La nouvelle loi de programmation militaire va autoriser les opérateurs, mais également l’ANSSI à déployer des marqueurs sur leurs réseaux à des fins de cybersécurité. Questions : que sont exactement ces marqueurs, et jusqu’où veut aller l’ANSSI dans la cybersécurité ? Éléments de réponse avec Guillaume Poupard, directeur de l'agence.
Une disposition de la future LPM, bientôt en débat au Parlement, veut autoriser les opérateurs à installer des dispositifs capables de repérer, à l’aide de marqueurs techniques, des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ».
Orange compte exploiter cette disposition pour proposer des offres commerciales, taillées sur les besoins de certains clients professionnels. Néanmoins, lorsque des attaques seront « susceptibles » de frapper une autorité publique ou un opérateur d’importance vitale, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) pourra elle-même procéder à ces installations, nourries de ses propres « marqueurs ».
Lors d’un échange en comité restreint auquel nous participions, Guillaume Poupard, numéro un de l’ANSSI, nous a apporté de nouveaux éléments sur ce mécanisme en cours d’adoption. Déjà, est confirmé que les marqueurs utilisés chez les opérateurs, soit volontairement soit à la demande de l’ANSSI, ne seront pas rendus publics.
« Les rendre publics réduit leur efficacité » explique le chef de file de l’Agence, qui craint que les attaquants ne changent de mode opératoire très rapidement. « J’assume le fait que notre métier ne permet pas une transparence totale car cela apporterait beaucoup plus d’inconvénients que d’avantages ».
Entre la loi Renseignement et la LPM, un champ lexical bien différent
Que sont ces marqueurs ? Seuls quelques exemples sont donnés dans les documents accompagnant le projet de loi (« les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes »). L’interrogation qui surgit depuis quelques semaines est de savoir si le texte va autoriser, ou non, une analyse approfondie des paquets, bien au-delà des seules métadonnées.
Déjà, un constat. La future LPM n’utilise pas le champ lexical de la loi Renseignement. Dans le texte de 2015, lorsque le législateur a évoqué la surveillance des métadonnées, il a systématiquement utilisé l’expression « d’informations et documents ». Une expression encadrée par le Conseil constitutionnel qui a exclu, à l’occasion d’une question prioritaire, les données de contenu, parce qu'elles sont protégées au titre des « correspondances privées ».
« Certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers » commente Guillaume Poupard. Et c’est peu de le dire, mais la distinction entre métadonnées et données de contenu ne le satisfait pas vraiment : « si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».
L’URL est un cas parfait puisque la CNCTR comme la CNIL ont considéré qu’elles pouvaient tomber dans certains cas dans le spectre des données de contenus… Voilà donc pourquoi la plume du législateur a changé entre la loi Renseignement et la LPM. « Une URL est un marqueur technique » insiste le numéro un de l’agence qui se dit « contre l’idée d’un inventaire à la Prévert de ce que l’on entend par cette expression », poursuit-il en quête d’une belle marge de manœuvre.
L’ARCEP a cependant tiré la sonnette d’alarme dans un avis sur l’avant-projet de loi révélé dans nos colonnes. Elle estime ainsi que des menaces pèsent sur le secret des correspondances. « Depuis cet avis, on a mis des garde-fous, tout comme le Conseil d’État » rétorque Guillaume Poupard qui considère déjà que la neutralité du Net est respectée.
Neutralité, juste rémunération
Il reconnaît qu’une idée avait éclos, celle de confier aux opérateurs un rôle actif en cas de crise majeure de type DDOS mais « pour l’instant, ce n’est pas prêt. On l’a retiré du texte car on n’est pas capable de donner des garanties suffisantes sur le fait que les mécanismes envisagés ne pourraient pas être détournés pour porter atteinte à la neutralité ».
Sur la question de la juste rémunération des opérateurs, autre point signalé par l’ARCEP, l’astuce est simple : en confiant à ces acteurs la possibilité de faire de la détection, sans les y obliger, l’État n’a plus vocation à les indemniser. « La juste rémunération des opérateurs, mais aussi des hébergeurs, sera posée uniquement pour les opérations qu’on leur demande spécifiquement de faire et qu’ils n’auraient pas fait autrement. Des décrets et arrêts préciseront les prestations payées ».
