En tenant trois jours de conférence à huis clos sur le cyber-crime, les huit principaux pays industrialisés posent le pied sur la planète "co-régulation".
Lundi s’est ouverte à Paris la conférence des huit principaux pays industrialisés sur la cyber-criminalité. Car c’est bien le thème de ce G8 "Sécurité", que la puissance invitante a pudiquement gratifié d’un intitulé en forme de cache-sexe ("Dialogue entre les pouvoirs publics et le secteur privé sur la confiance et la sécurité dans le cyberespace").
Une périphrase en dit parfois plus que le mot juste. Lesdits pouvoirs publics sont visiblement écartelés entre le désir d’alerter l’opinion sur les dangers du cyber-crime, afin d’avoir les coudées franches pour mettre en place des mesures de répression musclées ; et la peur de créer une psychose du pirate. On a donc fait venir une noria de journalistes du monde entier qui n’ont ni accès aux débats, ni aux sorties de conférence. Ils restent parqués dans un couloir et une salle de presse où les représentants du gouvernement français veulent bien venir les voir - quand ça leur chante.
Le Conseil de l
Or que se passe-t-il derrière ces mystérieux murs ? Sans doute pas un complot contre les libertés. Le G8 Sécurité ne produira au terme de ces trois jours de présentation des points de vue nationaux qu’un banal communiqué. C’est ailleurs qu’un traité sur le cyber-crime s’élabore. Les vraies décisions se prennent au sein du Conseil de l’Europe, dont le projet de convention (dévoilé en avant-première lire l’article Bienvenue dans l’ère du téléflicage ) doit aboutir en décembre prochain. Cette organisation internationale est autrement plus légitime que le happy few informel des Huit Riches. Elle rassemble 41 pays qui ne sont pas tous européens, avec les observateurs. Certains d’eux pèsent plus lourd que d’autres - notamment les ...tats-Unis, première puissance du Net, et donc première victime du cybercrime comme on a pu le constater avec les dégâts du virus ILOVEYOU.
Les autres instances internationales ne chôment pas pour autant. Mais on peut tenir pour relativement négligeable le rôle tenu par les Nations unies dans l’élaboration de règles internationales de lutte contre la cyber-criminalité, car la majeure partie de l’activité sur le Net se tient encore dans les pays riches. La Commission européenne produit un travail plus directement exploitable. Elle a, par exemple, recommandé aux ...tats membres de réduire à trois mois le délai de stockage des données de connexion des internautes par les fournisseurs d’accès, et la France a suivi cette recommandation. Toutefois, l’institution des Quinze n’a pas la même légitimité territoriale que le Conseil de l’Europe. Surtout, les affaires de police et de justice sont le saint des saints de la souveraineté nationale. Aussi, elles relèvent de la coopération internationale pure et dure, et jusqu’à nouvel ordre de l’entraide judiciaire classique. Même Europol, le point de rencontre des polices européennes, se plie à cette loi d’airain.
Place aux industriels
Pourtant, les temps changent. Les ...tats, tout souverains qu’ils sont, réalisent qu’ils ne pourront rien faire contre le crime sans frontière et les nouveaux outils électroniques, s’ils ne travaillent pas main dans la main avec les industriels. Les Britanniques ont été parmi les premiers à théoriser cette nouvelle approche. En France, on appelle ça la "co-régulation". Aux ...tats-Unis, on va un peu plus loin : c’est l’"autorégulation" par les grandes entreprises. En somme, que le business veille sur ses fichiers clients, que l’administration fédérale vainque les cyber-terroristes, et que chacun sauve sa peau. Dans les deux cas, "co" et "auto", il s’agit de faire participer les entreprises à la réflexion sur la sécurité des réseaux.
C’est exactement à cela que sert le G8 Sécurité. Pour la première fois, cette enceinte accueille le secteur privé. Chaque délégation nationale est composée de 15 industriels et de 15 représentants des pouvoirs publics. Les débats à huis clos vont confronter la vision pas toujours très cool de la police et de la justice des 41 avec les contraintes et les désirs des AOL, Bertelsmann, Bull, etc, mais aussi avec les inquiétudes des fournisseurs d’accès européens (l’Euro-ISPA) et des libertaires de Zero Knowledge. Les logiciels de cette société canadienne sauvegardent l’anonymat des internautes de la curiosité dévorante des marketeurs et des "law enforcement agencies" (police, douane, gendarmerie, justice). Espérons que les prises de position de ces derniers serviront au moment de la rédaction des chapitres encore en pointillés sur le projet de convention du Conseil de l’Europe - notamment quant aux interceptions de communications par mail.
Clivage de fond Europe/...tats-Unis
Reste à savoir quelles questions se jouent dans l’enceinte du G8. En l’absence de communication des délégations, on peut faire quelques conjectures. Les Européens sont, en gros, plus craintifs que les Américains lorsqu’on parle de créer une police internationale du cyber-crime. Ils nient qu’une législation spécifique à Internet soit nécessaire. Ils mettent en avant les processus éprouvés d’entraide judiciaire entre ...tats, et assurent qu’il est possible de les accélérer afin de suivre le rythme endiablé du crime sur Internet. Ils ont surtout peur, à bon droit, que le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) viennent fourrer leur nez dans leurs affaires.
Washington, de son côté, ne se ferait pas prier pour instaurer des règles internationales spécifiques sur le cyber-crime. Les Américains veulent pourchasser les hackers qui les prennent pour cible numéro un, jusque sur le territoire finlandais ou italien. Mais ils se heurtent à la règle (consacrée par des traités internationaux) de la "double incrimination" : si l’infraction est commise à partir de l’Allemagne, les ...tats-Unis ne doivent pas seulement obtenir un mandat judiciaire chez eux, mais aussi Outre-Rhin. Le FBI ne pourrait-il pas obtenir, à travers un traité spécifique sur le cyber-crime, le droit d’enquêter à distance (la téléperquisition", voir Transférable B0512) sans passer par les autorités allemandes ? Dans cette optique, exit le principe de double incrimination. Une seule suffirait. Il est plus douteux en revanche que les ...tats-Unis acceptent la réciproque. On les voit mal fermer les sites nazis et révisionnistes hébergés en Alabama sur une simple requête de Berlin...
Net libre, Net enchaîné
Au-delà de ces considérations de droit international, la vraie question pour nous tous est de savoir ce qu’on va faire de notre Réseau. Pourra-t-on toujours y circuler aussi librement ? Sera-t-on contraint, au nom de la "traçabilité" des cyber-criminels, de renoncer à l’anonymat sur le Net ? On sait que le FBI et la NSA ont tenté à plusieurs reprises de faire signer par le président Clinton des textes finalement rejetés comme liberticides - instauration du clipper-chip permettant d’identifier chaque ordinateur, projet de loi sur l’interception des télécommunications... Autant les libertaires américains sont vigilants, autant le FBI et la NSA sont sur les dents. L’anonymat, ce n’est pas leur tasse de thé. D’autant qu’il n’existe pas d’équivalent américain de la directive européenne de 1995 sur la protection des données personnelles - que la France n’applique pas encore -, notre garde-fou de la "privacy" (respect de la vie privée). Cependant, l’Europe policière et judiciaire est elle aussi tentée par cette solution à l’emporte-pièce : interdire le Net anonyme. Si seulement le G8 Sécurité pouvait être l’occasion de faire entendre des voix divergentes, notamment issues du secteur privé, alors, on applaudirait des deux mains.