Il est fort intéressant de lire les commentaires divergents et les diverses interprétations données à cette affaire. Les uns disent que c’est la première phase d’une cyber-guerre d’ampleur considérable qui vient d’être lancée par une ou plusieurs puissances, et que l’expertise développée pour l’élaboration des séries de virus qui s’abattent sur les systèmes iraniens ne peut être disponible que dans le cadre d’États armés pour ce faire. D’autres affirment qu’il ne s’agit que de ballons d’essais d’équipes d’ “universitaires” qui testeraient de nouvelles méthodes virales. Certains affirment qu’il ne s’agit en fait que d’une campagne d’intoxication, destiné à booster le marché de la sécurité. Au total, la presse abonde en informations fort parcellaires et en désinformations plus ou moins farfelues.

Parmi les plus savoureuses, citons celle rapportée par le New York Times, qui affirme (au premier degré, apparemment) que le virus contiendrait quelque part enfoui profondément dans son code le mot “myrtus”, ce qui serait une allusion fort subtile au nom d’Esther, héroïne biblique, jadis engagée dans une guerre contre l’empire perse. En effet le nom originel d’Esther serait en fait Hadassah, qui veut dire “myrte” en hébreu. Pour ceux que cela intéresse on peut lire l’argument développé par de fort compétentes autorités universitaires ici.

Le site ReadWriteWeb, généralement bien informé, relate l’attaque de Stuxnet mais conclut d’une bien étrange manière:

A l’heure où de nombreuses voix s’élèvent pour dénoncer les failles de sécurité que pourrait faire apparaître la mise en place d’un système généralisée de surveillance de la population française, SCADA pourrait être une façon radicale d’éteindre la machine afin de faire réaliser pleinement au gouvernement qu’il n’en possède pas les clés.

Sic.

Les rédacteurs de ce site agitent ainsi la menace d’un déploiement ravageur de virus qui pourraient s’attaquer prochainement aux infrastructures françaises. Des hackers feraient ainsi part de leur opposition radicale à certaines évolutions récentes du droit français en matière de piratage par exemple. Ils “puniraient” le gouvernement par des actions de sabotage viral à grande échelle, dont les récentes attaques DDoS (Distributed Denial of Service) contre des sites comme celui d’Hadopi ne seraient qu’une modeste préfiguration.

La société civile en renfort?

Ici, deux remarques et une prédiction.

1. Le virus Stuxnet est très vraisemblablement le fait d’un ou plusieurs États. Ceux-ci sont facilement reconnaissables. Ils ont d’ailleurs annoncé haut et clair leur capacité offensive en matière de cyberguerre, et ont déployé une doctrine stratégique de prééminence absolue en matière de contrôle mondial du cyberespace. Dans cette hypothèse, Stuxnet n’aurait rien à voir avec des hackers, par exemple du genre anti-Hadopistes, et son degré de sophistication dépasserait de plusieurs ordres de grandeur le niveau de nuisance de groupes de tels hackers civils aussi doués soient-ils.

2. Une attaque virale anti-SCADA en France aurait un effet si puissant sur l’opinion et sur le gouvernement que des mesures d’une grande férocité seraient immédiatement prises contre l’Internet de papa, tel que nous l’avons connu jusqu’à présent, avec son côté parfois libertaire. Et il serait difficile d’objecter aux très vigoureux tours de vis de la part d’un gouvernement ainsi provoqué. Résultat des courses: une attaque anti-SCADA de grande ampleur aurait pour premier résultat de légitimer la prise totale de contrôle d’Internet par les sécuritaires (largement secondés par les “ayants-droits”, qui y verraient tout bénéfice).

La prédiction maintenant: une telle attaque (ou la simulation d’une telle attaque, à des fins de “provocation”) est en effet ce qui pourrait arriver dans un proche avenir, dans des pays comme la France. Loi du talion? Tests en vraie grandeur de nouvelles cyber-puissances? Je ne sais. Mais on peut prédire qu’Internet n’a plus que quelques années à vivre sa relative liberté apparente.

Il faudrait que la société “civile” commence dès maintenant à en tirer toutes les conséquences d’un tel scénario. Peut-elle encore changer la donne?

Bien sûr! Là où il y a une volonté, on trouve un chemin, pour reprendre la formule.

Au cas où cette prédiction se révèlerait fondée, ce que je ne souhaite vraiment pas, c’est bien le tissu social même des soi-disant “sociétés de la connaissance” qui en sera affecté de façon irrémédiable.

Billet initialement paru sur Metaxu, le blog de Philippe Quéau

–

Crédits photo: Flickr CC The Official CTBTO Photostream

***

“Le piratage du siècle”. C’est en ces termes que Ralph Langner, un expert allemand de la sécurité informatique, a décrit le virus Stuxnet sur son site web. Il y a même adjoint la mention, “Hambourg, 13 septembre 2010”, ainsi qu’une ligne de code acquise de haute lutte, comme pour économiser une datation au carbone 14 aux archéologues qui découvriraient son avertissement dans quelques dizaines d’années. Depuis plusieurs jours, la presse mondiale s’ébroue dans la bile de ce ver particulièrement complexe. Et pour cause: il saboterait le programme nucléaire iranien en neutralisant ses systèmes de gestion SCADA de l’entreprise Siemens, qui administrent notamment la centrale de Bushehr, dans le sud-ouest du pays. Pourtant, à y regarder de plus loin (mieux vaut se prémunir contre les explosions soudaines), il semblerait que l’agitation autour de cette histoire séduisante ne relève que de la fission induite: un dégagement de chaleur qui divise les expertises en de tout petits nucléides légers comme l’air.

