0

Le système immunitaire de l’internet

NEW YORK – Les virus, le filoutage, les logiciels-espions, le spam, les attaques en déni de service, les botnets… Vous connaissez sans doute ces termes et avez peut-être eu à souffrir de ce qu’ils représentent, en connaissance de cause ou pas.

Je voudrais proposer une manière simple de s’attaquer à ces problèmes (sans pour autant les résoudre), une manière qui ne nécessite pas d’accord global sur les crimes informatiques entre gouvernements (ou entre particuliers), et encore moins une force de  police mondiale ou des traités mondiaux impossibles à faire appliquer. Si nous parvenons à améliorer la sécurité informatique en général, alors les gouvernements auront plus de latitude pour s’en prendre aux vrais criminels.

Erdogan

Whither Turkey?

Sinan Ülgen engages the views of Carl Bildt, Dani Rodrik, Marietje Schaake, and others on the future of one of the world’s most strategically important countries in the aftermath of July’s failed coup.

Une approche plus constructive est de considérer la sécurité informatique comme une question de santé publique ou économique : les individus peuvent se protéger, mais doivent payer pour les coûts qu’ils font encourir à autrui. Nous devons faire en sorte que les internautes puissent se défendre contre les attaques, empêcher les personnes innocentes et bien intentionnées d’être infectées et de transmettre à leur tour les virus et autres, et réduire les avantages et les capacités de nuire des pirates informatiques.

À première vue, cette question semble présenter une multitude de défis. Mais il existe des approches efficaces pour chacun d’entre eux. Il n’est pas nécessaire de surveiller tous les utilisateurs en ligne ou de demander une identification pour chaque interaction. Identifier systématiquement les utilisateurs ne permettra pas d’attraper ou d’arrêter les pirates informatiques et rendra impossible l’utilisation d’Internet. Nous ne pouvons pas sauver le cyberespace en détruisant sa liberté d’utilisation.

Pour mettre en place un système de protection efficace, les entités les mieux placées pour le faire, les fournisseurs d’accès à  Internet (FAI), doivent montrer l’exemple. Ce sont des entreprises expertes au plan technologique et qui ont (plus ou moins) la capacité de protéger les utilisateurs et de détecter les abus. Ces fournisseurs ont une relation directe (bien qu’impersonnelle) avec leurs clients et sont en concurrence entre eux et sont donc, contrairement aux gouvernements, pénalisés s’ils ne répondent pas aux attentes.

Les FAI (au lieu des gouvernements) doivent fournir une protection élémentaire – contre les virus, le filoutage, le spam et le reste – dans le cadre des services qu’ils proposent. Ce n’est pas compliqué : il existe un certain nombre d’entreprises concurrentes spécialisées dans la protection contre les virus qui offrent des services aux internautes. Les FAI pourraient en choisir une, ou proposer le choix entre trois d’entre elles, par exemple. La difficulté consiste à faire en sorte que les clients se servent de ces outils – une campagne de sensibilisation, analogue aux campagnes dans le domaine de la santé publique, serait nécessaire. Le résultat serait plus proche d’un lavage de mains général que d’un traitement en soins intensifs.

Pour ce qui est du spam, les FAI (y compris les fournisseurs de boîtes de courrier électronique) pourraient imposer une limite de 100 courriels par jour par exemple ; pour disposer de plus de place, il faudrait payer ou du moins déposer une caution ou passer un test de bonne conduite. Dans le même temps, tous les FAI devraient adopter un système d’authentification du domaine de l’expéditeur d’un courrier électronique (il y a deux bonnes normes : Domain Keys et SPF). Ces mesures n’auraient pas pour but de suivre tous les échanges informatiques, mais d’empêcher les cyber criminels d’infecter les systèmes des autres internautes.

