Dr Didier Samfat, spécialiste en cybersécurité : «La cybersécurité ne doit pas devenir un prétexte de surveillance»

Présentée comme une arme contre les faux profils et les arnaques en ligne, la vérification d’identité sur les réseaux sociaux soulève de nombreuses questions. Pour le spécialiste en cybersécurité Didier Samfat, la mesure pourrait réduire certains abus, mais elle comporte aussi des risques importants pour la vie privée.

Le gouvernement présente les « verified identities » comme une réponse aux faux profils et aux dérives sur les réseaux sociaux. Techniquement, est-ce une solution crédible ou davantage une illusion de contrôle ?
Sur le principe, consulter la population sur ce sujet est tout à fait légitime. Cependant, il ne faut pas croire que la vérification d’identité sur les réseaux sociaux éliminera les faux profils et les abus. Le sujet est particulièrement sensible, car il touche à plusieurs libertés fondamentales : le droit à l’anonymat, la liberté d’expression et la protection des données personnelles. 

Il faut distinguer deux situations. D’un côté, des citoyens honnêtes qui utilisent un pseudonyme pour protéger leur vie privée, tout en respectant la loi. De l’autre, des personnes malveillantes qui créent de faux profils pour escroquer, harceler ou manipuler les autres. 

Techniquement, vérifier une identité est possible. Le processus repose normalement sur deux étapes : l’enregistrement initial de la personne et l’authentification permettant de prouver qu’elle est bien celle qu’elle prétend être. Cela peut se faire à l’aide d’un numéro de téléphone, d’une carte bancaire, d’une pièce d’identité ou d’une identité numérique gouvernementale. Maurice dispose déjà d’une certaine expérience dans ce domaine à travers le système de carte d’identité nationale.

Toutefois, appliquer ce modèle aux réseaux sociaux soulève plusieurs difficultés. Les utilisateurs mauriciens pourraient être soumis à des contraintes que les utilisateurs étrangers n’auront pas nécessairement. Cela crée un déséquilibre et limite l’efficacité globale du dispositif. Un escroc ou un groupe criminel opérant depuis l’étranger pourrait ainsi continuer à créer des comptes et diffuser du contenu visant les Mauriciens.

En résumé, les « verified identities » peuvent aider à réduire certains abus, mais elles ne constituent pas une solution miracle. Présentées comme la réponse définitive, elles risquent surtout de créer une illusion de contrôle.

Peut-on véritablement mettre fin aux faux profils sur les réseaux sociaux, ou les cybercriminels trouveront-ils rapidement des moyens de contourner le système ? 
Pas vraiment. Les acteurs malveillants disposent déjà de nombreuses méthodes pour contourner ce type de contrôle. L’utilisation de VPN, de numéros étrangers, de comptes créés depuis d’autres juridictions ou encore de documents falsifiés permet souvent de contourner les mécanismes de vérification les plus simples. Un individu basé à Maurice pourrait ainsi créer un compte en se faisant passer pour un utilisateur d’un autre pays et continuer à diffuser du contenu nuisible.

Le risque est donc de créer une impression de contrôle sans éliminer réellement les acteurs les plus déterminés. Les personnes honnêtes respecteront les règles, tandis que les fraudeurs chercheront naturellement à les contourner.

Toute base centralisée devient naturellement une cible privilégiée pour les cybercriminels»

Beaucoup d’arnaques actuelles concernent des comptes WhatsApp piratés ou des cas de phishing. La vérification d’identité réglerait-elle réellement ce problème ? 
Non, pas vraiment. Dans la majorité des cas, les cybercriminels ne créent pas de faux comptes WhatsApp. Ils cherchent plutôt à prendre le contrôle du compte d’un utilisateur légitime grâce au phishing, à l’ingénierie sociale ou au vol de codes d’authentification.

La vérification d’identité ne résout donc pas ce problème. Le compte appartient déjà à une personne réelle. Le problème est qu’un tiers malveillant parvient ensuite à s’en emparer. Les mesures les plus efficaces sont l’activation de l’authentification à deux facteurs, l’utilisation de mots de passe robustes et surtout la sensibilisation du public aux techniques de phishing.

Aujourd’hui, le maillon faible n’est pas la technologie, mais l’humain. Les escrocs exploitent la confiance, la peur, l’urgence ou l’appât du gain pour pousser leurs victimes à divulguer volontairement leurs informations. À mon avis, une campagne nationale de sensibilisation à la cybersécurité aurait beaucoup plus d’impact sur la réduction des fraudes WhatsApp qu’un système de vérification d’identité sur les réseaux sociaux.

