Les signataires s’engagent à ne jamais collaborer avec des gouvernements dans le cadre d’actions cybernétiques offensives. Ils veulent également renforcer leurs systèmes de défense pour éviter que leurs technologies ne soient détournées d’une manière ou d’une autre.
Alors que l’ombre d’une cyberguerre plane de plus en plus sur Internet, 34 acteurs du numérique viennent de signer un accord pour lutter contre les cyberattaques, qu’elles soient d’origine criminelle ou gouvernementale. Baptisé « Cybersecurity Tech Accord », il réunit des géants comme Microsoft, Facebook ou Cisco ; des spécialistes de la sécurité comme Avast, FireEye, Trend Micro ou Symantec ; des fabricants comme HP, Dell ou ARM ; des opérateurs comme BT et Telefonica ; etc.
Tous ces signataires se sont mis d’accord sur le fait de ne jamais aider un gouvernement à lancer des attaques contre des citoyens ou des entreprises et de tout faire pour éviter un détournement de leurs technologies. Cela peut paraître évident, mais ce genre de pratiques est désormais monnaie courante. En 2012, des certificats électroniques de Microsoft ont été falsifiés dans le cadre de la campagne de piratage Flame, probablement menée par la NSA.
En 2015, les chercheurs du Citizen Lab révèlent l’existence de « Great Cannon », un dispositif chinois qui permet de détourner du trafic web pour générer d’énormes attaques DDoS. En 2017, le logiciel CCleaner a été utilisé par un groupe de pirates probablement d’origine gouvernementale pour réaliser des opérations de cyberespionnage ciblées. Sans compter les nombreuses failles zero-day que les différents gouvernements accumulent chaque jour pour construire leurs arsenaux informatiques…
Créer une « convention de Genève » pour le web
Outre la volonté de ne pas participer à des actions offensives, les signataires s’engagent également à renforcer leurs systèmes de défense, d’aider leurs clients et leurs partenaires à le faire aussi et d’œuvrer de manière collective pour améliorer la sécurité sur Internet, par exemple en collaborant davantage avec les chercheurs en sécurité et les acteurs de la société civile.
Selon The New York Times, cette initiative est surtout une idée de Brad Smith, président et juriste en chef de Microsoft. Depuis des années, l’homme plaide en faveur de l’instauration d’un système de normes juridiques pour l’usage de la force dans le cyberespace, une espèce de « convention de Genève » numérique pour éviter que le web ne sombre dans le chaos.
Il n’est pas le seul à œuvrer en ce sens. En 2017, l’ANSSI a organisé une conférence internationale à l’Unesco pour « construire la paix et la sécurité internationales de la société numérique ». En 2015, un groupe d’experts des Nations unies a proposé une première ébauche de normes, mais elle est restée sans suite. Le Cybersecurity Tech Accord pourrait relancer la machine. Encore faudrait-il que d’autres acteurs s’y agrègent. Pour l’instant, Google, Apple et Amazon manquent à l’appel. Il serait bien que des sociétés chinoises et russes puissent y figurer aussi.