Proposition alternative à la motion d’interdiction de Bitcoin pour lutter efficacement contre la criminalité informatique et ransomware

TL;DR : Interdire Bitcoin est techniquement impossible et ne résoudra pas le problème de cybercriminalité, j’expose donc des mesures applicables et plus ciblées pour lutter contre les ransomware : interdire le versement de rançon, mettre en place des mesures de soutien aux victimes et renforcer la prévention dans la sécurité informatique.

Il existe une version en allemand de cet article que vous pouvez télécharger. Cette traduction a été payée avec Bitcoin en toute transparence et sans censure possible : https://live.blockcypher.com/btc/tx/f2dfb5e7292cfa9f8ad20ff5507f23bbf54ba30bcc1de5df6116664dc8f3d2e9/

Cette proposition a été rédigée en réaction à la motion 21.4068 de Roger Nordmann

Tarir la source financière des cybercriminels

À mes yeux, il ne s’agit pas d’une mesure suffisante pour assurer la sécurité informatique de la Suisse, et elle ne peut être efficace que lorsqu’elle est soutenue par des mesures d’accompagnement.

Pour empêcher le versement de quelques rançons, Roger Nordmann et les signataires de la motion 21.4068 proposent d’interdire à toute la population, aux entreprises et aux banques suisses l’utilisation des protocoles ouverts qui vont révolutionner la finance dans les prochaines décennies. La mesure est complètement disproportionnée et est techniquement impossible sans la mise en place d’une surveillance invasive du pays. J’en parle dans mon précédent article. La mesure n’empêchera pas des victimes paniquées de verser des rançons à l’aide de Bitcoin ou d’une autre manière, en passant par l’étranger si nécessaire.

Je pense qu’une mesure efficace doit être ciblée et simple :

  1. Rendre obligatoire l’annonce et dénonciation de toute attaque informatique sous la juridiction de la Suisse.
  2. Interdire aux victimes de verser la moindre rançon à la suite d’un piratage informatique. (Si vous connaissez un pays appliquant déjà cette règle, merci de me le faire savoir, ça m’intéresse.)
  3. Interdire aux assurances de couvrir le risque de rançon.

Si les cybercriminels s’enrichissent, ce n’est pas à cause de Bitcoin, c’est parce que leurs victimes leur versent une rançon. Il ne faut pas se tromper dans l’attribution de la responsabilité.

Les mesures de soutien

J’ai bien conscience qu’il est délicat de cibler des victimes dans les mesures de sécurité, mais le versement de rançons dépend d’elles seules et de personne d’autre. C’est pour cette raison qu’une mesure aussi difficile doit être accompagnée d’un soutien approprié :

  1. Cellules psychologiques dans les langues nationales pour aider les victimes à surmonter le traumatisme. (Sur le sujet de l’intégrité numérique, je vous invite à lire le livre Notre si précieuse intégrité numérique)
  2. Service de gestion de crise pour traiter avec les cybercriminels en usant des bonnes pratiques pour les combattre et les identifier. Ils utiliseront tous les outils déjà à leur disposition : coopération policière et judiciaire internationale, collaboration avec les banques et les plateformes d’échange de cryptomonnaies, utilisation des informations KYC déjà récoltés par ces structures, analyse poussée des données sur les blockchaines publiques comme Bitcoin.
  3. Service informatique spécialisé dans la récupération des données pour sauver ce qui peut l’être et réparer les dommages.
  4. Mesures de dédommagement financier aux victimes pour surmonter les difficultés à la suite de la perte de données et de contrôle de l’infrastructure informatique, sous réserve d’avoir respecté les prescriptions de sécurité dictées par la Confédération.

Tout ceci relève de la sécurité du pays et devrait dépendre de la police fédérale ou de l’armée. Il est important d’offrir aux victimes un encadrement de qualité et une alternative qui les détournent du versement de rançon.

Les mesures de prévention

Mais les mesures les plus importantes sont celles qui empêchent les piratages et améliorent la sécurité du pays en toute circonstance. Parmi elles, nous pourrions imaginer :

  1. L’établissement d’une liste exigeante des bonnes pratiques en termes de sécurité et de protection des données et d’un label de qualité/sécurité qui permette aux décisionnaires non-spécialistes de juger de la sécurité et des risques liés à leur infrastructure informatique.
  2. La mise à disposition d’infrastructures publiques et souveraines de très haut niveau de sécurité aux entreprises suisses qui en auraient besoin.
  3. Un service d’inspection de la sécurité informatique pour s’assurer que les infrastructures sensibles et les entreprises soumises au label respectent les normes.

