L’Union Européenne a un projet de sécurisation des logiciels et des matériels pour lutter contre la malveillance numérique. Ce projet a été initié en 2022 et n’est à l’heure actuelle qu’à l’état de proposition. Son texte a été largement déprécié puisqu’il exclut l’univers du numérique libre et menace même son fondement. Pour comprendre la vague de protestations des acteurs du Libre en Europe, nous nous sommes penchés sur cette proposition de réglementation, ainsi que sur les conséquences qu’elle engendrerait si elle était mise en application dans son état originel.

Le projet en question

Le projet Cyber Resilience Act est née d’un constat alarmant : le nombre de cyberattaques sur des matériels et des logiciels est en augmentation et a pour conséquences des coûts faramineux et qui ne cesse de croître. Selon un article de la Commission Européenne, les pertes financières devaient s’élever à 5,5 milliards d’euros en fin 2021. Le coût final de cette année-là est allé bien au-delà des estimations puisque la cybercriminalité a coûté près de 6 milliards d’euros en réalité. Une inquiétude donc bien fondée dont découle un projet de règlement formulant de nouvelles exigences en matière de cybersécurité en Europe. L’objectif est de renforcer la sécurité des matériels informatiques et des logiciels afin de diminuer les risques d’attaques.

D’après la Commission Européenne, des corrections et des réajustements de sécurité sont nécessaires en raison de multiples vulnérabilités des produits informatiques, notamment causées par des lacunes au niveau des mises à jour. Celle-ci sont déterminées comme parfois irrégulières ou décentrées de la notion de sécurité. De plus, elle estime que les utilisateurs n’ont pas accès à l’information nécessaire pour qu’ils déterminent judicieusement leur choix de matériel ou de logiciels en fonction des facteurs de sécurité. Le danger proviendrait essentiellement des logiciels non intégrés (comprendre les logiciels qui ne sont pas fournis conjointement avec un matériel). Ces derniers ne sont d’ailleurs pas encore contrôlés par L’Union Européenne.

La proposition datant du 15 septembre 2022 comporte 87 pages détaillant les raisons d’une nécessité de construire un nouvel encadrement pour la cybersécurité relative aux matériels informatiques et aux logiciels, et les actions envisagées pour palier l’insécurité actuelle grandissante. Elle présente également les objectifs visés, comme mettre en place un cadre pour le développement de produits informatiques sûrs et donner aux utilisateurs la possibilité d’appréhender la notion de cybersécurité lors de l’acquisition d’un produit informatique.

En ce sens, la Commission Européenne souhaite que les fabricants prennent en compte la notion de de sécurité à partir de la conception de leur produit et tout au long de sa vie, mais aussi la construction d’un cadre défini de la cybersécurité pour leur permettre d’appliquer aisément les nouvelles règles. La transparence sur les attributs de sécurité est également évoquée.

Les bénéfices avancés sont un regain de confiance des utilisateurs, mais aussi l’assurance pour le marché du numérique d’obtenir une sécurité juridique. Par une cybersécurité réglementée, il s’agit aussi de soutenir une concurrence équitable entre les fabricants de produits.

Cependant, la proposition du Cyber Resilience Act évoque une intervention mesurée selon les produits et leurs caractéristiques. En effet, les contrôles seraient concordants aux risques de sécurité évalués.

Il est assuré que seule une petite part des produits du marché numérique sont considérés comme critiques. Pour ceux-ci découleraient des contrôles externes.

Il est à noter que l’analyse de la sécurité de ces produits exigera une redevance de la part des fabricants concernés. La hauteur du coût sera déterminée en fonction de la taille de chaque structure. De plus, de la mise en conformité comportera un délai de deux ans. À noter également qu’un non-respect des normes de sécurités pourraient entraîner des amendes à hauteur de quinze millions d’euros.

Une estimation de près de cinq milliards d’euros est avancée pour la mise en œuvre de ce projet entre 2024 et 2027. Au vu du délai annoncé, cette réglementation devrait prendre place assez rapidement.

Cette réglementation est source d’inquiétude pour de nombreuses entreprises qui prédisent avec ce changement un coût financier non négligeable à débourser, mais également un investissement humain considérable pour se conformer aux nouvelles normes à venir. Cela peut s’avérer d’autant plus complexe pour l’univers de l’Open Source qui y voit une entrave à son fonctionnement.

Les inquiétudes du monde de l’open source

L’univers du logiciel libre est fortement préoccupée par le projet Cyber Resilience Act de l’Union Européenne. En effet, le contrôle de la sécurité imposée aux produits et services numériques menace d’atteindre inévitablement le cœur même de l’Open Source et donc sa raison d’être. Un tel cadrage du numérique risquerait d’entraver son développement et la continuité de son existence en Europe.

La crainte principalement évoquée est la constitution d’un frein à la création, au développement et même à l’utilisation des logiciels libres. L’exclusion du Libre dans la construction de ce projet est également décriée.

Pour rappel, selon ses quatre valeurs fondamentales (libertés d’utiliser, de partager, de modifier et d’étudier), le logiciel libre évolue bien au-delà de toute notion commerciale et de tout cadre. Il s’agit même d’un vecteur d’émancipation numérique au niveau social. Les créateurs de ce type de logiciels les offrent au grand public sans garantie aucune et leur évolution varie au fil des contributions (partages, modifications).

