NSO/Pegasus : regardons les choses "en face"​

NSO/Pegasus : regardons les choses "en face"

L'émoi que suscite l'affaire Pegasus est légitime mais a de quoi surprendre par sa naïveté.

Regardons les choses "en face".

Ce n’est plus un secret : les Etats se livrent à une course effrénée à l'armement "cyber". Or cet armement est par nature beaucoup plus dual et proliférant que de l'armement conventionnel. On se souvient de la fuite d'outils offensifs de la NSA il y a quelques années…

Cette course a généré un marché autour des vulnérabilités 0-day (c'est à dire non connues et non corrigées) et des exploits associés : chercheurs, courtiers, plateformes de surveillance (solutions dites d'accès "as a service"). Ce marché est légal mais "gris" au sens où il n'est pas contrôlé par les propriétaires des vulnérabilités, qu'ils soient éditeurs logiciels ou fabricants d'équipements.

Ce n'est donc pas le développement des capacités “cyber”, défensives ou offensives, qu'il faut mettre en cause, mais leur dévoiement par certains Etats, entreprises ou organisations. Il ne viendrait en effet à l'idée de personne de remettre en cause le bien-fondé de la recherche de vulnérabilités, essentielle pour améliorer la sécurité de nos réseaux et systèmes d'information, ou bien la nécessité de se doter de capacités de renseignement pour anticiper les menaces

Cette affaire met surtout en lumière les difficultés de la réglementation internationale en matière de biens et technologies à usage dual. Les Accords de Wassenaar ne suffisent pas à empêcher les débordements, d'autant que seuls 42 Etats ont signé le texte. Impossible de reprocher à Israël quoi que ce soit à propos de NSO et de son logiciel Pegasus puisque le pays n'en n'est pas signataire...

Que peut-on en conclure ? Qu'elle soit le fait de cybercriminels ou de groupes étatiques, qui conjuguent parfois leurs actions, la conflictualité qui résulte de tout cela augmente dangereusement dans l'espace numérique : l'espionnage, qui a toujours bénéficié d'une tolérance dans les relations internationales, se généralise et surtout se démocratise ; les rançongiciels deviennent une arme de "perturbation massive" ; les déstabilisations informationnelles menacent le "ventre mou" des démocraties que sont les opinions publiques.

Face à cette réalité, il n'y a pas de solution miracle mais un ensemble de réponses juridiques et techniques. Quelques pistes  :

  • Etablir au niveau européen une liste noire des acteurs ayant vendu des capacités offensives à des Etats ou entités sous sanction ou susceptibles de les utiliser à des fins contraires aux droits fondamentaux ou à nos intérêts. Ce pourrait être un instrument à ajouter dans la "Cyber tool box" mise en place par la diplomatie européenne ;
  • Faire en sorte que l’Europe s'engage plus avant dans les discussions internationales relatives à la sécurité et la stabilité de l'espace numérique pour y défendre les 9 principes de l'Appel de Paris lancé en 2018 par le Président Macron ;
  • Encourager la mise en place de programmes de divulgation coordonnée de vulnérabilités pour structurer un marché "blanc" plutôt que "gris" autour de ces vulnérabilités. Les appels d'offres publics doivent ainsi imposer ce type de dispositif comme cela est envisagé dans la directive NIS v2 et comme le Président Biden l'a récemment décidé aux Etats-Unis ;
  • Améliorer la sécurité native des produits et services intégrant du numérique en renforçant la responsabilité des éditeurs logiciels et fabricants d'équipement qui ne peuvent plus systématiquement se défausser sur les utilisateurs finaux. Les engagements volontaires ne suffisent plus. Il faut désormais imposer cette sécurité "by design".

Autant de recommandations qui figureront dans le Livre Blanc intitulé "La cybersécurité : clé de voûte de la souveraineté numérique européenne" qui sera présenté lors du FIC 2021 en vue de la prochaine présidence française du Conseil de l'Union européenne. Résultat des réflexions d'un groupe de travail co-animé par le Général (2S) Marc Watin-Augouard, fondateur du FIC, et Guillaume Klossa, fondateur d’EuropaNova et ancien conseiller spécial du vice-président de la Commission européenne, ce livre blanc contient 28 recommandations couvrant cinq domaines : lutte anti-cybercriminalité, cyberdéfense militaire, cybersécurité et résilience, diplomatie et stabilité dans l'espace numérique, politique industrielle.

Retrouvons-nous les 7, 8 et 9 septembre au #FIC2021 pour en débattre ! 

Guillaume Tissier, Associé Avisa Partners, co-organisateur du FIC


Jean-Paul Bonnet

Security Senior Executive

3 ans

Excellente tribune! La naïveté de certains laisse effectivement songeur. Mais quelles suites seront données à ces révélations (une fois que les listes seront validées car il y a des précédents…)? Faut-il juste attendre qu’un autre sujet prenne la place de Pegasus dans les gros titres pour que tout cela tombe dans l’oubli comme de nombreuses autres révélations? Peut-être même que le carnet de commandes de NSO se remplit depuis quelque jours, qui sait?

Frank Crispino

Professeur titulaire a Université du Québec à Trois-Rivières

3 ans

"Etablir au niveau européen une liste noire des acteurs ayant vendu des capacités offensives à des Etats ou entités sous sanction ou susceptibles de les utiliser à des fins contraires aux droits fondamentaux ou à nos intérêts"... Ce serait plus facile a faire passer si c'etait la Coree du Nord ou l'Iran... Ici, attention aux accusations traditionnelles. De toute facon, l'establishment ad hoc du Quai ou de l'Elysee veille...

Jean-Christophe (J-C) Le Toquin

Multi-stakeholder projects - Trust & Safety - Cybersecurity

3 ans

C'est excellent de voir cette prise de position et ces recommandations précises sur ce sujet difficile, de par ton rôle et celui de Avisa Partners et du FIC (International Cybersecurity Forum). La France a un rôle à jouer sur ce sujet, au regard de ses capacités défensives... et offensives. Tu peux compter sur l'engagement du Cybersecurity Advisors Network (CyAN) pour continuer ce que nous avons initié ensemble sur la ''réhabilitation'' des chercheurs de Zero Days.

anne SOUVIRA

Commissaire divisionnaire honoraire, Ancien Chef de la mission "Cyber" de la préfecture de Police de Paris (ministère de l'Intérieur) à la DILT

3 ans

Bravo Guillaume ! et à bientôt au FIC 😊

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets