Archives par mot-clé : Cybercriminalité

La société américaine Verisign, cotée depuis 25 ans, est la face privée de l’Internet mondial

Publié le par

Internet s’achemine vers les 400 millions de noms de domaine enregistrés dans le monde, ce qui fait les affaires de Verisign. Cette société privée américaine, basée à Reston (Etat de Virginie) et cotée au Nasdaq depuis 25 ans, gère discrètement des pans entiers du Net – dont les « .com » et « .net ».

Cela fait près de 30 ans que la société américaine Verisign tire les ficelles de l’Internet mondial, à l’ombre du gouvernement des Etats-Unis et en coulisse, aux côtés de sa compatriote Icann (1), laquelle – « à but non lucratif et reconnue d’utilité publique » – attribue et administre les adresses et noms de domaine grâce à seulement treize serveurs informatiques dits « racines » (2) répartis sur la planète. Verisign, elle, en opère deux et non des moindres. James Bidzos (photo), dit Jim, qui aura 68 ans le 1er février, en est le PDG fondateur. C’est l’homme invisible de l’Internet depuis près de trois décennies.

Société US privée en coulisses du Net
La société est cotée depuis un quart de siècle au Nasdaq à New-York où sa capitalisation boursière (3) atteint 20,8 milliards de dollars (au 12-01-24). Verisign est à l’origine commerciale de 173,9 millions de noms de domaine en « .com » (160,8 millions) et en « .net » (13,2 millions), dont cette société américaine a le monopole. Ces deux extensions sont très prisées par les sites web et les plateformes du commerce électronique partout dans le monde. Cette exclusivité, sur près de la moitié (48,4 %) des 359,3 millions de noms de domaines enregistrés dans le monde au 30 septembre dernier (4), est confortée par le taux de renouvellement d’environ 75 % de ces noms de domaine cruciaux de l’Internet. Verisign a aussi la mainmise sur d’autres extensions telles que « .edu », « .name » ou encore « .jobs ».
A chaque enregistrement ou renouvellement, Verisign encaissent quelques dollars. A cette rente de situation s’ajoute un rôle déterminant pour la gestion de bases de données de domaines (data centers sur le sol américain) et le bon fonctionnement de l’Internet mondial (200 points de présence dans le monde) : la firme basée à Reston, dans Etat américain de Virginie, opère à elle seule deux des treize serveurs dits « racines » répartis sur la planète pour permettre au « réseau des réseaux » de fonctionner. Rien de moins. Les onze autres serveurs racines du Net sont gérés par la société-sœur Icann, basée, elle, à Playa Vista, dans la banlieue de Los Angeles (Californie) et censée être émancipée de la tutelle étatsunienne à la suite de l’expiration, le 1er octobre 2016, du contrat qui la liait depuis 1998 au département américain du commerce (DoC) via son agence gouvernementale NTIA (5). Cette double emprise des Etats-Unis sur la gouvernance technique de l’Internet n’est pas du goût de nombreux Etats dans le monde, qui demandent une nouvelle gouvernance mondiale de cette infrastructure partagée (6). D’autant que Verisign revendique « le rôle essentiel mais surtout invisible » vis-à-vis du réseau des réseaux. Son périmètre d’intervention dans les coulisses du Net à travers le monde est plus large qu’il n’y paraît. C’est elle qui « aide à maintenir la sécurité, la stabilité et la résilience du système de noms de domaine (DNS) et d’Internet ». C’est elle encore qui veille à éviter les cyberpannes, les cybercollisions et les cyberattaques pourtant en augmentation constante, notamment via le protocole de sécurité DNSSEC pour protéger les données envoyées par les DNS et déployer les clés de sécurité cryptographiques.
Si l’Icann a coupé son cordon ombilical d’avec le DoC/NTIA, il n’en va pas de même pour Verisign qui garde depuis 1998 un lien avec l’administration américaine (7). « En vertu de notre accord de coopération avec le département du commerce des Etats-Unis, le registre “.com” doit demeurer neutre sur le plan du contenu et garantir l’égalité d’accès […]. L’accord de coopération souligne également les spécifications élevées de l’Icann en matière de performances opérationnelles, telles qu’elles sont définies dans l’accord de registre “.com”. Aucun autre registre n’a de telles obligations envers la communauté Internet mondiale », assure Verisign (8). La firme de Reston assure en outre le back-office de plus de 2.000 bureaux d’enregistrement agréés dans le monde par l’Icann, lesquels registrars (9), à leur tour, vendent des noms de domaine aux utilisateurs, individuels ou professionnels. L’empire américain de James Bidzos s’est en outre étoffé par croissance externe, dont la méga-acquisition en 2000 de Network Solutions (« .com », « .net » et « .org ») pour 21 milliards de dollars. En 1999, Verisign avait acquis Thawte Consulting pour 575 millions de dollars, revendu en 2010 à Symantec.

