Le Traité des Nations unies sur la cybercriminalitéest entré dans sa phase finale et se dirige vers un vote de l’Assemblée générale. Les États-Unis et le Royaume-Uni soutiennent le projet.
Cependant, le traité a été controversé, suscitant des inquiétudes quant à la sécurité et aux atteintes à la vie privée, et ne semble pas faire la distinction entre les acteurs de la menace et les pirates éthiques.
Techopedia a sollicité l’avis d’experts en sécurité pour décrypter la portée et les implications du traité des Nations unies sur la cybercriminalité.
Quels en sont les impacts à l’échelle mondiale ? Est-ce une avancée cruciale ou un retour de flamme bien intentionné qui pourrait poser des défis inattendus ?
Vote général en approche pour le traité ONU sur la cybercriminalité
Le 12 novembre, Recorded Future a rapporté que le traité des Nations Unies sur la cybercriminalité avait franchi les dernières étapes et se dirigeait vers un vote général.
Après l’approbation du projet de traité, les représentants américains ont reconnu que plusieurs pays s’inquiétaient encore de la manière dont le traité pourrait conduire à des violations dans les domaines suivants :
- Droits de l’Homme,
- Surveillance,
- Harcèlement des employés de la technologie,
- Atteinte à la vie privée des individus.
Jonathan Shrier, représentant des États-Unis auprès de l’ONU, a évoqué le traité en disant :
Cet accord établit un cadre permettant une large coopération internationale pour lutter contre la menace mondiale aiguë de la cybercriminalité tout en empêchant son utilisation abusive pour permettre une tendance croissante à la restriction des libertés fondamentales.
Shrier a exhorté les gouvernements du monde entier à instaurer des lois nationales solides pour servir de garanties et atténuer les risques associés au traité.
Distinction floue entre les experts en cybersécurité et les cybercriminels
HackerOne – l’organisation qui regroupe la plus grande communauté de hackers éthiques au monde – a contacté Techopedia pour partager une lettre qu’elle a envoyée aux fonctionnaires de l’administration pour s’opposer à la formulation du traité des Nations Unies.
HackerOne souligne que le traité ne reconnaît pas les experts en cybersécurité, pourtant déjà soumis à de fortes pressions.
Ilona Cohen, directrice juridique et politique de HackerOne, a expliqué pourquoi les lois devraient inclure des garanties pour les chercheurs en sécurité.
Les cadres juridiques soutiennent de plus en plus les efforts des chercheurs en sécurité en les distinguant des cybercriminels malveillants, en réduisant la responsabilité juridique du piratage éthique et en incitant les organisations à adopter des politiques pour recevoir les divulgations de vulnérabilités.
Cohen a indiqué que, depuis 2020, les États-Unis ont demandé à toutes les agences fédérales de se doter de politiques de divulgation des vulnérabilités.
Le ministère américain de la justice reconnaît depuis longtemps l’importance de la recherche en matière de sécurité et a récemment annoncé qu’il mettrait à jour son cadre de divulgation des vulnérabilités, qui minimise les risques juridiques pour les chercheurs en sécurité, afin d’aborder la question du signalement des vulnérabilités des systèmes d’Intelligence Artificielle.
Toutefois, selon M. Cohen, la formulation du traité des Nations unies sur la cybercriminalité est tellement ambiguë qu’elle met en péril les travaux des experts en cybersécurité, tests de pénétration, hackers éthiques, red teams, organisations de simulation d’attaques, et bien d’autres encore, en ne les différenciant pas des criminels.
Le traité oblige les pays à criminaliser toute personne qui accède intentionnellement à toute partie d’un système informatique sans droit.
L’article (traité) ne fait aucune distinction entre les cybercriminels et les activités légitimes de test de sécurité menées par des hackers éthiques qui n’ont pas d’autorisation explicite mais qui travaillent pour améliorer la sécurité.
Le texte de la convention interdit également l’interception de transmissions non publiques de données informatiques “sans droit”, sans tenir compte de l’intention de l’intrusion.
