Il y a quelques jours à peine, Symantec annonçait avoir identifié un « malware » (logiciel malveillant) baptisé « Regin » dont le niveau de sophistication n’aurait pas ou peu d’équivalent, et ce, bien que son architecture semble s’inspirer d’autres logiciels malveillants comme « Stuxnet » et « Duqu ». Ce cheval de Troie modulaire aurait notamment la capacité de collecter de grandes quantités de renseignements et d’espionner à peu près n’importe qui, qu’il s’agisse d’organisations gouvernementales, d’instituts de recherche, d’entreprises ou encore de simples individus.
Symantec elle-même posait comme hypothèse lors de son annonce qu’il s’agirait vraisemblablement d’un logiciel malveillant développé par ou pour certains états étant donné l’importance des ressources nécessaires à sa conception. Chose certaine, son utilisation aurait débutée en 2008 sinon plus tôt avant de s’arrêter en 2011 et de reprendre du service en 2013. Selon le rapport de 21 pages de Symantec intitulé « Security response – Regin : Top-tier espionage tool enables stealthy surveillance », le ou les vecteurs de propagation de ce logiciel malveillant demeurent pour l’instant impossible à reproduire.
Selon (les sources consultées par) The Intercept, le recoupage des informations rendues publiques par Edward Snowden concernant notamment l’espionnage de l’Union européenne et de l’entreprise belge de télécom Belgacom et l’annonce de Symantec permettrait d’attribuer la paternité de « Regin » aux services de renseignements américains et britanniques. Une enquête criminelle serait d’ailleurs en cours en Belgique concernant le piratage de Belgacom. De son côté, The Intercept invite les internautes à infecter volontairement leur ordinateur avec « Regin » afin de faciliter la recherche et une meilleure compréhension de celui-ci… Pas sûr!
Parallèlement à la découverte de « Regin », le CIGI (« Centre for International Governance Innovation ») publiait récemment (le 24 novembre) un sondage réalisé entre le 7 et le 12 novembre 2014 par l’institut Ipsos auprès de 23 376 internautes provenant de 24 pays différents, lequel s’intitule « CIGI-Ipsos Global Survey on Internet Security and Trust ».
Parmi les données découlant de ce sondage, quelques-unes méritent de s’y attarder. D’abord, 64% des répondants ont affirmé être « more concerned today about online privacy than they were compared to one year ago » et 62% ont déclaré être « concerned about government agencies from other countries secretly monitoring online activities » (c’est respectivement 4 et 2% de plus que ceux qui ont déclaré avoir entendu parler d’Edward Snowden). Enfin, parmi différentes alternatives proposées, 57% ont déclaré qu’ils seraient enclins à confier la gouvernance de l’Internet à « un regroupement d’ingénieurs, de techniciens spécialisés, d’organisations non gouvernementales ou de groupes indépendants » plutôt qu’aux états (47%), aux États-Unis (36%) ou même aux Nations Unies (50%).
Il est à noter que ce sondage, qui vise notamment à appuyer le travail de la « Global Commission on Internet Governance (GCIG) » (dont le CIGI et la Chatham House sont les cofondateurs) fait suite à la publication il y a quelques jours (le 21 novembre) du livre intitulé « Finding Common Grounds – Challenges and Opportunities in Internet Governance and Internet-related Policy ». Dans cet ouvrage, après avoir reconnu que la collecte de renseignements fait partie des fonctions de l’état, les auteurs s’interrogent sur la surveillance électronique à grande échelle (rendue notamment possible par le recours à des logiciels malveillants comme « Regin »). C’est d’ailleurs dans cette optique que le Brésil et l’Allemagne ont, à l’automne 2013, soumis à l’Assemblée générale des Nations Unis une résolution intitulée « Resolution on The Right to Privacy in the Digital Age », laquelle a été adoptée le 18 décembre 2013. À cela s’ajoute les préoccupations exprimées par Google, Apple, Yahoo, Facebook, LinkedIn et d’autres géants de l’industrie dans des lettres conjointes transmises aux autorités américaines en décembre 2013 de même qu’en novembre 2014 demandant respectivement une réforme des pratiques américaines en matière de surveillance électronique et l’adoption rapide de la « U.S.A. Freedom Act ».
On le voit bien, alors que la surveillance électronique tous azimuts continue et que nos gouvernements multiplient les lois pour faciliter celle-ci, les révélations d’Edward Snowden ou celles concernant l’usage de logiciels malveillants comme « Regin » ont ébranlé et continuent d’ébranler la confiance des internautes, et ce, alors que l’accès à Internet à un prix abordable est par ailleurs vu par 83% des répondants au sondage du CIGI… Comme un « basic human right »!
Or, force est de constater que les mesures législatives existantes sensées nous protéger contre ce genre d’intrusion (liberté d’expression, droit à la vie privée, nécessité d’obtenir un mandat, etc.) sont inefficaces ou tout simplement ignorées dans l’univers électronique. Même constant en ce qui concerne le droit des conflits armés, notamment les principes de jus ad bellum et jus in bello, qui devrait en toute logique s’appliquer aux cyberguerres. À l’autre bout du spectre, les géants de l’industrie continuent quant à eux à amasser des « big datas » (mégadonnées) à des fins commerciales et s’autorégulent aussi loin que possible de toute influence étatique, décidant notamment plus souvent qu’autrement en vase clos ce qui doit être indexé par les moteurs de recherche ou être au contraire relégué dans les profondeurs du « Deep Web » (voir notamment ici et ici).
Face à ce qui précède, certains constats s’imposent. D’une part, la responsabilité incombe aux internautes de compliquer le travail des agences de surveillance, notamment en investissant davantage de temps dans l’élaboration et le maintien de leurs mesures de sécurité mais aussi en recourant davantage à des plateformes anonymes et amnésiques comme Tails, qualifié par la NSA de « dispositif de sécurité des communications préconisé par des extrémistes, sur des forums extrémistes », comme TOR, quoique l’anonymité sur Tor pourrait ne pas être étanche puisque les autorités sont parvenues, il y a quelques semaines, à identifier (et à arrêter) les personnes derrières « Silk Road 2.0 » qui œuvraient par le biais du réseau Tor, ou encore comme Yik Yak, une application de messagerie anonyme qui vient de compléter une nouvelle ronde de financement par capital de risque d’un montant de 62 millions de dollars, comme quoi le « potentiel » commercial de l’anonymat semble bien réel dans un monde où les données de notre jardin secret se monnayent à prix d’or.
D’autre part, malgré l’importance grandissante de l’Internet comme moteur de la postmodernité, force est de constater que le risque que les désavantages liés à l’utilisation du net finissent par l’emporter sur les avantages est bien réel de sorte qu’il devient de plus en plus urgent de s’intéresser à la régulation et à la gouvernance globale d’Internet afin de maintenir un niveau de confiance suffisant chez les internautes. Par qui et comment cette gouvernance sera-t-elle mise-en-place, la question est posée. Chose certaine, la solution mur-à-mur est peu probable, du moins à court et moyen terme, mais l’identité de ceux appelés à exercer cette gouvernance sera cruciale.