– ANALYSE Russie : vers un Internet souverain ?
En novembre 2019 entre en vigueur la loi russe qui institue un système de transit des données « alternatif » à l’existant, contrôlé, selon la Russie, par les États-Unis. Introduisant une rupture dans la gestion et la gouvernance du web, ce texte soulève la question de la faisabilité technique et économique d’une telle entreprise, mais aussi celle de ses visées politiques réelles.
La loi n°608767-7 sur la création d’un « Internet souverain » promulguée par la présidence russe le 1er mai 2019 entre en vigueur en novembre. Elle vise à garantir la maîtrise, par les autorités russes, des informations qui y transitent. Elle fait suite à une série de projets qui ont été mis en place par la Russie pour assurer l’indépendance de son réseau vis-à-vis d’acteurs étrangers, notamment depuis les révélations d’Edward Snowden en 2013 ; même si, en Russie comme ailleurs, l’hégémonie américaine sur l’Internet mondial était connue. Six ans plus tard, la Russie adopte donc une législation qui donnera, à terme, un pouvoir considérable à l’État : celui de contrôler les points d’accès en bordure du réseau russe et de décider, si besoin était, de déconnecter l’Internet national du reste du monde. Au-delà de la gageure technique, les défis sont énormes, puisque c’est toute la relation entre l’État et les acteurs de l’Internet qui doit être repensée à l’aune du paradigme de la souveraineté que la Russie défend sur bien des terrains, au moins depuis les guerres de Yougoslavie.
Aux prémices du projet d’Internet souverain russe
Il ne s’agit pas de la première tentative russe visant à mettre en place un réseau « souverain », ou moins dépendant des États-Unis. En 2013, Moscou proposait déjà la création d’un BRICS Cable (« Câble des BRICS » — Brésil, Russie, Inde, Chine, Afrique du Sud), dont l’objectif était de constituer une alternative au principal réseau physique de l’Internet mondial
( Backbone). Cependant, les difficultés de réalisation et les coûts élevés du projet semblent avoir mené à son report tacite, si ce n’est à son abandon.
Le gouvernement russe a ensuite adopté en juillet 2014 une loi fédérale qui visait à maintenir, ou à relocaliser sur le territoire, les serveurs qui hébergent des données relatives à des entreprises et des ressortissants russes. Soumise à la Douma à la fin de l’année 2013 sous l’intitulé de « Loi de relocalisation [ou de « rapatriement »] des données personnelles des citoyens russes », elle avait suscité de fortes réticences de la part des acteurs privés étrangers, en particulier de Facebook, LinkedIn et Twitter. Et pour cause, elle n’imposait pas seulement qu’ils hébergent les données des citoyens russes sur des serveurs situés en Russie, mais elle impliquait le passage de l’ensemble de ces grandes plateformes numériques sous le contrôle de la juridiction russe, en exigeant une accessibilité systématique à leurs applications à partir du RuNet (l’Internet russophone), grâce à l’adoption d’extensions en .ru. De nombreux débats avaient donc émergé, et s’étaient prolongés pendant presqu’un an, jusqu’à l’adoption du texte final le 4 juillet 2014. Aujourd’hui encore, la plateforme LinkedIn reste bloquée par les autorités russes, pour non-respect de cette législation. Cette logique d’autonomisation a été poursuivie par l’élaboration d’un projet de Domain Name System (DNS) spécifique à la Russie. Le DNS est en effet un système indispensable au bon fonctionnement de l’Internet contemporain puisqu’il permet d’attribuer des adresses IP à des noms de domaine, tout comme le carnet de contacts d’un portable permet de convertir leur nom en un numéro de téléphone unique. Ce travail de nommage des sites a fini par être assuré par l’ICANN ( Internet Corporation for Assigned Names and Numbers), une organisation issue de l’association de plusieurs entités chargées du fonctionnement d’Internet aux États-Unis. Créée en 1998 sous l’égide du Département du Commerce (DoC), l’ICANN dépendait directement des lois américaines, mais elle fait désormais autorité au niveau international, à la suite de partenariats conclus avec des administrateurs de réseaux internet et de télécommunication à l’étranger. Pour de nombreux acteurs, dont la Russie, la neutralité du système qu’elle administre n’était pas garantie.
