LPM 2019-2025 : comment l’ANSSI compte détecter les cybermenaces chez les opérateurs

C’est peu de le dire, l’article 19 du projet de Loi de programmation militaire pour la période 2019-2025 va susciter de lourdes interrogations. Il veut autoriser la détection de « marqueurs » chez les opérateurs pour repérer des cybermenaces. Une procédure inédite, et pas seulement parce qu'elle est chapeautée par l’ANSSI, sous l’œil de l’Arcep.

L’annonce avait été esquissée lors des Assises de la sécurité à Monaco l’an dernier. Elle est matérialisée dans le projet de LPM dévoilé hier, bientôt en discussion au Parlement. Une nouvelle qui ravira Orange dont le président du chapitre Cyberdefense, Michel Van Den Berghe, nous avait déjà fait part de son impatience en novembre, avec des projets plein les cartons.

Qu’en-est-il ? L’article 19 du projet entend modifier le Code des postes et des communications électroniques et celui de la Défense en attribuant une mission à l’ANSSI qui dépasse allègrement son cadre antérieur.

Alors que l’agence peut, depuis cinq ans, mettre en place des sondes pour protéger les opérateurs d’importance vitale (dont les centrales nucléaires), son rôle va déborder sur les opérateurs de communication électronique (2 471 déclarés à l’Arcep) et les hébergeurs. 

L’étude d’impact en explique les raisons : des attaques d’origines multiples venant même de puissance étrangère, des armes informatiques qui prolifèrent et se démocratisent, une cybercriminalité qui envahit la sphère régalienne, et enfin « une exposition accrue de notre société à la menace du fait d’une numérisation plus étendue de celle-ci et une utilisation à grande échelle d’objets connectés ».

Ceci posé, dans ce nouveau chapitre, l’intervention de l’ANSSI sera croissante selon le degré de la menace (potentielle ou consommée) et les cibles (sensibles ou non). Et en l'état du texte, toujours susceptibles d'évolution lors des débats législatifs. 

Une détection des cyberattaques décidée par les opérateurs

Concrètement, le futur article 33-14 fera son apparition dans le CPCE afin d’autoriser les opérateurs de communications électroniques à installer d’eux-mêmes – et à leur charge – des dispositifs capables de repérer sur le réseau des « marqueurs techniques » imaginés par eux ou par l’ANSSI.

Leur objectif ? Détecter dans les flux des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ». Concrètement, il s’agit d’adresses IP d’un serveur malveillant ou le nom d’un site Internet piégé. D'ailleurs, à Lille, lors du Forum international contre la cybercriminalité, Guillaume Poupard nous a cité l’exemple fictif d’un faux site tel LeFigar0.com gorgé de malwares.

« Susceptible » laisse entrevoir une surveillance potentiellement en temps réel de détection des futures attaques, sans aucune limite temporelle. Ce scénario semble confirmé toujours dans l’étude d’impact.

Elle décrit des outils « qui comparent en temps réel l’activité d’un réseau à des marqueurs d’attaque. Ceux-ci analysent automatiquement le trafic sans s’intéresser au contenu, en se limitant à le comparer aux marqueurs d’attaque ». Avec une précision : « le trafic n’est pas stocké ».

La notion d’« évènement » est tout aussi importante dans le marbre de la loi : ceci confirmé, l’ANSSI endossera un rôle de pompier beaucoup plus professionnel via cette fois le Code de la défense, comme on le verra dans quelques lignes.

Bien entendu, et c’est là où Orange pourra tirer son épingle du jeu, ces marges offertes aux opérateurs leur ouvrent la possibilité « de développer des offres commerciales comme des services optimisés à destination de leurs abonnés », dixit l’étude annexée à la LPM.

Une détection des cyberattaques demandées par l’ANSSI

L’implication volontaire des opérateurs n’est pas la seule option prévue par l’article 19. L’Agence nationale de sécurité des systèmes d’information pourra elle-même leur demander une telle action dès lors qu’elle aura connaissance d’un risque soufflé par un autre opérateur mobile, un FAI concurrent ou pourquoi pas un bulletin de sécurité.

