 2022. « La cybersécurité pour tous » (Slatkine 2022).

Bien cordialement,

Solange Ghernaouti

 

 

Monoculture numérique et cybersécurité

L’âge d’or du féodalisme numérique

Les multinationales du numérique encouragent une monoculture informatique basée sur l’exploitation des données, la perte de maitrise par les usagers de leurs patrimoines informationnels et une économie de rente liée à l’usage d’infrastructures informatiques en nuage (cloud) qui leur est favorable.

Cette monoculture tend à transformer, chaque activité humaine et notre manière de faire société aux niveaux national et international.

Non, le code n’est pas la Loi[1], comme voudrait nous le faire penser toutes les entités qui définissent et commercialisent les programmes informatiques (Le Code) que nous utilisons, nous faisant accepter passivement que ce code ait force de Loi. Cela contribue à justifier l’inutilité de toute démarche de régulation classique ou du moins à la retarder. Au slogan « The Code is Law » est souvent associé celui de « There Is No Alternative ». TINA devient alors un mantra pour faire admettre la gouvernance algorithmique de la société. Le Code informatique ne devrait pas avoir pour vocation de réguler la vie des citoyens et des institutions publiques et privées.

Consentir que le régulateur soit le code informatique, produit dans l’obscurité du monde des affaires des multinationales, est une aberration. Il s’agit d’une abdication du pouvoir des États et des peuples, qui se soumettent implicitement à ceux et à celles qui rédigent le code, ou plutôt qui dirigent la réalisation du code informatique. En Suisse par exemple, l’abdication du pouvoir de l’État se matérialise aussi lorsque ce dernier délègue la réalisation du service universel de connectivité sur tout le territoire national à un acteur privé[2].

S’opposer au fait que subrepticement Le Code informatique fasse la Loi et devienne la Loi passe non seulement par la défense de nos valeurs constitutionnelles mais aussi par une certaine idée de la souveraineté numérique.

Un État qui valide son inféodation à des fournisseurs étrangers y compris pour des solutions de cloud, et qui de ce fait ne maitrise pas le droit applicable à ces infrastructures[3], accepte de perdre en souveraineté puisque sa puissance économique et son pouvoir d’action reposent alors sur des infrastructures numériques qui échappent à son contrôle.

Selon le communiqué du Préposé fédéral à la protection des données et de la transparence du 7 mars 2023 « L’administration fédérale passe à Microsoft 365 en nuage. … Ce n’est pas un changement habituel, étant donné que les nouveaux produits ne seront disponibles que sous forme de solutions en nuage public. De fait, l’administration fédérale dépend aujourd’hui des produits Office du groupe Microsoft. … Les utilisatrices et utilisateurs auront notamment l’interdiction de sauvegarder des données sensibles et des documents confidentiels dans le nuage de Microsoft. »[4].

En matière de cybersécurité, le roi est souvent nu

La maitrise de la cybersécurité des infrastructures numériques est devenue un enjeu majeur pour le bon fonctionnement de la société et ce sont les acteurs qui maîtrisent les solutions de cybersécurité et qui les contrôlent, qui sont en situation de pouvoir et de puissance. Dès lors, comment un gouvernement qui dépend d’infrastructures et de services d’origine étrangère peut-il pleinement assurer sa cybersécurité ?

Disposer d’une certaine autonomie numérique est donc crucial pour assurer la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie, santé …).

Développer localement un écosystème de la cybersécurité en investissant essentiellement dans des locaux et du marketing n’est pas suffisant. De plus, cela peut être contre-productif, lorsqu’au préalable, il n’y a pas de stratégie de mise en place des éléments de la maitrise de toute la chaine de développement de la cybersécurité et de son cycle de vie, afin de pouvoir réellement répondre aux besoins de sécurité et de défense du pays.

Attirer des acteurs étrangers à s’installer dans une région, contribue généralement à déstabiliser ou à absorber les acteurs locaux historiques, rarement à les consolider.

Pour ne donner qu’un exemple, en novembre 2022 la filiale cybersécurité d’Orange (Orange Cyberdefense) a acquis 100% des sociétés suisses SCRT et Telsys basées à Morges. La stratégie du groupe Orange est claire et annoncée « Après le rachat en 2019 de SecureLink et SecureData, Orange Cyberdefense poursuit sa stratégie ambitieuse tant organique qu’inorganique pour devenir le leader européen de la cybersécurité, grâce à son implantation dans 9 pays (France, Belgique, Danemark, Allemagne, Pays Bas, Norvège, Suède, Royaume-Uni et maintenant la Suisse) » [5]. Ce rachat consolide la position de cette multinationale sur le marché Suisse au détriment de la cybersouveraineté suisse.

Sans vision ni plan d’action des partenariats et des points de contrôle à mettre en place, tous les investissements publics pour développer le marché de la cybersécurité profitent alors essentiellement à tous ceux qui savent tirer parti des infrastructures locales et des collaborations de type « public-privé ». Le privé sait très bien comment bénéficier des investissements supportés par le secteur public.

Orchestrer et encadrer les activités de cybersécurité bénéfiques à la Suisse ne se résume pas à tenter d’imiter l’écosystème de la Silicon Valley ou celui israélien de la cybersécurité, souvent donné en exemple. Même à l’heure de la mondialisation, toutes les approches de cybersécurité ne sont pas transposables d’un pays à un autre, du fait de multiples facteurs liés notamment à la culture, à l’histoire, à la géographie ou encore aux capacités humaines en relation avec l’esprit de sécurité et de défense des civils et des militaires des pays concernés.

En Suisse, si la fuite en avant vers le tout numérique se poursuit et s’accélère, en ayant de plus en plus recourt à des solutions informatiques et à des systèmes d’intelligence artificielle préfabriqués et embarqués dans les offres des acteurs auxquels les institutions et la population sont déjà inféodés, pourquoi faire semblant de rechercher une pseudo-autonomie en matière de cybersécurité ?

Ce n’est pas une poignée de start-up, qu’elles soient financées ou non par des fonds publics, mais dont l’avenir est soit d’être rachetées par des multinationales, soit de disparaitre, qui pourra faire la différence. La faillite de la Silicon Valley Bank, spécialisée dans le financement de start-up du secteur des nouvelles technologie, qui a fermé ses portes le 10 mars 2023, devrait nous inciter dans tous les domaines, de faire preuve d’une certaine retenue numérique.

 

La retenue numérique, une innovation majeure

Comme il est urgent de faire face aux défis environnementaux, de réduire les cybernuisances et de gagner en souveraineté numérique et en cybersécurité, une logique de retenue numérique est une solution à prendre sérieusement en considération.

La retenue numérique est désormais à considérer comme un facteur d’évolution civilisationnelle, une innovation majeure au service d’une autre idée du progrès.

