Le projet TechCrunch Global Affairs examine la relation de plus en plus imbriquée entre le secteur de la technologie et la politique mondiale.
Les récents incidents importants de violation de données, tels que les piratages du Bureau de la gestion du personnel, les listes de passagers des compagnies aériennes et les données des clients des hôtels, ont clairement montré à quel point les systèmes publics et privés restent vulnérables à l’espionnage et à la cybercriminalité. Ce qui est moins évident, c’est la manière dont un adversaire ou un concurrent étranger pourrait cibler des données qui sont moins clairement pertinentes du point de vue de la sécurité nationale ou de l’espionnage. Aujourd’hui, les données sur l’opinion publique, telles que les types de données utilisées par les annonceurs pour analyser les préférences des consommateurs, sont devenues aussi précieuses sur le plan stratégique que les données sur les cibles militaires traditionnelles. Alors que la définition de ce qui a une valeur stratégique devient de plus en plus floue, la capacité d’identifier et de protéger les données stratégiques sera une tâche de sécurité nationale de plus en plus complexe et vitale.
Cela est particulièrement vrai en ce qui concerne les acteurs étatiques comme la Chine, qui cherche à accéder à des données stratégiques et cherche à les utiliser pour développer une boîte à outils contre ses adversaires. Le mois dernier, le chef du MI6, Richard Moore, a décrit la menace du « piège à données » de la Chine : « Si vous permettez à un autre pays d’accéder à des données vraiment critiques sur votre société », a expliqué Moore, « au fil du temps, cela érodera votre souveraineté, vous ne avoir le contrôle sur ces données. Et la plupart des gouvernements commencent tout juste à saisir cette menace.
Dans un témoignage devant le Congrès le mois dernier, j’ai soutenu que pour défendre la démocratie maintenant, nous devons mieux comprendre comment des ensembles de données particuliers sont collectés et utilisés par des adversaires étrangers, en particulier la Chine. Et si nous voulons défendre correctement les données stratégiques (et définir et hiérarchiser les ensembles de données à protéger) à l’avenir, nous devons faire preuve de créativité pour imaginer comment les adversaires pourraient les utiliser.
L’utilisation de la technologie par l’État chinois pour renforcer son contrôle autoritaire est un sujet qui a reçu une attention considérable ces dernières années. Le ciblage du peuple ouïghour au Xinjiang, aidé par l’utilisation invasive et hautement coercitive de la technologie de surveillance, a été au centre de cette discussion. Ainsi, naturellement, lorsque la plupart des gens pensent aux risques que « l’autoritarisme technologique » de la Chine se mondialise, ils pensent à quel point une surveillance tout aussi invasive peut devenir mondiale. Mais le vrai problème est bien plus important et bien moins détectable en raison de la nature des technologies numériques et data-driven concernées.
L’appareil d’État-parti chinois utilise déjà la collecte de données massives pour soutenir ses efforts visant à façonner, gérer et contrôler son environnement opérationnel mondial. Il comprend que des données qui semblent insignifiantes en elles-mêmes peuvent avoir une énorme valeur stratégique lorsqu’elles sont agrégées. Les annonceurs peuvent utiliser des données sur l’opinion publique pour nous vendre des choses dont nous ne savions pas avoir besoin. Un acteur antagoniste, en revanche, pourrait utiliser ces données pour éclairer les efforts de propagande qui subvertissent le discours démocratique sur les plateformes numériques.
Les États-Unis et d’autres pays se sont concentrés à juste titre sur le risque de cyber-intrusions malveillantes – comme les incidents OPM, Marriott et United Airlines susmentionnés qui ont été attribués à des acteurs basés en Chine – mais l’accès aux données n’a pas besoin d’être dérivé d’une intrusion malveillante ou modification de la chaîne d’approvisionnement numérique. Il suffit simplement à un adversaire comme l’État chinois d’exploiter des relations commerciales normales et légales qui se traduisent par un partage de données en aval. Ces voies se développent déjà, le plus visiblement grâce à des mécanismes tels que la loi sur la sécurité des données récemment promulguée et d’autres pratiques de sécurité de l’État en Chine.
La création de cadres juridiques pour accéder aux données n’est qu’un moyen pour la Chine de garantir son accès aux ensembles de données nationaux et mondiaux. Une autre façon est de posséder le marché. Dans un rapport récent, mes co-auteurs et moi avons découvert que pour les domaines technologiques examinés, la Chine avait le plus grand nombre de demandes de brevet déposées par rapport à d’autres pays, mais n’avait pas un facteur d’impact aussi élevé.
Cela ne signifiait pas pour autant que les entreprises chinoises manquaient de leadership. En Chine, la structure d’incitation à la R&D amène les chercheurs à développer des applications qui ont des objectifs politiques spécifiques — les entreprises peuvent posséder le marché et affiner leurs produits plus tard. Les dirigeants chinois sont très conscients que leurs efforts pour dominer le marché mondial et établir des normes technologiques mondiales faciliteront également l’accès à davantage de données à l’étranger et leur éventuelle intégration sur des plateformes disparates.
La Chine travaille sur des moyens de marier des données autrement banales pour produire des résultats qui, dans l’ensemble, peuvent être assez révélateurs. Après tout, toutes les données peuvent être traitées pour générer de la valeur si elles sont placées entre de bonnes mains. Par exemple, dans mon rapport de 2019, « Engineering Global Consent », j’ai décrit le problème à travers une étude de cas de Global Tone Communications Technology (GTCOM), une entreprise contrôlée par le département de propagande qui fournit des services de traduction par traduction automatique. Selon ses relations publiques, GTCOM intègre également des produits dans les chaînes d’approvisionnement d’entreprises comme Huawei et AliCloud. Mais GTCOM ne se contente pas de fournir des services de traduction. Selon un responsable de l’entreprise, les données qu’elle collecte dans le cadre de son activité commerciale « fournissent[s] soutien technique et assistance à la sécurité de l’État.
De plus, le gouvernement chinois, en supposant de meilleures capacités techniques à l’avenir, collecte des données qui ne sont même apparemment pas utiles. Les mêmes technologies qui contribuent à la résolution des problèmes quotidiens et à la fourniture de services standard peuvent simultanément renforcer le contrôle politique de l’État-parti chinois dans le pays et à l’étranger.
Pour répondre à ce problème croissant, il faudra penser différemment à la « course technologique » avec la Chine. Le problème n’est pas simplement de développer des capacités concurrentes, mais la capacité d’imaginer de futurs cas d’utilisation pour savoir quels ensembles de données valent même la peine d’être protégés. Les États et les organisations doivent développer des moyens d’évaluer la valeur de leurs données et la valeur que les données peuvent avoir pour les parties potentielles qui peuvent y accéder maintenant ou à l’avenir.
Nous avons déjà sous-estimé cette menace en supposant que des régimes autoritaires comme la Chine s’affaibliraient à mesure que le monde deviendrait de plus en plus interconnecté numériquement. Les démocraties ne vont pas s’auto-corriger en réponse aux problèmes créés par les applications autoritaires de la technologie. Nous devons réévaluer les risques d’une manière qui reste à jour avec le paysage actuel des menaces. Si nous ne le faisons pas, nous risquons de tomber dans le « piège à données » de la Chine.