TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - Opérations d'influence propagande numérique et données personnelles : danger sur les processus électoraux

Articles Revue TELECOM

-

15/06/2017

OPERATIONS D'INFLUENCE

propagande numérique et

données personnelles :

danger sur les processus

électoraux

 

Par Hugo Zylberberg dans la revue TELECOM n° 185

 

Le 8 novembre 2016, les Américains étaient invités à élire le quarante-cinquième Président des Etats-Unis. Les questions de Cybersécurité ont occupé un rôle central lors de cette élection, moins par leur place dans le programme des candidats qu’à travers leur supposée influence sur le résultat. En effet, si Internet facilite l’exercice de la démocratie, il constitue également le théâtre de nouvelles menaces - des menaces auxquelles la protection des données pourrait permettre de répondre.

 

Comment hacker une élection ?
L’exemple des élections présidentielles aux États-Unis

Les risques numériques portant sur une élection peuvent être regroupés en deux catégories. Les candidats et les partis politiques peuvent d’abord être la cible directe d’attaques informatiques. Le piratage du Parti démocrate américain et la publication par Wikileaks de courriels et de documents dérobés en est le parfait exemple : à la suite d’attaques dites de phishing1, des pirates ont pu accéder aux boîtes mails de responsables de la campagne d’Hillary Clinton ce qui leur a permis d’en publier le contenu. Le matériel électoral peut également être visé, qu’il s’agisse des bases de données électorales ou des machines à voter. Dans le mois précédant l’élection, les spécialistes américains ont débattu de l’opportunité d’utiliser des machines à voter dans un contexte de menace numérique particulièrement élevé. Par exemple, dans un rapport d’octobre 2016 publié par l’université Harvard sur la sécurité électorale,2 quatre des cinq recommandations concernaient les systèmes électoraux tels que les machines à voter.

Le second type de risque relève des réseaux sociaux qui peuvent être utilisés pour déformer les avis des électeurs et influencer leur vote. Ces opérations sont désormais connues du grand public à travers le concept de fake news : de fausses informations diffusées pendant la campagne. C’est la conduite de telles opérations d’influence par le moyen cyber que le Bureau du Directeur du Renseignement National Américain (Office of the Director of National Intelligence en Anglais) dénonçait dans un rapport publié en janvier 20173.

À l’instar des États-Unis, la France n’est pas à l’abri des menaces numériques, ce d’autant plus que les Français étaient appelés à élire un nouveau Président de la République les 23 avril et 7 mai 2017, puis à renouveler leurs députés le mois suivant. Quelles mesures la France a-t-elle mis en place pour se protéger contre ce genre d’attaques ? Ces mesures ont-elles eu l’efficacité escomptée ?

 

Attaques informatiques contre les ressources numériques des équipes de campagne

En matière de Cybersécurité, la France fait face à une menace similaire à celle des États-Unis. Les équipes de campagne ont très tôt rencontré les services de sécurité et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) afin d’être sensibilisées aux risques concernant, par exemple, leurs sites internet et leurs systèmes de messagerie électronique – c’est-à-dire leurs ressources informatiques. Le gouvernement français a également pris la mesure de cette menace et, dès le 15 février 2017, le Président de la République a demandé au Conseil de défense que des « mesures spécifiques de vigilance et de protection » soient mises en place en vue de l’élection présidentielle, « y compris dans le domaine cyber ». Le Conseil de défense du 1er mars 2017 a été spécifiquement dédié à ces questions4. De son côté, la Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle s’est réunie pour la première fois le 26 février 2017 et a indiqué qu’elle “[porterait] une vigilance particulière aux risques d'attaques informatiques contre la campagne.”5

La France n’utilisant que peu de dispositifs électroniques pour conduire son élection, ce ne sont pas les machines à voter elles-mêmes qui ont été ciblées. Compte tenu du niveau de menace élevé et sur la base des recommandations de l’ANSSI, le Ministère des affaires étrangères a même annoncé dès le 6 mars 2017 que les Français de l’étranger ne pourraient pas voter en ligne pour les élections législatives de juin 20176. Si les attaques contre les machines à voter sont donc peu opportunes, celles contre les bases de données électorales sont à la fois possibles et peu coûteuses : dès octobre 2016, la CNIL alertait par exemple le Parti Socialiste sur un accès non sécurisé à la base de données de ses adhérents.7

 

En ce qui concerne les ressources numériques des équipes de campagne, les attaques ont commencé très tôt. Dès le mois de février 2017, le mouvement En Marche ! d’Emmanuel Macron indiquait avoir été victime d’opérations de phishing visant des membres de son équipe – des attaques contre lesquelles une stratégie de cyberdéfense ingénieuse avait été mise en place8. Sur la base d’un rapport publié par Trend Micro9En Marche ! les a attribuées à un groupe de hackers russes proches de ceux qui avaient attaqué le Parti démocrate américain. Le mouvement a dénoncé à cette occasion une tentative d’ingérence dans la campagne présidentielle française10 - même si la politique du gouvernement français en la matière est de ne pas procéder à l’attribution d’attaques informatiques.

