Accueil Cyber Sécurité Vendre l’insécurité numérique

Vendre l’insécurité numérique

Par
Fabrice Symphorien
-
123
0

Pour remédier à la vente de l'insécurité numérique, il faut s'attaquer à ses causes profondes et mettre en place une réponse cohérente de la part des États, de la société civile et du secteur privé.

Les cybercapacités offensives constituent une menace importante pour la nationale et internationale. Dans de nombreux cas, ces capacités constituent un outil légitime de sécurité nationale. Cependant, ces capacités peuvent également causer des dommages importants – et souvent imprévisibles.

L'utilisation de ces capacités pour diffuser de la désinformation, monter des cyberattaques perturbatrices et lancer des opérations de piratage et de fuite a fait dérailler des élections, réduit au silence des voix politiques dissidentes, perturbé la vie d'individus, de communautés, d'entreprises et même de gouvernements entiers.

Bien que les capacités cybernétiques offensives les plus avancées soient encore détenues par des États, il existe un marché mondial de l'insécurité numérique en pleine expansion, avec des capacités allant de services ouvertement annoncés à des contrats plus opaques et sur mesure, en passant par des marchés cybercriminels.

Récemment, la Maison Blanche a annoncé la mise en place d'un décret comprenant plusieurs nouvelles mesures pour lutter contre les risques posés par les logiciels espions commerciaux. pour les droits de l'homme et la sécurité nationale des États-Unis. Comme l'indique le récent rapport britannique Integrated Review Refresh, la fusion des cybermenaces générées par la vente de l'insécurité numérique exige une réponse cohérente. Le nouveau programme britannique de Stratégie technologique internationale s'engage également à protéger les intérêts de sécurité en veillant à ce que les technologies sensibles ne tombent pas entre des mains hostiles.

Pour remédier à la vente de l'insécurité numérique, les États doivent travailler avec la société civile, les victimes et le secteur privé. Ils doivent également coopérer avec les grandes entreprises technologiques, en particulier celles qui ont été exploitées comme vecteurs d'attaque. De manière plus controversée, les États doivent coopérer avec les entreprises véritablement responsables qui proposent des services commerciaux de piratage et d'influence en ligne – celles qui sont prêtes à faire preuve de respect pour les droits de l'homme et à opérer dans les limites du droit national et international – tout en maximisant la pression exercée par leurs investisseurs et leurs bailleurs de fonds.

Espionnage, subversion et sabotage 2.0

Le plus célèbre pourvoyeur d'insécurité numérique est Groupe NSOdont Logiciel espion Pegasus a été acheté par plus de 30 États et utilisé pour traquer les politiciens, les dissidents et les journalistes étrangers. Pegasus a été associé à de graves violations des droits de l'homme, notamment la détention arbitraire, la torture et l'assassinat. Le groupe NSO entretient des liens étroits avec le gouvernement israélien, Pegasus étant utilisé pour adoucir les ouvertures diplomatiques aux États du Golfe. Aujourd'hui, l'entreprise est soumise à des sanctions américaines et un Enquête du Parlement européen.

Bien que NSO Group fasse le plus souvent les gros titres, le marché de l'insécurité numérique est mondial. Les entreprises et les organisations cybercriminelles qui vendent de la désinformation-, , des ransomwares ou du piratage à façon. sont situés à travers l'Europe, les États-Unis, l'Inde, la Russie et la Chine, et opèrent dans le monde entier. Ce marché approvisionne les acteurs de la sécurité nationale et un éventail plus large d'organismes d'application de la loi, de cabinets d'avocats et de détectives privés.

La tristement célèbre Internet Research Agency, fondée par le chef du Wagner Group, Yevgeniy Prigozhin, a écrit le manuel de désinformation commerciale lorsqu'elle a déployé des fermes de trolls contre le… Élections présidentielles américaines de 2016.

D'autres groupes combinent des opérations d'influence avec un piratage de type ONS. Les récentes révélations sur les “opérations noires” de désinformation ont mis au jour “Team Jorge” : un autre groupe de contractants israéliens qui se vante d'avoir manipulé plus de 30 élections par le biais de la désinformation et de piratages et fuites stratégiques. Des pirates commerciaux ont secrètement placé de fausses preuves sur les appareils de défenseurs indiens des droits de l'homme, puis ont tenté en vain de brouiller les pistes avant d'être arrêtés par la police.

