Débat sur la sécurité à l'approche des lois européennes sur la protection des données
© AFP/Archives / Par Rob Lever | La loi européenne sur la protection des données (RGPD) pourrait limiter la lutte contre la cybersécurité
A l'approche de l'entrée en vigueur de la loi européenne sur la protection des données (RGPD), le débat enfle sur ses conséquences possibles sur la cybersécurité et la lutte contre les utilisations pernicieuses d'internet.
La controverse porte sur la base de données baptisée "WHOIS" ("Qui est" en anglais), consultable par tous sur le site de l'ICANN, l'organisme international qui attribue les adresses internet.
Or l'accès à cette base va être restreint avec l'entrée en vigueur du RGPD le 25 mai car elle contient des données personnelles.
Le gouvernement américain et des responsables de la cybersécurité s'inquiètent de se retrouver privés de la possibilité de débusquer les pirates informatiques et autres malfrats par le biais de WHOIS et craignent une recrudescence des actes de piratages et du cybercrime.
Ces modifications dans le fonctionnement du WHOIS interviennent après des années de négociations entre les autorités européennes et l'ICANN, qui a approuvé la semaine dernière un plan permettant d'accéder à la banque de données pour des raisons "légitimes" mais a laissé l'interprétation de cette définition aux services d'enregistrement des noms de domaines internet.
Le secrétaire-adjoint américain au Commerce David Redl, qui dirige le service du gouvernement américain chargé d'internet, a appelé la semaine dernière l'Union européenne à reporter la date d'application à WHOIS des dispositions du RGPD.
"La perte de l'accès aux informations de WHOIS va avoir un impact négatif sur la lutte contre le cybercrime, la cybersécurité et sur le respect des normes de propriété intellectuelle dans le monde", a-t-il affirmé lors d'un forum sur les télécommunications à Washington la semaine dernière.
Rob Joyce, qui occupait jusqu'à récemment les fonctions de coordinateur pour la cybersécurité à la Maison Blanche, a pour sa part estimé dans un tweet en avril que "le RGPD va saper un outil essentiel permettant d'identifier les domaines suspects sur internet", affirmant que "les cybercriminels sont ravis du RGPD".
- "Complètement infondée" -
Caleb Barlow, vice-président chargé de la sécurité chez IBM, avertit que les lois sur la protection des données "pourraient bien avoir des conséquences négatives qui, paradoxalement, iraient à l'encontre de leur objectif initial".
Dans un blog publié en mai, il indique que "les professionnels de la cybersécurité utilisent (les informations de WHOIS, NDLR) pour rapidement contrer les menaces cybernétiques et que les restrictions imposées par le RGPD pourraient entraver ou empêcher les firmes travaillant dans la sécurité d'y réagir".
Pour James Scott, chercheur à l'Institute for Critical Infrastructure Technology à Washington, les nouvelles règles européennes "pourraient empêcher les chercheurs dans le domaine de la sécurité et les autorités judiciaires d'agir rapidement pour lutter contre les utilisations malveillantes d'internet".
Milton Mueller, professeur à Georgia Tech et fondateur du "Internet Governance Project of independent researchers", affirme toutefois que l'hypothèse selon laquelle le cybercrime va augmenter à cause du règlement européen est "complètement infondée".
"Il n'y a aucune preuve que l'on arrive à lutter ou à réduire le cybercrime mondial grâce à WHOIS", souligne-t-il à l'AFP. "En fait, certaines activités criminelles sont facilitées par WHOIS car les criminels y ont aussi accès".
Selon lui, ce fichier est "utilisé" depuis des années par des organisations commerciales dont certaines revendent les données et aussi par des gouvernements dictatoriaux pour surveiller leurs citoyens.
"Nous savons bien que quand les autorités judiciaires ont un motif sérieux, elles peuvent obtenir certaines informations mais WHOIS permet un accès totalement libre sans aucune forme d'autorisation", rappelle-t-il.
- Menaces -
Akram Atallah, responsable des domaines chez ICANN, indique à l'AFP que l'organisation a essayé sans succès d'obtenir un délai de l'UE pour avoir le temps de mettre au point des nouvelles règles d'accès.
Le nouveau règlement va éliminer du WHOIS toutes les informations personnelles mais permettra néanmoins d'y accéder pour des raisons "légitimes", note-t-il. "Il faudra une permission pour examiner les données", rappelle-t-il.
Cela veut dire que les entreprises chargées d'enregistrer les sites internet comme GoDaddy devront elles-mêmes déterminer qui a le droit d'y accéder au risque d'encourir d'importantes amendes de la part de l'UE.
L'ICANN travaille actuellement à un processus "d'accréditation" mais n'est pas en mesure aujourd'hui de dire combien de temps il faudra pour parvenir à un consensus parmi ses membres, que cela soit des gouvernements ou des acteurs privés et de la société civile.
Matthew Kahn, chercheur à la Brookings Institution de Washington, estime que les entreprises chargées d'enregistrer les sites préfèreront refuser les demandes d'accès aux informations plutôt que de risquer d'encourir une amende.
"Alors que les démocraties sont menacées par les interférences venues d'internet et des campagnes ciblées, ce n'est pas le moment d'empêcher la capacité des gouvernements et des responsables de la cybersécurité de s'opposer aux menaces", affirme-t-il dans un blog publié sur le site Lawfare.
AGENCES DE PRESSE