 

Attaques de propagande sur les réseaux sociaux contre l’image des candidats

C’est le vendredi 5 mai, à la veille du scrutin, que s’est produit l’événement le plus significatif, lorsque des documents présentés comme provenant de l’équipe d’Emmanuel Macron ont été mis en ligne, selon le mode d’action déjà mis en œuvre contre celle d’Hillary Clinton. Ces documents, dont la circulation semble avoir été « orchestrée depuis les Etats-Unis »,11 incluaient notamment de fausses informations appuyant des rumeurs auquel Marine Le Pen avait fait allusion dès le mercredi 3 mai lors du débat qui les opposait. Après la publication de ces « MacronLeaks », En Marche ! a publié un bref communiqué évoquant « une action de piratage massive et coordonnée. »12 Dans un second temps, la Commission nationale de contrôle de la campagne électorale a également indiqué que « la diffusion ou la rediffusion de telles données (...) [était] susceptible (...) d’engager la responsabilité de ses auteurs »13, appelant les citoyens à ne pas relayer ces informations et recommandant aux médias de « ne pas rendre compte du contenu de ces données » pour ne pas mettre en cause « la libre expression du suffrage des électeurs et la sincérité du scrutin ».14 Les médias ayant respecté ces recommandations, les « Macron Leaks » ont finalement eu un impact très limité grâce à la double vigilance des équipes de campagne et de la Commission.

Les observateurs de la vie politique ne manqueront pas de remarquer que rien de tout ceci n’est tout à fait nouveau : les campagnes politiques ont toujours été une cible pour des adversaires à l’affût du moindre faux pas. On peut citer notamment l’affaire Markovic contre la candidature de Georges Pompidou en 1969.15 Cependant, les rumeurs et les calomnies connaissent un formidable essor à l’ère du numérique. Des mèmes16, des liens vers des sites pseudo-journalistiques, des sondages imaginaires : les observateurs des réseaux sociaux ont ainsi pu constater la créativité de ceux qui cherchent à faire campagne en mobilisant des outils de propagande. Et ces outils de propagande sont désormais en mesure d’agir sur les données personnelles.

 

Les données personnelles : des munitions pour les infrastructures de ciblage et d’influence ?

La dernière décennie a vu l’essor de systèmes capables d’amasser des données personnelles en quantités toujours plus importantes. Elle a aussi vu l’apparition d’un nouveau type d’infrastructure qui permet d’utiliser ces données personnelles pour influencer le résultat d’une élection.

En effet, un certain nombre d’entreprises se sont spécialisées dans le traitement de données personnelles ayant pour but d’influencer les choix commerciaux des consommateurs. Elles ont développé des modèles d’affaires s’appuyant sur la publicité en ligne, qui génère notamment une grande partie des bénéfices de Facebook, Twitter ou Google. Ces plateformes avides de données personnelles sont en mesure de les utiliser pour cibler les audiences que chaque publicité sera le plus susceptible d’influencer. Or, en période électorale, ces « infrastructures de ciblage et d’influence » peuvent être utilisées pour des finalités non pas commerciales mais politiques afin d’influencer l’élection.

C’est exactement l’offre d’une société comme Cambridge Analytica : l’exploitation à des fins politiques d’une base de données relative aux électeurs afin de les cibler et de les influencer plus efficacement.17 Les résultats obtenus par ce type de méthode sont évidemment loin d’être aussi performants que ces entreprises le prétendent.18 Mais comme nous l’avons souligné, avec les nouvelles menaces numériques, ces questions occupent désormais une place centrale. Comment, à l’ère du numérique, encadrer l’utilisation de ces infrastructures de ciblage et d’influence pour garantir la libre expression des suffrages et la sincérité des scrutins – ce que d’autres ont appelé la « triche électorale en ligne »19 ?

 

La protection des données personnelles est-elle une réponse à ce nouveau type de menaces ?