Lire aussi :  Les utilisateurs de Facebook vont recevoir 725 millions de dollars en guise de paiement

Un reportage récent sur les services de renseignement grecs qui ont piraté l'appareil d'un directeur de Meta avec un logiciel espion illégal met en lumière le paysage complexe – et contradictoire – qui entoure l'utilisation par l'État d'outils de piratage.

Qu'y a-t-il de nouveau dans la vente de l'insécurité numérique ?

Les États cherchent depuis longtemps à recueillir des renseignements sur leurs populations et sur d'autres, à influencer la politique régionale ou internationale et à exploiter les déséquilibres politiques et économiques mondiaux pour en tirer un profit financier. Les États ont souvent délégué ces tâches à d'autres organisations, qu'il s'agisse de sociétés militaires privées ou de bandes criminelles organisées. Parmi les prédécesseurs proches de la vague actuelle d'influence commerciale et de piratage informatique, on trouve les opérations d'influence de l'époque de la guerre froide.

L'avènement de l'ère numérique a modifié les possibilités d'espionnage, de subversion, de sabotage et de chantage de trois façons :.

  • Premièrement, les faibles coûts d'entrée et l'évolutivité rapide signifient que les entreprises peuvent commencer petit, se développer rapidement et pivoter entre différentes formes d'influence et de compromis numérique. Un groupe basé au Moyen-Orient dont le nom de code est Bahamut a piraté de nombreuses cibles (probablement pour plusieurs clients) et utilisé un réseau de faux comptes pour mener des campagnes de désinformation. Les pirates commerciaux iraniens ont combiné désinformation et tentatives de compromettre l'infrastructure numérique des élections présidentielles américaines de 2020.
  • Deuxièmement, les flux de données transfrontaliers quasi instantanés signifient que ces organisations opèrent à distance, efficacement, avec une relative impunité. Des groupes comme Conti proposent des ransomwares en tant que service, ne se contentant pas de commercialiser mais professionnalisant le piratage à but lucratif, avec des “affiliés” responsables des opérations dommageables contre les infrastructures critiques. Aujourd'hui, de prétendues sociétés de “relations publiques” comme Archimède ou Cambridge Analytica peuvent influencer des élections sans jamais mettre les pieds dans un pays.

Les flux de données quasi instantanés à travers les frontières signifient que les organisations cybercriminelles peuvent opérer dans une relative impunité.

  • Enfin, les entreprises qui proposent des cyber-services offensifs peuvent également se faire passer pour des membres de l'industrie légitime de la cybersécurité, en semblant proposer des “tests de pénétration” pour évaluer la sécurité du réseau, ou construire des exploits de type “zero-day” comme “preuve de concept” pour les revendre aux concepteurs de logiciels afin qu'ils corrigent leurs systèmes. En se développant à l'échelle mondiale, les marchés des failles et des vulnérabilités alimentent un réseau d'entreprises désireuses d'exploiter ces failles à des fins malveillantes.

Mise à jour de la politique et de la réglementation

Les États ont commencé à s'attaquer à la fusion des cybermenaces commerciales avec des réponses politiques coordonnées. En février, lors d'un discours à Chatham House, le procureur général adjoint des États-Unis a annoncé la création d'un groupe de travail sur la cybercriminalité. Disruptive Technology Strike Force (Force de frappe pour les technologies perturbatrices), qui cible les acteurs qui déploient des technologies perturbatrices pour nuire aux États-Unis et à leurs alliés par le vol, le piratage et l'espionnage.

Le nouveau Stratégie américaine en matière de cybersécurité s'engage à rendre impossible pour les “acteurs malveillants d'utiliser des campagnes cybernétiques” qui “menacent la sécurité nationale ou la sécurité publique” et décrit les mesures à prendre pour attaquer les sources de financement des entreprises qui s'occupent d'insécurité numérique.