 

Notes

[1] The Code is Law est le titre du premier chapitre du livre de L. Lessing paru en 1999 intitulé « Code and other laws in cyberspace » Basic Books,A Member ofthe Perseus Books Group accessible en ligne à l’adresse

https://lessig.org/images/resources/1999-Code.pdf

« The Code is Law, on Liberty in cyberspace ». Lawrence Lessig. Harvard magazine (2000)

https://www.harvardmagazine.com/2000/01/code-is-law-html

[2] La société Starlink d’Elon Musk va combler les zones blanches du réseau mobile en Suisse.

[3] Exemple de loi extraterritoriale : Clarifying Lawful Overseas Use of Data (CLOUD) Act (USA, 2018).

https://www.justice.gov/criminal-oia/cloud-act-resources

[4] Un crédit d’engagement de 14,9 millions de francs a été approuvé par le Conseil fédéral le 15 février 2023. La migration devrait durer jusqu’en 2025.

[5] https://www.orangecyberdefense.com/fr/insights/actualites/orange-cyberdefense-acquiert-les-societes-suisses-scrt-et-telsys

 

Allier la conscience environnementale à la conscience numérique

Épisode 2

La fin du monde, un avenir durable ?

La domestication de la nature par l’homme est en cours depuis plusieurs siècles. Elle s’effectue le plus souvent selon une logique de domination qui conduit à l’épuisement des ressources. Chaque année le jour du dépassement de la Terre marque la date à laquelle, nous, les humains, avons consommés toutes les ressources écologiques disponibles. Ce jour révèle notre empreinte écologique en comparant la demande en ressources des gouvernements, des organisations et des personnes, à la capacité de régénération biologique de la Terre. C’est le 28 juillet 2022, dans un contexte de canicules, de feux de forêts, et de sécheresse, que ce jour de dépassement fut atteint. Ce qui revient à dire que pour continuer le « business as usual » nous devrions vivre sur 1,75 Terre.

Outre l’augmentation de la population, la pollution, le changement climatique nous sommes également témoin de l’effondrement de la biodiversité, de la destruction à grande échelle des écosystèmes et de la surexploitation des ressources, ce qui contribue fortement à accélérer le processus de dépassement des ressources.

Force est de constater que les modèles de développement sur lesquels nous nous appuyons pour produire toujours plus, consommer toujours plus, dans une vision de performance, de rationalité et de profitabilité économiques, ne peuvent être efficaces sans les sciences et les techniques dont les effets délétères sont des catalyseurs de nuisances écologiques. Ce que dénonçait déjà Eugène Huzar, dans son essai « La fin du monde par la science » publié en 1855 lors de l’exposition universelle de Paris.

Huzar, n’est pas contre le progrès, il s’interroge sur le type de progrès souhaitable et s’oppose à une science ignorante. Il considère que la société technoscientifique en train d’émerger, ne tient pas compte du décalage existant entre les capacités techniques et celles de prévision de leurs impacts négatifs sur le nature. Ainsi comme le rappelle l’analyse de Jean-Baptiste Fressoz, Huzar propose la première théorie du catastrophisme technologique dont l’apocalypse serait l’issue du fait que la science n’ anticipe pas assez les conséquences lointaines de ses productions techniques.

En démontrant qu’il ne peut y avoir de croissance infinie dans un monde fini, le rapport Meadows de 1972 « The Limits to Growth » (Les limites de la croissance) est le reflet de la catastrophe technologique évoquée plus d’une centaine d’année plus tôt, pris dans une dimension mondiale, une problématique globale et une urgence planétaire internationale.

20 ans plus tard, Le Sommet de Rio de 1992 ou « Sommet de la Terre » de la Conférence des Nations unies sur l’environnement et le développement durable indique le début d’une action internationale relatives aux questions environnementales.

Urgences environnementale, énergétique, numérique

Aujourd’hui les questions environnementales ne peuvent pas faire l’économie d’un questionnement sur les rôles et impacts du numérique considéré dans une perspective écologique et d’équilibres planétaires.

En effet, le numérique est un vecteur de dommages environnementaux et un consommateur de ressources naturelles. Pour qu’il puisse faire partie des solutions pour l’environnement, il est nécessaire de faire la balance des intérêts entre ses avantages et les risques globaux de sécurité qu’il engendre.

Ainsi, dans la continuité des débats initiés en 2019 sur « Transition numérique – Transition climatique », nous organisons à l’Université de Lausanne, le 16 mars 2023, une conférence publique Cybersécurité & Environnement (en partenariat avec l’Académie suisse des sciences techniques (SATW) et la Fondation SGH – Institut de recherche Cybermonde pour questionner les conséquences de nos pratiques numériques et pour réfléchir aux solutions porteuses d’avenir dans une perspective de développement durable.

De la désirabilité à la durabilité

Avant de pouvoir appréhender le concept de durabilité, il est absolument nécessaire de s’intéresser au préalable à celui de la désirabilité.

Les modèles économiques du numérique sont basés sur une connectivité et des usages permanents, sur des contenus surabondants, un trafic de données gigantesque. Cela est renforcé par une conception des produits faite pour les rendre addictifs, sur des normes comportementales pour les rendre obligatoire, sur un marketing du numérique pour maximiser la consommation numérique et sur l’obsolescence programmée.

Dans ces conditions, Est-ce que le numérique peut être compatible avec la protection de l’environnement, peut-il être renouvelable, doit – il être durable?

Penser le numérique en terme écologique nécessite de ne plus être sous l’emprise et la fascination d’un numérique basé sur le paradigme de la croissance et de la consommation infinies, ainsi que sur celle engendrée par une exploitation sans limite des données et des personnes.

Est-ce que l’informatisation de la société telle que nous la réalisons est désirable ?

Si l’on considère notre état de dépendance numérique, à des solutions et à des fournisseurs, la fragilisation de la société par le numérique, le nombre croissant des vulnérabilités des systèmes et celui des cybernuisances et cyberattaques ainsi que de leurs conséquences, souhaite-t-on réellement que cela soit durable ?

Est-ce que le « business as usual » doit perdurer ?

Réfléchissons d’abord à ce qui est réellement souhaitable et désirable avant de penser en terme de durabilité car ce terme est souvent détourné pour masquer un processus qui consiste à faire perdurer une certaine vision de la rationalité et de la performance économiques.

Les mots durable et durabilité sont devenus des mots valises, souvent fourre-tout, pouvant aussi servir des stratégies de green washing.

Les promoteurs d’une gouvernance algorithmique des affaires privées et publiques, qui s’appuient sur des décisions privilégiant la réduction de certains coûts à court terme au détriment de la sécurité générale et globale peuvent verdir leur discours, mais la réalité de leurs actes est souvent peu compatible avec la protection du vivant dans une perspective de développement réellement durable sur le long terme.