Techniquement, cela ressemble au DPI
Pour revenir au sujet principal, le projet de loi va-t-il finalement autoriser le deep packet inspection ? L’ANSSI reconnaît qu’elle ne veut pas s’interdire d’aller jusqu’aux pièces jointes d’un mail dans la mise en œuvre de la loi de programmation militaire.
La réponse est assez limpide : « Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants…mais techniquement cela ressemble étrangement. La question est jusqu'où on veut aller. Il y a un compromis à trouver sur ce qu'on peut détecter et les limites que l'on se pose pour la protection de la vie privée ».
« Le DPI fait référence très clairement à une atteinte directe au secret des correspondances, au fait qu’on a envie d’aller lire ce que les gens se disent, là ce n’est actuellement pas le cas, temporise Guillaume Poupard. Sous l’angle technique, c’est clair, mais ce qui m’embête plus c’est l’image attachée au DPI que je ne veux évidemment pas récupérer. Ce n’est pas notre métier ». La balle est désormais dans le camp du législateur qui pourra toujours estimer qu’aller regarder dans des pièces jointes est trop intrusif, auquel cas, « on ne le fera pas ».
Chiffrement, contrôle de l'ARCEP
« On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret » ajoute Guillaume Poupard. Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».
Fait notable, l’ANSSI sera contrôlée par l’ARCEP dans cette régulation des opérateurs. Une première dans l’histoire de l’institution qui n’a jamais été ainsi chapeautée. « Tout est à construire avec l’autorité de régulation, il s’agira de trouver un niveau efficace de contrôle. Et ce contrôle, je l’accepte volontiers ».
Commentaires (65)
#1
Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».
bon point pour lui parce que jusque là c’était pas joli joli comme tableau.
Bref, encore une fois les contremesures se nomment Tor ou VPN. " />
#2
Je vois mal comment il peut parler de regarder une pièce jointe sans atteinte au secret des correspondances.
De toute façon dans un email il n’est pas possible de connaître l’adresse email du destinataire sans récupérer le titre qui est juste en dessous, et qui fait partie du secret de correspondance (par analogie au courrier postal, tout ce qui est dans l’enveloppe).
#3
Dites voir, le DPI rends pas l’utilisation d’un VPN inutile ? Ou ça sert toujours à quelques choses au final ?
#4
« Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants… mais techniquement cela ressemble étrangement.»
" />
« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».
Quelqu’un peut-il déchiffrer cette phrase? D’ailleurs, qui est cette “victime”?
#5
et bientot on changera le système de nomination de la présidence de l’arcep pour la mettre au plus proche de la tête du pouvoir et les carottes seront alors cuites
#6
#7
#8
Ouais c’est ce que je me disais aussi ;-)
Et moi qui imaginais l’ANSSI débarquer au plus près de la “victime” en tenue du GIGN pour demander les clés privées " />
#9
surveillance protection
Le DPI, c’est voldemort dans Harry Potter., la technique-dont-on-ne-doit-pas-dire-le-nom
#10
On va revenir aux bonnes vielles boite au lettres des romans d’espionnage, une clé usb chiffrée sur un ordinateur non connecté à internet dans une cage de faraday et laissée à un endroit discret " />
Et pour être sur, si le destinataire ne possède pas la bonne clé de déchiffrement, la clé usb fond sur l’air de mission impossible, crame le pc ou explose, voir les trois à la fois " />
#11
Pas assez proche, on peut toujours chiffrer sur un pc non connecté, et envoyer ensuite le message. Il faudra aussi faire du DPI sur les connexions 3G/4G/5G Le plus serais d’interdire le chiffrement et les envois sous enveloppe, ou alors enveloppe transparentes. Pareil pour les colis. Après tout, si tu n’a rien à cacher, chiffrer est suspect " />
#12
Tu parles de ça ? " />
https://deaddrops.com/db/?location=paris&maxdistance=5000&pagelen=&a…
Jamais essayé de m’y connecter.
#13
#14
Ah quand un comparatifs et de vrais tests de VPN " />
Me souvient de l’époque ou “hidemyass” avais cafté au FBI ..