Dans le Christian Science Monitor, Langner est formel, “Stuxnet est un cyber-missile à la précision militaire, déployé plus tôt dans l’année pour trouver et détruire une cible physique d’importance mondiale, une cible encore inconnue”. S’il se garde bien de nommer tous les acteurs de ce wargame grandeur nature, d’autres s’en chargent pour lui. Sur Slate.fr, Jacques Benillouche affirme qu’”Israël a lancé une une attaque électronique contre l’Iran”, avant d’ajouter que “les infrastructures du programme nucléaire iranien ont été systématiquement piratées depuis deux mois”. Et dans le Guardian, un porte-parole de Symantec, le géant des antivirus, soutient que “le groupe qui a conçu Stuxnet aurait été très correctement financé, composé de 5 à 10 personnes travaillant sur la conception du virus pendant 6 mois”.

Problème: tous les termes de cette équation sont inconnus, jusqu’au plus élémentaire. Comme le fait remarquer Daniel Ventre, ingénieur d’études au CNRS et spécialiste français de la cyberguerre*, “Stuxnet est sur le Net depuis plus d’un an. Il a pu être reprogrammé pour s’attaquer aux systèmes SCADA, mais la semaine prochaine, nous découvrirons peut-être qu’il visait une autre cible. Par ailleurs, il n’y a aucune preuve tangible qu’il s’attaque délibérément à l’Iran”. Jusqu’à maintenant, selon des chiffres du mois d’août fournis par Microsoft, le virus aurait affecté plus de 45 000 ordinateurs dans le monde, du Pakistan à l’Inde, de l’Indonésie à l’Iran, en passant par le Brésil et les États-Unis. Pour justifier leur propos, les experts affirment que 60% des machines infectées se trouvent au cœur de la République islamique. A cela rien d’étonnant. Depuis les années 70, non sans quelques errements diplomatiques, Siemens (et avant elle, sa filiale Kraftwerk Union) a signé des contrats avec l’Iran, ce qui rend les systèmes d’administration de son parc informatique particulièrement perméables au ver.

La main d’un État? Pas forcément

Aux yeux de bon nombre d’experts, Stuxnet ne peut avoir été conçu que par un État, ou sous le haut patronage d’un gouvernement qui aurait délégué auprès de petites mains. Pourquoi? Parce que son objectif à la précision millimétrée ne viserait pas à voler des données, ni à extorquer ses victimes. Ce serait oublier à quel point la culture du hacking érige la performance au rang de finalité. L’attaque pourrait tout aussi bien avoir été menée par un commando d’Anonymous particulièrement politisés. L’hypothèse est fantaisiste? Pas plus qu’une autre. “Il ne faut pas oublier que les attaques de déni de service par botnet, que nous avons pu observer à de nombreuses reprises ces dernières années, ne cherchent qu’à perturber les fonctionnements d’un système”, estime Daniel Ventre. C’est aussi l’avis de Bruce Schneier, éminent cryptologue américain, qui rappelle que “les programmes informatiques les plus complexes, l’immense majorité d’entre eux, ont été codés par des organisations non-gouvernementales”.

Déjà, on commence à parler de “troisième âge du cybercrime”, sans qu’on sache vraiment à quelles phases correspondaient les deux premiers. Alors que Stuxnet est à deux doigts d’entrer dans l’Histoire comme “le premier virus informatique conçu par un État à des fins politiques” – ce qui permettrait de verbaliser confortablement une cyberguerre “ouverte” – il n’est pas inutile de convoquer quelques précédents. A l’emballement, Daniel Ventre répond par la mise en garde:

“Quand l’aspect futuriste de la guerre informatique se double d’une dimension diplomatique, c’est attirant, bien sûr. Mais ce n’est pas parce qu’une attaque touche aux intérêts d’un État qu’elle a été lancée par un autre État. En 2007, on écrivait les mêmes choses qu’aujourd’hui à propos des incidents estoniens, et à l’été 2008, c’était autour des affrontements entre la Russie et la Géorgie.”

“Don’t believe the hype”

A défaut de circonscrire le virus ou de l’analyser par strates comme le ferait un géologue avec ses sédiments, si on désossait la hype? Quand les ballons-sondes n’offrent aucun résultat, il est peut-être temps de dégonfler la baudruche. Au royaume de la supputation, les observateurs pointent la responsabilité d’un acteur étatique. Bien. Mais dans le même temps, ils reconnaissent qu’il est presque impossible d’identifier le commanditaire de l’attaque, encore plus les dividendes qu’il pourrait récolter. Drôle de syllogisme. Pour Daniel Ventre, “ce phénomène relève plus de l’inculture que de la paranoïa”, que le jeu d’accusation et de démenti permanent avec l’Iran alimente. Sans surprise, le régime des mollahs s’est empressé d’accuser Washington, tout en laissant planer le doute sur son degré d’infection.

