Wannacry : la cyberattaque qui prouve à quel point nous n'avons pas su construire notre souveraineté numérique

Atlantico : Qu'est-ce qui explique la réaction d'un dirigeant de Microsoft vis-à-vis de la NSA après la cyberattaque Wannacry ?

François Bernard Huyghe : La première raison est que tout cela est une exécrable publicité pour Microsoft. Tout le problème de cette cyberattaque apparemment crapuleuse provient d'une faille dans d'anciens systèmes de Windows. C'est donc très mauvais pour l'image de marque du géant américain. 

La deuxième raison est que si on suit Snowden et ce que dit Microsoft lui-même, la raison pour laquelle les pirates ont pu connaître cette vulnérabilité est parce qu'elle avait été d'abord découverte par la NSA. Reste à savoir comment la faille découverte par la NSA a pu être découverte par des pirates informatiques. Peu importe au fond : un reproche est directement adressé à la NSA. Cette affaire, c'est un peu comme si un soldat français se faisait voler son FAMAS (en virtuel et en beaucoup plus grave...) ! 

Non seulement la NSA cherche des failles partout et dans tous les systèmes pour entrer par des moyens légaux ou illégaux, mais en plus ils n'en préviennent pas les entreprises pour lesquelles cela représente un danger considérable, et pire, les informations qu'ils recueille peuvent quasiment se retrouver sur la place publique ! Microsoft, et cela devrait se généraliser à toutes les GAFA, n'a pas forcément envie vis-à-vis de son public de donner l'impression d'être indulgent à l'égard de la NSA d'autant plus qu'au moment des révélations de Snowden, une partie du public avait jugé que les grands de la Silicon Valley ne s'opposaient pas très violemment aux régulations des failles qu'exploitaient la NSA et à la mauvaise garde qu'ils faisaient de leurs données privées. 

Commercialement et psychologiquement, cela me paraît donc une réaction assez compréhensible, en tout cas plus compréhensible qu'un silence gêné. 

Brad Smith, le dirigeant de Microsoft à l'origine de ces critiques a appelé à une Convention de Genève du Numérique. Qu'est-ce qui justifie la volonté de mettre en place une telle plate-forme de concertation internationale ?

Il y a deux choses à prendre en compte : d'abord il y a l'idée d'une convention de Genève, qui montre bien qu'on ne prend plus les armes informatiques à la légère, et qu'en tant qu'armes, il devrait y avoir une autorité supranationale afin d'en limiter l'usage. Cependant cela ne va pas sans problème. Il y a un problème technique tout d'abord : est-ce faisable ? Est-ce qu'avec une importante bureaucratie on pourra protéger les failles ? Est-ce que les grandes entreprises prendront seulement le risque de les communiquer ? Tout cela est une première partie de la question, qui ne va pas sans la seconde partie qui est d'ordre politique. On peut se demander quelle est la légitimité et intérêt d'une entreprise à proposer de créer une organisation supranationale ! Microsoft s'autodésigne comme légitime aujourd'hui, et comme un acteur politique majeur qu'il est de fait. Cela répond d'une part à un souci de toutes les entreprises, GAFA en tête, qui sont très préoccupées par ces questions de cybersécurité et ne semblent plus faire confiance aux services de renseignement et de police de leur pays. Ils se sentent donc obligés de prendre des initiatives en ce sens. Des sociétés privées envisagent aujourd'hui le hack back, c'est à dire de riposter en cas de virus ou de tout type de cyberattaque. Pour poursuivre la comparaison, c'est comme si une entreprise nationale décidait de se doter de gardes privés armés qui pourraient répondre de leur propre initiative à des attaques militaires.

C'est le témoignage d'une montée en puissance des grands du net. A part cela, l'idée de faire une convention nationale est un peu dans l'air du temps. Soit dit au passage, la France a pris des initiatives dans ce sens-là. A l'Unesco, elle a porté une convention d'action internationale pour répondre aux cyberattaques par l'ANSSI. C'est une excellente proposition que vous pouvez retrouver sur le site de l'Agence. De nombreuses idées proposent des règles de droit sur la responsabilité des états dont partiraient les attaques, sur la capacité des États à faire des dual diligences, c'est-à-dire prendre des mesures de protection de ses entreprises et citoyens. On peut seulement se demander si le projet n'est pas un peu utopique. Peut-on imaginer une convention internationale sur le numérique dans laquelle siégeraient la Russie et la Chine ? Difficile à imaginer !

Ce qui est sidérant, c'est de voir que c'est un acteur privé qui s'enhardit et porte le projet devant les médias...

Justement, n'est-il pas inquiétant, ne serait-ce pour des questions de souveraineté, de laisser à des entreprises privées la charge de porter de telles initiatives internationales ?

En bon Français jacobin et colbertiste, je pense que c'est le job de l’État, de personne que nous avons élu d'une manière ou d'une autre, de nous assurer la sécurité de nos biens et de nos vies, y compris par des moyens violents ! De ce point de vue-là, je suis assez classique. Effectivement, que cela soient des entreprises privées qui engageraient des cybermercenaires ou se doteraient d'armes informatiques de riposte ou que ce soient les multinationales qui poussent pour changer le droit international, on rentre dans un rapport de puissance entre politique et économique qui est inquiétant. Je n'ai rien contre la direction de Microsoft, mais force est de constater que personne n'a jamais voté pour elle. Ces gens dépendent, et c'est parfaitement normal, d'un conseil d'administration et d'actionnaires qui leur demandent de défendre leurs intérêts. On a bien donc à faire à une nouvelle preuve de l'ambition du pouvoir technico-économique contre le politique qui m'inquiète en tant que citoyen d'une part et qui traduit un rapport de force nouveau. Pas totalement, si on se rappelle que Google a déjà menacé le gouvernement chinois (et a perdu cette fois-là), ou est intervenu dans le Printemps Arabe en stigmatisant des gouvernements autoritaires qui prétendaient contrôler internet. On est une tendance lourde dans lesquelles les très grandes compagnies peuvent intervenir dans la vie internationale au dépend des souverainetés nationales.