Il est désormais habituel de le rappeler, mais la pandémie a mis en exergue les multiples vulnérabilités de nos sociétés. Parmi celles-ci se trouve notre dépendance accrue à la connectivité, c’est-à-dire notre capacité à interagir, à accéder à l’information et à l’autre, à distance. Internet y est indispensable. Et pourtant, les réseaux sur lesquels il repose sont vulnérables.

Notre dépendance à Internet croît, tout comme sa vulnérabilité

Difficile de résumer les douze derniers mois tant nos habitudes de vie ont changé. En un mot, la pandémie est un catalyseur. Elle accélère le changement social et économique, mais augmente également notre dépendance et notre vulnérabilité aux réseaux.

D’un côté, notre dépendance aux services portés par Internet passe par un nouveau paradigme. Un exemple parlant est la télémédecine. Alors que l’Assurance Maladie enregistrait seulement 40 000 actes en février 2020, ce sont 4,5 millions qui le sont en avril. Cette tendance n’est pas passagère : le changement d’échelle reste présent en juin, avec 1,9 million de consultations entre les deux vagues. La téléconsultation n’est non seulement plus taboue, elle devient la règle pour les actes du quotidien. Le même changement de paradigme est à l’œuvre dans de nombreux autres pans de notre vie quotidienne, avec les exemples du divertissement (Netflix) et du commerce (Amazon). Ces outils sont également au cœur de notre développement économique et social avec les plateformes de communications (Zoom, WhatsApp), de travail collaboratif (Slack, Microsoft Teams), ou d’étude (Moodle). Mais ce sont aussi des outils parfois vitaux qui dépendent d’Internet, comme les dossiers de patients hospitalisés ou certains pacemakers.

D’un autre côté, les réseaux sont vulnérables. Qu’elles soient accidentelles ou volontaires, les conséquences d’un défaut de service sont bien réelles. Un bug dans le système d’authentification de Google, et ce sont des millions de comptes emails inaccessibles. Alors que l’Internet des Objets - IoT et la nouvelle donne industrielle (Industrie 4.0) se profilent, les réseaux mobiles deviennent d’autant plus indispensables. L’Agence Nationale de Sécurité des Systèmes d’Information - ANSSI s’inquiète d’ailleurs de potentielles actions malveillantes à l’encontre des infrastructures 5G, et de leurs conséquences catastrophiques sur la sécurité et l’économie du pays.

Enfin, nos infrastructures sont également exposées aux campagnes d’espionnage étatique. Les protocoles qui fondent Internet sont décentralisés pour des raisons historiques d’ouverture, et peuvent être manipulés. Il est donc relativement aisé pour un État de détourner et d’intercepter une partie du trafic mondial. Dans le même temps, entreprises et gouvernements s’appuient sur des prestataires de service, qui sont devenus des portes d’entrée idéales pour des acteurs mal intentionnés. Une faille dans un logiciel de gestion de réseau, et ce sont des millions d’ordinateurs compromis, chez Microsoft comme à la Maison Blanche.

Un Internet vulnérable, ce sont nos modes de vie et nos emplois en danger. Dès lors, rendre nos réseaux plus résilients est une tâche critique et tout aussi indispensable.

Décentraliser et diversifier pour mieux résister

La résilience d’un réseau, c’est sa capacité de résistance et d’adaptation. Pour diminuer les risques sur lesquels nous venons de nous arrêter, deux stratégies typiques sont utilisées : la décentralisation et la diversification des réseaux. Deux approches coexistent lorsqu’il s’agit de décentraliser et de diversifier : par le bas, et par le haut.

Par le bas, tout d’abord. Les réseaux communautaires permettent à la fois d’offrir la connectivité à des populations marginalisées et isolées et de diluer le risque sur les infrastructures. Constitués de grappes de réseau Wi-Fi décentralisées (mesh networks), ces réseaux communautaires sont idéals dans les territoires où ni l’État ni les opérateurs ne souhaitent investir. C’est le cas dans certains pays en développement, mais aussi dans des territoires où perdurent de fortes inégalités sociales. C’est le cas des réserves autochtones d’Amérique du Nord qui jouissent d’une autonomie politique certaine mais qui souvent ont peu de ressources financières.