Evgeny Morozov, le blogueur technologique et ombrageux de Foreign Policy, estime de son côté que

chacun voit ce qu’il veut dans Stuxnet. C’est le problème avec les débats autour de la cyberguerre: ils sont si difficiles à cerner qu’ils ouvrent la porte à une infinité d’interprétations. A ce stade, n’importe qui peut invoquer la responsabilité de n’importe quoi, qu’elle relève d’un gouvernement, des aliens ou des Roms

Reste la question du timing. Alors que se tient à Vienne une Conférence Générale de l’Agence Internationale de l’Energie Atomique (AIEA), quelques informateurs fiables, comme le site Arms Control Wonk, relèvent les tensions entre l’Iran, les pays non-alignés, les Etats-Unis et Israël, tout en soulignant la volonté américaine d’un consensus. L’administration Obama souhaite en effet organiser une conférence sur le désarmement nucléaire au Moyen-Orient dans le courant de l’année 2012. Alors, dans ce schéma brouillé, à qui profite le crime? Aux Etats-Unis? A Israël? A l’Iran? Dans l’immédiat, Stuxnet sert surtout les intérêts de Symantec, comme l’explique en creux Le Monde. Mais pas seulement. Il est un formidable levier pour tous les experts en cybersécurité de la planète, et notamment ceux qui cherchent à monnayer leurs services auprès du Pentagone.

Avant de fantasmer sur la fin du monde 2.0 ou le grand retour en ligne des cellules stay-behind de la Guerre Froide, pourquoi ne pas s’asseoir devant nos moniteurs et attendre quelques mois? Il ne sert à rien de guetter les codes binaires façon Matrix. Devant le rythme accélérateur du web, la cyberguerre impose une contrainte: prendre son temps.

* Auteur de Cyberguerre et guerre de l’information. Stratégie, règles, enjeux (Hermès-Lavoisier, septembre 2010)

–

Crédits photo: Capture Google Earth de la centrale nucléaire de Bushehr / Flickr CC Ian’s Shutter Habit, UNC – CFC – USFK

Aujourd’hui, contrôler le contenu d’Internet est vu comme une pratique anti-démocratique mais les gouvernements d’Asie du Sud-Est la justifie en mettant en avant la nécessité de protéger les jeunes du fléau des “comportements indécents liés au sexe”.

Un projet indonésien consistant à filtrer le “mauvais” contenu du web via son Conseil de contrôle du contenu multimédia [en français] a été enterré en février dernier après l’opposition de la population. Aujourd’hui, ce projet est à nouveau d’actualité suite au scandale provoqué par une vidéo à caractère sexuel d’une célébrité indonésienne [en anglais] qui  choque à la fois les jeunes et les adultes. L’Indonésie est le plus grand pays musulman au monde. Après avoir instauré une loi anti-pornographie en ligne il y a deux ans, l’Indonésie désire maintenant ériger une liste noire des sites Internet [en anglais], à la demande des conservateurs qui désirent protéger le sens moral des jeunes générations.

Un scandale similaire autour de la vie sexuelle d’une célébrité a fait polémique aux Philippines l’année dernière [en anglais] ce qui a ouvert la voie au vote d’une loi contre le voyeurisme [en anglais]. Internet a également été critiqué pour la diffusion instantanée des vidéos de sexe, ce qui a incité les législateurs à créer un projet de loi contre le cyber-crime.

Contrôler tous les FAI

Au Cambodge, le gouvernement a proposé de mettre en place un nœud d’accès à Internet dirigé par l’État [en anglais] pour contrôler tous les fournisseurs d’accès à Internet du pays, pour “renforcer la sécurité sur Internet contre la pornographie, le vol et d’autres cyber-crimes”. Le texte n’est pas encore finalisé mais tout porte à croire que le gouvernement fera aboutir cette mesure, surtout après les remous provoqués par la mise en ligne d’une vidéo de femmes nues [en français] se baignant dans un monastère.

Les gouvernements d’Asie du Sud-Est n’ont pas toujours besoin de scandales pour censurer le web puisqu’ils peuvent avancer d’autres raisons, comme la sécurité nationale, pour filtrer et surveiller [en anglais] les contenus. Par exemple, la Thaïlande est devenu le premier pays au monde à fermer 100.000 sites Internet [en français] pour avoir hébergé du contenu “dangereux”. Des blogueurs, des journalistes [en anglais] et des administrateurs de sites Internet ont été sanctionnés pour crime de lèse-majesté [en français]. Le Vietnam a été accusé par Google et l’anti-virus McAfee de mener des attaques virtuelles [en anglais] contre certains sites, et plus particulièrement des sites qui militent contre l’exploitation minière du bauxite, un problème qui fait polémique dans le pays.

