Surveillance des emails : le point de vue d’un expert-sécurité

Big Alba is watching you ? 78
Un expert-sécurité nous a transmis cet après-midi ce courrier suite à notre article sur l’extension de la Hadopi à toutes les communications électroniques, emails et messageries instantanées compris. Franck Riester vient tout juste de reculer sur ce point, mais le risque existe toujours tant que le texte n’est pas nettoyé. Nous publions donc in extenso ce courrier.

camera surveillance chiffrement cryptage


Il y a matière effectivement à s'interroger sur l'extension à tout le périmètre des communications électroniques, alors que s'il fallait viser les sites de streaming (ce qu'on peut comprendre), il suffisait juste de se préciser communication au public par voie électronique.

Les arguments portent sur 4 thèmes :

(i) les libertés individuelles : peu importe la façon avec laquelle on appelle cela, c'est ni plus ni moins que de la surveillance la correspondance privée. C'est un argument auquel Dionis a été assez sensible du temps de la LCEN en 2004, et qui avait conduit au montage Communications électroniques décomposées en Communication au public par voie électronique (décomposées à leur tour en communication au public en ligne et communication audiovisuelle) d'une part et correspondance privée d'autre part, pour exclure du périmètre LCEN cette dernière catégorie.

La disposition envisagée revient clairement à s'asseoir sur le subtil équilibre dégagé par les promoteurs de la LCEN entre préservations des libertés individuelles et sauvegarde de l'intérêt général.

(ii) encouragement à la généralisation du cryptage des échanges. Personnellement, je ne m’étendrai pas trop sur le sujet, car potentiellement c'est une bombe, aussi bien pour les pouvoirs publics (cf. les forces de sécurité US qui se cassent les dents sur Skype par rapport d'autres services plus accessibles) que les opérateurs (on a plus de visibilité sur l'écoulement du trafic, et donc sur le dimensionnement du réseau). Et donc in fine sur la sécurité du réseau et des utilisateurs au niveau national. Une nouvelle fois, si les pouvoirs publics US se sont montrés peu enthousiastes sur l'importation d'HADOPI chez eux, ce n’est pas au nom de la liberté d'expression, mais bel et bien au regard des dommages collatéraux conséquents pour la sécurité nationale.

(iii) inefficacité des mesures, et longueur des procédures. Rappelons en effet que tout ce qui tourne autour de la correspondance privée (qu'elle soit téléphonique, ou mail ou MSN & co) est soumis à un régime de protection assez strict (soit sous le contrôle d'un juge au titre de l’article 100 du Code de Procédure Pénale, soit sous l'égide de la CNCIS au titre de la loi du 10 juillet 1991 pour les demandes administratives).

En tout état de cause, la mise en oeuvre de ces mesures (aussi bien en judiciaire qu'en administratif) nécessite le déploiement de systèmes soumis à autorisation préalable délivrée par le Premier Ministre en application des articles R.226 et suivants du Code Pénal, puisqu'il s'agit d'analyser le trafic à des fins autres que statistiques ou de qualité de service.

Et comme on a vu comment les procédures CNIL en vigueur ont été écartées par le projet de loi HADOPI, on a toutes les bonnes raisons de craindre un second effet kisskool. :-/

(iv) une usine à gaz aux frais du contribuable. Concrètement, pour surveiller de façon généralisée (contrairement aux interceptions judiciaires ou administratives qui sont ciblées et pour lesquelles l'opérateur ne rentre jamais dans le détail du trafic, il livre brut charge ensuite aux enquêteurs de décoder) le mail, il va falloir passer au DPI généralisé, au plus grand bonheur des dont certaines ont des accointances avec des services étrangers qui seront ravis de pouvoir disposer ainsi d'une porte d'entrée dans les réseaux français.

Le DPI, c'est l'implémentation au niveau des équipements d'accès (vu que l'IP commence en France dès l'abonné, contrairement à d'autres pays où l'IP débute plus en amont dans le réseau), soit dans les 12 000 et quelques NRA et demain la centaine de milliers de relais radios IP d'une technologie intrusive consistant à analyser chaque paquet Internet pour déterminer ce qu'il contient.

Au bas mot des investissements & amortissements annuels (de l'ordre de 100 ME / opérateur minimum) excédant de loin le préjudice invoqué par l'industrie culturelle du fait du piratage.

Si on veut faire la comparaison avec la Poste ou Douanes, on passe du stade scan automatique du courrier ou du fret à Roissy (taille, poids, origine & destination, signature thermique ou chimique) à l'ouverture systématique des plis et colis.

C'est un choix de société qui mériterait plus que quelques dizaines de minutes de débats évacués par les ministres concernés, dont les conseillers sont manifestement dépassés par le sujet.