C’est ici que s’arrête la comparaison entre la France et les États-Unis. Cambridge Analytica peut en effet légalement collecter des données sur les citoyens américains, mais la Directive européenne sur la Protection des Données adoptée en 1995, qui sera remplacée en 2018 par le Règlement Général sur la Protection des Données,20 encadre plus strictement la collecte et l’utilisation des données personnelles dans le contexte européen. Si l’on accepte que ces données jouent un rôle déterminant pour rendre de telles opérations d’influence plus efficaces, ces textes pourrait contribuer à limiter l’efficacité de la propagande numérique, notamment par l’application de principes particulièrement pertinents dans ce contexte.

Il s’agit tout d’abord du principe de finalité, qui implique de distinguer les finalités différentes pour lesquelles les données seront traitées. Le principe de licéité, quant à lui, dispose que lorsque « le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles »21 et que le citoyen devra en être informé. Ce principe distingue notamment deux finalités bien différentes : les finalités commerciales et les finalités d’influence politique, qui dont la distinction peut être particulièrement compliquée dans le cadre des infrastructures de ciblage et d’influence. Le second principe utile contre la propagande numérique est le principe de sécurité. Ainsi, « les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement. »22 Ce principe rend les équipes de campagne responsables de leur sécurisation et des infrastructures informatiques où elles sont stockées.

Plusieurs questions se posent tout de même sur la façon dont ce cadre légal s’applique aux infrastructures de ciblage et d’influence : la finalité de traitement des données à des fins politiques est-elle légitime et pertinente ? Facebook a-t-il recueilli un consentement suffisant de la part des utilisateurs pour procéder à leur traitement ? En outre, si certaines des données utilisées dans ce cadre peuvent être catégorisées comme renseignant sur les opinions politiques, elles seraient catégorisées comme sensibles, ce qui ajouterait une nouvelle série de contraintes à leur utilisation.

 

On le voit, au sein du territoire européen, un tel traitement est potentiellement problématique. Malheureusement, l’application du cadre légal à ce type de pratiques se heurte à un écueil majeur : celui de l’extraterritorialité. Si l’entreprise est établie dans l’Union Européenne, cela ne pose pas de problème majeur comme le montrent par exemple les dernières sanctions que la Commission Nationale de l’Informatique et des Libertés a prononcées à l’encontre de Facebook.23 Cependant, le respect effectif de ce cadre légal hors des frontières de l’Union Européenne constitue un second niveau de difficulté.

De telles opérations d’influence peuvent être intégralement conduites depuis des pays non-membres de l’Union Européenne. S’il est possible de réguler, via les Autorités Nationales de Protection des Données, l’utilisation de données personnelles par les organisations implantées sur le territoire européen, comment rendre effective l’application du règlement sur la protection des données pour des traitements effectués hors du territoire européen ? La réponse à cette question est double : il s’agit d’abord de s’assurer que les flux de données personnelles de citoyens européens ne sont autorisés que vers des pays disposant d’un niveau de protection adéquat, puis d’organiser la coopé ration des régulateurs européens et non-européens pour le faire appliquer. En pratique, par exemple avec les États-Unis, un accord a été conclu (le “Privacy Shield”) pour parvenir à ce niveau de protection adéquat même s’il est loin d’avoir résolu tous les problèmes existants.

 

Conclusion : comment favoriser l’exportation du modèle européen de protection des données personnelles ?

On le voit, la métamorphose numérique présente des risques liés aux infrastructures des campagnes politiques, ainsi qu’à l’influence des réseaux sociaux. La combinaison de ces deux menaces en une opération d’influence visant à altérer un résultat électoral est à la fois facile, presque invisible, et peu coûteuse, et elle remet en cause la libre expression du suffrage des électeurs ainsi que la sincérité du scrutin, donc l’autonomie de la personne dans ses choix électoraux. La protection des données personnelles, en protégeant l’autonomie des individus, pourrait donc diminuer l’efficacité de telles opérations de propagande numérique. Cela passe par des régulateurs dotés de moyens suffisants pour remplir une mission qui est fondamentale à l’exercice de notre démocratie à l’ère du numérique et pour collaborer efficacement partout en Europe. Mais, comme nous l’avons souligné, le véritable problème se situe au-delà des frontières de l’Union Européenne.