Le projet de DNS autonome lancé par le Conseil de sécurité russe en novembre 2017 a donc pour but la création d’un Internet entièrement composé de sites indépendants du DNS de l’ICANN : une sorte de miroir de l’Internet mondial où tous les sites, russes et étrangers, auraient une version en .ru hébergée sur des serveurs situés en Russie. Il diffère en cela du projet de relocalisation des données de 2014, qui visait à créer des pages internet hébergées en Russie uniquement pour les grands réseaux sociaux, tels que Facebook ou Twitter. En d’autres termes, l’idée d’un DNS indépendant revient à étendre la loi de 2014 à l’ensemble des sites internet que les autorités russes veulent rendre ou garder accessibles depuis le RuNet, quand bien même celui-ci serait (volontairement ou involontairement) coupé du reste du réseau mondial. Cet Internet autonome a également vocation à être employé par les B(R)ICS, à défaut d’un BRICS Cable physiquement décorrélé des câbles internet qui passent par les États-Unis (1). La date butoir pour le début de sa réalisation a été fixée au 1er août 2018, avec un objectif de réalisation complète d’ici à 2020. D’un point de vue technique, il prévoit la mise en place d’un « système de sauvegarde ( backup) des serveurs racines (2) pour les noms de domaines », qui sera donc « indépendant du
La Russie adopte une législation qui donnera, à terme, un pouvoir considérable à l’État : celui de contrôler les points d’accès en bordure du réseau russe et de décider, si besoin était, de déconnecter l’Internet national du reste du monde.
contrôle [des organisations internationales] ICANN, IANA et VeriSign, et capable de prendre en charge le trafic des utilisateurs en provenance de l’ensemble des BRICS en cas de défaillance [du réseau mondial] » (3).
Les institutions concernées par le projet en Russie — le Russian Institute for Public Networks (RIPN) en charge du Russian Backbone Network (RBNet), le Coordination Center for TLD RU ou encore l’organisation indépendante MSK-IX (4) — devraient ainsi faire office de substitut aux organes internationaux. Sa réalisation, si elle aboutit, constituera donc un bouleversement sans précédent dans l’équilibre de la gouvernance mondiale de l’Internet, en mettant fin à l’hégémonie du système administré par l’ICANN (5).
Les annonces successives de ces projets depuis 2013 permettent ainsi d’entrevoir la mise en place progressive d’une structure internet russe rendue indépendante à tous les niveaux. En fixant une date butoir pour sa réalisation, la loi sur l’« Internet souverain » permettrait d’assurer plus rapidement
la résilience du RuNet, en garantissant l’accessibilité aux sites en .ru en cas de coupure ou de défaillance du réseau mondial d’ici à 2021. Cette garantie de connectabilité constituerait un avantage majeur pour les internautes en Russie, alors que les risques de défaillance des sites internet par attaques de déni de service (DDoS) sont de plus en plus prégnants (6).
Fin de l’architecture horizontale et multipartite pour le RuNet
Depuis l’adoption de la loi n°608767-7, les fournisseurs d’accès à l’Internet (FAI) et les gestionnaires de points d’échange internet russes ont été incités à poursuivre la mise en place de « moyens techniques » permettant un « contrôle centralisé du trafic » sur leurs réseaux, officiellement dans le but de contrer des menaces éventuelles (7). Le contrôle de l’installation de ce matériel doit être assuré par le RosKomNadzor (service fédéral chargé de contrôler le RuNet) et par le FSB (Service fédéral de sécurité de la Fédération de Russie). La sollicitation de ces deux services laisse supposer que le matériel en question correspond aux boîtiers SORM (8), qui permettent la captation et le stockage du trafic sur le réseau russe.
Le choix des acteurs concernés par ces mesures n’est, par ailleurs, pas anodin. En incluant les infrastructures de routage et les IXP ( Internet eXchange Points : infrastructures physiques où s’opère la liaison entre le réseau internet russe et le Net mondial), la loi sous-tend en effet que le chemin emprunté par les données en transit sur le RuNet pourra lui-même être soumis au contrôle et aux décisions des autorités. Ces décisions pourraient primer sur celles des FAI et des gestionnaires d’IXP, en charge de l’organisation et de l’aiguillage du trafic sur le réseau, ce qui constituerait une rupture dans le mode de fonctionnement de l’Internet. En effet, dans le cadre d’un transit normal de données, FAI et IXP choisissent généralement le chemin le plus court pour acheminer un paquet de données d’un point A à un point B, visant souvent une rapidité optimale.