Comme le dénonce Evgeny Morozov dans son livre « Pour tout résoudre cliquez ici – L’aberration du solutionnisme technologique »[1], appréhender des questions complexes ne consiste pas à activer une application pour tenter « tout résoudre », ni à augmenter le nombre de centres de données (data centers), mais à considérer qu’une approche « Low-tech » puisse faire partie des solutions. En effet, non seulement nous ne pouvons plus faire comme si nous ne savions pas, comme s’il suffisait de croire au miracle technologique pour appréhender le changement climatique qui annonce des bouleversements d’une ampleur sans précédent.

Mon article “L’urgence numérique, une urgence environnementale” complémentaire à celui-ci, est accessible sur le site de l’Académie suisse des sciences techniques (SATW) depuis le 1 mars 2023.

Note

[1] Cet ouvrage de 2013 (dont la version française a été publiée en 2014 par les éditions Fyp) fait suite à son précédent ouvrage de 2011 « The Net Delusion : The Dark Side of Internet Freedom » -La désillusion du Net, la face obscure de la liberté sur Internet.

 

 

Faire face à l’illusion d’un numérique salvateur

Épisode 1

La fin de la naïveté

La technologie n’est pas neutre

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Il serait naïf de continuer à croire que seuls les bons ou les mauvais usages qui peuvent en être faits sont du ressort des utilisateurs et de leur éthique. En effet, depuis Prométhée dont le mythe rappelle qu’il dérobe le feu à Zeus pour le donner aux hommes, nous savons que « Toute innovation technique est à double face selon le changement qu’elle opère dans la distribution et l’exercice du pouvoir, elle enlève le pouvoir à certains pour le donner à d’autres, en changeant la réalité pour tous » [1].

C’est à la lumière de l’exercice du pouvoir et de l’expression de la puissance des acteurs qui imposent les technologies, qu’il est nécessaire de lire les conséquences de l’adoption de nouveaux usages numériques. Cela sans occulter les usages abusifs, détournés, criminels, terroristes et conflictuels qui peuvent en découler [2].

Le pouvoir numérique est dans les mains de ceux qui conçoivent, commercialisent, mettent en œuvre, gèrent, les infrastructures numériques, dans les mains de ceux en mesure de les pirater, de les saboter et de les cyberattaquer [3] rarement dans les mains des utilisateurs.

Un triple mensonge ontologique

L’adoption de nouveaux usages numériques s’est bâtie sur un triple mensonge :

  • Celui de la gratuité. Les utilisateurs payent avec leurs données. L’économie du numérique est bâtie sur l’exploitation des données collectées gratuitement et non sur leur protection.
  • Celui de l’illusion de liberté. Il ne peut s’agir de liberté lorsqu’il y a dépendance au numérique et à ses fournisseurs pour vivre tenu en laisse électronique et sous surveillance informatisée.
  • Celui faisant croire que l’évolution technologique est une évolution naturelle inéluctable. L’idéologie numérique n’est pas le résultat d’une évolution de la nature, elle reflète les affrontements économiques, politiques et les enjeux de rivalité de ceux qui imposent les modèles économiques et les usages numériques.

Le numérique porte une vision du monde, tels que promus par les géants de la Tech, qu’ils soient d’origine américaine ou chinoise, qu’elle est la notre ?

Les technologies sont le fruit d’une vision politique et économique. Elles modifient profondément la manière de vivre aux niveaux individuel et collectif dans les sphères privées, professionnelles et publiques, avec des répercutions sociétales et géopolitiques à l’échelle nationale et internationale.

Sortir de l’hypnose d’un numérique « Salvator mundi »

Il est temps de sortir de la croyance qui prétend que la technologie peut répondre à tous les problèmes politiques, économiques, sociaux ou environnementaux.

Il est temps de ne plus croire que notre existence, notre bien-être et notre sécurité dépendent uniquement du numérique.

Il est temps de comprendre les enjeux de puissance et de rivalité des acteurs du numérique pour trouver des alternatives crédibles à la fuite en avant du tout numérique, à la course à l’armement technologique et à la soumission généralisée qui consiste à être inféodé à l’industrie du numérique et à ses acteurs hégémoniques [4]. Ces derniers, dont l’unique objectif est de générer des profits, savent promouvoir leurs intérêts en passant aussi par des influenceurs et des acteurs locaux, le plus souvent juges et parties, dont les principales contributions sont de rassurer la population, de favoriser la fabrique de la servitude volontaire [5] et celle du consentement non éclairé.

Notes

[1] « Technocivilisation pour une philosophie du numérique », R. Berger, S. Ghernaouti, EPFL Press, 2010.

[2] « Cyberpower, crime, conflicts & securtiy in cyberspace » S. Ghernaouti, EPFL Press, 2013.

[3]  « La cybercrimnalité, les nouvelles armes du pouvoir » S. Ghernaouti, EPFL Press, 2017 (Prix 2018 du livre du Forum International de la Cybersécurité).

[4] « Techno-féodalisme, critique de l’économie numérique », C. Durand, Editions Zones, 2020.

[5] « La nouvelle servitude volontaire. Enquête sur le projet politique de la Silicon Valley. P. Vion-Dury. Editions Fyp, 2016.

Le cyberespace ne fait pas oublier l’espace

Quelques réflexions suscitées par la destruction le 4 février 2023, d’un « ballon » par les USA.

Les avantages de l’usage d’aéronefs pour surveiller

Les satellites et les drones sont aussi des moyens dédiés à de la surveillance mais ils ne présentent pas les mêmes avantages qu’un ballon. Ce dernier, plus difficile à détecter et à abattre, se déplace plus lentement et peut rester plus longtemps sur un objectif. De plus, il est peu gourmand en énergie et nettement moins cher que les satellites et les drones de surveillance. Il est connu que les ballons sont des instruments de surveillance, selon les témoignages celui-détruit le 4 février 2023 était haut d’environ 60 mètres avec une nacelle pesant plus d’une tonne. Il s’agit d’un aéronef « high-tech » capable d’embarquer plusieurs engins comme des drones et même des armes.

Véritable plateforme de surveillance, un « ballon » il fait partie de la panoplie d’outils de domination car qui dispose des bons renseignements, possède avantage stratégique et pouvoir.

Un tel dispositif permet de cartographier les territoires survolés comme les sites sensibles et militaires et d’identifier des forces de frappe ou des points de fragilité des pays. Il peut également être considéré comme un moyen de dissuasion et de pression d’un pays envers un autre, qui montre qu’il est en mesure de le surveiller et qu’il aurait les moyens de lui infliger des dégâts. Comme scénario catastrophe, on peut imaginer que ce type de ballon utile à l’observation pourrait servir de système de livraison et transporter des virus bactériologiques bien conditionnés pouvant être lâchés à tout moment comme d’ailleurs des armes chimiques.

Une prise de conscience

Nous assistons à une montée en nombre des techniques et moyens de d’observation, de surveillance et d’interception des communications. Le marché de l’espace est en plein expansion et les initiatives d’occupation de l’espace se multiplient comme la constellation de milliers de satellites Starlink de la société SpaceX d’Elon Musk, pour ne citer qu’un exemple.