Le texte organise d’ailleurs une collaboration étroite puisque dès qu’un opérateur aura détecté « des évènements » susceptibles d’affecter non pas « sa » mais « la » sécurité, alors il devra en informer sans délai l’agence qui pourra procéder aux analyses de rigueur.

Signe d’un possible chalutage, un alinéa prévient que les données « ainsi recueillies » dès lors qu’elles ne sont pas directement utiles à la prévention des menaces, devront être « immédiatement détruites ».

Cette information en main, l’ANSSI pourra même ordonner aux acteurs d’alerter leurs abonnés en cas de vulnérabilité ou d’atteinte à leurs systèmes d'information (SI). Le III de l’article D. 98-5 du CPCE prévoit déjà un tel signalement. Cependant, il ne concerne que la violation de la sécurité du réseau d’un opérateur, non les programmes malveillants transitant via leurs réseaux, nuance l’étude d’impact. Une question : quid si un opérateur veut lancer seul une telle alerte ?

L’étude relate au passage qu’en 2017, l’agence avait fait des tests techniques « lui permettant d’identifier plusieurs milliers d’adresses IP vulnérables » suite à une faille Windows. Elle avait demandé alors aux opérateurs « d’alerter les détenteurs des systèmes concernés, mais n’a reçu aucun engagement de la part de ces derniers. Quelques mois plus tard, le code malveillant WannaCry utilisait cette même vulnérabilité pour se propager massivement en France ». Un bon exemple pour justifier un tour de vis législatif. 

C’est un décret en Conseil d’État qui détaillera les modalités d’application. Pour prévenir tout emballement, l’Arcep sera chargée de veiller au respect par l’ANSSI des modalités prévues aussi dans le Code de la défense. Que prévoient-elles ?

Une détection susceptible de viser les autorités publiques ou les OIV

On quitte ici le périmètre de la qualité ou de la sécurité des services pour celui de la sécurité nationale. Un niveau plus sensible régenté par le futur article L2321-2-1 du Code de la défense.

« Le déploiement de tels dispositifs de détection n’interviendra que de manière exceptionnelle, lorsque l’agence sera en possession, grâce aux signalements de ses partenaires ou aux fruits de ses analyses, de suffisamment d’éléments tangibles » veut rassurer l’étude d’impact. 

Si elle n’évoque qu’une vingtaine de cas par an, il suffira cependant qu’une menace soit là encore « susceptible » de porter atteinte aux systèmes informatiques des autorités publiques ou d’un opérateur d’importance vitale, pour justifier ce cran en dessus. 

Ici plus de décision d’une société privée ou d’une demande de l’agence. C’est l’ANSSI seule qui décidera d’installer et mettre en œuvre directement sur le réseau d’un opérateur ou même d’un hébergeur, ce fameux « système de détection recourant à des marqueurs techniques », soit des sondes de détection concoctées par ses soins.

D’autres exemples de marqueurs sont cités à cette occasion dans l'étude : « les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes ».

La finalité de cette détection devra être l'analyse des « événements ». En outre, la durée et le déploiement de ces outils devront être « strictement nécessaires à la caractérisation de la menace ». Dit autrement, plus grande sera la menace, plus larges et inquisiteurs seront les yeux et les oreilles. 

Nécessité faisant loi, les agents de l’ANSSI seront autorisés à « procéder au recueil et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation ».

Des « données pertinentes » ? L’étude d’impact cite en vrac des « adresses IP source et destination, le type de protocole utilisé, les métadonnées de sessions de navigation, le nombre et la taille des paquets échangés ». Mais la liste n’est pas limitative et pourrait donc faire tiquer le Conseil constitutionnel.

La logique conduira à nouveau à une analyse poussée pour séparer le bon grain de l’ivraie. Le trop absorbé devra être immédiatement détruit. Les données purement techniques utiles à la caractérisation de la menace seront-elles conservées pendant cinq ans.

L’exploitation des données techniques fera enfin l’objet d’une compensation selon un tarif à définir. Mais comme ici l’ANSSI fera presque tout « le boulot », inutile que les opérateurs s’attendent à un gros butin : « les matériels appartiennent à l’agence. Le coût marginal pour l’opérateur est très faible » assure le document annexé, « la mise en place du système revient à moins d’un millier d’euros par an, dont essentiellement de la consommation électrique et de l’espace occupé par la sonde non disponible pour ses clients ».