#15
Il n’a pas l’air sûr ton site ^^
https://deaddrops.com/db/?location=%22><script>alert(%22Alert%20XSS%20!%22)</script>
#16
L’utilisation du DPI, telle que prévue, est la même que celle du filtrage des sites web (avant ou maintenant) ?
#17
Question HS… et vous n’aurez peut être pas la réponse…
Sur la photo, on ne voit qu’un micro, celui d’une chaine catalane.
Savez vous pourquoi?
#18
je tente " />
Marc a rencontré Guillaume Poupart au MWC à Barcelone et a pris la photo ?
#19
Niquel, merci pour l’explication. On se retrouve à de sacré extrémité dans un pays “libre” " />
#20
#21
#22
" />
#23
Sortez vos chapeaux en alu et vos VPN! " />
#24
quand on doit se mettre à utiliser la novlangue pour essayer de continuer dans la surveillance massive et satisfaire l’appétit exponentiel des autorités…
J’espère sans y croire que le législateur fasse son devoir et mette le hola à ces pratiques toujours plus scandaleuses.
#25
Il y aurait apparemment des approches qui permettraient de faire du dpi directement sur des données chiffrées.
Je ne retrouve plus l’article original sur arxiv,
https://blog.acolyer.org/2016/06/21/blindbox-deep-packet-inspection-over-encrypt…
#26
#27
Vive lec chiffrage :)
#28
#29
Oui, c’est vrai que Apple a des problèmes de trésorerie… " />
#30
ce n’est pas ce que je voulais dire ( d’ailleur j’aurais du dire économique et non pas financière)
Je voulais dire que 10% du CA c’est pas un truc qu’on peut se permettre de perdre
#31
#32
Y a des gens qui ont accepté de tout perdre (y compris la vie) pour conserver une ligne morale ou éthique. Donc non, ce n’est pas une excuse à mes yeux mais un choix de vie/entreprise.
Je peux comprendre le choix économique d’Apple, mais faut pas qu’ils essayent de me convaincre qu’ils sont prêt à livrer bataille aux US quand ils se couchent en Chine.
#33
Ah mais loin de moi de dire le contraire
Je voulais simplement signaler un peu cyniquement que je pensais qu’Apple avait agi plus en fonction de leur intérêt économique qu’en fonction d’une morale pour moi plus qu’improbable
#34
Inspection profonde des paquets sur PornHub, YouPorn…
" />
#35
#36
« si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».
Et avant Internet (il n’y a pas si longtemps), vous faisiez comment? " />
#37
Les méchants n’utilisaient pas non plus les URLs, mais je suis en partie d’accord avec toi sur l’idée générale de travailler aussi à l’ancienne pour les services secrets.
Par contre que l’ANSSI a pour mission de s’occuper de la sécurité des systèmes d’informations, s’occuper des “tuyaux”, c’est forcément une partie de son travail. La sécurité des SI avant Internet, c’était plus facile : il suffisait d’avoir des bâtiments sécurisés (j’exagère un peu à dessein).
#38
je ne m’en fait pas, les groupes de défense ne savent pas faire un logiciel de paie et encore moins un logiciel d’interception des communications fonctionnel
alors le DPI … c’est a des années lumière de nos capacité, par contre ca va couter très chère, sa va bien marcher " /> coté facturation.
#39
C’est ridicule comme commentaire.
L’ANSSI est un concentré de grosses têtes bien faites, bien loin de ceux ayant fait le système Louvois.
#40
#41
#42
#43
S’ amoncèlent 😕
#44
Ouais j’avais pensé à cette interprétation.Dès lors, si on se trouve dans le réseau de connaissance d’une personne suspectée alors bye bye les communications privées (chiffrées ou pas). Le problème est que ce réseau de connaissance des personnes suspectées peut vite correspondre à une proportion très importante de la population…
#45
C’est tout le contraire. Un VPN/HTTPS rend le DPI inopérant car chiffré.
Le DPI n’est utile que si la communication est en clair. Le matériel réseau (routeur/switch) ne s’amuse pas a lire toute une trame pour la faire transiter, juste les entêtes, ça fait gagner énormément de perf. Le DPI lui va lire toute la trame, entête + corps, mais si le corps est chiffré il ne peux rien en faire.