Les grandes zones urbaines ne sont pas reste. Le NYC Mesh Network permet par exemple à plusieurs dizaines de milliers de foyers de profiter d’une connexion Internet, tout comme Guifi en Espagne. L’Internet Society est particulièrement active dans le déploiement de ces réseaux sur les continents africain et américain. Bien que l’objectif premier des réseaux communautaires soit de permettre à tous l’accès à Internet, leur nature décentralisée les rend moins vulnérables aux disruptions malveillantes ou accidentelles. Si un nœud est rendu hors service il est possible de le contourner.

En France métropolitaine, où la densité de population est plus importante, l’État plus présent, et la concurrence entre opérateurs bien réelle, la popularité des réseaux communautaires est plus marginale. Le New Deal de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse - ARCEP prévoit que d’ici 2022, 99 % de la population ait accès à une couverture en 4G. Mais un accès universel ne garantit pas nécessairement la résilience du réseau, et une politique de résilience par le haut est plus pertinente dans ce cas.

Par le haut, c’est l’action publique et les grands opérateurs d’infrastructure qui permettent d’améliorer les réseaux, grâce au principe de redondance. La France est en bonne situation vis-à-vis des points d’interconnexions, que l’on peut décrire comme les grandes intersections d’Internet. Plus ils sont nombreux, plus il est facile d’atténuer les conséquences de la défaillance de l’un d’entre eux : si le maillage des points d’interconnexion est plus dense, le basculement vers un point alternatif se fera avec moins de latence et la répartition de la hausse de charge sera meilleure.

Légèrement devant le Royaume-Uni et l’Allemagne par le nombre de ses interconnexions, la France comprend environ 10 % du total européen et 4 % du total mondial. Cette capacité d’interconnexion interne, c’est-à-dire entre opérateurs au sein d’un même pays, est essentielle pour faire face aux exigences grandissantes des usages. En France, Netflix s’arroge près d’un quart du trafic Internet.

Entre 2012 et 2018, la capacité d’interconnexion a été multipliée par sept. Enfin, les grandes plateformes de service telles que Google, Youtube ou Steam continuent de s’appuyer sur les Content Delivery Networks, des serveurs de proximité qui permettent d’accéder aux contenus plus rapidement et de prendre le relais entre eux en cas de dysfonctionnement. Cependant, ces derniers ne sont pas à l'abri d’attaques de leurs chaînes logistiques eux-mêmes, puisqu’ils sont souvent gérés par des multinationales comme CloudFlare. Comme pour tout service critique, il faut aussi diversifier ses prestataires.

La solidité d’Internet à l’épreuve de sa croissance

Parce que la technologie émerge par et pour les êtres humains, elle est par essence politique et sociale. En retour, elle dessine les contours du possible, dans notre développement et nos habitudes de vie.

Le déploiement à terme de l’ensemble du spectre de la 5G – notamment au service des villes intelligentes et de l’industrie 4.0 – et l’accès quasi-universel au très haut débit, vont rendre l’ensemble de nos infrastructures et de notre activité économique et sociale plus vulnérable encore. Les réseaux se doivent donc d’être à la fois accessibles à tous, et suffisamment résilients pour faire face à nos nouveaux usages.

Les deux approches de décentralisation et de diversification, que ce soit à travers d’initiatives locales ou par la régulation d’État, ne sont pas mutuellement exclusives, et certainement pas concurrentes. Elles peuvent, selon la situation géographique, politique, économique et sociale, au contraire se compléter. Mais ces dernières, seules, ne suffisent pas. Une bonne politique de résilience se doit d’être systémique : elle englobe l’ensemble du spectre de la cybersécurité, y compris ses aspects sociaux-techniques, réglementaires , et régaliens.

Les analyses et propos présentés dans cet article n'engagent que son auteur. Arthur Laudrain, Junior Fellow de l'Institut Open Diplomacy, est spécialiste des problématiques relatives à la cybersécurité et à la géopolitique du numérique.