L’enjeu crucial est bel et bien de faire en sorte que le modèle de protection européen s’exporte au-delà de nos frontières. Ce bras de fer international a commencé il y a déjà plusieurs années, mais les citoyens Européens envisagent trop souvent la protection des données uniquement dans la perspective de la protection de la vie privée, une notion parfois mal comprise en dehors de l’Union Européenne. Le prisme de Cybersécurité que nous présentons ici permettrait de convaincre davantage de partenaires de la pertinence de l’approche européenne en matière de protection des données afin de pouvoir la mettre en pratique au-delà des frontières de l’Union Européenne.

Cette question est fondamentale car la protection des données personnelles ne s’arrête pas aux questions de vie privée : elle favorise également la sécurité informatique sur laquelle reposent nos institutions démocratiques.

1/ Le phishing est une technique qui consiste à obtenir des informations personnelles sur la victime en lui faisant croire qu’elle s’adresse à un tiers de confiance – par exemple, en lui proposant de s’identifier sur une réplique du site internet de sa banque.
2/ Ben Buchanan, Michael Sulmeyer. “Hacking Chads: The Motivations, Threats, and Effects of Electoral Insecurity” Cyber Security Project, Octobre 2016.
3/ “Assessing Russian Activities and Intentions in Recent US Elections” ODNI, Janvier 2017.     4/ Louis Adam. “Élection présidentielle : L’Anssi en renfort pour éviter toute ingérence » ZDNet, Mars 2017.
5/ “La commission de contrôle veillera au ‘risque d’attaque informatique’” Le Figaro.fr, Février 2017.
6/ “Français de l’étranger – Modalités de vote aux élections législatives” France Diplomatie, Mars 2017.
7/ Martin Untersinger, Damien Leloup. “Données personnelles : le Parti socialiste sanctionné pour de graves défauts de sécurité” Le Monde, Octobre 2016.
8/ Patrick Cohen. « L’invité de 8h20 : Mounir Mahjoubi » France Inter, Mai 2017.
9/ Nicole Perlroth. “Russian Hackers Who Targeted Clinton Appear to Attack France’s Macron” New York Times, Avril 2017.
10/ Romain Herreros. “Les mesures de l’équipe de Macron pour se protéger des hackers russes” Huffpost, Avril 2017.
11/ Martin Untersinger, Damien Leloup. “’MacronLeaks’, compte offshore : l’ombre des néonazis américains”, Le Monde, Mai 2017.
12/ “Communiqué de presse – En Marche a été victime d’une action de piratage massive et coordonnée” En Marche !, Mai 2017.
13/ “Communiqué de presse – Suites de l’attaque informatique qu’a subie l’équipe de campagne de M. Macron”, Mai 2017.

14/ “Communiqué de presse – Recommandation aux médias suite à l’attaque informatique dont a été victime l’équipe de campagne de M. Macron”, Mai 2017.
15/ Thomas Wieder. “Faux amis, trahisons et coups tordus”, Le Monde, Septembre 2009
16/ Un mème est un élément (souvent une image) repris et décliné en masse sur internet pour favoriser sa viralité.
17/ Hannes Grasseger, Mikael Krogerus. “The Data That Turned the World Upside Down”, Motherboard, Janvier 2017.
18/ Nicholas Confessore, Danny Hakim. “Data Firm Says ‘Secret Sauce’ Aided Trump; Many Scoff”, Mars 2017.
19/ Jean-Baptiste Soufron. “La triche électorale en ligne”, Terra Nova, Mars 2017.
20/ Claire Levallois Barth. “Données personnelles : une réforme européenne pour un 21ème siècle numérique”, Revue Télécom, Juin 2017.
21/ Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
22/ Ibid.                                                                                                                                                                                    
23/ “Facebook sanctionné pour de nombreux manquements à la loi Informatique et Libertés”, CNIL, Mai 2017

 
L'auteur

 

Hugo Zylberberg (@hugozylb) est chercheur à l’Ecole d’Affaires Publiques de Columbia, où il coordonne l’initiative de Tech & Policy. Il est aussi chercheur associé à la Chaire Valeurs et Politiques des Informations Personnelles de l’Institut Mines-Telecom et à la Chaire Castex de Cyberstratégie. Il est diplômé de la Kennedy School à Harvard ainsi que de l’Ecole polytechnique, a travaillé pour une entreprise française de logiciel libre et cofondé la Future Society, une association qui promeut une meilleure compréhension au niveau politique des technologies qui transforment nos modes de vie.

 
 

 

367 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Sevenhugs

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Bye Bye Barrault

User profile picture

Rédaction Revue TELECOM

12 novembre