Territoire numérique » : quelle définition pour quelle souveraineté ?

Dans un contexte marqué par une dépendance croissante aux outils numériques et une compétition mondiale, les enjeux stratégiques autour du numérique n’ont jamais été aussi prégnants. Face au risque de dilution de leur souveraineté, les États cherchent à affirmer, en retour, leur souveraineté sur le cyberespace. Or, comment édicter des règles sur un territoire sans frontières clairement identifiées lorsque ce zone est marqué par des interconnexions croissantes qui en complexifient la maîtrise étatique ? Comment définir le « territoire numérique », étape indispensable pour espérer ensuite pouvoir affirmer sa souveraineté numérique ? Quelles sont les imbrications entre les notions de territoire numérique et de souveraineté ? C’est justement l’enjeu de cet article.

L’expression « souveraineté numérique » est née à la fin des années 2000 et désigne la volonté et la capacité d’un État à agir dans le cyberespace et à le réguler, en appliquant son droit à la fois sur les infrastructures sur lesquelles s’appuie Internet pour fonctionner, et sur les données qui y sont échangées. La question de la souveraineté numérique touche à des enjeux stratégiques tels que la dépendance technologique et la maîtrise des données personnelles des utilisateurs.

Réfléchir à la souveraineté numérique amène à s’interroger sur les liens entre Internet et les États. Du point de vue technique et historique, Internet est né aux États-Unis. Son fonctionnement, son développement et sa gouvernance sont aujourd’hui majoritairement assurés par des acteurs privés. Les États n’interviennent qu’en seconde ligne, et les États-Unis occupent une place prépondérante, talonnés par les acteurs chinois.

D’après une étude de l’Agence suédoise de Défense et de Recherche, l’utilisation de l’intelligence artificielle permettrait aux cybercriminels de changer d’échelle par le gain en précision et en rapidité de leurs attaques. Si l’IA n’est pas utilisée sur l’ensemble du mode opératoire, elle permet néanmoins d’en automatiser certaines étapes.

L’intelligence artificielle apporte de nombreux gains opérationnels aux cybercriminels tels que :

• Une meilleure préparation : entraînés à partir de grandes quantités de données, ces algorithmes peuvent repérer, identifier et exploiter davantage de vulnérabilités.
• Un gain de sophistication : les cyberattaques ciblées peuvent s’adapter au comportement des cibles, contourner les mécanismes de détection et s’ajuster en fonction du contexte.
• Une rapidité d’exécution : l’IA permet d’automatiser certaines tâches telles que la collecte d’informations ou la recherche de vulnérabilités.
• Le lancement d’actions sur une plus grande étendue : les cyberattaques s’appuyant sur l’IA et le machine learning peuvent viser simultanément et de manière automatisée un plus grand nombre de cibles.

Si ces caractéristiques peuvent sembler fantasques, ces outils basés sur des algorithmes de machine learning existent déjà. C’est le cas par exemple du projet SNAP_R. Logiciel utilisé à des fins de tests de pénétration, cet outil cible des victimes et génère automatiquement des messages de spear-phishing sur les réseaux sociaux. Pour interagir avec la victime, le script s’appuie sur deux méthodes de génération de texte : des modèles de Markov s’appuyant sur les posts et statuts récents de la cible, et un réseau neuronal LSTM formé sur un corpus de texte plus général. En utilisant le service de réduction d’URL goo.gl, la victime n’a aucune capacité à vérifier le lien avant de cliquer. Un procédé redoutable.

Le numérique a désormais un impact sur les différents aspects de la société et de la vie quotidienne. Il est également devenu un élément clé de la croissance économique, de l’innovation et de la compétitivité. Tous ces éléments font de la souveraineté numérique un enjeu majeur pour les États, les entreprises et les citoyens, et les exposent à de nouveaux risques : cybercriminalité, espionnage ou encore désinformation. Les États cherchent donc à définir les frontières numériques et juridiques au sein du cyberespace afin de pouvoir y appliquer leur droit. On parle de « territorialisation du cyberespace ».

Pour un État, l’affirmation de sa souveraineté numérique passe par le contrôle de ses infrastructures, données et technologies numériques afin de protéger ses intérêts, à la fois économiques, politiques et sécuritaires. Concrètement, il s’agit de maîtriser des technologies clés, d’assurer la sécurité des réseaux et de protéger la vie privée des utilisateurs et la confidentialité des données.