L’usage des ballons, quelle que soient leurs finalités est une continuité de ce développement de présence dans l’espace à des distances de la Terre et à des vitesses encore peu utilisées et différentes de celles des satellites. Occuper l’espace atmosphérique fait partie des stratégies de sécurité et de défense des territoires mais aussi des intérêts des pays qui ont les moyens de le faire. Depuis longtemps déjà, l’espace est un champs d’expression du pouvoir et un lieu de confrontation des puissances. De nos jours, occuper l‘espace s’inscrit dans un contexte de tensions géopolitiques internationales ou nous sommes désormais obligés de prendre en considération des menaces venant de l’Est comme celles d’ailleurs issues de la lutte pour les ressources naturelles et en lien également avec la guerre économique que se livrent les pays.

Quelles implications pour la Suisse neutre ?

Contrôler l’espace aérien d’un pays est toujours pertinent. Cela peut s’inscrire dans des logiques conflictuelles pouvant aussi relever du terrorisme. La neutralité de la Suisse est une protection lorsque les règles du jeu sont respectées de part et d’autres des acteurs concernés. Même si la Suisse n’est pas un état membre de l’Union européenne elle est physiquement, géographiquement, liée à l’Europe. C’est une réalité objective. Elle doit faire sa part en matière de sécurité-défense même si elle est neutre et même si son espace aérien est restreint.

Au cœur de l’Europe, la Suisse semble être un « confetti » de par sa taille mais elle est aussi un géant qui peut attirer l’attention de nombreux autres états. Par ailleurs ces aéronefs dont certains peuvent être dirigeables à distance, sont aussi portés par les vents et soumis aux lois de la nature. Ils peuvent donc survoler la Suisse. Nous savons désormais que les nuages radioactifs ne s’arrêtent pas aux frontières des pays même s’ils sont neutres.

La neutralité n’est pas synonyme d’impuissance, bien au contraire, c’est aussi un instrument au service de la construction de la paix et de la défense de ses intérêts. Les interdépendances sont telles qu’il faut penser la sécurité et la défense de la Suisse de manière globale. De plus, l’image de haute technologie associée à la Suisse est aussi un atout. Elle doit rester à la pointe et être en mesure de détecter et de prévenir des menaces diffuses également issues de l’espace.

Disposer de la technologie de surveillance est une chose, disposer des moyens de la contrôler et de la détecter en est une autre. Cela nécessite une certaine indépendance vis à vis des fournisseurs de solutions technologiques, à défaut cela revient à se mettre sous le bouclier d’une autre puissance.

En 2020, la France a rebaptisé son armée de l’air en « Armée de l’air et de l’Espace » pour tenir compte de ce changement de paradigme. La Suisse investi dans sa défense aérienne notamment avec le système Air 2030 et Patriot.

Un des moyens de protection certes indirect mais indispensable sur le long terme, serait que la Suisse se positionne comme pays champion de la législation internationale sur le partage et l’usage de l’espace aérien et extra- atmosphérique.

Concernant la situation actuelle, au-delà des récits et contre-récits et justifications annoncées par la Chine et les États-Unis, il est difficile d’en avoir une vision précise et complète, ce qui est un frein à l’analyse des mécanismes de causes à effets. Toutefois, les ballons ont la côte car ils évoluent à une distance de la terre pas exploitée par le trafic aérien et les satellites, tout en restant sous les radars de détection classiques.

C’est un peu comme s’il avait fallu les révélations d’Edouard Snowden  en 2013, pour « découvrir » les pratiques de renseignement que permettent Internet et le cyberespace.

Qui peut encore ignorer que les agences de renseignement font du renseignement par tous les moyens possibles ?

 

 

Cyber Obscurité, lorsque tout s’éteint

En 2009, je publiais le livre « La cybercriminalité, le visible et l’invisible » [1], aujourd’hui c’est avec Philippe Monnin, ancien directeur des rédactions du Monde informatique et sous la forme romanesque[2] que nous rendons visible l’invisible de la fragilisation de la société par la dépendance à l’informatique et l’interdépendance des infrastructures[3].

Vivre sans énergie informationnelle

Intitulé Off, parce que lorsqu’il n’y a plus d’électricité, il n’y a plus d’informatique et plus d’énergie informationnelle, ce roman journalistique par son style et les éléments véridiques puisés dans l’actualité est une fiction technique, politique et philosophique. Il aborde de manière accessible à tous, les liens entre risques technologiques, en l’occurrence les cyberrisques et les risques environnementaux et leurs causes humaines pouvant conduire aux pires catastrophes. Il témoigne du quotidien des personnes qui vivent la mise à genoux de la plus puissante économie du monde ainsi que de la gestion politique de cette crise sans précédent, qui laisse les autorités d’un pays au bord de l’effondrement, désemparées et la population dans l’effroi lié à l’arrêt des services et systèmes informatiques.

Quelques citations

« Une attaque informatique sans précédent, probablement la plus importante de notre histoire, vient de frapper notre pays. Les départements et agences du Trésor, du Commerce, de la Sécurité intérieure, de la Santé, de l’Énergie (chargées de gérer le stock d’armes nucléaires), de l’Aviation civile, du Pentagone, de la Cybersécurité et le Conseil de sécurité national sont infiltrés par un logiciel espion depuis des mois. Dix-huit-mille organisations ou entreprises seraient également touchées dont de grands groupes informatiques parmi les plus aguerris en matière de sécurité. »

« Nous faisons face à une attaque immatérielle dont nous ne connaissons ni le mécanisme, ni l’origine, ni la complexité, ni la motivation et encore moins la finalité …derrière cette cyberattaque pourrait s’en cacher une autre, bactériologique celle-là. »

« Pour « accueillir » les Américains, les Mexicains ont rédigé, à la hâte des panneaux sur lesquels ils ont repris ironiquement les mots du Président Trump lors de sa venue à Calexico : «Notre pays est complet ! On ne peut pas vous accepter !», « Rebroussez chemin ! ».

« … face au désespoir absolu exprimé par Margaret, Georges sent une vague le parcourir, venue du plus profond de ses entrailles. Ni peur, ni désespoir, bien au contraire. C’est une sensation de force qui l’envahit, de volonté, de domination, de violence, de méchanceté. Comme si une autre voix sortait de sa bouche, il dit : — Non, Margaret, nous n’allons pas mourir. Ce sont les autres qui vont mourir. Pas toi. Surtout pas toi. Ni moi. »

Notes

[1] S. Ghernaouti. « La cybercriminalité, le visible et l’invisible ». Collection de Le savoir suisse. EPFL Press, 2009.

