L’internet repose sur l’idéal d’une coopération mondiale et ouverte de réseaux, permettant aux particuliers et aux entreprises de fournir librement des services, de consommer du contenu et de faire des affaires partout dans le monde.
À ses débuts, cette utopie numérique semblait possible. Cependant, ces dernières années, l’explosion de la quantité de données Internet, ainsi que les incidents politiques mondiaux, ont ébranlé le modèle “totalement ouvert”.
Nous assistons aujourd’hui à un éclatement de l’internet, les nations affirmant davantage leur contrôle sur leurs frontières numériques. Ce mouvement redéfinit la manière dont les services sont produits et consommés, en mettant de plus en plus l’accent sur la sécurité nationale et la gestion des risques. Les gouvernements cherchent de plus en plus à garder les services numériques près de chez eux, créant ainsi un internet plus compartimenté.
Lire : Qu’est-ce que le Splinternet et pourquoi devriez-vous y prêter attention ?
L’État-nation est la principale force à l’origine de l’éclatement
Historiquement, les pays ont exercé un contrôle quasi total sur leur territoire et leurs citoyens. Cependant, la nature ouverte de l’internet remet en question cette souveraineté selon deux axes.
Sur un axe, les citoyens et les entreprises peuvent être impliqués dans des actions illégales ou non souhaitées par le gouvernement, telles que des activités immorales, la planification d’actions anti-gouvernementales, la diffusion de fausses informations, la tricherie aux examens ou l’évasion fiscale.
D’autre part, les citoyens, les entreprises et le gouvernement d’un pays dépendent des services numériques, et l’on s’inquiète de plus en plus des risques liés à l’absence de propriété et de contrôle complets de ces ressources.
Ce risque n’est pas sans fondement. En 2022, à la suite des actions militaires russes contre l’Ukraine, le gouvernement ukrainien a demandé que la Russie soit déconnectée de force de l’internet.
D’autres pannes ont été observées, causées par des contrôles numériques aux frontières, des coupures de fibres et d’autres pannes non planifiées. Nombre d’entre elles ont pour effet de diviser le réseau aux frontières des pays, et une forte dépendance à l’égard des services internationaux peut rendre les services numériques nationaux inopérants lors de tels événements.
Pour comprendre le degré d’autosuffisance des pays dans le domaine de l’internet, nous avons mené des recherches à l’aide de quelques indicateurs clés.
Mesurer la confiance dans l’internet entre les pays
La plupart des pays ne sont pas totalement autosuffisants et doivent donc faire confiance à d’autres pays pour gérer certains de leurs services en toute sécurité.
Comme indicateur de la confiance sur Internet, nous avons utilisé les emplacements géographiques des adresses IP utilisées pour l’hébergement de sites web en utilisant les données de la liste Tranco 1M. Nous avons ensuite appliqué l’algorithme de Louvain pour identifier les relations mutuelles entre les pays et les groupes de confiance mutuelle. Les résultats sont conformes aux attentes.
Dans la figure 1, de nombreux pays ont une grande partie de leurs domaines Internet hébergés sur leur propre territoire (vert), tandis que certains pays plus petits sont complètement dépendants de leurs grands alliés (rouge).
Il est intéressant de noter que l’Iran, pays de plus en plus isolé, enregistre toujours un nombre médian de domaines externalisés. Cela s’explique probablement par le fait que les changements politiques mettent du temps à se répercuter sur la confiance dans l’internet.
La figure 2 montre que des groupes de confiance mutuelle existent là où l’on s’y attendrait. Il est intéressant de noter que les liens entre les grands États européens (Royaume-Uni, Allemagne, France et Russie) et leurs anciennes colonies sont plus forts qu’à l’intérieur de l’UE.
Si nous zoomons sur le groupe “pan-slave” (figure 3), nous pouvons voir qu’il exclut certains membres attendus, à savoir la Russie, le Belarus et la Roumanie.
De même, le groupe de l’Amérique latine (figure 4) montre que Cuba est en dehors de la confiance mutuelle.
Les autorités de certification montrent une concentration de la confiance
Le monde est très différent lorsque l’on s’intéresse à un autre produit essentiel, les autorités de certification (AC).
Les autorités de certification constituent l’épine dorsale de la sécurité en ligne, en fournissant les ancres de confiance pour les certificats TLS/SSL qui assurent la sécurité de nos communications sur le web. Une défaillance de ce système pourrait rendre tous les services numériques sécurisés inutiles.
Les vendeurs de navigateurs Internet ont le pouvoir de faire confiance aux autorités de certification qu’ils jugent utiles. En pratique, le Cabforum est un forum volontaire pour les émetteurs de certificats et les consommateurs de certificats. Les AC ont le pouvoir de révoquer tout certificat, ce qui crée un risque de révocation par erreur et par mauvaise intention. Récemment, un changement important est intervenu dans la législation européenne (connue sous le nom de législation eIDAS), qui exige désormais que les navigateurs web fassent confiance à tous les émetteurs de certificats numériques approuvés dans le cadre d’un système européen spécifique. Ce nouveau système a été critiqué pour la “confiance forcée” qu’il accorde aux autorités de certification qui ne respectent pas les normes de confiance.
Un petit nombre d’entreprises multinationales dominent le marché des certificats de serveur TLS/SSL de confiance au niveau mondial. Alors que 35 pays de tous les continents (à l’exception de l’Amérique du Sud) disposent d’une autorité de certification racine nationale, 99,4 % de tous les domaines dépendent d’autorités de certification de trois pays seulement : les États-Unis (81,8 %), l’Irlande (16,6 %) et la Belgique (1,0 %).
La confiance dans l’internet n’est pas aléatoire
Les relations de confiance sur Internet suivent le même schéma que le commerce et la confiance traditionnels et font l’objet d’une évaluation des risques explicite ou implicite.
Cependant, la manière dont nous gérons les risques liés à l’AC présente une lacune flagrante. La domination de quelques pays sur le marché de l’AC rend la sécurité nationale vulnérable, et il est clair qu’il faut faire plus pour atténuer ce risque et d’autres risques de concentration du marché.
Suivre la concentration du marché des technologies et infrastructures web de base
Jan Marius Evang est ingénieur de recherche au Center for Resilient Networks and Applications du Simula Metropolitan Center for Digital Engineering et 2024 Pulse Research Fellow.
Photo par Nick Fewings sur Unsplash