Cela peut concerner des professionnels indépendants de la sécurité qui, dans le cadre de leur travail, peuvent intercepter des signaux pour identifier ou valider des failles de sécurité afin de protéger mais non d’exploiter les données.
Le traité interdit également d’endommager, d’effacer ou de modifier intentionnellement des données informatiques “sans droit”.
M. Cohen ajoute :
Ce traité pourrait être appliqué à tort aux pirates éthiques qui manipulent des données dans le cadre d’un test contrôlé, comme les tests de pénétration et les équipes d’intervention, afin d’identifier les faiblesses et d’améliorer les défenses des systèmes.
Criminaliser à nouveau les pirates éthiques ?
Le traité des Nations Unies risque de criminaliser l’acte d’entraver intentionnellement et sans autorisation le fonctionnement d’un système informatique.
Cette pratique correspond, dans de nombreux cas, à celle des hackers éthiques.
M. Cohen souligne :
Cela pourrait nuire à la recherche en matière de sécurité ou aux activités de red teams, qui utilisent des attaques simulées pour identifier les faiblesses en matière de sécurité et améliorer les défenses.
Dans la lettre adressée aux fonctionnaires, HackerOne indique que les définitions larges du traité des Nations unies exposent les pirates éthiques à des risques juridiques, même lorsque leurs actions visent à renforcer la sécurité.
Si le traité est adopté tel quel, sans aucune modification, d’innombrables organisations pourraient réfléchir à deux fois aux risques juridiques avant d’engager les services très précieux que fournissent les experts en sécurité offensive.
Le traité pourrait donc avoir une incidence sur les programmes de primes à l’intrusion et de divulgation des vulnérabilités. Ces programmes sont utilisés par toutes les grandes entreprises technologiques, de Google à Amazon en passant par Microsoft, et sont extrêmement populaires dans le secteur des entreprises technologiques.
Cohen souligne les incohérences du traité :
Plutôt que de promouvoir l’objectif déclaré de la convention d’accroître la coordination et la coopération, cela pourrait conduire à une application incohérente et à une mauvaise utilisation du traité, laissant les chercheurs vulnérables dans les juridictions qui ne protègent pas explicitement les activités de bonne foi.
Nous avons demandé à M. Cohen ce que HackerOne préconise exactement.
Nous encourageons respectueusement les Etats-Unis à continuer à travailler aux Nations Unies pour incorporer des protections dans le langage du traité, si possible, et à travailler avec d’autres pays pour encourager l’incorporation de protections pour de telles recherches dans la loi nationale ou les politiques et pratiques d’application de la loi.
Cohen a ajouté que si les États-Unis ne parviennent pas à faire avancer un protocole à la convention qui fournisse des protections adéquates aux chercheurs en cybersécurité, il suggère que l’Agence Américaine pour le Développement International et le département d’État intègrent les meilleures pratiques politiques qui protègent les chercheurs en sécurité.
Par ailleurs, les programmes de renforcement des capacités numériques devraient être conditionnés de manière à ce que les gouvernements ne poursuivent pas les chercheurs en sécurité de bonne foi.
L’essentiel
Si les intentions du traité des Nations Unies sur la cybercriminalité sont bien visibles, la formulation vague du texte révèle que les législateurs des Nations Unies ne possèdent pas l’expertise nécessaire pour légiférer sur des questions techniques telles que la cybersécurité. D’autant plus que les violations des données n’ont jamais été aussi nombreuses comme le prouvent ces statistiques en cybersécurité.
Dans le monde d’aujourd’hui, les chercheurs en sécurité, les testeurs de pénétration, les pirates éthiques, les chercheurs et les enquêteurs qui s’efforcent de sécuriser les systèmes risquent de ne pas être distingués juridiquement des cybercriminels.
Le traité des Nations Unies sur la cybercriminalité doit comporter des dispositions visant à éviter toute utilisation abusive du texte susceptible d’entraîner une atteinte à la vie privée des individus et à protéger les experts en cybersécurité.
Si ce n’est pas le cas, les experts appellent les gouvernements du monde entier à mettre en place leurs propres lois pour protéger les citoyens et le secteur de la cybersécurité au sens large.