La nouvelle loi de programmation militaire va autoriser les opérateurs, mais également l’ANSSI à déployer des marqueurs sur leurs réseaux à des fins de cybersécurité. Questions : que sont exactement ces marqueurs, et jusqu’où veut aller l’ANSSI dans la cybersécurité ? Éléments de réponse avec Guillaume Poupard, directeur de l'agence.
Une disposition de la future LPM, bientôt en débat au Parlement, veut autoriser les opérateurs à installer des dispositifs capables de repérer, à l’aide de marqueurs techniques, des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ».
Orange compte exploiter cette disposition pour proposer des offres commerciales, taillées sur les besoins de certains clients professionnels. Néanmoins, lorsque des attaques seront « susceptibles » de frapper une autorité publique ou un opérateur d’importance vitale, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) pourra elle-même procéder à ces installations, nourries de ses propres « marqueurs ».
Lors d’un échange en comité restreint auquel nous participions, Guillaume Poupard, numéro un de l’ANSSI, nous a apporté de nouveaux éléments sur ce mécanisme en cours d’adoption. Déjà, est confirmé que les marqueurs utilisés chez les opérateurs, soit volontairement soit à la demande de l’ANSSI, ne seront pas rendus publics.
« Les rendre publics réduit leur efficacité » explique le chef de file de l’Agence, qui craint que les attaquants ne changent de mode opératoire très rapidement. « J’assume le fait que notre métier ne permet pas une transparence totale car cela apporterait beaucoup plus d’inconvénients que d’avantages ».
Entre la loi Renseignement et la LPM, un champ lexical bien différent
Que sont ces marqueurs ? Seuls quelques exemples sont donnés dans les documents accompagnant le projet de loi (« les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes »). L’interrogation qui surgit depuis quelques semaines est de savoir si le texte va autoriser, ou non, une analyse approfondie des paquets, bien au-delà des seules métadonnées.
Déjà, un constat. La future LPM n’utilise pas le champ lexical de la loi Renseignement. Dans le texte de 2015, lorsque le législateur a évoqué la surveillance des métadonnées, il a systématiquement utilisé l’expression « d’informations et documents ». Une expression encadrée par le Conseil constitutionnel qui a exclu, à l’occasion d’une question prioritaire, les données de contenu, parce qu'elles sont protégées au titre des « correspondances privées ».
« Certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers » commente Guillaume Poupard. Et c’est peu de le dire, mais la distinction entre métadonnées et données de contenu ne le satisfait pas vraiment : « si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».
L’URL est un cas parfait puisque la CNCTR comme la CNIL ont considéré qu’elles pouvaient tomber dans certains cas dans le spectre des données de contenus… Voilà donc pourquoi la plume du législateur a changé entre la loi Renseignement et la LPM. « Une URL est un marqueur technique » insiste le numéro un de l’agence qui se dit « contre l’idée d’un inventaire à la Prévert de ce que l’on entend par cette expression », poursuit-il en quête d’une belle marge de manœuvre.
L’ARCEP a cependant tiré la sonnette d’alarme dans un avis sur l’avant-projet de loi révélé dans nos colonnes. Elle estime ainsi que des menaces pèsent sur le secret des correspondances. « Depuis cet avis, on a mis des garde-fous, tout comme le Conseil d’État » rétorque Guillaume Poupard qui considère déjà que la neutralité du Net est respectée.
Neutralité, juste rémunération
Il reconnaît qu’une idée avait éclos, celle de confier aux opérateurs un rôle actif en cas de crise majeure de type DDOS mais « pour l’instant, ce n’est pas prêt. On l’a retiré du texte car on n’est pas capable de donner des garanties suffisantes sur le fait que les mécanismes envisagés ne pourraient pas être détournés pour porter atteinte à la neutralité ».
Sur la question de la juste rémunération des opérateurs, autre point signalé par l’ARCEP, l’astuce est simple : en confiant à ces acteurs la possibilité de faire de la détection, sans les y obliger, l’État n’a plus vocation à les indemniser. « La juste rémunération des opérateurs, mais aussi des hébergeurs, sera posée uniquement pour les opérations qu’on leur demande spécifiquement de faire et qu’ils n’auraient pas fait autrement. Des décrets et arrêts préciseront les prestations payées ».
Techniquement, cela ressemble au DPI
Pour revenir au sujet principal, le projet de loi va-t-il finalement autoriser le deep packet inspection ? L’ANSSI reconnaît qu’elle ne veut pas s’interdire d’aller jusqu’aux pièces jointes d’un mail dans la mise en œuvre de la loi de programmation militaire.
La réponse est assez limpide : « Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants…mais techniquement cela ressemble étrangement. La question est jusqu'où on veut aller. Il y a un compromis à trouver sur ce qu'on peut détecter et les limites que l'on se pose pour la protection de la vie privée ».
« Le DPI fait référence très clairement à une atteinte directe au secret des correspondances, au fait qu’on a envie d’aller lire ce que les gens se disent, là ce n’est actuellement pas le cas, temporise Guillaume Poupard. Sous l’angle technique, c’est clair, mais ce qui m’embête plus c’est l’image attachée au DPI que je ne veux évidemment pas récupérer. Ce n’est pas notre métier ». La balle est désormais dans le camp du législateur qui pourra toujours estimer qu’aller regarder dans des pièces jointes est trop intrusif, auquel cas, « on ne le fera pas ».
Chiffrement, contrôle de l'ARCEP
« On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret » ajoute Guillaume Poupard. Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».
Fait notable, l’ANSSI sera contrôlée par l’ARCEP dans cette régulation des opérateurs. Une première dans l’histoire de l’institution qui n’a jamais été ainsi chapeautée. « Tout est à construire avec l’autorité de régulation, il s’agira de trouver un niveau efficace de contrôle. Et ce contrôle, je l’accepte volontiers ».
