Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

LPM 2019-2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection

ANSSI bémol
Droit 5 min
LPM 2019-2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Le projet de loi de programmation militaire (LPM) a été adopté fin mai par les sénateurs. Le texte va désormais être arbitré en Commission mixte paritaire. La question des données pouvant être recueillies et analysées par l’ANSSI fait partie des points de dissension.

L’article 19 de la LPM 2019-2025 veut autoriser les opérateurs de communications électroniques, en particulier les fournisseurs d'accès Internet (FAI), à installer volontairement des dispositifs destinés à repérer, à l’aide de marqueurs techniques, des évènements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.

L’ANSSI, l’agence nationale pour la sécurité des systèmes d’information, pourra exiger cette détection, à l’aide de ses propres marqueurs, en cas de menace touchant les autorités publiques ou des opérateurs d'importance vitale (OIV). Le tout sera chapeauté par l’Arcep qui agira comme contrôleur, histoire de vérifier que les acteurs privés comme l’agence, restent dans les clous de la loi.

Guillaume Poupard avait expliqué que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». À destination des hébergeurs, le numéro un de l’ANSSI avait regretté qu’« aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ». 

De la loi Renseignement à la LPM

Seulement, jusqu’où peut-on aller dans cette analyse approfondie ? Comme expliqué dans nos colonnes, le champ lexical de la LPM diffère de celui de la loi Renseignement. Cette dernière évoque les « informations et documents » lorsqu’elle veut se référer à la surveillance des métadonnées, à savoir celles qui encapsulent une correspondance privée. La LPM utilise, elle, d’autres expressions : « dispositifs », « marqueurs techniques », « évènements », « menace », etc.

Guillaume Poupard avait assumé cette différence : « certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers (…). Si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».

Or, les URL sont des données de contenus, non des métadonnées. Dit autrement, la LPM inscrit dans la loi la possibilité pour une autorité publique d’initier du deep packet inspection (inspection profonde des paquets) chez des acteurs privés. Une ligne rouge que n’avait jamais franchie un texte de cette importance.

La constitutionnalité d'un DPI sans définition des données 

Au Sénat, Philippe Bonnecarrère (UC), rapporteur pour avis auprès de la commission des lois, s’est interrogé sur la constitutionnalité de ce mécanisme. Faute de précision sur le périmètre même de ces données, en effet, « le dispositif de l'article 19 pourrait être considéré comme portant une atteinte disproportionnée au secret des correspondances et au droit au respect de la vie privée ».

Pour tenter de colmater cette brèche, il a fait adopter un amendement (identique à celui du sénateur Christian Cambon). pour renvoyer à un décret en Conseil d’État le soin de définir « les catégories de données techniques qui pourront être conservées ».

Dans son esprit, « de telles précisions permettent à la fois d'exclure les données de contenu et de limiter la collecte aux seules données techniques nécessaires à la prévention des attaques informatiques. L'exclusion des données portant sur le contenu des correspondances apparaît d'autant plus justifiée que seules les données techniques seraient susceptibles d'être demandées par l'ANSSI. Aussi n'y aurait-il aucune nécessité pour les opérateurs de recueillir d'autres données ».

Le gouvernement opposé à un tel inventaire 

En séance, au Sénat, la ministre des Armées, Florence Parly, s’est opposée à un tel encadrement. « Restreindre les catégories de données techniques susceptibles d’être ainsi recueillies aurait pour effet de limiter les capacités de l’ANSSI à analyser le mode opératoire d’un attaquant, sans pour autant renforcer le droit au respect de la vie privée qui n’est pas, en soi, affecté par cette analyse » assure-t-elle.

« De surcroît, l’expérience montre que les techniques d’attaque évoluent sans cesse, en tout cas extrêmement rapidement. Le risque existe donc que des données qui auraient été préalablement définies par grandes catégories dans un décret ne soient plus celles qu’il serait in fine pertinent de recueillir », a-t-elle exposé, le 22 mai dernier.