En tant qu'acteur politique influent et siège d'un vaste marché pour ces capacités, les États-Unis devraient montrer la voie dans cet espace. Au-delà de la lutte contre l'utilisation de ces capacités par les États, il est nécessaire d'agir sur l'offre et la demande. Une réglementation efficace doit être ancrée dans le droit international (y compris les droits de l'homme) et adaptée aux caractéristiques uniques des services numériques.

Lire aussi :  Les images générées par l'IA secouent le marché boursier

Les États-Unis, en tant qu'acteur politique influent et siège d'un vaste marché de cybercapacités offensives, devraient montrer la voie dans cet espace.

Les pays peuvent interdire ou autoriser les ventes à des entités ou des pays particuliers. Les mesures régionales et internationales de contrôle des exportations – telles que l'Arrangement de Wassenaar et le Règlement de contrôle des exportations de l'UE pour les outils de cybersurveillance – doivent s'efforcer d'obtenir une mise en œuvre harmonisée et un large soutien, afin d'éviter que les ransomwares et la cybersurveillance ne constituent des “refuges”. Le Bureau des droits de l'homme des Nations Unies a appelé à un moratoire mondial sur les ventes de logiciels espions jusqu'à ce que des garanties suffisantes en matière de droits de l'homme soient mises en œuvre. Bien que le contrôle des exportations soit un levier crucial de l'arsenal réglementaire, il est limité par l'opacité des décisions d'octroi de licences, les exemptions liées à la sécurité nationale et les concepts glissants de “double usage”.

Approches créatives

Il est impératif que de nouvelles coalitions adoptent des approches créatives pour façonner les motivations économiques de ceux qui vendent des outils de piratage. Une récente initiative conjointe de la Heartland Initiative, du European Council on Foreign Relations, d'Access Now et du Business &amp ; Human Rights Resource Centre a réuni des investisseurs et des membres de la société civile pour discuter des moyens d'utiliser les mécanismes du marché (comme les résolutions d'actionnaires et les rapports ESG) pour faire pression sur les entreprises qui vendent de l'insécurité numérique.

Des mesures conjointes ont été testées dans d'autres secteurs (notamment dans les domaines de l'énergie, du climat et des industries extractives), mais elles restent balbutiantes en matière de cyberpolitique. Les initiatives peuvent s'inspirer d'organisations telles que Citizen Lab, qui ont cherché à mobiliser des investisseurs contre la vente de NSO Group en 2017, et des groupes de défense qui ont utilisé la pression du gouvernement américain pour empêcher sa vente à un entrepreneur de la défense en 2022.

Les investisseurs et la société civile peuvent utiliser les mécanismes du marché, comme les résolutions d'actionnaires et les rapports ESG, pour faire pression sur les entreprises qui vendent de l'insécurité numérique.

Fondamentalement, s'attaquer à la vente de l'insécurité numérique nécessite de s'attaquer à ses causes profondes. Comme le souligne le Cybersecurity Tech Accord a récemment affirmé que l'amélioration de la cyberdéfense et de l'environnement des plateformes en ligne sont des mesures clés pour la sauvegarde des infrastructures critiques et des processus démocratiques.

Les États et autres devraient continuellement contrer directement les acteurs malveillants. Mais, comme toutes les places de marché, celle-ci peut être façonnée par différents leviers : économiques, réglementaires et juridiques. Utiliser ces leviers avec précaution peut aider à construire un cyberespace plus sûr et plus bénéfique pour tous.

James Shires est chercheur principal en politique cybernétique à Chatham House

Isabella Wilkinson est associée de recherche, programme de sécurité internationale à Chatham House

Tu pourrais aussi lire :

La réglementation des plateformes numériques – impossible ?:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel 5€ par mois ou 50€ par an. S'inscrire
  • Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible

” En tant que chef d'entreprise, tu dois gérer les cyberrisques
Projet de loi sur la sécurité en ligne au Royaume-Uni : WhatsApp, le cryptage et les implications pour la vie privée “
Article précédentPartage des renseignements sur les menaces
Article suivantTracer une voie pour remédier à la pénurie de compétences en cybernétique
Fabrice Symphorien

ARTICLES CONNEXESPLUS DE L'AUTEUR