Regards croisés sur les armes numériques, du bug bounty aux vulnérabilités zéro-days: un besoin impérieux d'améliorer les normes actuelles.

par Coline Boniface

Projet de thèse en Sécurité Internationale et défense

Sous la direction de Karine Christakis Mollard-Bannelier et de Cédric Lauradoux.

Thèses en préparation à Grenoble Alpes , dans le cadre de Sciences Juridiques , en partenariat avec Centre d'Etudes sur la Sécurité Internationnale et les Coopérations Européennes (laboratoire) depuis le 01-09-2018 .


  • Résumé

    Ces derni ères ann ées, les m édias se sont faits les échos de nombreux cas d'attaques informatiques retentissants: les malwares stuxnet, wannacry, notpetya ou la fuite de donn ées Equifax sont certainement les plus connus. Ces malwares ont eu un impact consid érable sur des infrastructures critiques comme le nucl éaire iranien (stuxnet) ou le syst ème de sant é britannique (wannacry). La France n'a pas ét é épargn ée, comme le souligne la revue strat égique de cyberd efense 2018 du Secrétariat Général de la Défense et de la Sécurité Nationale. Dans ce contexte agit é, on peut se poser la question du rôle r égulateur des Etats dont certains, comme les Etats Unis, étudient des l égislations radicales telles que le 'hackback'. La mise en place de r èglementations internationales sur les armes num ériques est donc d'actualit é. Un des premiers objectifs de cette th èse est de clari fier la position des documents et trait és existants en y apportant un regard crois é informacien/juriste. Par exemple, la Convention de Budapest adoptée le 23 novembre 2001 souligne une volonté forte des Etats membres de mettre en place des normes internationales claires et coordonnées pour faire face à la lutte contre la cybercriminalité internationale. Cependant, certains pays majeurs et surtout acteurs au sein du cyberespace ne l'ont toujours pas ratifié (c'est le cas de la Russie). Toujours dans le but de règlementer des opérations cyber, un groupe de travail mis en place par l'OTAN a adopté le Manuel de Tallinn (2013) dans le but de transposer, par analogie, dans le cyberespace, des principes puisés à des sources juridiques externes. Pourtant les attaques r écentes évoquées en début de résumé ne sont pas couvertes par ce même manuel, ce qui pourrait remettre en question sa réelle pertinence. Enfin l'Arrangement de Wassenaar sur le contrôle des exportations des biens et technologies à double usage (1996) a tenté d'apporter une définition de la notion d''intrusion software' qui pourrait être assimilé à une 'cyber arme'. Cependant cet arrangement a ét é largement critiqu é par les informaticiens, malgr é un amendement cyber adopté en 2013. Cette thèse permettrait de développer un point de vue dual sur les problèmes posés par la complexité du cyber espace dans le but de mettre en place des normes innovantes et adaptées aux nécessités juridiques tout en conciliant les besoins pour la recherche informatique.

  • Titre traduit

    Crossview on cyber weapons, from bug bounty to zero-day Vulnerability: strong needs to improve the existing regulations.


  • Résumé

    Recent years have seen numerous cyberattacks reported by medias: malwares stuxnet, wannacry, notpetya or the data breach Equifax are certainly the most visible ones. They have highly impacted critical infrastructures like nuclear power plants (stuxnet) or the british healthcare system (wannacry). France has also been hit as highlighted by the new 2018 SGDSN report. In this complex digital world, the role of states as a regulator is critical to create online trust. As some states like United States are considering radical move (hackback), the settlement of international regulations on cyberweapons is becoming highly topical. This thesis aims to understand and clarify the existing documents and treaties by considering a crossview between computer scientists and lawyers. Indeed, the Budapest Convention adopted on 23 November 2001, reflects the strong willingness of member states to settle clear and coordinated rules to fight against international cybercriminality. However, some important countries which are also relevant actors into the cyberspace have still not ratified the Budapest Convention (such as Russia). A working group from NATO has also been set up to elaborate a code for cyber operations rules. Tallinn Manual (2013) tried to transpose guidelines based on external legal sources to the cyberspace. However, this manual could not cover most of the cyber attacks discussed earlier which raises serious questions about its real relevance. Finally the Wassenaar Arrangement on Export Controls for Dual-Use Goods and Technologies (1996) tried to bring a definition of 'intrusion software' which can be assimilated to a 'cyber weapon'. But this arrangement has widely been criticized by many computer scientists despite the adoption of a cyber amendment in 2013. This thesis would enable to develop a bicameral view of cyberspace issues in order to settle innovative and appropriate solutions for both legal and cyclical aspects while also accommodating computer science needs.