Ventre Daniel

Le cyberespace ne cesse de s’étendre. Les progrès réalisés en informatique quantique ces dernières années participent de cette dynamique. Les questions qui se posent ont trait à la construction et à la maîtrise de ce nouvel environnement : quels sont les moteurs de cet engouement planétaire pour les technologies quantiques ? Qui sont les acteurs dominants de la R&D ? Le quantique peut-il reconfigurer la scène internationale ? Le premier chapitre décrira les forces en présence, les initiatives étatiques en faveur de la R&D et de l’industrie. Le second chapitre s’intéressera plus spécifiquement aux enjeux de sécurité et de défense associés aux technologies quantiques.

Depuis plus de quarante ans, le piratage de logiciels demeure un phénomène planétaire, que rien ne semble véritablement pouvoir enrayer. Cet article s’intéresse à l’évolution du piratage de logiciels dans le monde, plus particulièrement au cours de la dernière décennie (2007-2017). Pour alimenter notre étude, nous nous appuyons sur les séries statistiques produites par la BSA et sur un ensemble de rapports et d’études publiés tout au long de la période. Dans un premier chapitre, nous rappelons les principaux enjeux du piratage (économiques, juridiques). Puis nous mettons en évidence quelques caractéristiques de l’évolution du piratage dans le monde, telles qu’elles émergent des séries statistiques de la BSA. Enfin, dans la troisième partie de l’article, nous formulons quelques constats et hypothèses sur les déterminants du piratage et les caractéristiques de son évolution. Des résultats significatifs sont-ils obtenus par les acteurs de la lutte contre le piratage ? Le développement de l’arsenal juridique et le durcissement des sanctions prononcées contre les contrefacteurs sont-ils vraiment de nature à impacter l’évolution du phénomène ?

La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).

Le premier CERT est né du constat d’un besoin de coordination entre les acteurs chargés de réagir aux cyber-incidents. Le FIRST, traduisant la nécessité d’élargir cette coordination à l’international, fut créé en 1990 afin d’offrir à la communauté de CERT naissante les moyens d’échange, de partage, susceptibles de conférer plus d’efficacité à leurs missions. Aujourd’hui, CERT de la première heure et organisations récemment créées, trouvent dans les outils de coordination internationale des espaces de rencontre, des moyens d’échange de données et offrent aussi aux nouveaux entrants des ressources (expérience, parfois financements). Depuis le début des années 90, le paysage des CERT a considérablement évolué. Se sont multipliées notamment les initiatives de coordination internationale dont l’observation permet de s’interroger sur les modalités conditionnant des relations efficaces, et de constater des freins à leur expansion.

La pratique du reverse engineering est à la fois attrayante, utile, nécessaire, elle contribue en divers domaines au progrès, à la connaissance, à l’industrie. Elle suscite également des polémiques : le reverse engineering est-il une atteinte aux droits des auteurs ou des inventeurs ?S’opposent ainsi autour de la légalité du reverse engineering de logiciels, d’un côté ceux qui le mettent en œuvre, de l’autre ceux qui comme les auteurs, développeurs, éditeurs, veulent défendre des droits qu’ils peuvent estimer bafoués par cette méthode. Tout n’est pas autorisé, tout n’est pas interdit non plus. Le droit a posé ses règles, en France, mais comme nous le verrons également en Europe ou aux États-Unis, pour ne prendre que quelques exemples, qui veillent à garantir les droits des auteurs, développeurs et distributeurs de logiciels, tout en maintenant des droits aux utilisateurs.