[2] P. Monnin, S. Ghernaouti « OFF », Editions Slatkine 2023.

https://www.slatkine.com/fr/editions-slatkine/75765-book-07211168-9782832111680.html

[3] https://www.rts.ch/info/sciences-tech/13708969-solange-ghernaouti-plus-nous-serons-connectes-plus-nous-serons-vulnerables.html

 

 

 

L’indispensable souveraineté numérique

Le contexte

Pour un pays, la souveraineté est synonyme de pouvoir et de moyen de revendiquer son indépendance et sa reconnaissance au niveau international.

La problématique

Pour un pays, être souverain, c’est être autonome et en mesure de construire, maintenir et défendre son autonomie stratégique, économique et industrielle afin de de pouvoir, même en situation de crise, être en mesure d’agir, c’est à dire être en capacité de prendre des décisions. C’est en fait, avoir le choix.

Désormais tout cela n’est pas possible sans le recours à des infrastructures numériques, mais qui les maitrise ? Quelles entités maitrisent les données, les logiciels et les matériels informatiques et de télécommunication indispensable à la souveraineté des pays?

Force est de constater que :

  • Sans souveraineté numérique, un pays peut-il encore disposer des moyens suffisants et nécessaires pour protéger ses intérêts ?
  • Sans souveraineté numérique, un pays peut-il encore être en situation de pourvoir exercer sa souveraineté économique et industrielle ?
  • Tout état indépendant peut-il être souverain sans souveraineté numérique ?

Des réponses convaincantes devraient être apportées à ces questions avant qu’un pays s’engage, en toutes connaissances de causes et d’effets y compris sur le long terme, dans le choix de solutions Cloud basées sur des fournisseurs étrangers.

Un Cloud étranger n’est jamais neutre

L’évolution technologique est la résultante de choix politiques et économiques.

Les nouvelles technologies sont au service d’une vision du monde et de ceux qui le dirigent. La technologie n’est pas neutre, elle modifie profondément notre manière de vivre aux niveaux individuel et collectif, des organisations publiques et privées et des pays.

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Elle enlève le pouvoir à certains pour le donner à d’autres en changeant la réalité pour tous.

Le problème n’est pas ce que permet de faire la technologie ni ce qu’elle peut apporter, mais il relatif la manière dont elle le fait, à son prix et à la dépendance développé à son égard et envers ses fournisseurs.

Dans l’agriculture intensive, ce n’est pas le concept d’agriculture qui est en cause, mais la façon dont elle est réalisée et ses impacts négatifs. Toujours par analogie, ce n’est ni l’électricité, ni le gaz, ni le pétrole qui posent problèmes, c’est la surconsommation et les dépendances à ces énergies et à leurs pourvoyeurs qui sont devenues problématiques. C’est la même chose avec l’informatisation de la société basée sur la dépendance grandissante aux plateformes numériques d’origine étrangère. Elles appartiennent à une poignée d’acteurs hégémoniques qui imposent leurs règles aussi bien au niveau local qu’international.

Le 21ème siècle est celui de la plateformisation du monde qui impose que la majorité des services numériques soient accessibles uniquement en passant par des plateformes qui concentrent données et traitements et qui contrôlent l’accès aux mondes numériques.

Comme pour la pandémie Covid ou le conflit en Ukraine, qui constituent des révélateurs de nos interdépendances complexes à effet systémique qui affectent tout un chacun dans son mode de vie et son pouvoir économique, la manière de réaliser la transition numérique de la société fondée sur des plateformes numériques que nous ne contrôlons pas, complexifie la maitrise des risques informatiques et en génère de nouveaux.

Des solutions sont possibles

Choisir des acteurs locaux permet une meilleure maîtrise technologique tout en stimulant l’économie locale (emploi, réseau de partenaires, fiscalité,…). Les données stockées et traitées par des logiciels et des infrastructures du pays permet l’application du cadre juridique du pays et de s’assurer par l’usage de technologies « open source », qu’il n’y a pas de point d’entrée cachée exploitée par un fournisseur étranger ou les autorités dont dépendent ce fournisseur. Des Lois extraterritoriales existent comme par exemple le Cloud Act (The Clarifying Lawful Overseas Uses of Data Act (USA, 2018)) qui autorisent certaines autorités à accéder aux données partout dans le monde. C’est pour cela qu’il n’est pas suffisant que les données soient localisée dans un territoire national, il est désormais impératif qu’elles soient traitées par des infrastructures numériques qui permettent que le For juridique du pays puisse s’appliquer afin de contribuer à assurer la cohérence technique et juridique. Cela doit aussi être pris en compte lors de choix des prestataires de cloud computing. Il est crucial de se poser la question de l’origine des logiciels qui traitent les données. Par ailleurs, les bases juridiques sont de plus en plus questionnées comme en témoigne par exemple le fait que le Tribunal administratif fédéral suisse devra statuer prochainement sur le projet de cloud public de la Confédération.

Maîtriser toute la chaîne de valeur du numérique passe aussi par la maitrise non seulement, des données, des traitements et des réseaux mais aussi par la maitrise de l’ensemble des éléments constitutifs de la chaîne de production et de distribution de ces technologies et de leur cybersécurité. Cela comprend par exemple la fabrication des processeurs et des systèmes d’intelligence artificielle. A défaut, la souveraineté numérique revient en réalité à réduire et à maitriser les dépendances stratégiques dans le domaine du numérique.

Un cercle vertueux

Comme pour l’autosuffisance alimentaire, disposer d’une certaine autonomie numérique est possible en s’appuyant notamment sur des solutions de Cloud souverains et sur celles permettant la maitrise de la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie,…).

Assurer des niches d’autonomie, initialiser un cercle vertueux, le développer pour grandir en souveraineté demande une volonté et des actes en cohérence qui consiste dès que faire se peut d’utiliser des solutions qui sont conformes à la définition de la souveraineté numérique et de contribuer à tous les niveaux de développer les capacités et compétences humaines nécessaires.

Cette démarche peut s’inscrire dans une stratégie numérique « responsable et durable » et intégrer divers volets de la numérisation qui pourrait concerner entre autres : la numérisation de la santé ou celle des collectivités territoriales.

En Suisse par exemple, comme dans bien d’autres pays européens, le tissu économique dispose des entreprises possédant un réel savoir-faire dans ce domaine, pourquoi ne pas collaborer avec elles de manière plus soutenue ? Pourquoi ne pas les faire collaborer pour réaliser des mesures concrètes soutenant une vision politique assumée de la souveraineté numérique ?

Cela permettrait d’obtenir une meilleure maîtrise des infrastructures numériques du pays par le fait même que les entreprises partagent les mêmes intérêts et le même cadre juridique avec des relations de proximité durables favorisant la réalisation de solutions sur mesure, indépendamment d’éventuelles pressions exercées par des fournisseurs étrangers.

Cela pourrait également s’inscrire dans une démarche plus efficace de cybersécurité et de protection des données. D’autant plus que des solutions multi-cloud telles que celles retenues par la Confédération helvétique, sont susceptibles d’engendrer une complexité opérationnelle et des défis de sécurité additionnels.