Cependant, la règlementation politique d’Internet se heurte souvent à de fortes oppositions de la part des internautes et provoque toujours des condamnations de l’étranger, notamment des médias et des organisations de défense des droits de l’homme. Les gouvernements du Sud-Est asiatique peuvent toujours ignorer ces critiques mais ils y perdent également leur crédibilité. Les gouvernements soucieux de leur image démocratique ne peuvent pas se permettre de censurer les médias en ligne sur une longue période. En revanche, règlementer le web pour combattre la pornographie et d’autres pratiques “contraires aux bonnes mœurs” génère seulement un chuchotement de protestation. C’est donc devenu le stratagème le plus sûr pour bloquer les sites “nuisibles”. La politique de règlementation d’Internet [en français] du Myanmar (Birmanie), imposée par la junte, a été décrite comme l’une des plus draconiennes. Mais sa décision d’interdire deux hebdomadaires [en anglais] pour avoir publié des photographies de mannequins en short n’a pas soulevé les mêmes protestations des groupes démocratiques.

Symptôme de la montée du conservatisme

La volonté d’éliminer le sexe et les images érotiques d’Internet peut être vue comme un symptôme de la montée du conservatisme dans plusieurs pays d’Asie du sud-est. La carte de la morale est jouée pour imposer des attitudes, des sentiments et des comportements parmi la population même si cette stratégie n’est pas en accord avec certaines cultures de cette région du monde. Quand l’Indonésie a voté la loi anti-pornographie, le gouverneur de Bali a élevé la voix car la loi est contraire à la tradition locale [en anglais] où la réalisation de statues historiques nues et les danses érotiques sont toujours répandues. Lorsque le Cambodge a bloqué l’accès à des sites [en français] présentant des images pornographiques ou érotiques, le site reahu.net [en anglais] a également été interdit pour cacher des illustrations artistiques d’anciennes danseuses Apsara dénudées [en anglais] et d’un soldat khmer Rouge.

Un autre problème est la définition approximative de ce qui constitue une image et une action qui est pornographique, indécente, immorale et obscène. Des activistes philippins sont préoccupés par le fait que le projet de loi contre le cybercrime [en anglais] rende illégal [en anglais] la publication ou la mise en ligne de contenus qui contredisent l’interprétation officielle de ce qui est moral et convenable.

Les gouvernements sont parvenus à maîtriser les outils et les techniques de censure pour les médias traditionnels. Ils sont maintenant en train de tester les limites de la règlementation en ligne. Le projet indonésien pour faire respecter une liste noire des sites Internet devrait être surveillé pour son impact dans la région. L’Indonésie a plus de 40 millions d’internautes et le pays est reconnu comme la capitale de Twitter en Asie [en anglais]. Si l’Indonésie réussit à filtrer le contenu du web, d’autres pays de la région suivront ce modèle.

La censure du web ne coupe pas seulement l’accès à l’information ; elle affaiblit également la possibilité pour les internautes de former des communautés solidaires en ligne. Pour réellement protéger les jeunes et les personnes vulnérables, la meilleure solution est de leur donner, à leurs parents et à leur famille en général, une bonne éducation sur ce thème et des informations pertinentes sur les aspects positifs et les risques liés à la navigation sur Internet.

—

Billet initialement publié sur Global Voices ; image CC Flickr remixée Alaskan Dude

À paraître sur dans la rubrique “Des brèves sur l’actualité” sur le site de l’ADBS

Que l’on veuille tirer parti des technologies du numérique pour accompagner le vieillissement de la population et les défis climatiques, on ne peut que souscrire à un tel projet ! Mais puisque de l’inévitable comparaison avec les standards nord-américains[1], il ressort que la productivité européenne n’est pas à la hauteur des investissements consacrés à la R&D, que, par ailleurs, 30% de la population européenne n’utilise pas encore l’Internet et que 80% des lignes sont trop lentes pour certaines applications, la Commission européenne, a défini sept domaines d’action [2] qui doivent lui permettre de rejoindre les chiffres des États-Unis.

Il aurait été léger, de notre part, de ne pas examiner les objectifs visés par la Commission européenne en matière d’Internet et de technologies du numérique à l’horizon 2020 [5] [6], dévoilés le 19 mai 2010, ne serait-ce que parce qu’ils touchent étroitement diverses questions liées au droit d’auteur et au filtrage du Net [2] [4], deux aspects au centre de nos préoccupations.

Négligeant de ce fait d’aborder aujourd’hui les mesures qui visent à stimuler les investissements dans le haut débit et les réseaux, la recherche de pointe et l’innovation, à améliorer la compétence des citoyens dans le domaine numérique (ce qui attirera inévitablement l’attention des « travailleurs du savoir » que nous sommes[3]) et à créer des outils dans le domaine de l’énergie, au service des personnes âgées ou handicapées et des patients…, nous n’examinerons que la mesure 1.1, qui vise à ouvrir l’accès aux contenus numériques, la mesure 3 qui vise à améliorer la confiance et la sécurité, et la mesure 4.3 relative à la neutralité de l’Internet.