Dans ce type d’attaque, la vraie question n’est pas de savoir qui est réellement derrière le compte, mais qui le contrôle réellement au moment de l’attaque.

Maurice possède-t-elle aujourd’hui les capacités techniques et les infrastructures de cybersécurité nécessaires pour gérer un système aussi sensible ? 
Pas entièrement. La mise en place d’un système national de vérification d’identité à grande échelle nécessiterait des infrastructures hautement sécurisées, des mécanismes de protection des données, des audits indépendants, des équipes spécialisées en cybersécurité et une surveillance continue contre les cyberattaques.

Cela représente un investissement financier important, ainsi qu’un besoin d’expertise technique avancée. Dans la pratique, de nombreux pays font appel à des fournisseurs et consultants étrangers pour concevoir et sécuriser ce type de plateforme.

La question n’est pas seulement de créer le système, mais aussi de protéger les données sensibles qu’il contiendra. Une fuite de données d’identité aurait des conséquences potentiellement graves pour les citoyens concernés.

À mon avis, Maurice dispose déjà de défis plus prioritaires en matière de cybersécurité, notamment la lutte contre les escroqueries en ligne, le renforcement des capacités d’investigation numérique, la protection des infrastructures critiques et la sensibilisation du public.

Avant d’investir massivement dans un système de vérification d’identité sur les réseaux sociaux, il faudrait démontrer clairement que les bénéfices attendus justifient les coûts financiers, techniques et les risques potentiels pour la vie privée des citoyens.

Un tel dispositif impli-querait-il la création ou l’utilisation d’une base centralisée de données d’identité ? Quels risques cela représente-t-il ? 
Oui, très probablement. Pour vérifier l’identité des utilisateurs, il faudrait nécessairement s’appuyer sur une base de données contenant des informations personnelles permettant de relier une identité réelle à un compte en ligne. Cela soulève d’importantes questions de sécurité, de gouvernance et de protection de la vie privée.

La première question est de savoir quelle autorité serait responsable de l’administration et de la protection de cette base de données. Toute base centralisée devient naturellement une cible privilégiée pour les cybercriminels.

La deuxième question concerne l’accès aux informations. Qui pourra consulter ces données ? Dans quelles circonstances ? Quels contrôles indépendants seront-ils mis en place pour éviter les abus ?

Un autre sujet sensible concerne la liberté d’expression. Un citoyen respectueux de la loi qui utilise un pseudonyme pour exprimer une opinion critique pourra-t-il conserver son anonymat ou sera-t-il facilement identifiable ?

Enfin, il existe toujours un risque interne. Les incidents de cybersécurité proviennent parfois d’employés disposant d’accès légitimes, qui divulguent volontairement ou involontairement des informations sensibles.

Le cahier des charges d’un tel système est donc extrêmement complexe. Une mise en œuvre précipitée ou insuffisamment sécurisée pourrait créer davantage de risques et dommages qu’elle n’en résout.

Une campagne nationale de sensibilisation à la cybersécurité aurait beaucoup plus d’impact sur la réduction des fraudes WhatsApp qu’un système de vérification d’identité sur les réseaux sociaux»

En cas de fuite ou de piratage de ces données, quelles pourraient être les conséquences pour les citoyens ? 
Les conséquences pourraient être très graves. Contrairement à un mot de passe, une identité ne peut pas être changée facilement. Si des informations telles que le nom, le numéro de carte d’identité, l’adresse, le numéro de téléphone ou d’autres données personnelles sont compromises, elles peuvent être utilisées pendant des années par des cybercriminels. Ces données pourraient servir à l’usurpation d’identité, à l’ouverture frauduleuse de comptes, à des escroqueries ciblées, à du chantage ou à des attaques de phishing beaucoup plus crédibles.

Une fuite massive pourrait également éroder la confiance du public dans les institutions chargées de protéger ces informations. L’histoire montre que même des organisations disposant de gros budgets de cybersécurité ne sont pas à l’abri. En 2017, Equifax a exposé les données personnelles de près de 150 millions de personnes. En 2018, Marriott a subi une fuite affectant des centaines de millions de clients. En 2023, 23andMe a vu des données génétiques et personnelles de millions d’utilisateurs compromises. Ces exemples montrent qu’aucun système n’est totalement invulnérable.