Le label pourrait être obligatoire à partir d’une certaine taille critique, mais devrait dans tous les cas servir de condition sine qua non à certaines mesures de soutien comme le dédommagement ou le service de récupération des données.

De telles mesures ne sont pas très différentes de celles déjà appliquées dans d’autres secteurs où la sécurité est importante comme la construction ou dans la sécurité au travail.

Le financement

La sécurité informatique de notre pays est du ressort de la sécurité et de la défense. Toutes les mesures de rétorsion, de soutien de crise devraient être financées par le budget ordinaire de la Confédération et des Cantons, au même titre que l’armée et la police.

Les autres mesures pourraient être financées par les bénéficiaires eux-mêmes, par exemple sous la forme d’une assurance «de base» recommandée pour les petits acteurs, mais obligatoire à partir d’une taille critique ou d’une importance stratégique avérée. Cette assurance pourrait avoir rôle dans le domaine de la sécurité informatique comparable à la SUVA dans les sécurité et de prévention des accidents.

Ces mesures peuvent s’organiser dans des structures privées, semi-publiques ou publiques.

Conclusion

Si je devais résumer mes propositions dans une motion, je le ferais de la manière suivante :

Le Conseil fédéral est chargé de :

  1. rendre obligatoire la dénonciation de toute attaque informatique relevant de la juridiction de la Confédération suisse.
  2. interdire le versement de rançons ou toute autre contrepartie sous la menace d’individus ayant opéré une attaque informatique.
  3. Interdire aux assurances de couvrir le risque de rançon suite à une attaque informatique.
  4. de mettre en place des mesures de soutien spécifiquement destinées aux victimes d’attaque informatique et à la gestion d’urgence des attaques informatiques.
  5. de mettre en place des exigences de sécurité aux infrastructures informatiques publiques et privées et un moyen de contrôle de l’application de ces mesures.
  6. de prévoir une participation financière solidaire des acteurs suisses dans la sécurité informatique globale de la Suisse.

Je sais bien que cette proposition n’est pas parfaite et qu’elle devrait encore passer à la moulinette des institutions suisses pour voir le jour. Mais je crois qu’elle possède plusieurs avantages :

  1. Elle ne menace pas la liberté individuelle des Suisses et Suissesses.
  2. Elle s’attaque aux principaux problèmes que posent les piratages en Suisse et pas à un unique aspect.
  3. Elle stimule l’amélioration de la sécurité informatique dans notre pays, plutôt que de faire fuir les spécialistes des technologies financières qui travaillent sur la sécurité des protocoles publics comme Bitcoin.
  4. Elle est politiquement consensuelle, car elle peut s’exprimer dans un cadre plus ou moins public ou privé, de manière plus ou moins fédérale.
  5. Elle ne repose pas sur une hypothétique coopération internationale unanime.
  6. Elle renforce la souveraineté de la Suisse dans le domaine numérique.

Cette proposition est à disposition pour les conseillers nationaux qui souhaitent avoir une alternative à proposer contre la motion qui veut interdire Bitcoin de Roger Nordmann.

Pour conclure ce cycle d’article en réaction à cette motion, je vulgariserai dans un prochain article les raisons pour lesquelles il est techniquement impossible d’interdire Bitcoin et pourquoi il est illusoire d’espérer le remplacer. Mais pour les plus impatients, voici quelques articles que j’ai déjà écris sur le sujet :

https://bitcoin.fr/la-revolution-bitcoin-et-la-regression-blockchain-ou-lillusion-dune-decentralisation-financiere-sans-jetons-natifs/

Ma vision personnelle de la Révolution Bitcoin

https://bitcoin.fr/larchaisme-bancaire-et-administratif-face-au-confinement-et-a-la-revolution-bitcoin/

Texte publié sous la licence CC0 (Domaine public)

Comme chaque mercredi, un nouveau cahier est disponible sur printathome.cc. Cette semaine, L’héritage des Sombres 15/19 de Pascal Lovis

Author: Ludomire

1 thought on “Proposition alternative à la motion d’interdiction de Bitcoin pour lutter efficacement contre la criminalité informatique et ransomware

Leave a Reply

Your email address will not be published. Required fields are marked *