Vers une balkanisation d’Internet ?
La NSA a-t-elle la légitimité pour assurer les missions de cybersécurité auxquelles elle prétend sur le territoire américain ? Quel équilibre trouver entre protection de confidentialité et surveillance du réseau ? Ces questions étaient au coeur d’un débat organisé sur RSA Conférence, cette semaine, à San Francisco. Un débat d’autant plus essentiel pour certains qu’à défaut de l’assumer et de le conduire jusqu’à sa conclusion, Internet court tout droit vers une forme de balkanisation.
Les ambitions de la NSA en matière de cybersécurité ne laissent pas indifférent outre-Atlantique. Le sujet semble même particulièrement clivant, entre approche sécuritaire et posture libertaire. Clivant au point qu’il semble difficile d’avoir un débat public serein sur le sujet. James Lewis, directeur de programme du Center for Strategic and International Studies, qui modérait un débat organisé sur RSA Conférence, cette semaine à San Francisco, a d’ailleurs commencé par le déplorer : «il n’y a pas eu de débat public sur le rôle de la NSA ou du ministère de la Défense sur la cybersécurité.» L’essentiel du sujet porte sur la nature des missions envisagées et, en particulier, sur la notion de défense active, distincte de celle d’offensive ou de défense dite passive : il s’agit de surveillance, aussi proche du temps réel que possible, pour pouvoir observer et répondre le plus rapidement possible à d’éventuelles menaces émergentes. Kenneth Minihan, 14e directeur de la NSA, a rappelé ce point, ajoutant qu’il s’agit là, selon lui, d’étendre le périmètre de compétence des autorités au secteur privé, au-delà du domaine public.
Une approche qui fait bondir Jim Dempsey, vice-président du Center for Democraty & Technology en charge des politiques publiques : «je pensais que l’on avait trouvé naturel un consensus sur ce sujet, mais non. Et c’est une honte. La vérité, c’est que l’industrie opte pour la défense active depuis des années. L’armée a un rôle à jouer, mais en supplantant les acteurs privés de premier rang.» Selon lui, «nous n’étions pas loin de trouver un accord pour le partage d’informations entre ces acteurs et les autorités, dans les deux sens. Cela protègerait les valeurs de confidentialité et d’innovation. [...] Un partenariat public-privé ; ça pouvait marcher. Et c’est plus cohérent avec la menace, la nature d’Internet et nos valeurs démocratiques ».
Insistant sur son regard extérieur, Rob Deibert, professeur de sciences politiques et directeur du Centre for Global Security Policies au Canada, s’inquiète que les approches publiques de défense active alimentent le marché de l’inspection en profondeur des paquets - le controversé DPI -, générant en retour «un sentiment d’incertitude croissante au niveau du système ». Pour lui aussi, une approche collaborative décentralisée «reflète mieux l’écosystème que l’on cherche à protéger ».
Sans prendre ouvertement position, Michael Hayden, qui avait succédé à Kenneth Minihan à la tête de la NSA, à la toute fin des années 1990, souligne la complexité du sujet : «si quelqu’un est capable de dire de manière nette et tranchée ce que l’on doit faire, c’est qu’il n’a pas suffisamment étudié le sujet.» Surtout, il relève la dimension mondiale d’un débat pour l’heure centré sur les Etats-Unis : «c’est la clé. Tout ce que l’on fera chez nous légitimera immédiatement ce que d’autres régimes feront chez eux. C’est dangereux.» Au final, ce qu’il craint, c’est un phénomène de balkanisation d’Internet.
Invitant donc à la prudence, il estime toutefois que le statu quo n’est pas une option : «si l’on ne fait rien, des incidents très graves risquent de se produire. Et comme pour toute catastrophe, il y a sur-réaction. Pour éviter de tomber dans ce piège, il faut se poser ces questions fondamentales maintenant. Mais cela demande beaucoup de compétences techniques et de courage politique.»