Une cash machine exceptionnelle
Au total, le but lucratif de Verisign porte ses fruits à la grande satisfaction de ses actionnaires. Le groupe aux 900 employés et diversifié dans les services numériques prospère à l’ombre du Net et visait jusqu’à 1,5 milliard de dollars de chiffre d’affaires en 2023, avec un bénéfice net qui pourrait être supérieur aux 673,8 millions d’euros de l’exercice 2022 où le chiffre d’affaires avait été de 1,4 milliard de dollars. La présentation de ses résultats annuels, sur l’an dernier au 31 décembre 2023, est prévue le 8 février prochain. @

Charles de Laubier

Cybermenaces : bombe électronique à retardement

Publié le par
En fait. Le 14 octobre se terminent à Monaco les 23e Assises de la cybersécurité qui se sont tenues sur quatre jours. Les cyber-risques n’augurent rien de bon, tant les cyberattaques n’ont jamais été aussi redoutables avec le renfort de l’intelligence artificielle et maintenant de l’informatique quantique. En clair. Sauve qui peut. Les responsables de la sécurité des systèmes d’information (RSSI) des entreprises et administrations, et leurs dirigeants, ont du souci à se faire. Jamais les cybermenaces et les cyberattaques n’ont été aussi fortes et nombreuses dans le monde. Internet devient le premier théâtre des opérations de la criminalité, de la guerre et de l’ingérence étrangère, tant économique que géopolitique. Cybersécurité et cyberdéfense n’y suffiront pas. Aux 23es Assises de la cybersécurité (1), à Monaco, les quelque 5.000 visiteurs – Chief Information Security Officer (Ciso) en tête – auraient préféré ne pas verser dans le catastrophisme ni dans les théories du cybercomplot. Hélas, les prévisions sont plus que jamais alarmistes. Steve Morgan, fondateur de la société d’études américaine Cybersecurity Ventures, le confirme à Edition Multimédi@ : « Depuis trois ans, nos prévisions n’ont pas changé. Les coûts mondiaux des dommages liés à la cybercriminalité augmentent de 15 % par an et atteindront 10.500 milliards de dollars en 2025, contre 8.000 milliards de dollars en 2023. C’était 3.000 milliards de dollars en 2015 » (2). Rien que pour 2023, selon nos calculs, le cybercrime mondial pèse financièrement plus de deux fois et demie le PIB de la France, et plus de mille fois le PIB de la Principauté de Monaco où se tiennent chaque année ces Assises de la cybersécurité ! « Cadence des attaques, émergence des innovations [IA, quantique, deepfake, …, ndlr], rotations dans les équipes, profils des attaquants, environnement social et géopolitique, … : le RSSI est sous pression », a confirmé en session plénière (3) Sabrine Guihéneuf, présidente d’honneur 2023 de ces assises internationales, par ailleurs directrice de la cybersécurité et de la gouvernance IT du groupe français URW (4). Certains, comme chez l’électronicien Thales, s’attendent à « l’Apocalypse quantique ». D’autres, comme chez l’hypermarchant Carrefour, craignent les IA génératives dans le retail et le e-commerce. L’équipementier télécoms américain Cisco s’attend, lui, au pire durant les JO de 2024 à Paris. Se cyberdéfendre à armes égales contre les hackers du monde entier (cryptage et vol de données, rançongiciel, Dos/DDoS (5), hameçonnage, authentification frauduleuse, deepfake, etc.), supposent aux victimes potentielles de recourir elles aussi à l’IA et à la cryptographie quantique voire post-quantique. @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Publié le par

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

En bannissant sans limite Donald Trump, les réseaux sociaux Facebook et Twitter ont dépassé les bornes

Publié le par

Persona non grata sur des réseaux sociaux, l’ex-45e président des Etats-Unis Donald Trump – décidé à briguer un nouveau mandat en 2024 – fait l’objet d’un débat sur la régulation mondiale de l’Internet. Facebook, Twitter ou encore YouTube, sociétés privées devenues censeurs sans juge, mettent à mal la liberté d’expression.