Soutenir le droit d’auteur

• Favoriser l’émergence d’une offre légale attractive

Proposer une directive sur les œuvres orphelines dès 2010, faire adopter des mesures destinées à régler la question des œuvres épuisées et accompagner ces dispositifs par des registres gérant ces œuvres, telles sont les premières dispositions (1.1) qui ont attiré notre attention. On les reliera aux mesures prises pour promouvoir la diversité culturelle et le contenu créatif (7.3),  qui se traduisent par des mécanismes adoptés pour stimuler notamment la numérisation du patrimoine culturel européen (récent a-t-on ajouté, ce qui est à la fois vague et réducteur) financés grâce à des partenariats entre secteur public et privé, pour lesquels un comité des sages[4] est chargé de proposer un modèle économique durable.

Toujours pour favoriser « l’émergence d’un marché numérique dynamique », premier des objectifs définis, la Commission européenne entend aussi faciliter la gestion des droits en rendant les sociétés de gestion collective plus transparentes et en donnant l’opportunité aux titulaires des droits sur les œuvres de proposer des licences transnationales et paneuropéennes. La Commission européenne envisage d’étendre ces mesures, jusqu’à présent cantonnées au secteur de la musique, une velléité ancienne[5], au secteur de l’audiovisuel.

Autant de mesures devant faire émerger une offre légale attractive, ce qui devrait à la fois répondre aux attentes des ayants droits, qui seraient rémunérés, et du public, qui aurait ainsi accès à l’information dans des condition satisfaisantes, et donner ainsi une « réponse efficace au piratage »[6]. Mais on soulignera, comme la Quadrature du Net [4], qu’il s’agit d’une vision bien traditionnelle qui, se bornant à transposer le monde analogique au monde numérique, n’est pas vraiment innovante et risque de ne pas rencontrer le consensus attendu.

• Les mesures répressives

La Commission européenne qui entend « ouvrir les contenus », entend aussi lutter contre la contrefaçon. Si ce dernier point est largement développé dans l’article de La Quadrature du Net [4] qui avait accès à l’une des versions de travail de la Commission et qui suit de près cette question, cet aspect est à peine esquissé dans la version finale du texte de la Commission européenne. Elle se borne, en effet, à annoncer un réexamen de la directive européenne sur le respect des droits de la propriété intellectuelle et des mesures supplémentaires, dès 2012, après avoir consulté les divers acteurs concernés. La Commission affirme que si de nouvelles dispositions devaient être prises, elles tiendront compte des garanties fournies par cadre légal des télécommunications et des droits fondamentaux sur la protection des données et de la vie privée.

Mais l’on sait déjà que plusieurs mesures pourraient être prochainement envisagées qui faisant « écho » au rapport Gallo [7] et à Acta [8], généraliseraient le filtrage des réseaux et la riposte graduée, mesures qu’il conviendrait aussi d’encadrer pour éviter des dérives. En ce qui concerne la directive européenne qui vient d’être mentionnée, la Quadradure du Net et les associations représentant les bibliothèques, comme Eblida[9], avaient déjà souligné les dangers de la mention d’ « échelle commerciale » appliquée aux sanctions, qui risque « d’inclure des activités à but non lucratif entre individus telles que le partage de fichiers », incitant ces associations à « militer pour que les sanctions ne concernent que des infractions délibérées et à but lucratif » et à attirer l’attention sur le fait que non seulement les mesures envisagées seraient disproportionnées mais également inefficaces. La même préconisation a été faite par le Parlement européen [9].

Policer la « cyberjungle » [4]

Faire face aux virus et aux spams, lutter contre pédopornographie par des actions de sensibilisation et de formation, organiser des systèmes d’alerte au niveau européen et mondial, on y souscrit totalement ; adopter des mesures techniques sur la gestion des données personnelles dès la conception des produits, obliger les opérateurs à notifier les intrusions dont ils auraient été victimes, tout autant.

Mais on ne peut manquer de constater que la Commission européenne évoque aussi des mesures destinées à bloquer les contenus préjudiciables et à en empêcher la visualisation. Or, en présentant la Loppsi, un projet de loi français sur la sécurité intérieure, on avait déjà souligné que les filtres étaient souvent inefficaces[10] et qu’ils posaient des problèmes pour la liberté d’expression. Les systèmes d’alerte, sur lesquels d’ailleurs la Commission a largement mis l’accent dans son programme, seraient suffisants et bien plus satisfaisants.

En ce qui concerne la neutralité du Net, concept auquel le Parlement européen est très attaché, la Commission européenne annonce vouloir préserver le caractère ouvert et neutre, mais entend néanmoins organiser rapidement une consultation pour évaluer l’encadrement nécessaire. Pour mettre en œuvre des mesures qui pourraient s’imposer, elle affirme, fort heureusement aussi, vouloir tenir compte « d’autres impératifs comme la liberté d’expression, la transparence, investir dans des réseaux ouverts et efficaces, loyauté de la concurrence et ouverture à des modèles d’activité innovants ».

« Deux programmes, une Union européenne »

C’est ce qu’avait souligné malicieusement, ou avec inquiétude, l’auteur du billet d’Edri-gram [2]. Dans le jeu européen, les trois institutions – Commission européenne, Parlement européen, Conseil de l’Union européenne – ont le même poids. Or, si la Commission européenne « quitte ses positions conservatrices », ce n’est que « timidement » [4]. On n’y trouve pas encore, par exemple, cette référence à la « cinquième liberté », qui figure dans le texte du Parlement européen [6], liberté qui assure la libre circulation des contenus et de la connaissance et qui a poussé cette institution à demander à ce que soient de prime abord sanctionnés les usages commerciaux des œuvres contrefaisantes. N’a-t-on pas souligné aussi [4] [11]que la Commission européenne n’a finalement pas repris dans la version définitive du texte les dispositions relatives aux standards ouverts qui figuraient dans les versions précédentes, ce qui bloque le développement des logiciel libres [4], une lacune qui pourrait être lourde de conséquences ?