Ces changements représentent aussi un véritable bouleversement du fonctionnement historique du RuNet, en cela qu’ils placent certains acteurs sous le contrôle de fait des autorités russes, et non plus d’une collaboration internationale organisée au sein d’institutions telles que l’ICANN, où les multiples
Ces changements représentent aussi un véritable bouleversement du fonctionnement historique du RuNet, en cela qu’ils placent certains acteurs sous le contrôle de fait des autorités russes, et non plus d’une collaboration internationale organisée au sein d’institutions telles que l’ICANN.
acteurs en charge du réseau russe avaient un droit de représentation et un pouvoir de décision dans les négociations sur le fonctionnement de leur réseau (théoriquement du moins). Par exemple, lorsqu’il s’agissait d’établir les modalités de raccordement de leurs réseaux avec ceux de FAI ou d’IXP situés dans d’autres pays. L’adoption de la loi 608767-7 signe donc la fin de ce fonctionnement horizontal et multipartite pour la Russie. En transférant aux autorités des prérogatives aussi importantes que la gestion du trafic, cette loi vient donc confirmer l’accroissement continu du contrôle des institutions publiques sur le RuNet depuis 2010. Contrôle qui est généralement justifié par la nécessité de répondre aux nouveaux enjeux de sécurité posés par le numérique (cybercriminalité, terrorisme, attaques informatiques et informationnelles), en particulier face à la nouvelle stratégie nationale pour la cybersécurité des ÉtatsUnis (9). Les autorités russes ont ainsi relégué à l’arrière-plan la délicate question de la surveillance des internautes en Russie.
Un risque accru de censure ?
En officialisant le contrôle des infrastructures informatiques par les autorités, la loi n°608767-7 s’ajoute à la stratégie de contrôle des contenus qui était menée jusqu’alors. Elle reposait depuis 2010 sur l’adoption de séries de mesures contre différentes menaces, allant du recrutement terroriste à la pédopornographie en ligne, en passant par les contenus extrémistes ou le trafic de drogue.
Ce contrôle est lui-même passé de la lutte contre les contenus illégaux en ligne à la lutte contre des contenus jugés diffamatoires (voire immoraux) par les autorités. Ce qui a notamment conduit à la suppression de publications considérées comme portant atteinte à la dignité de figures de l’Église et de l’État : telles que la fameuse image associant le visage du président Vladimir Poutine aux couleurs du drapeau LGBT. La modération des contenus en Russie a ainsi été marquée par un « tournant conservateur » depuis le retour de Vladimir Poutine au pouvoir en 2012. Surtout, ces changements dans la gestion des contenus en ligne par le RosKomNadzor (10) ont élargi les
prérogatives de contrôle des autorités, qui sont passées d’un cadre légal défini à un cadre moral flou, laissant place à une interprétation large de la loi. Les ONG et associations de défense des internautes soulignent ainsi depuis plusieurs années les risques d’emploi abusif de ces mesures.
Selon Human Rights Watch, la loi sur « l’Internet souverain » pourrait donc constituer « une menace pour les droits d’accès à l’Internet si la connexion au Net mondial était totalement ou partiellement coupée, ou si des mesures arbitraires de blocage ou de filtrage du contenu étaient prises », en plus du contrôle habituel qui était appliqué jusqu’alors. Elle pourrait également mettre en péril « l’anonymat en ligne », tout en risquant d’« isoler » les internautes russes « du reste du monde, en limitant leur accès à l’information » (11). De son côté, Andrej Soldatov, journaliste et co-auteur de The Red Web (12), estime que ce projet d’infrastructure « souveraine » a d’abord pour but de permettre aux autorités de couper des parties ciblées du RuNet, afin d’entraver les communications entre manifestants lors de mouvements sociaux. En mars 2019, quelques dizaines de milliers d’opposants à la loi se sont réunis pour manifester dans les rues de Moscou contre ces possibles restrictions de leur accès au RuNet et à l’information en ligne.