C’est pourquoi la question ne doit pas être uniquement : « Peut-on construire une telle base de données ? », mais également : « Sommes-nous prêts à assumer les conséquences, si elle est compromise un jour ? »

Le gouvernement semble associer anonymat et criminalité. Sur le plan technologique, ce lien est-il aussi évident qu’on le présente ? 
Pas du tout. Sur le plan technologique, il ne faut pas confondre anonymat et criminalité. De nombreux citoyens utilisent des pseudonymes ou des alias pour protéger leur vie privée, limiter leur empreinte numérique ou exprimer librement leurs opinions sans craindre des répercussions professionnelles ou personnelles.

L’histoire montre d’ailleurs que l’usage d’un pseudonyme n’est pas nécessairement associé à des activités criminelles. Pendant la Seconde Guerre mondiale, des résistants français comme Jean Moulin et Lucie Aubrac utilisaient des noms de guerre et de fausses identités pour lutter contre l’occupation nazie, tout en protégeant leur sécurité et celle de leurs réseaux.

Dans une démocratie, la liberté d’expression implique que l’on puisse critiquer le pouvoir en place dans le respect de la loi. Le véritable enjeu n’est donc pas l’anonymat lui-même, mais la capacité des autorités à identifier et poursuivre les auteurs lorsqu’une infraction est effectivement commise.

Le risque d’un système de vérification généralisée est qu’il permette d’identifier facilement des citoyens qui n’ont enfreint aucune loi, mais qui souhaitent simplement préserver leur vie privée ou exprimer une opinion critique. La protection de l’anonymat légitime et la lutte contre la criminalité ne sont pas incompatibles. Il faut trouver un équilibre entre sécurité et libertés fondamentales.

Maurice peut-elle réelle-ment imposer ce type d’exigence à des plateformes mondiales comme Meta, TikTok ou X ? 
Cela me paraît difficile. Les grandes plateformes comme Facebook, TikTok ou X opèrent à l’échelle mondiale et comptent des centaines de millions, voire des milliards d’utilisateurs. Maurice représente environ 1,1 million d’utilisateurs des réseaux sociaux, ce qui reste très faible à l’échelle de ces plateformes.

Même des blocs économiques puissants comme l’Union Européenne rencontrent parfois des difficultés à faire appliquer certaines exigences aux géants du numérique. On l’a vu avec les tensions récurrentes entre l’Union Européenne et X depuis le rachat de la plateforme par Elon Musk. Malgré le poids économique considérable de l’Europe, ces entreprises disposent d’importantes ressources juridiques, financières et techniques, et adaptent souvent leur architecture pour répondre à leurs propres contraintes globales.

La vraie question est donc de savoir si Maurice dispose d’un levier suffisant pour contraindre ces plateformes à développer et maintenir des mécanismes spécifiques de vérification d’identité.

À mon avis, il existe un risque d’investir beaucoup de temps, d’énergie et de ressources pour un gain relativement limité. Les utilisateurs malveillants pourront toujours contourner certaines restrictions en utilisant des VPN, des comptes créés dans d’autres juridictions ou d’autres techniques de dissimulation.

Certains pays ont tenté des systèmes similaires. Quels exemples internationaux devraient aujourd’hui servir d’avertissement à Maurice ? 
Oui. Plusieurs pays offrent des enseignements intéressants. La Corée du Sud est souvent citée comme un avertissement. Son système d’identification réelle sur Internet a finalement été abandonné en 2012, après une décision de la Cour constitutionnelle. Les bénéfices étaient limités, alors que les risques pour la vie privée étaient importants.

L’Australie a récemment envisagé plusieurs mécanismes de vérification d’âge et d’identité sur les réseaux sociaux. Les débats restent vifs en raison des difficultés techniques, des coûts et des préoccupations liées à la protection des données.

Le Royaume-Uni, à travers l’Online Safety Act, a également rencontré des critiques concernant l’équilibre entre sécurité, vie privée et liberté d’expression.

En Chine, le système d’identité réelle existe, mais s’accompagne d’un niveau de contrôle gouvernemental qui serait difficilement acceptable dans la plupart des démocraties libérales et surtout à Maurice.

Enfin, plusieurs pays européens ont étudié des mécanismes similaires, mais ont souvent privilégié la modération des contenus, les sanctions ciblées et la coopération avec les plateformes, plutôt qu’une identification systématique de tous les utilisateurs.

La leçon commune est simple : plus le système est intrusif, plus les défis techniques, juridiques et sociétaux deviennent importants.