Depuis plusieurs années déjà, l’IA est en mesure d’écrire de grandes variétés d’e-mails de phishing qui sont contextualisés ( service de livraison, renouvellement de mot de passe… ), qualitatifs et cohérents d’un point de vue sémantique. En générant des e-mails uniques, les cybercriminels contournent les filtres anti-spam traditionnels en passant sous les seuils de détection. La sortie de ChatGPT fin 2022 et la médiatisation dont il a fait l’objet n’ont fait que remettre sur le devant de la scène cette question.

En analysant les données disponibles sur les réseaux sociaux (ingénierie sociale) et en automatisant les premiers échanges d’e-mails, les attaquants peuvent industrialiser cette méthode à grande échelle passant d’un e-mail grossier envoyé en masse à des frappes ciblées par l’intermédiaire d’exemplaires uniques et façonnés pour chaque victime.

La génération de deepfakes et de deepvoices au travers de services grand public ouvre de nouvelles perspectives pour les cybercriminels. Dans le cas des deepfakes, il s’agit de créer de fausses vidéos en utilisant l’IA pour remplacer le visage d’une personne par une autre. Pour les images, il est aujourd’hui possible de recréer une photo qui n’a jamais existé. C’est notamment le cas avec logiciel midjourney. Comme pour ChatGPT, ce dernier est capable de créer une image à partir d’une simple instruction. Une facilité déconcertante qui laisse présager d’une utilisation malveillante à grande échelle. De nombreux internautes alertent sur le sujet depuis des mois sur les réseaux sociaux.

Avec les deepvoices, c’est l’utilisation d’une voix de synthèse générée à partir de fragments audio de la voix d’origine qui permet d’usurper l’identité d’une personne. De ce fait, le vishing (hameçonnage par téléphone) pourrait gagner davantage de terrain en intégrant les capacités techniques de création des deepvoices. Comme souvent, ces technologies sont déjà utilisées par les cybercriminels : en 2020, un directeur d’une banque de Hong-Kong a été trompé par le clonage de la voix d’un directeur d’entreprise des Émirats arabes unis, client de l’agence, qu’il connaissait. Ce deepfake l’a poussé à réaliser un virement bancaire frauduleux de 35 millions de dollars.

Face à de telles technologies, les entreprises sur internet devront renforcer leur capacité de modération et d’analyse des contenus. Il reste difficile de différencier à première vue les contenus générés par IA des contenus légitimes.

L’IA pourrait également être utilisée dans le cas d’attaques de malwares, notamment pour permettre de réaliser un ciblage intelligent et s’adapter de manière dynamique à l’environnement de sécurité. Certains experts pensent que des « self-learning malwares »[1]  pourraient être à l’origine d’incidents de sécurité majeurs dès 2024.

Devant l’importance croissante prise par l’IA dans de nombreux domaines, les cybercriminels s’emploient à tromper ou à détourner des modèles de machine learning en polluant les données alimentant des algorithmes (en ajoutant du bruit ou des perturbations à des sons, des images ou des textes, par exemple). On parle, dans ce genre de cas, d’attaques contradictoires ou « adversorial attacks ». Leur objectif ? Créer des dysfonctionnements dans des modèles de machine learning, induire des biais dans l’apprentissage, éviter les systèmes de détection, etc.

Face aux nouveaux risques induits par l’usage accru des deepfakes et des deepvoices, des études universitaires émergent pour mieux repérer ces nouvelles menaces. L’intelligence artificielle peut détecter sur une vidéo certains éléments qui restent invisibles à l’œil nu : les flux sanguins et la lumière des veines sur le visage de la personne, les déformations du visage (sur le nez, les yeux, la bouche), les reflets de la lumière dans les yeux, les incohérences dans les mouvements des lèvres ou les bruits de fond, par exemple. L’IA offre donc des perspectives très prometteuses pour détecter les fausses images.

Quant aux deepvoices, il existe également des pistes pour les détecter. En effet, les voix de synthèse et les voix humaines produisent des différences en matière d’acoustique et de dynamique des fluides. Pouvoir mesurer ces différences permettrait de détecter les deepfakes audio. L’anatomie humaine permet de vocaliser un nombre de sons relativement faible. À l’inverse, les échantillons audio de synthèse reproduisent des formes de son qui n’existent pas chez l’homme. Le développement de la recherche sur le sujet de la biométrie vocale va également dans le sens d’une meilleure détection par l’IA des deepfakes audio.

