La fin du cybercrime ne se décrétera pas
Une «convention de Genève numérique» pour mettre fin aux cybercrimes? Sur le papier, l’idée est séduisante. D’autant plus qu’elle n’émane pas d’un Etat mais d’un groupe technologique puissant, Microsoft. L’initiative lancée en février par Brad Smith, président et avocat général de la multinationale, fait son chemin et il est possible qu’un texte voie le jour d’ici deux à trois ans.
Un tel texte est-il nécessaire? Oui, sans l’ombre d’un doute. Les cybercriminels ne se contentent pas de dérober des millions dans des banques, de paralyser les ordinateurs de multinationales ou de pirater des PC de gouvernements. Leur pouvoir est tel que d’ici peu, sans forcément le vouloir, ils tueront. Pas nécessairement en attaquant une centrale nucléaire ou une compagnie ferroviaire, mais simplement en perturbant les activités d’un hôpital par la paralysie de ses ordinateurs. Au printemps, des catastrophes ont été évitées de justesse en Grande-Bretagne, lorsque des dizaines d’hôpitaux ont dû annuler des opérations à cause du logiciel d’extorsion WannaCry.
Il faut des lois internationales précises pour interdire ces offensives. Mais aussi un organisme indépendant pour enquêter en cas d’attaques. L’initiative de Microsoft, à laquelle Genève se rallie de manière active et intelligente, est louable. Mais elle ne résoudra pas tout.
D’abord parce que les auteurs de méfaits demeureront toujours extrêmement difficiles à identifier. Ce n’est pas parce qu’un logiciel malveillant contient du code informatique russe, chinois ou coréen que ses origines sont faciles à retrouver. Les Etats, souvent soupçonnés de mener les plus grandes attaques, travaillent fréquemment avec des groupes de pirates externes difficiles à tracer.
Se pose aussi la question du rôle des Etats-Unis. La NSA, capable de prendre le contrôle de n’importe quel smartphone ou ordinateur sur la planète, se pliera-t-elle vraiment à des règles internationales? On peut en douter. Le risque est grand également que les Américains négocient les conventions numériques de manière si dure qu’elles ne ressembleront au final qu’à une coquille vide.
Enfin, la responsabilité de Microsoft, Google ou Facebook est aussi à relever. Il n’est pas exagéré de dire que ce sont eux qui possèdent, aujourd’hui, Internet. Ils risquent de plaider pour un texte aussi peu contraignant que possible pour eux, n’ayant aucune envie de muer une partie de leurs ingénieurs en agents au service d’une police internationale. Et ces sociétés doivent aussi améliorer leur manière d’agir: si Microsoft n’avait pas arrêté de mettre à jour régulièrement Windows XP en 2014, douze ans après son lancement, WannaCry n’aurait pas été aussi destructeur.
L’initiative pour une convention de Genève est louable. Mais elle ne va pas tout régler