#46
#47
Bon, va falloir que je me refasse un trousseau de clef PGP moi, ça commence à devenir critique dans ce pays " />
#48
On en revient toujours au même point. C’est le controle par l’institution judiciaire de la mise en place qui est critique pas tant la technologie en place.
Personne n’est choquée aujourd’hui qu’on puisse intercepter les appels/SMS, le DPI n’est pas très différent.
#49
#50
#51
Le DPI c’est forcément du temps réel et sur du ciblage. Le volume de données est bien trop imposant pour envisager l’analyse full du trafic fr. Les volumes de BP, stockage et de traitement seraient totalement hors de portée.
Le DPI c’est vraiement la mise sur écoute des telco, forcément ciblé et limité car très couteuse (Humaine /matérielle) en ressource à l’inverse de l’écoute des données de routage.
#52
Tu as raison, c’est presque pareil, en plus, quand on n’a rien à cacher, pourquoi s’en faire ? " />
#53
Non. Le DPI peut être massif et généralisé. Dire qu’il sera ciblé, c’est soit vivre chez les Bisounours, soit faire de la désinformation. Il y a généralement une phase temps réel pour détecter le trafic grâce aux marqueurs dont on parle dans l’article, puis le trafic correspondant est analysé et stocké. Traiter l’ensemble du trafic pour détecter un marqueur est la seule solution pour détecter ceux que l’on recherche.
La détection peut se faire en temps réel parce qu’elle se fait de façon matérielle dans les routeurs même des opérateurs ou sur des appareils dédiés vers lesquels le trafic est dupliqué. J’ai l’impression que l’on parle ici plutôt de la première solution, vu que l’on n’envisage pas de rémunération des opérateurs (il faut que le coût soit négligeable pour eux).
#54
#55
Un VPN est l’établissement d’un réseau privé entre toi et un prestataire de service. Ce dernier sert d’intermédiaire entre toi et le site/forum. Donc même s’ils récupère ton IP depuis le forum dans ton exeple ça sera celle de l’intermédiaire. Donc pour remonter jusqu’a toi soit ils ont aussi infiltré le prestataire, soit ce dernier n’est pas regardant/devoir légal sur la transmission de ces infos. Donc tu as fait l’erreur de faire confiance a ce presta. Mais dans tous les cas c’est ce prestat (au lieu de ton FAI) qui connait tes habitude de navigation.
Tu peux pousser plus loin le concepts pour contrer cet inconvénient en mettant en place un système de double aveugle, 2 VPN enchainés. Le premier sait d’où tu vient mais ne sais pas où tu vas, le second sait où tu vas mais ne sait pas d’où tu vient. C’est un peu le principe de Tor qui ajoute pas mal de couches.
@Mearwen : Bizarrement l’interception de courrier est bien plus encadré que celle des SMS/DPI … mais les lois n’ont pas été voté au même siècle " /> Pour info la confidentialité des correspondance est un droit fondamentale " />
#56
Mearwen a raison, les équipements pour faire du DPI ça coûte le PIB d’un petit pays, et le volume de données à analyser sur la France et les réseaux de ses opérateurs est bien trop élevé pour tout sonder en temps réel.
Je peux me tromper mais je ne vois pas comment les routeurs BGP des ISP pourraient magiquement se mettre à faire du DPI.
Je précise que la société pour qui je travaille à une marque de DPI au catalogue, je suis formé pour faire l’avant-vente dessus.
#57
#58
#59
#60
#61
#62
La lecture des commentaires m’a autant, si ce n’est pas plus appris des choses que l’article lui-même. ce qui n’est pas une critique - loin de là - envers l’article, mais plutôt un gros remerciement aux quelques gus qui ont pris le temps de débattre sur le sujet ces 6 dernières heures.
Merci les lecteurs !
" />
#63
Si tu installes un mouchard sur le PC (au plus près donc), les données doivent être lisible en clair quelque part.
#64
Vous auriez quelques liens sur le sujet, pour un béotien qui veut creuser et comprendre ?
#65