Si l’IA et le machine learning sont utilisés par les cybercriminels pour mener des attaques de grande ampleur qui peuvent s’adapter aux systèmes de défense, ils peuvent également venir soutenir les stratégies de défense dans le cas d’attaques par déni de service (Ddos). Leur usage permet notamment de :

• Détecter les requêtes suspectes parmi le trafic légitime.
• Construire des modèles prédictifs permettant de découvrir des schémas d’attaque connus.
• Prendre des mesures correctives et appliquer des règles de blocage.
• De stopper les attaques DDoS.

Les cybercriminels utilisent abondamment les images dans leurs tentatives de phishing, qu’il s’agisse de logos usurpés, de QR codes ou encore d’images représentant du texte. L’utilisation de la vision par ordinateur (une branche de l’intelligence artificielle analysant les images) aide à détecter ces usages. Les algorithmes de computer vision peuvent par exemple :

• Détecter des logos de marques ou de produits qui auraient été modifiés par les cybercriminels pour déjouer les technologies de filtrage.
• Détecter les QR codes insérés dans les e-mails pour remplacer les URLs (et ainsi échapper aux systèmes d’analyse des URLs).
• Bloquer les menaces provenant de certaines images (les cybercriminels envoient parfois des e-mails de phishing comportant uniquement des images avec du texte inséré à l’intérieur, pour échapper à la détection des filtres de contenu).

L’intelligence artificielle et le machine learning vont déployer une grande partie de leur potentiel au travers de vecteurs d’attaques pour lesquels le facteur humain reste le maillon faible. Or, la plupart des collaborateurs d’une entreprise n’ont pas conscience des usages actuels et à venir de l’IA dans les cyberattaques.

La solution ? Porter des efforts soutenus sur la sensibilisation et la formation des collaborateurs, en complément des mesures de sécurité indispensables. Réaliser une simulation de phishing une fois par an ne suffit plus, il faut désormais informer, former et sensibiliser les collaborateurs en continu, et entraîner leurs réflexes sur les nouveaux types de menaces intégrant l’IA.

À l’origine, la « territorialité » fait référence à un territoire terrestre, clairement défini par des frontières physiques. Elle s’est ensuite étendue à d’autres espaces (maritime, aérien, etc.), et même aujourd’hui au cyberespace. À la fois espace économique et social, mais aussi espace de conflit, le territoire numérique reste difficile à appréhender.

Contrairement aux frontières géographiques du territoire terrestre, les limites du territoire numérique ne sont pas clairement définies. Elles sont difficiles à établir, floues et mouvantes, ce qui complique la régulation et le contrôle des données et informations qui circulent au sein de cet espace. Définir les frontières de ce territoire numérique est pourtant indispensable pour qu’une souveraineté puisse s’y exercer.

Les grandes entreprises technologiques exercent une influence croissante sur la manière dont les données et les informations sont échangées et stockées, ce qui est de nature à remettre en question la souveraineté numérique des États. La centralisation des données et leur stockage dans des infrastructures cloud favorisent une délocalisation numérique vers l’étranger, principalement auprès des GAFAM américains.

C’est pour protéger les données qui lui appartiennent, mais qui sont situées en dehors de son territoire physique, que l’UE a fait évoluer la législation européenne. Elle a mis sur pied le Règlement Général sur la Protection des Données (RGPD), qui impose à toute organisation de respecter les régulations européennes envers les données à caractère personnel des résidents européens. À l’inverse, le « CLOUD Act » permet aux autorités judiciaires américaines de contraindre les fournisseurs de services à leur fournir des données électroniques, quelle que soit leur localisation physique, dans le cadre de procédures pénales. Ce texte prédomine sur les réglementations européennes relatives à la protection de la vie privée.

Toutes ces régulations qui cherchent à défendre la souveraineté et les intérêts économiques des États contribuent à « entremêler » les territoires numériques européen et américain. L’émergence de grandes entreprises technologiques chinoises (les BATX, par analogie aux GAFAM, désignant Baidu, Alibaba, Tencent et Xiaomi) n’est pas de nature à simplifier la donne. La Russie a quant à elle adopté une approche plus directe, puisqu’elle a rendu obligatoire le fait de stocker les données personnelles de ses citoyens sur son territoire national. Elle a ainsi fusionné partiellement son territoire physique et son territoire numérique.

