De TikTok à l'IA : comment l'UE se prémunit contre les nouvelles cybermenaces
Le Financial Times a rapporté la semaine dernière que la Commission européenne équipait désormais les membres de son personnel se rendant aux États-Unis de téléphones jetables et d'ordinateurs portables réinitialisés, en raison de craintes liées à la surveillance. Le pays a été ajouté à une liste qui comprend l'Ukraine, la Chine et d'autres pays où les autorités s'attendent à une surveillance électronique.
Dans un contexte de tensions géopolitiques croissantes, voici les outils technologiques et les plateformes en ligne qui peuvent être utilisés par les responsables politiques en Europe, et ceux qui figurent sur la liste noire.
TikTok
En 2023, la Commission européenne, le Parlement européen et le Conseil de l'UE ont interdit TikTok sur les appareils professionnels des fonctionnaires européens.
Cette décision a été suivie par plusieurs agences et organes consultatifs de l'UE, dont le Service européen pour l'action extérieure - le service diplomatique de l'UE -, la Cour des comptes - son organe de surveillance budgétaire -, le Comité européen des régions et le Comité économique et social européen.
Ces derniers ont souligné les risques pour l'infrastructure de cybersécurité des institutions, la confidentialité de la messagerie et le transfert de données, accusant le gouvernement chinois de collecter des données sensibles et critiques.
Les députés européens et leur personnel ont également été appelés à supprimer l'application de leurs appareils personnels.
La plateforme a nié à plusieurs reprises ces allégations et défendu son indépendance vis-à-vis de Pékin, malgré une loi de 2017 qui oblige toutes les entreprises chinoises, y compris les filiales internationales, à "soutenir, aider et coopérer" avec les efforts des services de renseignement nationaux.
L'ingérence présumée de la Russie dans le premier tour de l'élection présidentielle roumaine de 2024 a encore compromis l'avenir de l'application dans l'UE, la Commission européenne ayant officiellement lancé une enquête sur la plateforme en décembre pour des violations présumées de la loi sur les services numériques (Digital Services Act, ou DSA).
Telegram
L'utilisation de l'application de messagerie russe Telegram n'est pas interdite dans l'Union européenne.
Cependant, l'application a été critiquée pour ne pas avoir limité les infractions telles que la fraude, le trafic de drogue, le crime organisé et l'apologie du terrorisme sur sa plateforme. Son fondateur et PDG, Pavel Durov, a même été arrêté l'année dernière avant d'être libéré sous contrôle judiciaire.
À l'époque, l'eurodéputé néerlandais Bart Groothuis (Renew Europe) - ancien responsable de la cybersécurité au ministère néerlandais de la Défense et membre des commissions Industrie et Commerce du Parlement européen - avait déclaré à Euronews que l'utilisation de l'application était discutable.
"Je pense que Telegram est une application peu sûre parce qu'elle a été créée par des Russes et que l'État russe peut avoir une certaine influence sur elle", explique-t-il. "Telegram détient les clés de chiffrement des chats sécurisés, ce qui signifie que l'État russe pourrait y avoir accès. Je pense que c'est inquiétant".
Bart Groothuis estime qu'"il ne serait pas judicieux que des fonctionnaires, des ministres ou des hommes politiques de haut rang aient de telles applications sur leurs téléphones privés".
Parmi les pays qui ont imposé des restrictions à Telegram figurent la Suisse, où l'armée n'a pas le droit de l'utiliser, et les Pays-Bas, où les fonctionnaires de l'administration de la ville d'Amsterdam ne peuvent plus s'en servir en raison de la propagation de la désinformation, des cybermenaces et de l'essor du trafic de stupéfiants.
Outils d'IA
Au début du mois, la Commission européenne a publié des lignes directrices interdisant l'utilisation d'"agents d'intelligence artificielle" lors des réunions sur le web : "Aucun agent d'intelligence artificielle n'est autorisé", pouvait-on lire sur une diapositive lors d'une présentation PowerPoint de la Commission européenne.
Les agents d'intelligence artificielle sont des programmes informatiques capables de prendre des décisions et d'accomplir des tâches par eux-mêmes en apprenant à partir de données et en interagissant avec d'autres applications. Ils sont capables d'enregistrer une réunion, de prendre des notes et de parvenir à leurs propres conclusions.