Les FAI pourraient ainsi bloquer les FAI qui ne se joignent pas à l’effort collectif de protection informatique. Leurs clients ne tarderaient pas à se plaindre, les obligeant soit à participer, soit à se voir reléguer à la périphérie, d’où ils leur seraient difficiles de lancer des attaques parce que personne n’accepterait leur trafic ? Et parce que les FAI rendent compte à d’autres FAI, et pas à des gouvernements, les dissidents et les lanceurs d’alerte peuvent préserver leur anonymat.

Pour ce qui est du téléchargement involontaire des logiciels malveillants et du filoutage, il existe plusieurs services qui surveillent les sites hostiles et préviennent les utilisateurs. Ceux-ci peuvent toujours visiter les sites qu’ils veulent, mais il y aurait  au moins des avertissements indiquant qu’ils prennent des risques.

Google a placé ce genre d’avertissement dans ses résultats de recherches, avec StopBadware.org (je suis membre de leur comité consultatif) et Mozilla Firefox et Internet Explorer de Microsoft utilisent des protections analogues. Les utilisateurs aventureux ou les professionnels pourraient toujours contourner les garde-fous, mais seulement en payant une sorte d’assurance responsabilité civile pour les risques qu’ils font courir à l’ensemble des internautes.

L’idée est de créer des incitations économiques pour réduire la criminalité informatique. Les véritables criminels ne seront pas découragés, mais un système adéquat empêchera au moins que les autres internautes soient impliqués dans des attaques ou deviennent des victimes directes. Le crime paie moins quand il y a moins de victimes.

Il y a plusieurs raisons pour lesquelles un tel système n’a pas encore été mis en place. La première est l’inertie, associée à (ou sous couvert) d’un idéalisme – l’idée fausse que l’internet doit non seulement être libre du point de vue de l’expression, mais également gratuit. Pourtant, entretenir une infrastructure qui protège les utilisateurs coûte cher.

Le coût – à la fois pour les utilisateurs et les FAI – est en fait la deuxième raison. Accepter les coûts (comme nous le faisons aujourd’hui avec la pollution) et les répartir entre les personnes qui peuvent les assumer ou qui peuvent être obligés de le faire est la principale difficulté. Après tout, nous acceptons l’idée de payer pour des forces de police et la santé publique, que ce soit les hôpitaux, ou l’eau propre et des aliments sains, etc.

Comment donc faire accepter un tel système ? Les FAI devraient répercuter les coûts sur leurs clients, mais ils ne le feront pas parce qu’ils sont essentiellement en concurrence sur les prix qu’ils proposent. Les consommateurs doivent donc demander que la sécurité fasse partie des services proposés et les FAI tourner le dos aux fournisseurs qui ne se plient pas à la règle.

Pour faire avancer les choses, les utilisateurs pourraient intenter des actions en justice – sans exagérer ! – contre les FAI qui tolèrent les abus, comme ceux qui fournissent en connaissance de cause des services à des pirates informatiques et qui refusent à tel point de donner suite aux plaintes que l’ignorance n’est plus une excuse légitime.

Support Project Syndicate’s mission

Project Syndicate needs your help to provide readers everywhere equal access to the ideas and debates shaping their lives.

Learn more

Les coûts encourus par les FAI comprennent aussi les avertissements mis en place concernant les sites douteux, qui requièrent un système en bonne et due forme d’information des gestionnaires des sites web compromis – pour qu’ils puissent les réparer ou réaliser qu’ils ont été utilisés à leur insu. Un tel système est relativement coûteux à gérer, mais moins que les coûts encourus en n’ayant aucun système de protection.

Ces modifications ne créeraient pas une sorte de système nerveux informatique avec un cerveau aux commandes pour résoudre tous les problèmes. Elles reviendraient à mettre en place une forme de système immunitaire de fournisseurs d’accès à l’internet concurrents et de services de sécurité en évolution aux plans local et mondial. Ces changements amélioreraient énormément la sécurité informatique : les utilisateurs se sentiraient plus en sécurité et les spécialistes de la lutte contre la criminalité pourraient se concentrer sur les menaces les plus sérieuses.