L’évolution rapide et constante des technologies numériques rend d’autant plus importante et indispensable l’affirmation par les États de leur souveraineté numérique. Le développement de la blockchain et le recours croissant à l’IA en sont les exemples les plus criants, puisqu’ils posent des défis nouveaux et complexes concernant les questions de réglementation et de gouvernance des données et systèmes informatiques.

Si les usages les plus connus de la blockchain relèvent du domaine monétaire, ils sont loin d’être les seuls. La technologie blockchain offre notamment des perspectives intéressantes en matière de cybersécurité (puisqu’elle peut garantir la confidentialité et l’intégrité des échanges et des données), de sécurisation des transactions ou encore de vote électronique (en garantissant l’intégrité d’un scrutin). Le développement de la blockchain pourrait accélérer la dilution de la souveraineté des États, en remettant en cause certaines de leurs prérogatives. Les Etats ont donc tout intérêt à monter en puissance sur le sujet de la technologie blockchain pour préserver leur souveraineté.

La course actuelle à l’Intelligence Artificielle pose également des questions de souveraineté. Les solutions basées sur l’intelligence artificielle recourent souvent à des modèles de machine learning, très gourmands en données, et même en données personnelles. Avec l’émergence d'outils comme ChatGPT disponible auprès du grand public, les questions de gouvernance, de protection et de confidentialité des données utilisées par l’IA sont ici très clairement posées.

Établir une souveraineté numérique nécessite d’investir dans la recherche et de faire collaborer des acteurs de toute taille, afin de faire émerger des solutions indépendantes des États étrangers. Cette ambition se heurte cependant à certains défis.

Lorsqu’ils se placent dans une approche juridique de la question de la souveraineté numérique, les États entendent protéger les citoyens dans le cyberespace, et agir contre des entités malveillantes ou mues uniquement par des intérêts commerciaux. Cependant, la problématique de la « territorialité » est source de complexité. Elle rend difficiles les actions des États dans un certain nombre de domaines précis, notamment :

• Incapacité à poursuivre des enquêtes judiciaires sur des données stockées dans des infrastructures cloud situées dans des états étrangers et non coopératifs,
• Contrôle des flux de données (contenus vidéo, par exemple),
• Respect des droits d’auteur,
• Protection efficace des mineures vis-à-vis de la pornographie et des jeux en ligne.

La question de la souveraineté numérique peut également être abordée sous l’angle de la dépendance économique et technologique à des puissances étrangères, dans un contexte de guerre technologique entre les États-Unis et la Chine.

Si l’Europe reste pour le moment prudente et évite de prendre parti dans ce conflit, elle cherche cependant à réaffirmer sa souveraineté numérique en agissant dans un certain nombre de domaines, à travers son plan NextGeneration (250 milliards d’euros) : législation sur les services numériques, renforcement de la compétitivité et de la résilience de l’Europe dans les technologies des semi-conducteurs, gouvernance européenne des données, etc.

Le volet « sécurité » de la question de la souveraineté numérique dépasse lui aussi le cadre des frontières étatiques. Cette question ne saurait donc trouver de réponses à l’échelle d’un État. C’est désormais au niveau européen qu’il faut l’aborder.

Il est aujourd’hui nécessaire de poursuivre la collaboration entre les pays européens en matière de défense cyber. La révision de la directive NIS, le développement de la coopération militaire entre États européens en cas de cyberattaques ou encore le développement d’un tissu industriel de confiance à l’échelle européenne sont autant d’actions qui vont dans le sens d’un renforcement de la souveraineté européenne en matière de cybersécurité.

Il est aujourd’hui impossible d’espérer développer une souveraineté numérique à l’échelle européenne sans passer par une coopération accrue entre les acteurs des secteurs public et privé.

Grandes entreprises comme start-up ont besoin de l’aide de l’État (et des pouvoirs publics dans leur ensemble) pour casser les barrières et faire évoluer les réglementations qui freinent les développements commerciaux sur le marché européen. C’est grâce à cette coopération entre entreprises et États que pourront émerger des champions européens proposant des solutions souveraines.

À la croisée d’enjeux réglementaires, politiques, économiques et sécuritaires, la volonté d’affirmer sa souveraineté sur un territoire numérique pousse à la fois les États, les entreprises et les utilisateurs à repenser leur rapport à la technologie. L’enjeu ultime ? Reprendre la main sur leurs données en évitant toute servitude à des technologies étrangères. Un réel défi à l’aube de l’adoption de masse de l’Intelligence Artificielle.