Les villes intelligentes mobilisent les technologies de pointe pour créer des cités high-tech assurant une qualité de cadre de vie optimale. Elles se caractérisent par l’intégration de systèmes, par le déploiement de quantités impressionnantes de capteurs et de calculateurs, pour mesurer, évaluer, optimiser le fonctionnement des transports, de la sécurité, de l’éducation, de la consommation énergétique, ou encore de l’administration, de la santé. L’informatisation de la société et des secteurs-clés n’est certes pas nouvelle. Mais l’intégration des systèmes tout d’abord, puis la concentration de ces technologies dans des espaces encore relativement réduits, créent des conditions particulières qui soulèvent déjà nombre de questions d’ordre juridique : comment vivront les citoyens dans ces environnements dont les technologies sont appelées à réguler non seulement les systèmes, services et applications, mais également, de fait, leur quotidien ? Quel sort sera réservé aux données, notamment personnelles ? Qu’adviendra-t-il des libertés individuelles dans des milieux bardés de capteurs, de caméras, qui permettent de suivre les individus en tous lieux et tous instants ? Mais encore, qui gèrera, qui gouvernera, décidera ou possèdera : comment s’organisera le partenariat public-privé ?

S’accorder sur une définition de l’Internet des objets est un préalable indispensable, car de celle-ci découlera l’identification des questions de droit qui doivent lui être appliquées. Nous discutons donc dans un premier chapitre quelques définitions de l’Internet des Objets (IdO), puis recensons, à la lumière de l’actualité récente (incidents) et des débats en cours tant aux niveaux nationaux que des institutions internationales (UE notamment) les principaux points de droit que soulève la mise en œuvre de l’IdO. Les définitions de l’Internet des objets montrent toute l’étendue de la gamme à la fois des technologies anciennes et nouvelles qu’il peut mobiliser, que des usages, des contextes d’application et des acteurs impliqués. Il n’est donc guère envisageable de préciser les contours d’un droit unique de l’Internet des objets. La troisième partie de l’article se focalise sur les enjeux liés à la donnée et à la protection de la vie privée.

La messagerie sécurisée permet de maintenir le caractère privé, confidentiel, secret des correspondances. On parle aussi de messagerie chiffrée [1]. La distinction sécurisée/privée peut être décrite ainsi : un message sécurisé est celui que seul reçoit le destinataire indiqué ; le message chiffré celui qui ne peut être lu que par le destinataire désigné [2]. La messagerie sécurisée est parfois présentée comme un outil essentiel pour les activistes, les citoyens qui s’opposent à des régimes totalitaires, comme un instrument d’opposition politique. Échapper à une surveillance étatique jugée intrusive [3], attentatoire aux libertés des individus, n’est toutefois pas la seule finalité des messageries sécurisées. Elles ont plus généralement pour objet de protéger les échanges (e-mail, chat, etc.) contre toutes sortes de regards indiscrets, de tiers non autorisés, et plus généralement de protéger la vie privée et les activités professionnelles. Tout un chacun peut en effet avoir des données à protéger des regards indiscrets : données personnelles, de santé, fiscales ; données classifiées, pour les armées ; données contractuelles pour les entreprises, etc. La sécurisation des échanges répond à ces impératifs particuliers. Les révélations d’Edward Snowden relatives aux pratiques des États en matière de cybersurveillance sont, sans nul doute, en grande partie responsables de nouvelles attentes, qu’une offre relativement pléthorique et en perpétuelle évolution tente de satisfaire.

Paradoxalement, au regard de l’importance acquise aujourd’hui par les APT dans le monde de la sécurité, la littérature sur ce phénomène semble faire peu de cas de ses enjeux juridiques. Quelques articles que nous trouvons au gré de recherches sur le net évoquent bien en quelques mots l’existence d’une problématique juridique, mais la plupart l’effleurent davantage que ne la développent. L’accent est la plupart du temps mis sur les aspects techniques, sur les briques constitutives d’une APT, sur les méthodes ou processus visant à se prémunir de ce type de menace, voire sur la définition d’une typologie des acteurs (cibles, attaquants). Dans cet article, nous essaierons de définir le cadre juridique de l’APT, et verrons que pour cela il nous faut revenir, rapidement, sur l’histoire de cette notion, ses multiples manifestations, ses diverses composantes, avant d’aller chercher dans les corpus juridiques existants des outils applicables, et d’en discuter les limites.