à suivre …

 

***

Au sujet de la souveraineté numérique par Solange Ghernaouti

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données.

Blog Cybersécurité. Le Temps. 10 juillet 2022

https://blogs.letemps.ch/solange-ghernaouti/2022/07/10/pour-une-obligation-dannoncer-dans-quel-cloud-se-trouvent-nos-donnees/

Économie numérique et transhumanisme.

Interview AntiThèse. 7 juin 2022

https://www.antithese.info/videos-antithese/solange-ghernaouti

La souveraineté numérique passe aussi par la sobriété.

The Conversation. 15 Décembre 2021.

https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

Cybersécurité et souveraineté numérique : réponses aux questions que nous recevons avec Solange Ghernaouti. Infomaniak. 7 mars 2022.

https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

Souveraineté numérique.

Interview Radio Libre. 26 février 2022

https://radio-libre.ch/podcast/souverainete-numerique-avec-prof-solange-ghernaouti-le-live/

Cyber allégeance, la triple peine

Blog Cybersécurité.  Le Temps. 19 décembre 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/12/19/cyber-allegeance-la-triple-peine/

Cloud et souveraineté numérique, quelles conséquences ?

Blog Cybersécurité. Le Temps. 23 juillet 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/07/23/cloud-souverainete-numerique-quelles-consequences/

Perte de souveraineté numérique, la faute de trop

Blog Cybersécurité.  Le Temps. 10 juillet 2021.

https://blogs.letemps.ch/solange-ghernaouti/2021/07/10/perte-de-souverainete-numerique-la-faute-de-trop/

Priorité à la défense du vivant et des territoires numériques

Blog Cybersécurité.  Le Temps. 26 aout 2020

https://blogs.letemps.ch/solange-ghernaouti/2020/08/26/priorite-a-la-defense-du-vivant-et-des-territoires-numeriques/

Mobilité 5 G, reprendre le contrôle

Blog Cybersécurité.  Le Temps. 1 février 2019

https://blogs.letemps.ch/solange-ghernaouti/2019/02/01/mobilite-5-g-reprendre-le-controle/

Des espions chinois dans nos machines ?

Blog Cybersécurité.  Le Temps. 17 décembre 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/12/17/des-espions-chinois-dans-nos-machines/

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Blog Cybersécurité.  Le Temps. 19 septembre 2018

https://blogs.letemps.ch/solange-ghernaouti/2018/09/19/souverainete-numerique-et-dematerialisation-au-congo-brazzaville/

Cybersécurité : 5 questions vitales

Blog Cybersécurité.  Le Temps. 16 mai 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/05/16/cybersecurite-5-questions-vitales/

Cybersécurité : l’intérêt collectif est l’intérêt particulier

Blog de l’Académie suisse des sciences techniques (SATW). 20. juillet 2017

https://www.satw.ch/fr/blog/cybersecurite-linteret-collectif-est-linteret-particulier

Cybersouveraineté

Octobre 2017. Mon journal de la Cybersécurité — Saison 1 Cyberconscience. Éditions ISCA Livres, 2022.

https://shop.isca-livres.ch/isca/1075-book-mon-journal-de-la-cybersecurite.html

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données

Au sujet de la souveraineté numérique

Constat

Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères.

Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Une exigence de transparence

Le passage en mains étrangères de nos données pourtant confiées à des prestataires suisses, notamment à des acteurs publics suisses, devrait faire l’objet d’une obligation de transparence et d’information. Nous devrions savoir dans quel cloud nos données sont stockées, et par quelles entités nos données sont susceptibles d’être traitées.

Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales. Cette information a posteriori est louable, mais elle ne saurait remplacer une information juste, si ce n’est un accord à priori. Bien souvent, les conditions générales sont souvent rédigées dans des termes complexes et tellement génériques que le client signe une sorte de chèque en blanc à l’entreprise.

Un exemple suivre

La SUVA (Principal organisme d’assurance-accidents obligatoire en Suisse)[1] a consulté le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) concernant « L’externalisation de données personnelles par la Suva vers un cloud de Microsoft ». Les organisations qui externalisent nos données devraient s’inspirer de cette démarche et de la réponse donnée par le Préposé. Son communiqué publié le 13 juin 2022 informe: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. »[2].

Cet exemple emblématique appelle plusieurs réflexions. D’abord, la nécessité absolue de valider avant toute externalisation de données personnelles vers un cloud étranger la réalité de la protection des données dont elles bénéficieront une fois le transfert effectué. Ensuite, la nécessaire information des intéressés, qu’ils soient clients ou citoyens, par rapport au transfert effectué, au prestataire choisi et aux garanties apportées par rapport à la protection des données transférées.

Avant chaque passage vers des solutions cloud, il est impératif d’en questionner les conséquences sur la protection des données personnelles et sur la manière dont cette dernière sera assurée par le nouveau prestataire. De plus, disposer de serveurs et de centres de données (data centers) en Suisse ne suffit pas. En effet, comme je le précise dans une interview de mars 2022 « La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté. »[3].

Par ailleurs le rapport 2022 sur la sécurité des données dans le Cloud de la société Netrix[4] rapportait que 53% des organisations consultées avaient subie des cyberattaques sur leur infrastructures cloud dans l’année écoulée. Cela a conduit pour 49% d’entre elles, à des coûts supplémentaires de sécurité pour résoudre les problèmes.

Proposition concrète : l’obligation d’annoncer

Au regard de la réalité des cyberattaques, des incidents de sécurité et des pertes de maitrise des données et des fuites de données, il est non seulement urgent d’en comprendre l’ampleur et également de connaitre les responsabilités des acteurs impliqués.

A ces fins, il devient nécessaire d’imposer une obligation d’annoncer auprès d’autorités compétentes et des personnes concernées dans quel Cloud leurs données (les nôtres) sont stockées. Comme cela devrait être d’ailleurs fait dans tous les cas de cyberattaques et d’incidents de sécurité conduisant à des pertes de données, cela doit s’appliquer à toutes les organisations concernées et pas seulement à celles liées à des infrastructures critiques.

C’est cela aussi la transparence et le début de la reconquête de la souveraineté numérique.

 

Notes:

[1] https://www.suva.ch/fr-ch/assurance/assurance/l-assurance-accidents-selon-la-laa

[2] https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-591498255

[3]Solange Ghernaouti  https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

[4] Cloud Data Security Reports 2022 : https://www.netwrix.com/2022_cloud_data_security_report.html

 

Guerre & Paix

En octobre 2019, la Fondation Martin Bodmer[1] inaugurait une exposition intitulée « Guerre et Paix » organisée en partenariat avec le Comité international de la Croix-Rouge (CICR) et l’Organisation des Nations unies (ONU), pour apporter des éléments de réponse à la question « Comment penser et limiter la guerre, comment construire la paix? »[2]. Un magnifique catalogue l’accompagnait, publié dans la collection « Beaux livres » de Gallimard[3].