D’ici quelques mois nous saurons comment les arbitrages seront faits pour entrer dans ce ce fameux cercle vertueux de l’économie numérique, seul graphique du document dont je ne manquerai pas souligner, qu’en dehors de la cybercriminalité, les termes sont quasiment identiques à ceux que j’avais découverts en 1994 dans le rapport Bangeman destiné lui aussi à renforcer la compétitivité européenne de l’industrie de l’information.

[1] Ce qui ne lasse pas de m’étonner. Et si l’on prenait le temps de  définir des critères européens, le modèle américain n’étant pas forcément la panacée ?

[2] Sept objectifs: 1) créer un marché unique numérique,  2) accroître l’interopérabilité, 3) renforcer la sécurité de l’internet et la confiance des utilisateurs, 4) permettre un accès plus rapide à l’internet, 5) augmenter les investissements dans la recherche et le développement, 6) améliorer les compétences numériques et l’intégration, 7) utiliser les technologies de l’information et des communications pour relever les défis auxquels la société doit faire face, tels que le changement climatique et le vieillissement de la population.

[3] Mesure 6. Favoriser la culture, les compétences et l’intégration économique. Un aspect que l’IABD avait mis en exergue lors de son atelier organisé dans le cadre des Assises du numérique le 20 juin 2008 et qui avait été repris dans le rapport des Assises. Consulter «  Les services de bibliothèque et de documentation, acteurs de la chaîne numérique ». Sur le site de l’IABD

[4] Une législation européenne pour les œuvres orphelines. Beaucoup de bruit pour rien ? , ADI, 26 avril 2010

[5] Droits musicaux. Remise en cause des monopoles nationaux. ADI,  23 juillet 2008

[6] Ce qui  est l’objectif  d’Hadopi 3 en France,   projet de loi dont le texte semble n’avoir pas encore circulé. Voir : Hadopi 3 pour la question des dommages et intérêts, ADI, 23 octobre 2009 ou le dossier intitulé  Un modèle économique pour l’offre légale culturelle en ligne », M.B., ADI, 18 janvier 2010

[7] Le rapport de l’eurodéputée Marielle Gallo a été adopté par la commission des affaires juridiques du Parlement européen. Il devrait faire l’objet d’un vote en séance plénière au début du mois de juillet. Parmi les nombreux articles publiés sur cette question : L‘UE tranche sur la propriété intellectuelle sur Internet, Boris Manenti, Nouvelobs.com, 1^er juin 2010

[8] Ne pas oublier Acta ! ADI,  21 janvier 2010

[9] Voir notamment : Amended proposal for a Directive of the European Parliament and of the Council on criminal measures aimed at ensuring the enforcement of intellectual property rights – 2005/0127(COD). FFII/EFF/EBLIDA/BEUC coalition report on the proposal as amended in Strasbourg by the European Parliament at its first reading on Wednesday, 25 April, 2007. Sur le site de la Foundation for a Free information

[10] Loppsi : la question des techniques de filtrage, ADI, 15 février 2010

[11] A plusieurs reprises elle évoque effectivement le souci d’assurer l’équilibre entre les intérêts des titulaires de droits et du public

Références

1. La stratégie numérique vue par la Commission européenne, Mylène Kamdom, Jurilexblog, 21 juin 2010
2. Two Digital Agendas, But One European Union, Edri-gram, 19 May, 2010
3. Stratégie numérique: un plan d’action de la Commission destiné à accroître la prospérité et la qualité de vie en Europe. Communiqué de presse IP/10/581, Commission européenne, 19 mai 2010
4. UE : L’Agenda numérique de Neelie Kroes va-t-il compromettre les libertés? La Quadrature du Net, 17 mai 2010

Textes

5. Europe 2020. Une stratégie pour une croissance intelligente durable et inclusive. Commission européenne, mai 201

6. Une stratégie numérique pour l’Europe. Communication de la Commision au Parlement européen, au Conseil, au Comité économique et social européen et au comité des régions. COM(2010)245

7. Stratégie numérique pour L’Europe. La version de travail (en anglais) utilisée par La Quadrature du Net pour son analyse. Sur le site Pc-Inpact

8. Proposition de résolution du Parlement européen sur un nouvel agenda numérique pour l’Europe: 2015.eu. Sur le site du Parlement européen

9. A new Digital Agenda for Europe : 2015.eu. 5 May 2010. Sur le site du Parlement européen

10. EU Parliament calls for data rights charter, Out-Law.com, 7 May 2010

11. Lack of Open Standards “gaping hole” in EC’s Digital Agenda,Free Software Foundation, 19 May 2005

—

Billet initialement publié sur Paralipomènes ; images CC Flickr ksfoto et verbeeldingskr8

On sait qu’Internet est au cœur de tous les systèmes d’information des entreprises, des administrations, des forces armées… cet état de fait rend vulnérable une nation à des attaques encore rares mais bien réelles, comme on a pu le voir avec la Géorgie ou l’Estonie. Le Sénat américain propose donc que le président puisse avoir le loisir d’éteindre une partie du Net en cas d’attaque ou de diffusion d’une information pouvant mettre en danger la Nation. Typiquement la diffusion d’informations financières erronées destinées à faire plonger un cours de bourse en vue d’une OPA, ou, et là c’est plus sérieux, des informations classées défense.