Le contrôle des flux du réseau et le défi de la cartographie
Les termes de la loi amènent en effet à s’interroger sur la possibilité qu’auraient les autorités d’empêcher (ou de filtrer) l’accès des internautes au RuNet dans des régions ou des localités choisies. En imposant un contrôle accru des autorités auprès des FAI, ils font fortement écho à un projet présenté par le ministère russe des Réseaux ( MinKomSvyaz) en 2015. Celui-ci consistait en une refonte de l’infrastructure du RuNet en différentes strates, dissociables les unes des autres à trois niveaux : un niveau municipal ou local, un niveau régional et un niveau fédéral (comprenant l’ensemble du territoire de la Fédération de Russie). Le projet prévoyait également un contrôle accru des FAI par les services du RosKomNadzor et du FSB, afin de favoriser le contrôle des flux de données. Surtout, les réseaux locaux et régionaux devaient être entièrement décorrélés du réseau internet mondial, puisqu’il aurait fallu passer par les structures du niveau fédéral pour pouvoir y accéder. Une telle infrastructure aurait donc effectivement permis de maîtriser les connexions des internautes, en rendant possible le blocage de leurs connexions ou le filtrage de leurs accès à différents niveaux.
Cette volonté de maîtrise des connexions sur le RuNet, exprimée par les autorités depuis plusieurs années en Russie, est d’ailleurs réapparue plus récemment en juillet 2019, lors de l’importante fuite des données de SyTech, une entreprise de sécurité informatique en contrat avec le FSB.
Parmi les données révélées dans ce qui est sans doute la plus importante fuite de l’histoire des services de renseignement russes, on trouve un projet intitulé « Hope », dont l’objectif était l’établissement d’une cartographie des points de connexion au RuNet. Or, cette entreprise cartographique d’un nouveau genre est une condition sine qua non à l’application effective de la loi sur l’Internet souverain. Les autorités ne peuvent en effet espérer mettre en place une quelconque stratégie de contrôle du réseau sans disposer d’une cartographie fiable de sa structure, et notamment des points d’accès qui en constituent les « portes d’entrée et de sortie ».
Cependant, cette entreprise de reconnaissance cartographique pourrait s’avérer particulièrement compliquée, tant le réseau russe est chaotique. Il s’est en effet développé de manière anarchique dans les années 1990-2000, si bien qu’il est difficile d’en avoir aujourd’hui une vision claire. À titre d’exemple, le RuNet compte plus de 5000 systèmes autonomes là où le réseau français, centralisé car conçu à l’origine sous l’égide d’opérateurs publics, en compte moins d’un millier.
Un projet somptuaire du poutinisme ?
Le projet d’« Internet souverain » nécessite une réorganisation des infrastructures du RuNet difficile à mettre en oeuvre, et très coûteuse pour l’État. Il implique en effet la concertation des nombreux acteurs en charge du fonctionnement technique du RuNet (techniciens, opérateurs, FAI, etc.), autour de la réorganisation commune de leurs propres réseaux et infrastructures de routages internes sur le modèle imposé par les autorités. Or, le fonctionnement de ces sous-réseaux diffère selon leur usage (réseaux industriels, réseaux internet locaux ou régionaux, etc.), et les acteurs qui les administrent présentent des profils variés. On trouve notamment entre eux des différences d’organisation et de moyens, comme dans le cas des FAI associatifs, dont le statut et les modes de travail diffèrent notoirement de ceux des FAI commerciaux, gérés par des entreprises. Organiser des concertations entre des acteurs si différents, et contrôler des réseaux au fonctionnement si disparate représentera donc un véritable défi communicationnel et technique.
Consciente de ces difficultés, la Cour des Comptes russe a présenté un avis défavorable à la réalisation du projet en février 2019 (13), arguant de l’important surcoût qu’il entraînerait pour les finances publiques. Des aides fédérales seront en effet né
La modération des contenus en Russie a ainsi été marquée par un « tournant conservateur » depuis le retour de Vladimir Poutine au pouvoir en 2012.
cessaires afin de soutenir les opérateurs, qui ont désormais l’obligation de se procurer et d’installer un matériel spécifique, recommandé par le FSB et destiné au contrôle de leurs réseaux. La nouvelle législation les oblige, par ailleurs, à embaucher des consultants-spécialistes du RosKomNadzor afin d’adapter leurs méthodes de travail à la nouvelle loi. Le coût de ces mesures est ainsi estimé à environ 25 milliards de roubles en recherche et développement pour les opérateurs et les constructeurs, qui devront faire face à d’autres dépenses. D’abord, celles liées à la création et la maintenance d’un registre des points d’échange du trafic, à l’embauche de spécialistes des nouveaux protocoles à appliquer, et à l’adaptation de leurs infrastructures existantes. Ensuite, celles liées à la participation à des formations et des exercices proposés par le RosKomNadzor (14). Ce surcoût pour les acteurs privés devra donc être compensé à hauteur de 10 % du marché par les institutions publiques fédérales, pour un montant d’environ 134 milliards de roubles par an.