La quatrième de couverture présente l’ouvrage en ces termes :

« Cet ouvrage, vise à retracer le dialogue immémorial entre la nature guerrière de l’homme et son profond désir de paix. Depuis l’Antiquité, l’homme n’a jamais cessé de penser, de justifier, de conduire et de glorifier la guerre, mais il s’est aussi toujours attaché à vouloir limiter ses pires abus, à la condamner pour ses ravages, et à imaginer et travailler à la construction d’un monde plus juste et plus pacifique. Cette dialectique se prête aux éclairages pluriels de la littérature et des beaux-arts, de l’anthropologie, de la philosophie et de la psychanalyse, du droit et des sciences politiques. Œuvres littéraires, affiches de propagande, enluminures et gravures dialoguent avec des documents d’archives, à travers trois sections assorties d’essais des meilleurs spécialistes : la genèse de la guerre, le temps de la destruction, le pari de la paix. »[4] .

Après m’être demandé ces deux dernières années comment être en santé dans un monde de malades ? je me pose la question de savoir comment être en paix dans un monde en guerre ? mais est-ce réellement une bonne question ?

Un enfant me demanderait sans doute « Pourquoi la guerre ? » comme il aurait pu me demander « Où va la musique quand elle s’arrête ? »

Que répondre ? sinon par une autre question « Pourquoi n’avons-nous pas appris de l’Histoire ? »

Aujourd’hui le titre du roman de Tolstoï m’interpelle toujours. J’ai contribué à l’ouvrage collectif « Guerre et Paix » de la Fondation Martin Bodmer – Gallimard, par un chapitre intitulé « De l’énergie informationnelle à la cyberguerre » (p.141 – 147) afin de trouver dans l’histoire des deux derniers conflits mondiaux et à travers du prisme de la maitrise de l’énergie, des clés pour comprendre le monde dans lequel nous vivons. Comprendre les enjeux et défis de l’énergie numérique et ceux géopolitiques, sociaux, culturels et économiques associés est indispensable, me semble-t-il pour penser la cyberpaix.

En voici un extrait :

…En grec energeia signifie “force en action”. Dans son acception courante l’énergie fait référence à la force, au pouvoir, à la vigueur, à l’efficacité. Depuis, la maitrise du feu, le monde s’est façonné autour du contrôle de l’énergie, des sciences et techniques et des moyens de communication. Au 19ème siècle, le transfert d’énergie et sa compréhension physique sont à la base de la révolution industrielle et de l’industrie de l’armement. Cela marque le début de la transformation de l’art de faire la guerre et celle du champ de bataille.

Lors de la première guerre mondiale, l’énergie chimique fait son apparition sur le champ de bataille via les gaz de combat. De nouveaux moyens de transport (voitures, camions, tanks, sous-marins et aéronefs) permettent de se déplacer, de soutenir la logistique, de projeter de la force, d’observer et de renseigner.

Les travaux du mathématicien anglais Alan Turing durant la Seconde Guerre mondiale ont permis l’essor du codage et du décodage de l’information, de la programmation et des ordinateurs. La maîtrise de l’atome, avec l’explosion en 1945 des premières bombes atomiques au Japon, marque une rupture dans l’expression du pouvoir de destruction. L’énergie physique devient un instrument de destruction totale effaçant de facto les frontières traditionnelles du champ de bataille et celles entre les populations civiles et militaires. La destruction potentielle de toute vie humaine a contribué à l’émergence d’une guerre improbable, mais pas impossible, et a conduit à la guerre froide (1947 – 1991).

Durant la guerre froide et de manière concomitante à la conquête de l’espace[5], le réseau Internet naît d’une initiative du département de la défense des USA (DoD)[6] et marque le début du développement des autoroutes de l’information et de l’énergie informationnelle. Désormais, l’information et le code informatique sont des armes pour faire la guerre par d’autres moyens et projeter du pouvoir hors de ses frontières. …

La suite de ce chapitre sur la conquête de l’espace extra-atmosphérique et du cyberespace, sur l’infoguerre et la cyberguerre et sur l’invention de l’internaute -soldat, de la guerre banalisée et globale est à lire dans la version de 2019 de Guerre et Paix.

L’histoire se répète.

Déstabiliser, dominer, soumettre, détruire, contrôler, la guerre même au 21ème siècle et à l’heure de la cyberguerre, reste une guerre, une violence imposée par certains à d’autres semblables.

N’avons donc rien appris des conflits précédents ?

Serons capables d’arrêter la spirale de la violence partout où elle s’exprime de quelle que manière que cela soit ?

Serons-nous capables de faire vivre un esprit de fraternité qui l’emporterait sur l’esprit de défense collective au cœur du traité fondateur de à l’OTAN[7] et qui rendrait ce dernier inutile?

Si nous considérons que nous sommes l’avenir de l’humanité, est-il si difficile à comprendre que sans fraternité au sens large (ce qui inclus le respect de notre environnement et de tous les autres) nous n’avons pas d’avenir ?

Pouvons-nous grandir en sagesse, nous individuellement et collectivement ?

Dans l’impossibilité de répondre à la question « Pourquoi la guerre ? », peut-être faut-il saisir l’opportunité de questionner notre hyperconnectivité sous l’angle de l’interdépendance pour comprendre que ma cybersécurité dépend de celle de mon voisin, que l’effet  papillon  concerne aussi la guerre et la paix et que finalement le slogan de la contreculture américaine des années soixante « faites l’amour, pas la guerre f» est toujours d’actualité.

***

Notes:

[1] https://fondationbodmer.ch

[2] https://www.bilan.ch/opinions/etienne-dumont/la-fondation-martin-bodmer-se-penche-sur-la-guerre-et-la-paix

[3] Édition publiée sous la direction de J. Berchtold, N. Ducimetière, P. Hazan et C. Imperiali. Albums Beaux Livres Gallimard, 2019. 332 pages. https://fondationbodmer.ch/product/guerre-et-paix/

[4] https://www.gallimard.fr/Catalogue/GALLIMARD/Albums-Beaux-Livres/Guerre-et-Paix#

[5] Mission du programme spatial américain Apollo 11, le 20 juillet 1969 l’astronaute américain Neil Armstrong marche sur la lune.

[6] Dans les années 60s dans le cadre de l’Agence pour les projets de recherche avancée de défense (DARPA).

Le système de positionnement géographique par satellites (GPS) a été aussi conçu par le DoD à des fins militaires dès 1973, complètement opérationnel en 1995 et ouvert aux applications civiles en 2000.