« Nous ne pouvons pas nous permettre d’attendre un cyber 11 septembre avant que notre gouvernement réalise l’importance de protéger nos ressources informatiques. » (Susan M. Collins)

Le projet de loi est principalement porté par le sénateur Joe Lieberman qui le décrit comme un ensemble de mesures visant « à préserver les réseaux actifs et de notre pays et de protéger notre peuple ». C’est un discours qui nous est assez familier en Europe, car la censure, c’est bien connu, c’est toujours pour « vous protéger ». TechAmerica s’inquiète de dérives possibles et d’un risque de contrôle absolu de l’État sur le Net qui s’octroie par exemple le pouvoir « d’arrêter ou de limiter le trafic Internet sur les systèmes privés ».

Concrètement, le président disposerait du droit de contrôler l’Internet… un terme qui revient de plus en plus sur la table et qui passera probablement les frontières dans peu de temps. Contrôler un flux d’information est fort complexe, la meilleure solution reste donc celle du blackout pur et simple et c’est bien ce qu’envisage le Sénat américain. Le projet implique que toutes les entreprises, les moteurs de recherche, les réseaux sociaux, les sites d’information… devront se plier aux directives du DHS (Department of Homeland Security) qui prend la menace Internet de plus en plus au sérieux.

Rappelons que contrairement à la stratégie politique qui se dessine en France, les fournisseurs d’accès américains n’ont aucun droit d’exercer une surveillance des citoyens américains.

Les USA cherchent le fondateur de Wikileaks

Cette proposition intervient dans un contexte international assez tendu pour les USA qui traquent activement le fondateur de WikiLeaks, Julian Assange et l’arrestation de Bradley Manning qui est soupçonné d’être la source du plus gros buzz de WikiLeaks, une vidéo assez horrible que je n’ai pas vraiment envie de diffuser ici. Filmée à Bagdad au cœur des affrontements depuis un hélicoptère de l’armée américaine, on peut y voir un groupe de personnes (en fait un journaliste et des civils … même deux enfants) sur lequel l’hélicoptère ouvre le feu. C’est un carnage. WikiLeaks assure le teasing d’une prochaine vidéo à venir et les autorités américaines sont sur les dents car cette histoire plonge l’administration dans un sérieux embarras, on peut les comprendre.

Si cette loi venait à passer aux USA, nous aurions donc de fortes chances d’hériter dans nos contrées de projets de loi similaires (même si elle ne passe pas d’ailleurs), la grande inconnue maintenant est la définition exacte du périmètre de la main mise des États sur le Net.

—

Billet initialement publié sur Bluetouff’s blog ; photo CC Flickr nrkbeta

Une rencontre IRL fructueuse. Image CC Flickr @cdharrison

Trêve de critique, passons à la collaboration : suite à la proposition d’Olivier Guerry, chef de l’Unité de Prévention de la Direction  Territoriale  de la Sécurité de Proximité de Paris (ouf) de travailler avec Owni pour élaborer le contenu d’une mallette pédagogique sur Internet, nous nous sommes rencontrés. L’occasion déjà de replacer le contexte dans lequel a été conçu le document initialement incriminé, un texte caricatural sur “les dangers de l’Internet”.

Polyvalence et manque de temps

Temps de formation sur les stupéfiants et la violence : quatre semaines. Internet : une journée sur Internet et ses éventuels dangers en général par une société extérieure (en 2006 !) + une journée sur la cyberpédopornographie par la brigade des mineurs. L’association Jeunes violences écoute organise aussi des rencontres auxquelles les policiers des unités prévention et communication peuvent participer.

En outre, ils sont amenés à intervenir aussi bien à propos des violences envers les personnes âgées que sur le tabac. Si l’on ajoute des effectifs qui n’ont rien de luxueux, un à quatre policiers par arrondissement, on comprend que le contexte n’est pas forcément idéal pour créer des contenus toujours pertinents. C’est bien pour cela que les missions s’appuient sur des partenaires extérieurs qui les aident à concevoir leurs documents. Problème, les interlocuteurs légitimes sur Internet ne sont pas légions. Le bât blesse une première fois.

“Proposer un discours éducatif et non alarmiste” Olivier Guerry

C’est là qu’Owni intervient, tatatam, afin d’aider à la conception de la mallette pédagogique sur Internet, prévu pour septembre prochain. Nous sommes partis sur l’idée d’un blog et d’un wiki, ouverts à tous : les policiers, des professeurs, la brigade des mineurs et bien sûr la communauté d’Owni, entre autres.

