La Croix-Rouge veut créer un emblème pour dissuader les cyberpirates

Le Comité international de la Croix-Rouge (CICR) a dévoilé un projet d'introduction d'emblème numérique de la Croix-Rouge ou du Croissant-Rouge. L'objectif est de mieux protéger les infrastructures IT des établissements médicaux et des bureaux de la Croix-Rouge, fait savoir le CICR dans un communiqué.

Cet emblème numérique permettrait aux hackers militaires et cybercriminels de reconnaître plus facilement les installations protégées et de les épargner, à l'instar des emblèmes du CICR dans le monde physique, comme on peut par exemple en voir sur le toit des hôpitaux. L'emblème numérique de protection signalerait clairement à toute personne tentant de pénétrer ou d'attaquer les systèmes informatiques d'institutions humanitaires ou médicales que, conformément au droit international humanitaire, les systèmes et les données qu'ils contiennent sont protégés contre toute atteinte en période de conflit armé, écrit le CICR.

Résultat d'un projet de recherche de deux ans

Le CICR explique les conditions techniques et juridiques d'un emblème numérique dans un rapport rédigé en collaboration avec plusieurs partenaires, dont le Center for Cyber Trust (un projet commun de l'EPF de Zurich et de l'Université de Bonn) et l'Université Johns Hopkins. Le rapport est le résultat de deux années de recherche. Les auteurs y abordent aussi les risques potentiels du projet, par exemple le risque d'utilisation abusive pour signaler à tort des infrastructures militaires. Ce risque existe toutefois aussi dans le monde physique. De plus, l'utilisation abusive de l'emblème est illégale. Pour empêcher et sanctionner les abus, l'emblème devrait toutefois être ancré dans la cadre légal et la loi appliquée par les autorités compétentes.

Lors d'un entretien accordé à nos collègues de le Netzwoche, Balthasar Staehelin, en charge de la digitalisation de l’organisation humanitaire, a expliqué que le plus grand défi consiste sans doute à résoudre la question suivante: comment concevoir un tel emblème pour garantir qu'il renforce la protection et n'identifie pas les données et les serveurs, de sorte qu'ils puissent devenir une brèche pour des attaques illicites?

Pas un remplacement, mais un complément

De l'avis de la majorité des experts interrogés, les avantages attendus d'un emblème numérique l'emporteraient sur les risques prévisibles, lit-on dans le rapport du CICR. Qui ajoute qu’un tel emblème ne doit toutefois pas remplacer les mesures techniques nécessaires à la protection contre les cybermenaces, mais seulement les compléter.

Pour être efficace, l’emblème numérique devrait pouvoir être mis en œuvre et retiré facilement et à moindre coût. Il devrait pouvoir être intégré dans les environnements technologiques existants et s'adapter aux évolutions futures. Il est important, par exemple, qu'il puisse être utilisé pour identifier les données à protéger dans le cloud, mais aussi différents types d'actifs, de services et de données.

Trois solutions techniques possibles

En collaboration avec les partenaires impliqués dans le projet de recherche, le CICR a identifié trois solutions techniques possibles pour un tel emblème numérique. Premièrement, un emblème fondé sur le système DNS, qui utiliserait un marqueur spécial pour lier l’emblème numérique à un nom de domaine. Deuxièmement, un emblème qui utiliserait une partie de l'adresse IP pour identifier à la fois les ressources numériques protégées et les messages protégés transitant par un réseau. En troisième lieu, le CICR mentionne le concept d’un système d’emblème numérique authentifié (ou ADEM), qui utiliserait des chaînes de certificats pour signaler la protection.

Pour que cet emblème numérique se concrétise, les Etats devront se mettre d'accord sur son utilisation et l'introduire comme partie intégrante du droit international humanitaire, souligne le CICR.