[7] Organisation du traité de l’Atlantique Nord (OTAN / NATO) “une attaque contre un membre de l’Alliance est considérée comme une attaque dirigée contre tous les Alliés”

https://www.nato.int/cps/en/natohq/topics_110496.htm?selectedLocale=fr

 

Cyber allégeance, la triple peine

Le contexte

L’allégeance est une obligation de fidélité et d’obéissance qui a pour corolaire la soumission.

La cyber allégeance est celle faite aux plateformes numériques auxquelles personnes et organisations publiques et privées sont devenues dépendantes.

Première peine :  Dépendance & Rente à vie

Dans mon article « La souveraineté numérique passe (aussi) par la sobriété »[1], je relève que la dépendance instaure une asymétrie du pouvoir entre utilisateurs et pourvoyeurs d’infrastructures et de services. Ces derniers peuvent à leur gré, selon les circonstances et en fonction de leurs intérêts, modifier leurs conditions d’utilisation et leurs coûts. C’est une logique d’abonnement à des services qui s’est mise en place en même temps que la plaformisation informatique. Ainsi, opter pour des solutions « Cloud » (ce qui constitue un choix généralement irréversible), contribue aussi à renforcer une économie du numérique basée sur la rente. Cette économie de rente profite à ceux qui l’imposent. Le prix de la dépendance est celui de la rente à vie pour certains et des coûts structurels pour tous les autres dont leurs propres données ne leur appartiennent plus dans la mesure où elles sont dépendantes de la location d’outils détenus par des tiers pour les accéder et les manipuler.

Deuxième peine : Insécurité & Défiance by design

Désormais, du fait de la réalité des cyberattaques, il est impossible d’ignorer que tout ce qui est connecté est piratable et que l’ampleur de la cybercriminalité et de ses impacts sur la société ne cessent d’augmenter. La surface d’attaque s’étend avec le nombre de personnes, de systèmes et d’objets connectés à Internet. Plus il existe de connectivité et d’informations échangées, plus le nombre de cibles croit, plus les opportunités de cybermalveillance s’amplifient, grossissant de facto, le nombre de victimes et d’institutions touchées.

Force est de constater qu’il est difficile de mettre les cyber risques sous contrôle. Dans son rapport « The global risk report de 2021”[2], le World Economic Forum identifie le défaut de cybersécurité, comme constitutive de la 4ème des menaces critiques. De facto, la cybersécurité, telle qu’elle est pratiquée est insuffisamment efficace. Elle l’est d’autant moins depuis les affaires « Solarwind » (2020)[3], « Kaseya »[4] et « Log4shell »[5] (2021) emblématiques de la confiance définitivement perdue dans les produits et les capacités des fournisseurs impliqués respectivement dans les chaines d’approvisionnement de la sécurité, dans la gestion des infrastructures IT et dans ce qui a trait à la journalisation des informations. Ces trois cas sont en lien direct avec la manière de réaliser la sécurité informatique. En outre, et pour ne citer que deux exemples, des défauts de sécurité dans des protocoles cryptographiques SSLv3[6] (2014) ou dans des processeurs[7] (2018) sont connus et pourtant nous continuons à les utiliser. Dans ces conditions, est-il encore possible d’obtenir une assurance raisonnable d’une sécurité effective ?

Nous acceptons le numérique, son écosystème, son économie, ses usages positifs mais aussi ses dérives, ses vulnérabilités, et le fait qu’il instaure un nouvel ordre du monde basé sur la normalisation des comportements, la transparence totale des êtres, le contrôle et la surveillance permanence. Le numérique permet de gérer et de piloter une société, une ville, les espaces publics et privés, un hôpital ou encore par exemple, une école, comme une entreprise, selon des critères de rationalité et de performance économiques. Le big data et l’intelligence artificielle permettant plus de rationalité économique, d’automatisation, de prédiction et de contrôle algorithmique, ont facilité le renversement de paradigme qui consiste à considérer tout le monde comme coupable par anticipation. Ce qui justifie de disposer de toujours plus de surveillance et de contrôles.

La surveillance de masse qui procure un faux sentiment de sécurité mais qui est efficacement redoutable du fait de l’intrication des mondes physique et cyber et de l’omniprésence du numérique dans tous les aspects de la vie (QRCode, reconnaissance faciale, achat, …), porte atteinte aux droits humains fondamentaux[8] et par conséquent, à la sécurité des personnes.

Depuis longtemps déjà, la possible manipulation cognitive via la désinformation est incarnée au travers d’Internet. Au-delà de la publicité et des influenceurs de toutes sortes, des fake news, des deep fakes, des opérations de manipulations de personnes et de l’opinion publique, à des fins commerciales ou politiques, existent. Personne n’échappe à différentes formes de propagande et d’endoctrinement habilement organisées et parfois, personnalisées ou travesties sous couvert de divertissement.

L’impossibilité de distinguer le faux du vrai est un facteur d’insécurité et de défiance généralisée.

Troisième peine : Impossibles réparation & réversibilité

La troisième peine découle des deux premières. Il s’agit de l’irréalisable possibilité d’une quelconque forme de réparation pour les victimes de cybernuisances et de cyberviolences dans la mesure où elles n’ont pu être évitées et que la « Justice » est rarement opérande. De plus, comme pour le climat, les choix technologiques effectués engagent également les générations à venir. Les conséquences du « tout numérique » notamment en termes environnemental (épuisement des ressources naturelles) et sociétal (dépendance au numérique) sont irréversibles, sinon peut être, en dehors d’un effondrement généralisé, du fait notamment, de l’incapacité potentielle à éviter des ruptures d’approvisionnement en électricité.

Perspective faustienne

Parfois, dans la littérature l’allégeance peut faire référence à l’allégement, à l’adoucissement, au soulagement, à l’atténuation, mais aujourd’hui, la seule référence littéraire à laquelle l’allégeance me fait penser est liée à Goethe et à Faust.

Faust pactise avec Méphistophélès qui lui promet jeunesse et jouissance en échange de son âme. Faust accepte sans illusion.

Comme Faust, nous pactisons.

Comme Faust, sans illusion.

 

***

Références

[1]Article du 15 décembre 2021 qui analyse les conséquences de la dépendance numérique tout en faisant le lien entre les problématiques environnementale, de cybersécurité et de cybersouveraineté, disponible sur le site The Conversation https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

[2] https://www.weforum.org/reports/the-global-risks-report-2021

[3] https://www.schneier.com/blog/archives/2020/12/how-the-solarwinds-hackers-bypassed-duo-multi-factor-authentication.html

[4] https://www.reuters.com/technology/kaseya-ransomware-attack-sets-off-race-hack-service-providers-researchers-2021-08-03/

[5] Faille Log4J https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

[6] Faille Poodle https://cert.ssi.gouv.fr/alerte/CERTFR-2014-ALE-007/

[7] Failles Spectre et Meltdown https://www.kaspersky.fr/blog/35c3-spectre-meltdown-2019/11315/

 

How Digital Ecosystem and Practices Increase the Surveillance System’s Performance and Generate New Risks for Human Rights