Existe-t-il des alternatives moins intrusives et plus efficaces pour lutter contre les abus, les arnaques et le harcèlement en ligne ? 
Oui, et elles sont proba-blement plus efficaces. La majorité des cyberarnaques, des cas de harcèlement et des abus en ligne ne sont pas dus à l’absence de vérification d’identité, mais à un manque de prévention, de détection et de réaction rapide.
La première priorité devrait être une campagne nationale permanente de sensibilisation à la cybersécurité afin d’aider les citoyens à reconnaître les tentatives de phishing, les faux profils et les escroqueries en ligne.

Aujourd’hui, Maurice ne dispose pas d’une plateforme nationale unique ou d’un centre d’appels spécialisé capable de recevoir, traiter et orienter rapidement les plaintes liées aux cyberarnaques, au harcèlement en ligne ou aux fraudes numériques. Bien que des signalements puissent être effectués auprès du CERT-MU, les délais de traitement et de clôture peuvent parfois être trop longs face à la rapidité avec laquelle les cybercriminels opèrent.

Il serait souhaitable de mettre en place un mécanisme national de réponse rapide capable de prendre en charge les signalements dans les 24 à 48 heures, notamment lorsque des comptes bancaires, des comptes de réseaux sociaux ou des données personnelles sont compromis.

Parallèlement, il est essentiel de renforcer les capacités d’investigation numérique des forces de l’ordre afin d’identifier rapidement les auteurs d’infractions, préserver les preuves électroniques et augmenter les chances de récupération des fonds ou de neutralisation des attaques avant qu’elles ne fassent davantage de victimes.

Craignez-vous qu’au nom de la cybersécurité, on glisse progressivement vers une forme de surveillance numérique plus généralisée ?
Le risque existe et mérite un débat public totalement transparent. Toute technologie conçue pour identifier, tracer ou surveiller les activités en ligne peut, si elle est mal encadrée, être détournée de son objectif initial. Un système créé pour lutter contre les abus, les arnaques ou les faux profils pourrait, en l’absence de garanties suffisantes, être utilisé pour identifier des lanceurs d’alerte, des journalistes, des opposants politiques ou de simples citoyens exprimant des opinions légales, mais critiques.

La cybersécurité ne doit jamais devenir un prétexte pour affaiblir les libertés fondamentales. L’objectif doit être de protéger les citoyens contre les cybercriminels, et non de surveiller davantage les citoyens respectueux de la loi.

Par ailleurs, dans un contexte économique difficile, il est légitime de s’interroger sur le rapport coût-bénéfice d’un tel projet. Avant d’engager des investissements importants, il faudrait démontrer que la solution apportera des résultats concrets et mesurables pour la population mauricienne.

La véritable question est donc de savoir si ce projet améliorera réellement la sécurité des Mauriciens ou s’il risque de créer une infrastructure coûteuse, complexe et potentiellement intrusive pour un bénéfice au final très limité.

Réseaux sociaux : vers une vérification obligatoire de l’identité ?

Le gouvernement passe à l’offensive pour encadrer l’espace virtuel. Le Conseil des ministres a avalisé le lancement de consultations menées par le ministère des Technologies de l’information, de la Communication et de l’Innovation (TCI) en vue d’introduire « au plus vite » un projet de loi sur la vérification obligatoire de l’identité (Identity verification) sur les réseaux sociaux.

Cette initiative vise à endiguer une explosion de la cybercriminalité. Le ministre Avinash Ramtohul tire la sonnette d’alarme : 2 300 incidents ont été rapportés depuis le 1er janvier, sans compter le chiffre noir des cas non signalés. Parmi les dérives pointées du doigt : la prolifération de fake news diffusées via de faux profils, la hausse des spams financiers après piratage de comptes WhatsApp, la sextorsion et la pédopornographie (121 mineurs ciblés en cinq mois). Le ministre précise que les femmes représentent 60 % des victimes et souligne l’urgence de protéger l’image de Maurice auprès des investisseurs.

Face aux craintes d’un flicage numérique, Avinash Ramtohul récuse toute volonté de « museler » les internautes ou d’attenter à la liberté d’expression. Évoquant l’article 46 de l’ICT Act, il plaide pour des « verified identities » afin de responsabiliser les utilisateurs. « Si une personne ne fait rien de répréhensible, elle n’a rien à craindre », avance-t-il, rappelant que la liberté d’expression s’arrête là où commence le droit à la vie privée d’autrui.

Le défi s’annonce toutefois complexe face aux géants de la Tech (Meta, TikTok, X). Le ministre concède que ces plateformes mondiales, qui rejettent parfois les requêtes locales face à des dérives communales, pourraient s’opposer à ces exigences. Elles « devront quand même respecter la loi mauricienne », insiste-t-il. Aucun calendrier législatif n’a encore été fixé.