La Commission européenne veut réprimer le piratage informatique...
Tandis qu'à Washington on continue, jour après jour, de manipuler la presse pour lui faire dire qu'il existe un risque croissant de cyber-guerre, voire même de cyber-jihad, à Bruxelles, les faiseurs de lois se sont gratté la tête pour accoucher d'une proposition de « décision-cadre du Conseil relative aux attaques visant les systèmes d'information ». Ce texte présenté par la Commission vise à doter les pays membres d'un cadre juridique identique reprenant peu ou prou les grands axes de la loi Godfrain française sur le piratage informatique. En dépit d'un lexique et d'un exposé des motifs très vaste, ce texte présente un défaut commun à la loi Godfrain : il est techniquement à côté de la plaque et surtout, il ne résout pas les problèmes.
La prévention serait peut-être plus utile que la répression, surtout lorsqu'elle passe totalement à côté des vrais enjeux. Bruce Schneier, expert américain en sécurité informatique, explique ainsi dans son livre Secrets et mensonges, Sécurité numérique dans un monde en réseau : « Les lois n'augmentent pas la sécurité des systèmes, ou évitent que les attaquants trouvent des trous. Leur rôle est de permettre à des fabricants de produits de se dissimuler derrière une sécurité imprécise, blâmant les autres pour leur propre inaptitude. Il est certainement plus simple d'implémenter de la mauvaise sécurité et de rendre hors la loi tous ceux qui le font remarquer que d'implémenter de la bonne sécurité. »
La loi Godfrain est imprécise. Elle est également totalement dépassée sur le plan des technologies évoquées. Il en sera de même pour ce texte européen. Dans l'exposé des motifs, les auteurs soulignent que « les réseaux de communication électronique et les systèmes d'information sont aujourd'hui un élément essentiel de la vie quotidienne des citoyens de l'UE et jouent un rôle fondamental pour le succès de l'économie européenne. Les réseaux et les systèmes d'information convergent et sont de plus en plus interconnectés. Cette évolution comporte des avantages nombreux et évidents, mais elle s'accompagne également du risque inquiétant d'attaques intentionnelles contre les systèmes d'information. Ces attaques peuvent prendre des formes très différentes (accès illégal, diffusion de codes malveillants et attaques par déni de service). Elles peuvent avoir n'importe quelle origine géographique, viser tout lieu dans le monde et ce à tout moment. De nouvelles formes d'attaques inattendues pourraient se produire à l'avenir. Les attaques contre des systèmes d'information constituent une menace pour la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice ; elles appellent donc une réaction au niveau de l'Union européenne. La présente proposition de décision-cadre sur le rapprochement du droit pénal concernant les attaques contre les systèmes d'information s'inscrit dans le cadre de la contribution de la Commission à cette réponse. » A ce stade, il n'est pas inutile de s'interroger sur ce que sont les réseaux de communication électroniques. Les réseaux bancaires ? Ceux des marchés financiers ? Ou encore, ceux sur lesquels s'échangent des données médicales ? Non. Les auteurs précisent, avec un air entendu que « les termes "système d'information" sont délibérément utilisés ici dans leur sens le plus large eu égard à la convergence entre les réseaux de communication électronique et les différents systèmes qu'ils connectent. Aux fins de la présente proposition, les systèmes d'information couvrent donc les ordinateurs personnels autonomes, les agendas électroniques personnels, les téléphones mobiles, les intranets, les extranets et, naturellement, les réseaux, serveurs et autres infrastructures d'Internet. » Les vilaines attaques qui mettent en péril l'économie européenne et, par extension, mondiale, vont toucher les PDA et autres ordinateurs personnels. Pire, les téléphones mobiles. A quand un virus « I Love You » ou « Melissa » sur GSM ? Justement, l'Union européenne précise que les risques d'attaque sont de quatre types : les accès non autorisés à un système d'information (c'est-à-dire à ce qui est décrit ci-dessus), le déni de service, les virus et autres vers, l'interception de communications (« sniffing ») et l'usurpation d'identité (« spoofing »). En quelques lignes, les spécialistes de Bruxelles ont fait le tour du sujet. Les voilà tout heureux. Sauf qu'avec ce texte ridicule ils passent à côté des vrais dangers et ne permettront que l'arrestation de lampistes. Au mieux, des script-kiddies, c'est-à-dire des gamins qui pensent que la modification d'une page d'accueil de site Web a un quelconque intérêt. D'ailleurs, l'exposé des motifs mentionne des groupes de script-kiddiots comme Pakistan Gforce ou Brazilian Silver Lords.