En tout état de cause, on peut se demander si les différents acteurs du numérique en Russie sont prêts à collaborer de manière efficiente avec les autorités publiques. On sait par exemple que de nombreux fournisseurs d’accès russes renâclent à collaborer avec le FSB. Le cyberespace russe est en effet bien moins monolithique que la représentation généralement admise ne le laisse penser. Parmi les multiples acteurs en présence, certains pourront même chercher à établir des voies de contournement du contrôle gouvernemental, surtout si celui-ci devient de plus en plus répressif. N’oublions pas qu’il existe en Russie une solide tradition crypto-anarchiste et/ou libertarienne dans les milieux techniques, où l’on planche déjà sur des solutions à un éventuel blocage des points d’accès par l’État. Enfin, rappelons que certaines figures du RuNet se sont fait une spécialité de narguer le pouvoir en le mettant face à ses propres limites, à l’instar du fondateur de VKontakte et de Telegram, Pavel Dourov. La « verticale du pouvoir », qui constitue le modus operandi classique du poutinisme depuis plus de vingt ans, pourrait ainsi très bien se heurter aux réalités d’un réseau dont le fonctionnement est fondé sur la coopération horizontale et consentie de multiples acteurs. (1) « Russia to launch “independent Internet” for BRICS nations », RT, 28 novembre 2017 (https://www.rt.com/russia/411156russia-to-launch-independent-internet/).
(2) Les serveurs racines pour les noms de domaines constituent « l’archive en dernier recours » dans le processus de résolution de ces noms. Il permet, à partir d’une recherche sur un nom de domaine (par ex. : areion24.news), d’identifier l’adresse IP correspondante pour pouvoir afficher la page demandée. D’où la nécessité qu’ils puissent assurer leur service sans interruption.
(3) Voir l’article « Le Conseil de sécurité russe a demandé la mise en place d’un “Internet indépendant“pour les pays des BRICS »[en russe], RBC (https://www. rbc.ru/technology_and_media/28/11/ 2017/5a1c1db99a794783ba546aca). (4) Officiellement chargée, en 2016, de la réalisation d’une copie de sauvegarde du RuNet, voir : http://sevendaynews. com/2016/07/06/take-two-whowill
(5) En-dehors du système chinois, qui est déjà décorrélé du système de l’ICANN depuis septembre 2006.
(6) En raison de l’augmentation des risques de création de botnets de grande ampleur, qui fonctionnent à partir d’objets connectés, tels que l’infrastructure The Reaper.
(7) En accord avec le cinquième point de la loi fédérale no 126- ФЗ du
7 juillet 2003 « Sur les Réseaux ».
(8) Système pour les activités d’enquêtes opérationnelles, Sistema Operativno-Rozysknych Meroprijatij.
(9) Propos tenus par Aleksandr Zharov le 16/04/2019, après l’adoption la loi 608767-7 par la Douma ; traduits et rapportés par le média d’État russe RT dans l’article « Internet russe souverain : que prévoit la nouvelle loi signée par Vladimir Poutine ? » (01/05/2019) (https://francais.rt.com/international/61675internet-russe-souverain-que-prevoitnouvelle
(10) Qui dépend du MinKomSvyaz, ministère du Développement digital, des communications et des mass media. (11) https://www.hrw.org/ news/2019/04/24/joint-statementrussias
(12) The Red Web: The Struggle Between Russia’s Digital Dictators and the New Online Revolutionaries, New York, PublicAffairs, 2015. (13) https://www.rbc.ru/technology_ and_media/07/02/2019/5c5c640 a9a7947c571f5abb2 (en russe). (14) http://www.kommersant. ru/doc/3842329.
On peut se demander si les différents acteurs du numérique en Russie sont prêts à collaborer de manière efficiente avec les autorités publiques. On sait par exemple que de nombreux fournisseurs d’accès russes renâclent à collaborer avec le FSB.