Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025

La technique, sans l'image négative
Droit 6 min
Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025
Crédits : Marc Rees (licence CC-BY-SA 3.0)

La nouvelle loi de programmation militaire va autoriser les opérateurs, mais également l’ANSSI à déployer des marqueurs sur leurs réseaux à des fins de cybersécurité. Questions : que sont exactement ces marqueurs, et jusqu’où veut aller l’ANSSI dans la cybersécurité ? Éléments de réponse avec Guillaume Poupard, directeur de l'agence.

Une disposition de la future LPM, bientôt en débat au Parlement, veut autoriser les opérateurs à installer des dispositifs capables de repérer, à l’aide de marqueurs techniques, des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ».

Orange compte exploiter cette disposition pour proposer des offres commerciales, taillées sur les besoins de certains clients professionnels. Néanmoins, lorsque des attaques seront « susceptibles » de frapper une autorité publique ou un opérateur d’importance vitale, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) pourra elle-même procéder à ces installations, nourries de ses propres « marqueurs ».

Lors d’un échange en comité restreint auquel nous participions, Guillaume Poupard, numéro un de l’ANSSI, nous a apporté de nouveaux éléments sur ce mécanisme en cours d’adoption. Déjà, est confirmé que les marqueurs utilisés chez les opérateurs, soit volontairement soit à la demande de l’ANSSI, ne seront pas rendus publics.

« Les rendre publics réduit leur efficacité » explique le chef de file de l’Agence, qui craint que les attaquants ne changent de mode opératoire très rapidement. « J’assume le fait que notre métier ne permet pas une transparence totale car cela apporterait beaucoup plus d’inconvénients que d’avantages ».

Entre la loi Renseignement et la LPM, un champ lexical bien différent

Que sont ces marqueurs ? Seuls quelques exemples sont donnés dans les documents accompagnant le projet de loi  (« les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes »). L’interrogation qui surgit depuis quelques semaines est de savoir si le texte va autoriser, ou non, une analyse approfondie des paquets, bien au-delà des seules métadonnées.

Déjà, un constat. La future LPM n’utilise pas le champ lexical de la loi Renseignement. Dans le texte de 2015, lorsque le législateur a évoqué la surveillance des métadonnées, il a systématiquement utilisé l’expression « d’informations et documents ». Une expression encadrée par le Conseil constitutionnel qui a exclu, à l’occasion d’une question prioritaire, les données de contenu, parce qu'elles sont protégées au titre des « correspondances privées ».

« Certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers » commente Guillaume Poupard. Et c’est peu de le dire, mais la distinction entre métadonnées et données de contenu ne le satisfait pas vraiment : « si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».

L’URL est un cas parfait puisque la CNCTR comme la CNIL ont considéré qu’elles pouvaient tomber dans certains cas dans le spectre des données de contenus… Voilà donc pourquoi la plume du législateur a changé entre la loi Renseignement et la LPM. « Une URL est un marqueur technique » insiste le numéro un de l’agence qui se dit « contre l’idée d’un inventaire à la Prévert de ce que l’on entend par cette expression », poursuit-il en quête d’une belle marge de manœuvre.

L’ARCEP a cependant tiré la sonnette d’alarme dans un avis sur l’avant-projet de loi révélé dans nos colonnes. Elle estime ainsi que des menaces pèsent sur le secret des correspondances. « Depuis cet avis, on a mis des garde-fous, tout comme le Conseil d’État » rétorque Guillaume Poupard qui considère déjà que la neutralité du Net est respectée.

Neutralité, juste rémunération

Il reconnaît qu’une idée avait éclos, celle de confier aux opérateurs un rôle actif en cas de crise majeure de type DDOS mais « pour l’instant, ce n’est pas prêt. On l’a retiré du texte car on n’est pas capable de donner des garanties suffisantes sur le fait que les mécanismes envisagés ne pourraient pas être détournés pour porter atteinte à la neutralité ».

Sur la question de la juste rémunération des opérateurs, autre point signalé par l’ARCEP, l’astuce est simple : en confiant à ces acteurs la possibilité de faire de la détection, sans les y obliger, l’État n’a plus vocation à les indemniser. « La juste rémunération des opérateurs, mais aussi des hébergeurs, sera posée uniquement pour les opérations qu’on leur demande spécifiquement de faire et qu’ils n’auraient pas fait autrement. Des décrets et arrêts préciseront les prestations payées ».

Techniquement, cela ressemble au DPI

Pour revenir au sujet principal, le projet de loi va-t-il finalement autoriser le deep packet inspection ? L’ANSSI reconnaît qu’elle ne veut pas s’interdire d’aller jusqu’aux pièces jointes d’un mail dans la mise en œuvre de la loi de programmation militaire.

La réponse est assez limpide : « Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants…mais techniquement cela ressemble étrangement. La question est jusqu'où on veut aller. Il y a un compromis à trouver sur ce qu'on peut détecter et les limites que l'on se pose pour la protection de la vie privée ».