Pour le gouvernement, dresser la liste des données techniques pouvant être analysées par deep packet inspection serait incompatible avec la caractéristique première des attaques, qui est d’évoluer « sans cesse ». Définir une telle liste limitative serait même « tout à fait contre-productif » selon Florence Parly.

L'exécutif a donc déposé un amendement pour couper court à une telle définition exhaustive, demandant au décret d’application de seulement définir « les modalités d’application du texte ». Sans plus de détail… mais selon l’exposé des motifs, cela permettrait « d’en entourer la mise en œuvre de garanties supplémentaires ». Juré, promis !

Sans définition précise, pas de contrôle de proportionnalité

Dans le fil des débats, le rapporteur au fond Christian Cambon (LR) a critiqué cette rustine : « la définition précise des catégories de données, madame la ministre, est une des conditions permettant au Conseil constitutionnel de considérer que la collecte et la conservation par les opérateurs ne portent pas une atteinte disproportionnée au secret des correspondances et au respect de la vie privée ».

Un argument suivi par le rapporteur au fond, qui a pris l’exemple d’une analyse contraignante d’un mail aux fins de cybersécurité : « Dans la mesure où l’ANSSI recherche des marqueurs de virus, il lui faut ouvrir le mail en question et ses éventuelles pièces jointes pour vérifier toute anomalie de signature ou de caractère. La recherche des virus oblige donc intrinsèquement à regarder dans le document, non pour le lire – je vous en donne acte, madame la ministre –, mais pour vérifier la présence d’un caractère anormal. Sous cet angle, il nous semble difficile de contester l’existence d’une atteinte à la vie privée. Et cette atteinte est d’autant plus marquante que l’ANSSI conservera les données qu’elle aura collectées – ce qu’elle a excellemment justifié lors de nos auditions – durant dix ans ».

L’amendement du gouvernement a ainsi été rejeté, laissant prospérer l’obligation de fixer par décret la liste des données techniques pouvant être traitées par l’ANSSI.

La balle est désormais dans le camp de la commission mixte paritaire. Les sept parlementaires des deux chambres devront trouver un terrain d’entente, sachant que l’Assemblée nationale, où le groupe LREM a une large majorité, aura dans tous les cas le dernier mot.

16 commentaires
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 04/06/18 à 15:46:23

Incroyable un tel degré d'inconséquence: le Gouvernement sait que le texte en l'état est potentiellement inconstitutionnel et très probablement inconventionnel, mais c'est pas grave, on use d'un parfait sophisme (y a pas d'atteinte à la vie privée dans le genre relativisme des mots... c'est comme lorsqu'ils recourent systématiquement aux mesures de sureté tout en prétendant qu'il n'y a pas d'atteinte aux libertés...) et on attend de prendre la sanction dans les dents.

Par ailleurs, si je présume que l'extrait de l'interview du responsable de l'ANSI n'est pas contextualisé, cette phrase est pour le moins préoccupante ; « aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir » ... Dans quel cadre la liste est établie du coup, ils font de la prospection en freelance ? Non parce qu'ils sont probablement animés des meilleurs intentions tout ça tout ça mais pour établir cette liste et être "quasi"-certains de l'existence d'attaques, il faut bien y avoir mis un peu le nez non ?
Édité par crocodudule le 04/06/2018 à 15:48
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 04/06/18 à 16:30:54

crocodudule a écrit :

Par ailleurs, si je présume que l'extrait de l'interview du responsable de l'ANSI n'est pas contextualisé, cette phrase est pour le moins préoccupante ; « aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir » ...

Dans quel cadre la liste est établie du coup, ils font de la prospection en freelance ? Non parce qu'ils sont probablement animés des meilleurs intentions tout ça tout ça mais pour établir cette liste et être "quasi"-certains de l'existence d'attaques, il faut bien y avoir mis un peu le nez non ?

oui => boites noires. ^^

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 04/06/18 à 16:46:09

hellmut a écrit :

oui => boites noires. ^^

On est d'accord...

