De scandale en scandale, le Liban a fini par révéler au grand jour sa vulnérabilité face aux attaques et aux crimes commis sur son cyberespace et dont la sophistication dépasse de loin les capacités défensives de l’État, quasi inexistantes. La dernière affaire en date, le piratage présumé de données relatives à des comptes bancaires mais aussi de données informatiques d’un fournisseur local d’accès à internet de grande envergure, a démontré à quel point le pays manque d’immunité face à la guerre technologique qui cible non seulement le secteur privé, mais aussi militaire.

Diplômée en droit pénal international et conseillère en cybersécurité auprès de l’Escwa et de l’Union internationale des télécommunications (UIT), Janane Khoury énumère les multiples failles dans le domaine de la cybersécurité au Liban et propose une feuille de route pour prémunir les citoyens et les institutions contre d’éventuelles attaques.





(Lire aussi : La dernière cyberattaque au Liban, une mauvaise blague qui a mal tourné ?)



Quel diagnostic peut-on faire de l’état de la cybersécurité au Liban ?

Ce qui s’est passé avec la dernière attaque n’est pas surprenant. Il y a probablement eu d’autres incidents, peut-être encore plus graves. Il n’y a qu’à voir la place qu’occupe le Liban dans le classement effectué par l’Union internationale des télécoms, à savoir la 118e place, en matière de protection dans le domaine de la cybersécurité sur le plan international. Nous sommes largement exposés aux risques d’attaques, aussi bien au niveau des institutions qu’à celui des utilisateurs privés.

Plusieurs failles sont à relever à ce niveau : en premier, l’absence de législation en matière de cybercrimes. Si les agressions entre États souverains sont régies depuis longtemps par le droit international public, il n’en est pas de même pour ce qui est des cyberattaques que le droit international ne connaît pas encore.

Face à cette faille, plusieurs pays se sont prémunis en amont contre de tels cas de figure en mettant en place leur propre système de protection par le biais d’un arsenal juridique, alors que le Liban n’a rien fait jusqu’ici.

En tête des pays arabes, on trouve le sultanat d’Oman, qui est l’un des pays les plus avancés en matière de protection, sachant que Mascate occupe le quatrième rang dans le classement international. Le sultanat est équipé d’une loi pour la lutte contre les cyberattaques et de textes qui régissent les services des télécoms. Les pays du Golfe sont également parmi les plus avancés au monde et devancent même les États-Unis et la France en matière de protection. Il faut savoir que des pays tels qu’Israël et l’Iran, deux pays qui intéressent le Liban à plus d’un niveau, sont aussi en tête du peloton.



Que peut faire le Liban pour remédier aux failles et renforcer son immunité ?

Le Liban doit absolument mettre les bouchées doubles pour pallier ce manque. L’absence de législation pose un problème sérieux à la justice qui doit aujourd’hui faire face à un domaine qui n’est pas codifié par la loi. Si l’on revient à la Constitution, il y est clairement mentionné, à l’article 8, qu’« aucune infraction et aucune peine ne peuvent être établies que par la loi ». De même, « nul ne peut être arrêté ou détenu que suivant les dispositions de la loi ». C’est le cas notamment dans l’affaire de la dernière cyberattaque, les juges n’ayant pas de texte pour se prononcer.

Les services militaires et sécuritaires font également face à ce même problème puisque dans leurs juridictions spécialisées, l’espionnage électronique n’est pas pris en compte dans les textes. Aujourd’hui, on sait que l’infrastructure des télécommunications au Liban est visée. Israël est à l’origine de plusieurs tentatives visant à introduire des systèmes d’espionnage dans notre réseau.

Par conséquent, le Liban est aujourd’hui invité à créer une commission nationale chargée de la cybersécurité. Elle devrait regrouper des responsables dans tous les secteurs, publics et privés. Elle devrait même être intégrée dans le cadre des discussions autour d’une éventuelle stratégie de défense. Enfin, il est impératif d’adopter une politique de sensibilisation sur la notion de cybersécurité dans les universités et les instituts et académies militaires, selon l’adage qui dit qu’il vaut mieux prévenir que guérir.





(Pour mémoire: Liban : des services de sécurité et des sociétés privées auraient été visés par une cyberattaque)



Comment l’État peut-il se prémunir contre le détournement de données lorsqu’il fait appel à des parties tierces, notamment des sociétés étrangères chargées de moderniser ses infrastructures dans le secteur des télécoms ?

L’État est censé prendre toutes les précautions requises lors de la signature de ce qu’on appelle le contrat d’adhésion, de sorte à se prémunir contre certaines clauses que chercheraient notamment à imposer certaines multinationales ou les sociétés spécialisées dans le secteur de la technologie. L’État doit faire en sorte de revendiquer en la protégeant sa propriété en matière de données et s’assurer que les informations ne quittent pas le territoire libanais, puisqu’il s’agit d’une affaire de souveraineté. Cela s’applique également au secteur bancaire qui constitue la pierre angulaire de l’économie du pays.

Il faut également préciser dans le contrat quels seront les tribunaux compétents en cas de conflit, la préférence devant aller aux tribunaux nationaux et non ceux du pays dont est issue la société commanditée.



La menace qui pèse sur l’espace cybernétique n’est-elle pas plutôt mondiale ?

L’arme de la cybernétique est aujourd’hui d’une grande efficacité et le deviendra progressivement encore plus. Les attaques menées dans le cyberespace font désormais partie des tactiques de guerre entre les États. Celui qui maîtrise le mieux ce type de savoir peut se prévaloir d’un pouvoir certain sur la scène internationale. Les données privées sont, de nos jours, l’équivalent de l’or noir, puisqu’elles sont achetées et vendues bien plus cher que le pétrole. Les pays qui n’ont pas compris cet enjeu subiront une nouvelle forme de colonisation, non plus par des États cette fois-ci, mais par la technologie. Les multinationales qui opèrent dans ce domaine se sont érigées en structures supranationales et affectent dans une large mesure le concept traditionnel de la souveraineté des États.

L’État, qui avait un contrôle relativement important sur le flux des informations, plus particulièrement dans le domaine militaire et sécuritaire, a vu son rôle régresser avec l’apparition des médias sociaux, de programmes technologiques et applications sophistiquées. L’État devient ainsi de plus en plus vulnérable face aux opérations d’écoute électronique, au piratage de correspondances par courriel et à la guerre sournoise des virus.

Il est inutile de rappeler ici les démêlés de Facebook avec la justice américaine suite à une manipulation des données privées par ce média à des fins commerciales. Mais plusieurs États ont décidé d’en réduire les risques en adoptant un arsenal juridique spécialisé et adapté.





Pour mémoire



Le secteur bancaire s’initie au « cyber-risque »

Les services de sécurité libanais ont-ils utilisé Angry Birds à des fins d’espionnage ?

Gauss, le nouveau virus qui espionne des banques libanaises