Un « évènement » touchant une autorité publique ou un OIV

Dernier stade : celui d'un « évènement » affectant un OIV ou une autorité publique. Cette fois, les agents de l’ANSSI auront le droit d’obtenir toutes « les données techniques strictement nécessaires » à son analyse, entre les mains des opérateurs. Un plein droit d’accès et de conservation. Le principe de proportionnalité est répété sauf qu’il n’y a plus cette date butoir de cinq années.

Là encore, c’est l’Arcep qui sera chargée de contrôler le respect par l’agence de ces prescriptions. Une ordonnance est programmée pour détailler cette mission.

Une information complète avant réponse à une attaque

Si le Conseil d’État a fait quelques réserves à la lecture du projet de loi, celui-ci a salué le caractère novateur du contrôle par l’Arcep de cette mission confiée à l’ANSSI.

À tout le moins, il considère « qu'eu égard à l’intérêt général qui s’attache à prévenir les menaces visant plus particulièrement les systèmes d’information des autorités publiques et des opérateurs d’importance vitale ou susceptibles de les affecter, ces mesures ne portent à des droits garantis par la Constitution ou aux engagements internationaux de la France qu’une atteinte justifiée et proportionnée et ne soulèvent donc pas d’objection de sa part ».

Ces détections volontaires ou imposées seront taillés pour compléter également une disposition votée en 2013. L’article L2321-2 du Code de la défense autorise ainsi l’ANSSI à « répondre à une attaque informatique » d’importance, sans risque d’être poursuivie pour piratage informatique.

Ces attaques sont celles qui visent « les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Autant dire que la France compte se mettre à niveau aussi bien dans un cadre préventif qu’en matière de réponse à une cyber-attaque. 

Les explications de Guillaume Poupard

Lors du FIC de Lille le mois dernier, le numéro un de l’ANSSI avait expliqué sa volonté de rendre plus responsables les opérateurs. « Aujourd’hui un opérateur est quelqu’un à qui on demande scrupuleusement de transmettre une attaque de l’attaquant à la victime » caricaturait-il à peine.

Dans le cadre d’une attaque DDoS, impossible d’agir à la source ou auprès de chaque victime. Le seul point névralgique réside chez ceux qui connectent les utilisateurs au réseau.

La crainte de l’ANSSI est toutefois de susciter une certaine peur issue de cette reprise en main des réseaux par l’État. Voilà pourquoi Guillaume Poupard a rejeté plusieurs fois d'étiqueter l’ANSSI comme une future agence du renseignement. Voilà pourquoi encore le texte tente d'éviter d'autres exploitations que la cybersécurité.

Lors d’un échange presse, le patron de l’agence a tenu à rappeler la ligne rouge de la neutralité du Net. Il a contesté aussi l’usage de l'inspection profonde de paquets (DPI), donc du contenu. L’étude d’impact est moins bavarde : elle dit simplement que le dispositif envisagé « doit s’articuler avec les principes de neutralité de l’Internet, du secret des correspondances et de respect de la propriété des opérateurs de communications électroniques sur leurs réseaux ». En tout cas, c’est cette mise en balance qui a justifié ce vecteur législatif, et non celui des arrêtés de la loi transposant la directive NIS.

« Aujourd’hui les opérateurs sont tétanisés et s’interdisent de faire quoi que ce soit » nous a confié Guillaume Poupard lors d’un échange, cette fois sur le stand de l’agence au FIC. « Nous souhaitons que les opérateurs mettent en place des sondes de manière intelligente et proportionnée. Et quand on leur donne des marqueurs particuliers sur certaines menaces, qu’ils soient capables de les rechercher. Ce qui n’est pas en place aujourd’hui ». Des marqueurs visant des protocoles, des paquets, mais juré, craché, « cela ne va pas jusqu’aux DPI ».

Si sa volonté est de disposer de moyens solides à la hauteur de ses ambitions, l’ANSSI ne peut ignorer que ce texte flirte avec la boite de Pandore. Ce qu’une loi fait, une autre peut défaire… ou réorganiser pour assouvir l'appétit des services du renseignement.