Source d’innovation technologique et numérique, le numérique libre est aussi un acteur fort de l’économie européenne avec entre 65 et 95 milliards d’euros générés en 2022. Le Libre est aussi la voie d’accès à la souveraineté que recherche l’Union Européenne, pour les organisations et les personnes, dans le cadre de la maîtrise de leurs outils ET de leurs données.

Selon Mike Milinkovinch de la Fondation Eclipse, le principal impact évoqué, outre les conséquences directes sur l’existence des logiciels libre en Europe, est une répercussion économique pour l’innovation en Europe. De plus, dans un article de la Python Software Fondation (PSF) au sujet du Cyber Resilience Act, il est dénoncé la forte probabilité que les auteurs de logiciels libres réutilisés par d’autres organisations à des fins commerciales soient jugés responsables juridiquement et financièrement de leurs utilisations.

Bien que la PSF, en tant qu’organisation à but non lucratif, ne vende pas de logiciels, mais fasse profiter le monde du développement de son langage de programmation python, elle émet également des inquiétudes face au CRA. En tant qu’hébergeur du langage de programmation Python, elle permet le libre téléchargement de celui-ci (plus de 300 millions de téléchargements par jour selon elle) et craint que le CRA ne produise des répercutions négatives avec des charges de responsabilités. Pourtant, comme indiqué dans son article, Python est un bien public qui n’est soumis à aucun contrôle. Il est par ailleurs largement utilisé et notamment dans des applications commerciales et propriétaires mondialement connues (réseaux sociaux ou plateformes de streaming vidéo ou audio).

Les actions de riposte

Beaucoup d’organisations et d’associations ont pris le problème à bras le corps. Parmi elles, on retrouve notamment :

• CNLL - Conseil National du Logiciel Libre
• Eclipse Foundation
• APELL - European Open Source Software Business Associations
• Linux Foundation Europe
• COSS - Finnish Centre for Open Systems and Solutions
• ODF - Open Document Foundation
• OFE - Open Forum Europe
• OSBA - Open Source Business Alliance
• OSI - Open Source Initiative
• OW2
• Software Heritage Foundation
• ESOP - ASSOCIAÇÃO DE EMPRESAS DE SOFTWARE OPEN SOURCE PORTUGUESAS

Les directeurs et présidents de ces organisations sont signataires d’une lettre ouverte à destination de la Commission Européenne.

Ils réclament notamment une modification du texte actuel dont la formulation n’est pas claire et qui ne prend pas en compte le fonctionnement de l’écosystème l’Open Source, selon Simon Phipps directeur de la norme Open Source Initiative. Ce dernier estime qu’il faut écarter l’Open Source de toute notion commerciale.

Ils demandent également à ce que la communauté Open Source soit consultée non seulement pour l’élaboration de cette réglementation, mais aussi à l’avenir, avec un véritable « mécanisme de dialogue et de collaboration (...) entre les institutions européennes et la communauté Open Source ». Aussi, la prise en compte « de la diversité des pratiques ouvertes et transparentes de développement des logiciels Open Source » est une requête fondamentale de cette lettre.

Autre possibilité de lutte contre la cybermalveillance

La responsabilité des utilisateurs doit aussi être mise à contribution / en cause : selon cybermalveillance.gouv.fr, les attaques les plus fréquentes sont l’hameçonnage, piratage de compte, et les rançongiciels qui impliquent la participation involontaire des usagers.

Le CRA lutte pour une meilleure sécurisation des outils informatiques, ce qui est un but respectable. Cependant, un meilleur moyen pour lutter contre la cybermailveillance passe par l’éducation des usagers à l’outil informatique.

Ainsi, un apprentissage des bonnes pratiques informatiques permettrait de déjouer de nombreuses attaques.

Quel avenir pour le Libre avec le CRA ?

Si les acteurs de l’Open Source n’obtiennent pas gain de cause, il semblerait que les conséquences seront fortement préjudiciables tant pour ce domaine que pour celui plus généralement du numérique ou encore même l’Europe.

En effet, il découlerait de cette réglementation une perte de confiance du public dans le logiciel libre qui serait alors jugé comme vulnérable du point de vue de la sécurité. Il y aurait également une diminution du nombre de contributions : il régnerait une peur de mise en responsabilité des contributeurs des logiciels en cas de vulnérabilité de ceux-ci.

Plus généralement, le CRA pourrait amener la disparition du logiciel libre par sa non-utilisation. Cela laisserait la place à des entreprises avec des monopoles et des visions purement mercantiles. Pire encore, cela pourrait être des entreprises qui ne respectent pas le RGPD ou qui se situent dans des États qui ne respectent pas la souveraineté des données.

Le Libre étant un secteur porteur, la mise en vigueur de cette réglementation présagerait de pertes financières non négligeables et d’un ralentissement de l’innovation technologique en Europe. Il y a donc bon espoir pour que les acteurs du Libre soient entendus par la Commission Européenne et que le texte soit adapté au cas particulier qu’est le logiciel libre. Le projet semblant se concrétiser pour 2024, nous en apprendrons certainement plus sur le dénouement de ces problématiques très prochainement.

Image de couverture par torstensimon sur Pixabay.