(Finalement, le 4 juin 2021, Facebook a décidé de suspendre pour deux ans Donald Trump)

Il n’a plus rien à perdre. Quarante-cinquième président des Etats-Unis (janvier 2017-janvier 2021), Donald J. Trump (photo) – qui aura 75 ans le 14 juin prochain – compte bien se représenter à la prochaine présidentielle américaine de 2024 afin de reprendre sa revanche et de tenter d’être le 47e locataire de la Maison-Blanche. Car dans le monde réel, le turbulent milliardaire n’a pas été banni ni même jugé devant les tribunaux pour les faits qui lui sont reprochés, à savoir d’avoir « encouragé » – sur Facebook – ses partisans à envahir le Capitole des Etats-Unis lors de l’émeute du 6 janvier dernier. En réalité, le mauvais perdant n’a pas explicitement incité – ni encore moins ordonné – l’invasion par la foule du Congrès américain, alors en plein débat sur la ratification de l’élection présidentielle ayant donné Joe Biden vainqueur, mais peut-être implicitement en clamant qu’il avait gagné l’élection présidentielle. Nuance. Ce jour-là, devenu historique, le président sortant était d’ailleurs introuvable, sauf sur Internet pour affirmer qu’on lui avait « volé » l’élection en organisant une « fraude massive ». Jugé coupable le 5 mai par Facebook d’avoir, selon le numéro un des réseaux sociaux, « créé un environnement où un risque sérieux de violence était possible », Donald Trump a été exclu pour encore six mois – mais pas indéfiniment – de Facebook (où il comptait 35 millions d’amis) et d’Instagram (24 millions d’abonnés).

Entreprises privées versus Premier amendement
Ses comptes avaient été supprimés le lendemain des événements du Capitole. Car dans ce monde virtuel, les entreprises privées telles que Facebook ou Twitter ne sont pas soumises au Premier amendement de la Constitution des Etats-Unis d’Amérique interdisant de limiter la liberté d’expression. Donald Trump a ainsi été condamné dès le 7 janvier dernier au bannissement par ces réseaux sociaux tout puissants. « Les entreprises privées ne sont pas tenues par le Premier amendement. Et donc, il [Donald Trump] n’a pas le droit au Premier amendement. C’est un client. Facebook n’est pas un gouvernement, et il [l’ex-président] n’est pas un citoyen de Facebook », a d’ailleurs bien expliqué le 9 mai dernier Michael McConnell, coprésident du « conseil de surveillance » de Facebook, dans un entretien accordé à la chaîne d’information en continu américaine Fox News.

