Pour le directeur de l'agence de cybersécurité, les opérateurs ont une position unique pour prévenir certaines cyberattaques. Le débat serait nécessaire, avant une loi hypothétique. Selon un spécialiste, les boites noires installées sur les réseaux des fournisseurs d'accès pourraient y aider.
À l'occasion des Assises de la sécurité de Monaco, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard, a donné l'une de ses prochaines priorités. « Je veux travailler avec les opérateurs télécoms », dans l'idée d'agir contre certaines menaces, a-t-il déclaré lors d'une conférence de presse.
L'agence se dit motivée par les attaques distribuées par déni de service (DDoS) de la fin 2016, principalement celle qui a touché la société Dyn, emportant dans sa chute de nombreux sites outre-Atlantique. Le responsable : le botnet Mirai, composé de centaines de milliers d'objets connectés mal sécurisés.
« Quand bien même ceux ciblés sont très bons [en matière de défense], il est trop tard pour les victimes. Les technologies consistant à dérouter les flux malveillants au dernier moment marchent dans certaines limites. Travailler en amont est aussi très compliqué. On aura toujours des flopées d'équipements non sécurisés, déployés en masse, qui serviront de points de départ de ces attaques en DDoS » constate l'ANSSI. La solution serait donc d'agir directement sur le réseau.
Une position unique, peut-être une loi
« À mon avis, le seul endroit où on peut agir de manière efficace, c'est au niveau des opérateurs qui transportent ces choses-là. Eux ont probablement la capacité d'agir à ce moment-là » pense Guillaume Poupard. Il s'agirait d'une contravention à la neutralité du Net, ce dont le directeur a bien conscience. Protégé par l'Arcep en France, le principe de non-discrimination des contenus donne une marge de manœuvre pour une gestion raisonnable du réseau, rien de plus.
Pour l'ANSSI, il faut donc débattre de mesures de protection avec les opérateurs et d'autres acteurs, « pour s'assurer que ce ne soit pas dévoyé ». Il voit déjà une discussion en France, voire une loi si nécessaire. La question doit venir sur la table après la transposition de la directive NIS en droit français, en mai 2018. L'idée d'une concertation européenne semble encore lointaine.
L'institution pense d'abord s'inspirer du modèle allemand, qui autoriserait certaines entorses à la neutralité du Net aux opérateurs pour la sécurité, plutôt que de les imposer. Nos voisins d'outre-Rhin réagissent, pour leur part, à l'infection de 900 000 routeurs du géant Deutsche Telekom par une variante de Mirai.
Le spectre de l'inspection de paquets
Si le patron de l'ANSSI ne présume pas des méthodes pour agir sur les réseaux, une technologie a déjà fait son nid. Traiter en temps réel les flux des fournisseurs d'accès est déjà le travail des « boites noires » de la loi Renseignement, censées détecter la menace terroriste en ligne. Si elles n'étaient toujours pas déployées ces derniers mois, elles posent des bases techniques, dont l'inspection profonde des paquets (DPI).
En janvier 2016, Guillaume Poupard évoquait sans détour l'utilisation de cette technique intrusive, qui permet de connaître le contenu des données transmises. Elle est à la fois présente dans les futures « boites noires » espionnes mais aussi dans les sondes installées chez les opérateurs d'importance vitale (dont font partie les groupes télécoms), pour protéger leurs infrastructures.
Pour un spécialiste proche d'un grand opérateur télécoms, l'idée serait bien d'exploiter les « boites noires » de la loi Renseignement, DPI inclus. « À un moment, il faudra que cela devienne une réalité, pas pour de l'espionnage [des internautes] mais pour détecter des patterns en temps réel, donc retirer du malware à la volée » estime-t-il.
Pour lui aussi, le débat sera plus éthique que technique. Les opérateurs auraient déjà la capacité d'analyser de larges flux de données en temps réel pour reconnaître des schémas, sachant que le transport des données implique déjà leur modification. « Il y a une question globale sur la manière dont le Net a été construit et la manière de l'épurer, au sens noble du terme, pour [qu'un malware] n'existe plus pour l'internaute » ajoute-t-il.
La discussion pourrait donc avoir lieu dans quelques mois, sans présager d'une éventuelle mise en œuvre. La collaboration avec les opérateurs est, en tous cas, une piste importante pour l'agence de sécurité informatique de l'État.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.