Le cadre défini par Olivier Guerry : “proposer un discours éducatif et non alarmiste, percutant et adapté. il faut aussi créer du débat pour que les adolescents prennent conscience de leur image et de leur responsabilité. Les enfants doivent agir librement en connaissance de cause.” Le public visé, ce sont les élèves mais aussi leur proche entourage, parents mais aussi grand frère, tatie…

Les différents outils de la mallette sont déjà calés : un clip, réalisé par une société de production extérieure, conjointement avec la brigade des mineurs, une plaquette (a priori format A4 plié en trois, texte et dessins), tous deux téléchargeables et des chroniques audio disponibles en podcast.

Les sites institutionnels -préfecture, rectorat, diocèse -établissements privés oblige- ainsi que celui de Jeunes violence écoute relaieront ses informations. C’est là que le bât blesse une seconde fois. Le jeune ne va pas sur le site de la préfecture, il préfère Facebook, et on le comprend. La collaboration avec Owni sera aussi un moyen de faire circuler l’information dans d’autres circuits moins web 1.0.

Pour contribuer, c’est ici : le blog Pedagogeek et le wiki

La genèse du projet de collaboration : Dangers du Net : la curieuse leçon en uniforme de la police ; #DangersduNet: Owni, police secours

Photo jdhanckock

Photo CC Flickr Matteo Bonera

MOGiS e.V., une association allemande de victimes d’abus sexuels sur mineurs, dénonce une politique hypocrite, faits et chiffres à l’appui.

A l’occasion de ce déjeuner, Action Innocence a organisé une mini conférence de presse pour présenter, NetCity.org, portail de jeux pour les 9-12 ans dont l’objectif est de leur apprendre à se protéger des dangers d’Internet. Si vous voulez en savoir un peu plus sur le sujet, je vous invite à lire ici en suivant ce lien l’article que j’ai publié ce week-end dans Le Monde : « Initier les enfnats aux dangers du Net ».

Mais ce qui est encore plus intéressant, et que l’on sait un peu moins, c’est qu’Action Innocence ne se contente évidemment pas de développer des jeux en réseau. L’ONG a également contribué à la mise au point d’applications très pointues pour aider les services de police dans leur lutte contre la cybercriminalité et en particulier contre la pédopornographie, dans le cadre d’un programme qui répond au nom d ’ « Anti Pedo Files ». Un de ces logiciels s’appelle « LOG P2P » et son élaboration a réclamé une très puissante station de travail financé par Action Innocence en Suisse. Il permet de traquer très discrètement et d’identifier les diffuseurs de contenus à caractère pédopornographique. En France, ces applications sont mises gracieusement à la disposition de la police et de la gendarmerie nationales. Le Commissaire divisonnaire Christian Aghroum, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et le Colonel Francis Hubert, chef du Service technique de recherches judiciaires et de documentation (STRJD), ont profité de ce déjeuner pour faire un bilan de la collaboration de leurs services avec l’ONG.

En 3 ans, grâce à ce logiciel, quelque 1400 procédures ont ainsi pu être lancées. Tous les matins ce sont 200 à 300 échanges de fichiers illicites dont les adresse IP ont été identifiées par les ordinateurs du STRJD. « Une quantité ingérable, selon le Colonel Francis Hubert. Alors, on se concentre sur les gros fichiers ». Depuis mai 2009, les gendarmes peuvent de surcroît se faire passer pour quelqu’un d’autre sur le réseau. La loi avait été votée en 2007 mais ce n’est que deux ans plus tard que le décret d’application a été publié. Chats, jeux en réseaux, forums sont très fréquentés par les pédophiles. Désormais, derrière des pseudonymes ou des avatars d’enfants, il peut y avoir un gendarme. Ce nouveau mode opératoire a donné lieu en un peu moins d’un an à une dizaine d’interpellations. « Il est impressionnant de voir avec quelle facilité on entre en contact avec des prédateurs », explique encore le gendarme.

En France, sur l’ensemble du territoire, ce sont aujourd’hui environ 500 enquêteurs, gendarmes dits « Ntech » et policiers, qui luttent contre le cybercrime. « Le rapprochement en cours entre forces de police et gendarmerie nationale nous rendra encore plus efficace », estime le commissaire divisionnaire Christian Aghroum. Sans compter qu’avec par exemple les services de « cyberdouane » de nouveaux acteurs ont fait leur apparition contre le crime électronique. « Mais le nombre de « cybercriminels » est lui aussi en augmentation », constate C. Aghroum.

Reste que les mentalités évoluent, et les internautes se montrent eux aussi plus vigilants. Le site mis à leur disposition par le ministère de l’intérieur pour signaler des comportement illicites sur le net, www.internet-signalement.gouv.fr, avait enregistré 12419 « appels » en 2008. Ce chiffre est passé à 52353 signalements en 2009. 6110 ont donné lieu à des transmissions aux services d’enquêtes. Dans un toers des cas, il s’agissait de pédopornographie.

Olivier Zilbertin

(Ecrivez-moi à l’adresse oz@blogOZ.fr. Retrouvez mes articles, dossiers, enquêtes et archives sur www.blogOZ.fr, le seul blog qui OZe…)