Avatar de dumbledore INpactien
Avatar de dumbledoredumbledore- 04/06/18 à 17:03:39

Bonjour @ tous,
Je me rappelle au cours des discutions sur l'Hadopi, le DPI avait déjà été cité :mad:

Les commentaires sur ce site et sur d'autres avaient déchainés les passions et les critiques, (Impossibles trop intrusifs, pour d'autres quel déploiement de puissance de calcul….:reflechis: , trop d'argent "qu'ils" ne pourrons pas dégager ) et alors il ne s'agissait que de la protection des droits d'auteurs :mdr2: mais petit à petit …

Loi contre la pédophilie, puis lois anti-terroristes, et maintenant le prétexte la loi LPM.

tout viens à point à qui sait attendre. :ouioui:

@Marc Merci pour ces analyses de fond (je n'ose pas dire (DPI). C'est bien 67 millions d'habitants présumés coupables qui s'insinue dans notre société d'oligarques. Nous l'avons dans le DPI :craint:

Avatar de Ricard INpactien
Avatar de RicardRicard- 04/06/18 à 17:49:58

Et les thuriféraires de Macronléon 1er vont encore venir pleurer le coeur sur la main qu'on est encore en démocrassie.... :fumer:

VPN obligatoire quand on vit dans un état fasciste. Point barre. Ceux qui vous diront le contraire sont des idiots ou des trolls payés par le pouvoir. (notez les noms dans les commentaires)

Avatar de Login10 Abonné
Avatar de Login10Login10- 04/06/18 à 18:18:06

Dans mon cas et en prévision, toutes mes connexions se font via vpn depuis 3 ans et ce, même si je ne fais rien de répréhensible, même pas par la hadopi. Néanmoins, sans verser dans la paranoïa, je doute que ça soit suffisant...

Avatar de OB Abonné
Avatar de OBOB- 04/06/18 à 18:36:45

Oui enfin le VPN c'est pas non plus la solution a tout :-(
Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.

Mais c'est vrai que ça limite la pêche au gros .... et ça leur permet de considérer tout le monde comme potentiellement coupable de "quelque chose - on sait pas trop quoi mais bon doit y avoir un truc" , comme en chine :-)
  

Philosophiquement, ça donne de plus en plus l'impression qu'il y a d'un coté la classe décisionnaire et le flics d'un coté de la société, et la population "à surveiller" de l'autre. Je sais pas si c'est ce qui est recherché, mais je trouve ça assez négatif comme esprit, et contre productif.

L'autre point c'est que la technologie n'a pas de cause : Ces DPI pourront être utilisé en anti-terrorisme, mais , demain ce sera utilisé pour surveiller les communications des syndicalistes, pour traquer les personnes qui aident les migrants ou les ZADiste, pour couper l'herbe sous le pied à toute forme de contestation.... et on en saura jamais rien vu que l'absence de contrôle est poussé comme la norme.

(Bon, après, on trouvera des applications ou des protocoles pour se planquer - regardez en Russie & en chine où Télégram est interdit, ça veux bien dire qu'ils ne savent pas ou veulent pas fouiller dedans)

 

Avatar de coco74 Abonné
Avatar de coco74coco74- 04/06/18 à 21:01:30

Le fait de légaliser les deep packet inspection ne présagent pas un espionnage massif pour toutes causes ? :/ C'est pas terrible comme idée...

Avatar de Login10 Abonné
Avatar de Login10Login10- 04/06/18 à 21:38:06

[quote:6025071:OB]Oui enfin le VPN c'est pas non plus la solution a tout :-(
Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.

Je ne me limite pas au VPN ;) mais écrire un commentaire est déjà une empreinte...

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 05/06/18 à 07:09:05

C'est quoi concrètement un « marqueur technique » ?

Et avec la généralisation du https et du chiffrement en général, le DPI est encore efficace ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2