NSO/Pegasus : regardons les choses "en face"
L'émoi que suscite l'affaire Pegasus est légitime mais a de quoi surprendre par sa naïveté.
Regardons les choses "en face".
Ce n’est plus un secret : les Etats se livrent à une course effrénée à l'armement "cyber". Or cet armement est par nature beaucoup plus dual et proliférant que de l'armement conventionnel. On se souvient de la fuite d'outils offensifs de la NSA il y a quelques années…
Cette course a généré un marché autour des vulnérabilités 0-day (c'est à dire non connues et non corrigées) et des exploits associés : chercheurs, courtiers, plateformes de surveillance (solutions dites d'accès "as a service"). Ce marché est légal mais "gris" au sens où il n'est pas contrôlé par les propriétaires des vulnérabilités, qu'ils soient éditeurs logiciels ou fabricants d'équipements.
Ce n'est donc pas le développement des capacités “cyber”, défensives ou offensives, qu'il faut mettre en cause, mais leur dévoiement par certains Etats, entreprises ou organisations. Il ne viendrait en effet à l'idée de personne de remettre en cause le bien-fondé de la recherche de vulnérabilités, essentielle pour améliorer la sécurité de nos réseaux et systèmes d'information, ou bien la nécessité de se doter de capacités de renseignement pour anticiper les menaces
Cette affaire met surtout en lumière les difficultés de la réglementation internationale en matière de biens et technologies à usage dual. Les Accords de Wassenaar ne suffisent pas à empêcher les débordements, d'autant que seuls 42 Etats ont signé le texte. Impossible de reprocher à Israël quoi que ce soit à propos de NSO et de son logiciel Pegasus puisque le pays n'en n'est pas signataire...
Que peut-on en conclure ? Qu'elle soit le fait de cybercriminels ou de groupes étatiques, qui conjuguent parfois leurs actions, la conflictualité qui résulte de tout cela augmente dangereusement dans l'espace numérique : l'espionnage, qui a toujours bénéficié d'une tolérance dans les relations internationales, se généralise et surtout se démocratise ; les rançongiciels deviennent une arme de "perturbation massive" ; les déstabilisations informationnelles menacent le "ventre mou" des démocraties que sont les opinions publiques.
Recommandé par LinkedIn
Face à cette réalité, il n'y a pas de solution miracle mais un ensemble de réponses juridiques et techniques. Quelques pistes :
Autant de recommandations qui figureront dans le Livre Blanc intitulé "La cybersécurité : clé de voûte de la souveraineté numérique européenne" qui sera présenté lors du FIC 2021 en vue de la prochaine présidence française du Conseil de l'Union européenne. Résultat des réflexions d'un groupe de travail co-animé par le Général (2S) Marc Watin-Augouard, fondateur du FIC, et Guillaume Klossa, fondateur d’EuropaNova et ancien conseiller spécial du vice-président de la Commission européenne, ce livre blanc contient 28 recommandations couvrant cinq domaines : lutte anti-cybercriminalité, cyberdéfense militaire, cybersécurité et résilience, diplomatie et stabilité dans l'espace numérique, politique industrielle.
Retrouvons-nous les 7, 8 et 9 septembre au #FIC2021 pour en débattre !
Guillaume Tissier, Associé Avisa Partners, co-organisateur du FIC
Security Senior Executive
3 ansExcellente tribune! La naïveté de certains laisse effectivement songeur. Mais quelles suites seront données à ces révélations (une fois que les listes seront validées car il y a des précédents…)? Faut-il juste attendre qu’un autre sujet prenne la place de Pegasus dans les gros titres pour que tout cela tombe dans l’oubli comme de nombreuses autres révélations? Peut-être même que le carnet de commandes de NSO se remplit depuis quelque jours, qui sait?
Professeur titulaire a Université du Québec à Trois-Rivières
3 ans"Etablir au niveau européen une liste noire des acteurs ayant vendu des capacités offensives à des Etats ou entités sous sanction ou susceptibles de les utiliser à des fins contraires aux droits fondamentaux ou à nos intérêts"... Ce serait plus facile a faire passer si c'etait la Coree du Nord ou l'Iran... Ici, attention aux accusations traditionnelles. De toute facon, l'establishment ad hoc du Quai ou de l'Elysee veille...
Multi-stakeholder projects - Trust & Safety - Cybersecurity
3 ansC'est excellent de voir cette prise de position et ces recommandations précises sur ce sujet difficile, de par ton rôle et celui de Avisa Partners et du FIC (International Cybersecurity Forum). La France a un rôle à jouer sur ce sujet, au regard de ses capacités défensives... et offensives. Tu peux compter sur l'engagement du Cybersecurity Advisors Network (CyAN) pour continuer ce que nous avons initié ensemble sur la ''réhabilitation'' des chercheurs de Zero Days.
Commissaire divisionnaire honoraire, Ancien Chef de la mission "Cyber" de la préfecture de Police de Paris (ministère de l'Intérieur) à la DILT
3 ansBravo Guillaume ! et à bientôt au FIC 😊