Une modification de page d'accueil est aussi grave pour un administrateur réseau qu'un graffiti sur le rideau métallique d'un magasin dans le monde réel... Passons.
Par ailleurs, on sent, dans ce document, la traduction, pratiquement mot pour mot, de textes anglo-saxons et de thèmes rabâchés dans la presse outre-Atlantique. C'est ce que les spécialistes appellent le FUD (Fear, Uncertainty and Doubt). Un concept qui permet à celui qui diffuse ces sentiments de faire accepter ensuite n'importe quoi (en l'occurrence, n'importe quelle législation), pourvu que ce n'importe quoi promette de protéger M. et Mme Michu des dangers évoqués.
Le texte précise : « Il faut que les auteurs de ces infractions soient identifiés et traduits devant la justice et que les tribunaux aient à leur disposition des sanctions appropriées et proportionnées. Un message dissuasif fort pourra ainsi être adressé aux auteurs potentiels d'attaques contre des systèmes d'information. » Proportionné, cela veut dire, en l'espèce, au minimum un an de prison pour les actes de piratage. Mais la palme revient à l'article concernant les circonstances aggravantes : « l'infraction a causé, ou a entraîné, une perte économique importante, directe ou indirecte, des dommages corporels à une personne physique ou un dommage important à une partie de l'infrastructure critique de l'État membre ».Quatre ans. Pour mémoire, la moyenne des peines infligées en France aux chauffards ayant provoqué la mort d'une personne alors qu'ils roulaient en état d'ivresse (ne parlons même pas des gens qui conduisent sous l'emprise de médicaments) est de trois ans. Cherchez la « proportionnalité » de tout ça...
Mais revenons à l'idée de « perte économique importante, directe ou indirecte ». Dès le lendemain du grand ralentissement de quelques serveurs Web phares de la nouvelle économie en février 2000, Le Monde titrait en une : « 1 milliards de dollars de pertes ». D'autres, comme le FBI parlaient même de 1,7 milliard . Quelques mois plus tard, les entreprises concernées par ce déni de service publiaient leurs bénéfices trimestriels. A bien y regarder, on se rendait compte, avec une calculette et non pas avec le FUD comme outil, que Etrade, Yahoo, Ebay et Amazon avaient enregistré un manque à gagner de 322 374 dollars. Multiplié par 10 (autres entreprises touchées par l'attaque), on atteint la somme mirifique de 3,22 millions de dollars. Ajoutons 500 000 francs (multiplié par 10 encore) pour l'achat de matériel et de prestations de consulting, histoire de se protéger pour l'avenir, soit 703 230 dollars, et l'on atteint un total de 3,9 millions de dollars. On est encore loin du milliard de dollars. Faut-il condamner l'auteur (mineur à l'époque) de ce délit sur la base d'un milliard de dollars de préjudice ou de 3,9 millions ? Avec un pareil lynchage public (le Président américain avait même convoqué une réunion extraordinaire à la Maison Blanche avec des hackers pour évoquer ce ralentissement) relayé par une presse aveugle, il y a plus de chance qu'il passe quatre ans derrière les barreaux que moins...
Tout cela part sans doute d'un bon sentiment. Il faut protéger les infrastructures critiques des pays membres. Mais ces infrastructures ont sans doute plus à voir avec le réseau téléphonique qu'avec les PDA, ou même Internet et ses sites Web. De plus, les véritables pirates informatiques ne se font pas arrêter. Simplement parce qu'ils ne laissent pas de traces. Mais surtout, parce qu'ils ne piratent pas des pages d'accueil... Et ne signent pas leurs actes comme les script-kiddies... Bilan des courses, encore un texte pour rien.
En attendant, personne ne force les entreprises à sécuriser leurs réseaux, à protéger, comme la loi (et une directive européenne) les y oblige pourtant, les données personnelles qu'elles récoltent. Personne ne pense, non plus, à imposer aux éditeurs de logiciels ou aux producteurs de hardware de ne mettre sur le marché que des produits de qualité, intégrant un volet sécurité important. Qui accepterait qu'une voiture soit vendue alors que tout le monde sait qu'elle dispose de centaines de failles mettant en danger les conducteurs ?