Internet peut-il encore échapper à la balkanisation ?

« Nous nous trouvons au milieu d’une tempête, pas seulement géopolitique, mais cyberpolitique ». C’est l’analyse que fait, en substance, Eugène Kaspersky du mélodrame dans lequel l’éditeur éponyme se trouve pris depuis plusieurs années. Pour lui, la situation n’a rien d’anodin : « il semble que personne ne fait plus confiance à personne, que la suspicion et la confusion règnent sur notre délicat cyber-monde. Alors quel chemin prendre ? », interroge-t-il.

Eugène entrevoit deux directions possibles, la première étant la balkanisation : « la fragmentation et l’isolation d’une industrie. La balkanisation est une réponse naturelle à la peur et à la défiance ; lorsque l’on a peur, on rentre chez soi et on verrouille les portes ».

Ce n’est pas la première fois que ce que l'on peut être tenté de voir comme un épouvantail est brandi dans la jeune histoire d’Internet. Déjà en mars 2012, avant même le début de l’affaire Snowden mais en plein débat sur les activités de l’agence américaine du renseignement - la NSA - Michael Hayden, qui avait pris les rênes de l’agence à la fin des années 1990, ne cachait pas ses craintes d’une balkanisation d’Internet. Car derrière un débat centré à l’époque sur les Etats-Unis, il voyait un sujet à la dimension mondiale : « c’est la clé. Tout ce que l’on fera chez nous légitimera immédiatement ce que d’autres régimes feront chez eux. C’est dangereux ».

Stuxnet, considéré comme l’une des premières cyber-armes, avait déjà fait parler de lui. Des soupçons pesaient sur les Etats-Unis et Israël, mais il faudra attendre le mois de juin suivant cette sortie de Michael Hayden pour que le New York Times lève le voile sur le programme Jeux Olympiques dont serait issu Stuxnet. Edward Snowden ne s’osera à affirmer qu’il s’agissait d’une attaque américano-israélienne qu’en juillet 2013. D’aucun ne manqueront pas de se souvenir de tout le travail mené par les analystes de Kaspersky autour de Stuxnet.

A la même période, le ministre allemand de l’Intérieur montrait la voie de la balkanisation. Sur fond de scandale Prism, il l’affirmait sans ambages : « quiconque craint que ses communications ne soient interceptées d’une manière ou d’une autre devrait éviter de passer par des serveurs américains ». Quelques mois plus tard, Art Coviello, alors président exécutif de RSA, ne pouvait que constater une tendance à la balkanisation des offres de cloud public, sous la pression de certains gouvernements.

Début 2014, le créateur du Web, Tim Berners-Lee, exprimait ouvertement sa crainte d’assister à une balkanisation d’Internet. Il insistait alors sur le fait de ne pas vouloir « un Web où le gouvernement brésilien exigerait que les données de chaque réseau social soient stockées sur le sol brésilien ». Mais quelques jours plus tard, Angela Merkel exprimait son intention d’évoquer avec François Hollande la construction d’un réseau de télécommunications visant à éviter que les échanges électroniques des citoyens de l’Union Européenne ne transitent par les Etats-Unis.

Un an plus tard, l’édition 2015 du rapport du Forum Economique Mondial sur les risques pesant sur le monde n’ignorait pas le risque de balkanisation liés à des solutions « de court terme, plus faciles » en faveur d’une certaine souveraineté des infrastructures. Début 2016, l’Information Security Forum soulignait également les risques induits par des réglementations susceptibles de « fragmenter le cloud ». Le sujet était de retour dans l’édition 2018 du rapport du Forum Economique Mondial sur les risques globaux.

L’an dernier, lors de son allocution en ouverture des Assises de la Sécurité, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), soulignait de son côté l’importance de la paix dans le cyberespace, estimant qu’il convenait d’éviter d’en faire un espace de « conflit » où développer la confiance serait alors très difficile. Des propos qu’Eugène Kaspersky ne renierait manifestement pas.

Mais le monde ne semble pas s’orienter dans une direction particulièrement pacifique. Fin 2017, les Etats-Unis ont désigné leurs adversaires dans le cyberespace : l’Iran et la Corée du Nord en premier lieu, mais également la Russie et la Chine. Quelques mois plus tard, à la conférence internationale de Munich sur la sécurité, la cybersécurité apparaissait au cœur des tensions géopolitiques.

Aujourd’hui, l’homologue britannique de l’Anssi, le NCSC, accuse ouvertement les services russes du renseignement, le GRU, d’être aux commandes de groupes connus comme APT28 (Fancy Bear, Sofacy, Pawnstorm, Sednit), mais également Black Energy. Les premier ministre et ministre des Affaires Etrangères australiens accusent également le GRU d’avoir fomenté l’attaque BadRabbit, soupçonnée d’avoir été conduite par le groupe des Telebots, qui pourrait n’être qu’un spin-off de Black Energy, ou Sandworm. Ces dernières sorties soulignent le niveau élevé des tensions.

Les ministres australiens assurent que « le cyber-espace n’est pas le wild west. La communauté internationale, y compris la Russie, s’est accordée sur le fait que les lois et les normes internationales de comportement responsable d’Etats s’appliquent au cyber-espace ». C'est un peu la seconde direction, à la croisée des chemins, évoquée par Eugène Kaspersky « avec une communauté unie contre les cybermenaces qui ne connaissent pas de frontières. »
Mais encore faut-il que tout le monde accepte de l'emprunter et que personne ne se laisse aller à donner inconsidérément de mauvais exemples.