« L’erreur » de Facebook et de Twitter
Et sur sa lancée, le spécialiste du droit constitutionnel et professeur à Stanford a expliqué comment ce jury « indépendant » – appelé en anglais Oversight Board, où il a été nommé il y a un an parmi les vingt membres – a obtenu de la firme de Mark Zuckerberg que Donald Trump soit suspendu provisoirement de Facebook et d’Instagram et non sur une durée indéfinie voire ad vitam aeternam : « Ce que nous avons dit, c’est qu’[il n’était] pas justifié de [le] supprimer indéfiniment [comme envisagé initialement par Facebook, ndlr], qu’ils [les dirigeants de Facebook et d’Instagram] n’ont fourni aucune raison pour cela, que ce n’est pas une disposition de leur règlement, que c’est une erreur. Et nous leur avons donné un certain temps pour (…) mettre de l’ordre dans leur maison ».
Dans un tweet du 5 mai, l’Oversight Board, cette sorte d’ombudsman mondial, a même lancé : « Facebook a enfreint ses propres règles en imposant une suspension “indéfinie” » (1). Autrement dit, le groupe aux réseaux sociaux planétaires doit faire le ménage dans ses « règles chaotiques », « non transparentes », « pas claires », « incohérentes en elles » (2). Le « conseil de surveillance », qui a estimé nécessaire de faire des recommandations à la firme de Menlo Park (Californie) sur la façon de mettre de l’ordre dans ses règles pour les rendre plus acceptables, a donc décidé de maintenir jusqu’à début novembre 2021 l’interdiction faite à l’ancien président des Etats-Unis et le temps pour Facebook durant cette période de clarifier sa politique interne en général et vis-à-vis du « puni » en particulier. C’est un peu comme renvoyer dos à dos Trump et Zuckerberg. « Le conseil de surveillance confirme la suspension de l’ancien président Trump mais estime que la sanction de Facebook n’était pas opportune », déclarait le 5 mai l’organe privé de régulation (3) au moment de rendre son verdict sur « le cas 2021-001-FB-FBR » (4).
L’instance « indépendante » aux allures de cour suprême, financée par Facebook, a été créée pour juger et dire « quels contenus supprimer, quels contenus laisser en ligne et pourquoi ». C’est là que le bât blesse. Ecarté virtuellement « pour avoir encouragé les émeutiers » du Capitole (5), mais plus que jamais réellement présent dans la vraie vie pour se préparer à la campagne présiden-tielle de 2024, Donald Trump est devenu un cas d’école pour la régulation mondiale de l’Internet. D’autant que celui qui fut le 45e président des Etats-Unis a aussi été évincé de Twitter, de YouTube (plateforme vidéo de Google), de Snapchat (de la société Snap) et même de Twitch (filiale d’Amazon). Cette affaire montre les limites d’une régulation privée par des entreprises privées, à savoir une auto-régulation sans intervention du juge. Le verdict du tandem « Facebook- Oversight Board » crée un malaise bien au-delà du Nouveau Monde, tout comme son éviction à vie de Twitter (où le twittos @realDonaldTrump avait 89 millions d’abonnés) en début d’année et pour les mêmes raisons. Et ce, là aussi, sans que la firme de Jack Dorsey ne soit liée par le Premier amendement garantissant la liberté d’expression et sans qu’aucun juge n’ait eu à se prononcer sur cette sentence aux limites de l’arbitraire. Twitter a même enfoncé le clou en suspendant le 6 mai dernier plusieurs comptes qui relayaient des messages postés par l’ancien président des Etats-Unis sur sa nouvelle plateforme numérique lancée le 4 mai et baptisée « From the Desk of Donald J. Trump » (6) (*) (**). Celle-ci préfigure sous forme de blog ce que sera le futur réseau social en gestation du candidat à l’élection présidentielle de 2024. Le site web « Depuis le bureau de Donald J. Trump » renvoie aussi vers sa campagne « Save America » pour lever des fonds et où l’on peut lire « Le président Trump est toujours BANNI de Facebook ! Ridicule ! » (7). Tout le monde pourrait en rire, s’il n’était pas question dans cette affaire hors normes du sort de la liberté d’expression sur Internet et, partant, dans les démocraties dignes de ce nom. Que l’on soit partisan de Trump – passé quand même de 63 millions d’électeurs en 2016 à plus de 74 millions en 2020 – ou hostile à sa politique clivante et nationaliste, son cas est sans précédent en matière d’auto-régulation des réseaux sociaux.
La firme de « Zuck » a six mois pour trancher le dilemme que lui pose Donald Trump. Il y a fort à parier que le PDG cofondateur de Facebook réhabilitera l’impétrant dans sa décision finale attendue pour début novembre. Pendant que la pression monte aux Etats-Unis pour que soit réformée la section 230 du « Communications Decency Act » de 1996, qui accorde une « immunité » judiciaire aux plateformes numériques quant aux contenus mis en ligne par leurs utilisateurs (8), l’Union européenne est plus que sceptique sur le bannissement de Trump.

Police privée : l’Europe très sceptique
« Qu’un PDG puisse débrancher le haut-parleur du président des Etats-Unis sans autre forme de contrôle et de contrepouvoir fait plus qu’interpeller », a estimé le commissaire européen au Marché intérieur, Thierry Breton, dans une tribune publiée le 10 janvier (9). La chancelière allemande Angela Merkel a quant à elle jugé « problématique » cette éviction du président américain. De son côté, la Grande- Bretagne a présenté le 12 mai un projet de loi « Online Safety Bill » (10) en vue d’interdire aux plateformes numériques de discriminer les points de vue politique et de protéger la liberté d’expression avec possibilité de faire appel en cas de suppression de contenus. La police privée a des limites. @

Charles de Laubier

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Publié le par

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.