« Le DPI fait référence très clairement à une atteinte directe au secret des correspondances,  au fait qu’on a envie d’aller lire ce que les gens se disent, là ce n’est actuellement pas le cas, temporise Guillaume Poupard. Sous l’angle technique, c’est clair, mais ce qui m’embête plus c’est l’image attachée au DPI que je ne veux évidemment pas récupérer. Ce n’est pas notre métier ».  La balle est désormais dans le camp du législateur qui pourra toujours estimer qu’aller regarder dans des pièces jointes est trop intrusif, auquel cas, « on ne le fera pas ».

Chiffrement, contrôle de l'ARCEP

« On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret » ajoute Guillaume Poupard. Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».

Fait notable, l’ANSSI sera contrôlée par l’ARCEP dans cette régulation des opérateurs. Une première dans l’histoire de l’institution qui n’a jamais été ainsi chapeautée. « Tout est à construire avec l’autorité de régulation, il s’agira de trouver un niveau efficace de contrôle. Et ce contrôle, je l’accepte volontiers ».

65 commentaires
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 02/03/18 à 16:43:20

Signaler ce commentaire aux modérateurs :

Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».

bon point pour lui parce que jusque là c'était pas joli joli comme tableau.

Bref, encore une fois les contremesures se nomment Tor ou VPN.

Avatar de hwti Abonné
Avatar de hwtihwti- 02/03/18 à 16:57:03

Signaler ce commentaire aux modérateurs :

Je vois mal comment il peut parler de regarder une pièce jointe sans atteinte au secret des correspondances.

De toute façon dans un email il n'est pas possible de connaître l'adresse email du destinataire sans récupérer le titre qui est juste en dessous, et qui fait partie du secret de correspondance (par analogie au courrier postal, tout ce qui est dans l'enveloppe).

Édité par hwti le 02/03/2018 à 16:57
Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 02/03/18 à 17:11:14

Signaler ce commentaire aux modérateurs :

Dites voir, le DPI rends pas l'utilisation d'un VPN inutile ? Ou ça sert toujours à quelques choses au final ?

Avatar de JD Abonné
Avatar de JDJD- 02/03/18 à 17:24:10

Signaler ce commentaire aux modérateurs :

« Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants… mais techniquement cela ressemble étrangement.»

« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».

Quelqu'un peut-il déchiffrer cette phrase? D'ailleurs, qui est cette "victime"?

Avatar de Maxouime INpactien
Avatar de MaxouimeMaxouime- 02/03/18 à 17:24:39

Signaler ce commentaire aux modérateurs :

et bientot on changera le système de nomination de la présidence de l'arcep pour la mettre au plus proche de la tête du pouvoir et les carottes seront alors cuites

Avatar de alphavo50 Abonné
Avatar de alphavo50alphavo50- 02/03/18 à 17:32:57

Signaler ce commentaire aux modérateurs :

JD a écrit :

« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».

Quelqu'un peut-il déchiffrer cette phrase? D'ailleurs, qui est cette "victime"?

La victime peut être une institution, une entreprise à caractère stratégique ou autre grosse boîte.

Pour la phrase, quand deux sites d'une entreprise sont reliés par VPN, je suppose que le chiffrement a lieu entre 2 serveurs VPN, donc si tu es au niveau du serveur chez le client, le trafic est en clair. Sauf pour du trafic HTTPS à partir du navigateur.
Après, il faut s'installer sur chaque poste pour venir lire le HTTPS.

A quand du DPI par les box opérateurs ?

Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 02/03/18 à 18:02:42

Signaler ce commentaire aux modérateurs :

alphavo50 a écrit :

A quand du DPI par les box opérateurs ?

Ne leur donne pas d'idée malheureux !

Avatar de JD Abonné
Avatar de JDJD- 02/03/18 à 18:11:30

Signaler ce commentaire aux modérateurs :

Ouais c'est ce que je me disais aussi ;-)
Et moi qui imaginais l'ANSSI débarquer au plus près de la "victime" en tenue du GIGN pour demander les clés privées

Avatar de AhLeBatord Abonné
Avatar de AhLeBatordAhLeBatord- 02/03/18 à 18:16:21

Signaler ce commentaire aux modérateurs :

surveillance protection

Le DPI, c'est voldemort dans Harry Potter., la technique-dont-on-ne-doit-pas-dire-le-nom

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 02/03/18 à 18:22:00

Signaler ce commentaire aux modérateurs :

On va revenir aux bonnes vielles boite au lettres des romans d'espionnage, une clé usb chiffrée sur un ordinateur non connecté à internet dans une cage de faraday et laissée à un endroit discret
Et pour être sur, si le destinataire ne possède pas la bonne clé de déchiffrement, la clé usb fond sur l'air de mission impossible, crame le pc ou explose, voir les trois à la fois

Il n'est plus possible de commenter cette actualité.
Page 1 / 7