Plusieurs entreprises telles que Microsoft, OpenAI, Mistral AI ou Perplexity proposent de créer des agents d'IA et, bien qu'ils ne soient pas actuellement soumis à une réglementation spécifique, leurs modèles doivent être conformes à la loi sur l'IA.
On ne sait toujours pas si (ni comment) ces agents d'IA représentent des menaces pour la sécurité, selon la Commission européenne qui a jusqu'à présent refusé de commenter la question.
Huawei
Le récent scandale Huawei, qui a vu cinq membres du Parlement européen inculpés dans le cadre d'une enquête de corruption liée au géant chinois des télécommunications - qui est soupçonné par les procureurs belges d'avoir versé des pots-de-vin à des eurodéputés - a remis en question l'utilisation des appareils de l'entreprise.
En 2018, Andrus Ansip, le commissaire européen à la Technologie de l'époque, avait déjà mis en garde contre les "portes dérobées" installées par Huawei à la suite de l'arrestation d'un haut dirigeant de l'entreprise dans le cadre d'une enquête sur une fraude bancaire présumée.
Il en a résulté une politique de sécurité 5G de la Commission appelant les États membres à diversifier leurs fournisseurs 5G et à les bannir de la construction d'infrastructures critiques.
La Commission elle-même a déclaré qu'elle prévoyait d'interdire l'utilisation de l'équipement dans ses propres télécommunications internes, et les fonctionnaires de l'UE se sont vu interdire l'utilisation de téléphones personnels Huawei dans le cadre de leur travail.
Ces dernières années, des doutes quant à la sécurité des transferts de données entre l'UE et les États-Unis ont appelé plusieurs institutions européennes à demander une réglementation plus stricte de la plateforme de Mark Zuckerberg.
En 2021, l'organisme fédéral allemand de protection de la vie privée (BfDI) a mis en garde les fonctionnaires de l'UE contre l'utilisation des pages Facebook, affirmant que les pratiques du géant technologique n'étaient pas conformes au règlement général sur la protection des données (RGPD).
Dans son rapport annuel 2023, *le BfDI ajoute qu'il existe de plus en plus "d'alternatives respectueuses de la protection des données", telles que l'application Mastodon*.
L'année dernière, l'autorité néerlandaise de protection des données a également déconseillé au gouvernement national d'utiliser des pages Facebook, arguant que les institutions publiques doivent "pouvoir garantir que le traitement des données des utilisateurs est conforme à la loi".
X, ex-Twitter
Quelques jours après la victoire électorale du président américain Donald Trump, des centaines de milliers d'utilisateurs mécontents ont abandonné le réseau X d'Elon Musk, dont plusieurs politiciens européens.
Parmi les raisons les plus souvent mentionnées de ce désamour : la diffusion incontrôlée de fausses informations, de théories du complot et de discours haineux sur la plateforme, ainsi que l'implication d'Elon Musk dans la campagne de Donald Trump.
En Europe, de grandes institutions comme la Banque centrale européenne, l'Agence européenne des médicaments et des administrations locales comme la ville de Paris ont quitté X pour Bluesky.
La plupart des hommes politiques, dont la présidente de la Commission européenne Ursula von der Leyen et la commissaire à la technologie Henna Virkkunen, continuent toutefois d'utiliser leur compte sur X.
Strava
La populaire application américaine de fitness Strava a fait la une de l'actualité l'année dernière après que Le Monde a découvert une importante faille de sécurité du réseau social : des journalistes ont pu suivre les déplacements de hauts fonctionnaires en analysant les itinéraires de jogging de leur service de sécurité.
En appuyant simplement sur "start run" dans Strava, les agents ont révélé par inadvertance des informations sensibles, telles que l'adresse de leur domicile, leur lieu de travail ou, dans des cas plus rares, l'emplacement de la résidence du président de la République française.
Une douzaine de cas similaires ont été identifiés par les journalistes.
Malgré ces avertissements, l'application a de nouveau fait parler d'elle en début d'année lorsque des membres de la marine ont accidentellement divulgué des informations confidentielles sur les patrouilles de sous-marins via la plateforme.
Pour le moment, l'utilisation de l'application reste officiellement autorisée pour les responsables politiques et les membres de leur service de sécurité.