Le projet de loi de programmation militaire (LPM) a été adopté fin mai par les sénateurs. Le texte va désormais être arbitré en Commission mixte paritaire. La question des données pouvant être recueillies et analysées par l’ANSSI fait partie des points de dissension.
L’article 19 de la LPM 2019-2025 veut autoriser les opérateurs de communications électroniques, en particulier les fournisseurs d'accès Internet (FAI), à installer volontairement des dispositifs destinés à repérer, à l’aide de marqueurs techniques, des évènements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.
L’ANSSI, l’agence nationale pour la sécurité des systèmes d’information, pourra exiger cette détection, à l’aide de ses propres marqueurs, en cas de menace touchant les autorités publiques ou des opérateurs d'importance vitale (OIV). Le tout sera chapeauté par l’Arcep qui agira comme contrôleur, histoire de vérifier que les acteurs privés comme l’agence, restent dans les clous de la loi.
Guillaume Poupard avait expliqué que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». À destination des hébergeurs, le numéro un de l’ANSSI avait regretté qu’« aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ».
De la loi Renseignement à la LPM
Seulement, jusqu’où peut-on aller dans cette analyse approfondie ? Comme expliqué dans nos colonnes, le champ lexical de la LPM diffère de celui de la loi Renseignement. Cette dernière évoque les « informations et documents » lorsqu’elle veut se référer à la surveillance des métadonnées, à savoir celles qui encapsulent une correspondance privée. La LPM utilise, elle, d’autres expressions : « dispositifs », « marqueurs techniques », « évènements », « menace », etc.
Guillaume Poupard avait assumé cette différence : « certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers (…). Si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».
Or, les URL sont des données de contenus, non des métadonnées. Dit autrement, la LPM inscrit dans la loi la possibilité pour une autorité publique d’initier du deep packet inspection (inspection profonde des paquets) chez des acteurs privés. Une ligne rouge que n’avait jamais franchie un texte de cette importance.
La constitutionnalité d'un DPI sans définition des données
Au Sénat, Philippe Bonnecarrère (UC), rapporteur pour avis auprès de la commission des lois, s’est interrogé sur la constitutionnalité de ce mécanisme. Faute de précision sur le périmètre même de ces données, en effet, « le dispositif de l'article 19 pourrait être considéré comme portant une atteinte disproportionnée au secret des correspondances et au droit au respect de la vie privée ».
Pour tenter de colmater cette brèche, il a fait adopter un amendement (identique à celui du sénateur Christian Cambon). pour renvoyer à un décret en Conseil d’État le soin de définir « les catégories de données techniques qui pourront être conservées ».
Dans son esprit, « de telles précisions permettent à la fois d'exclure les données de contenu et de limiter la collecte aux seules données techniques nécessaires à la prévention des attaques informatiques. L'exclusion des données portant sur le contenu des correspondances apparaît d'autant plus justifiée que seules les données techniques seraient susceptibles d'être demandées par l'ANSSI. Aussi n'y aurait-il aucune nécessité pour les opérateurs de recueillir d'autres données ».
Le gouvernement opposé à un tel inventaire
En séance, au Sénat, la ministre des Armées, Florence Parly, s’est opposée à un tel encadrement. « Restreindre les catégories de données techniques susceptibles d’être ainsi recueillies aurait pour effet de limiter les capacités de l’ANSSI à analyser le mode opératoire d’un attaquant, sans pour autant renforcer le droit au respect de la vie privée qui n’est pas, en soi, affecté par cette analyse » assure-t-elle.
« De surcroît, l’expérience montre que les techniques d’attaque évoluent sans cesse, en tout cas extrêmement rapidement. Le risque existe donc que des données qui auraient été préalablement définies par grandes catégories dans un décret ne soient plus celles qu’il serait in fine pertinent de recueillir », a-t-elle exposé, le 22 mai dernier.
Pour le gouvernement, dresser la liste des données techniques pouvant être analysées par deep packet inspection serait incompatible avec la caractéristique première des attaques, qui est d’évoluer « sans cesse ». Définir une telle liste limitative serait même « tout à fait contre-productif » selon Florence Parly.
L'exécutif a donc déposé un amendement pour couper court à une telle définition exhaustive, demandant au décret d’application de seulement définir « les modalités d’application du texte ». Sans plus de détail… mais selon l’exposé des motifs, cela permettrait « d’en entourer la mise en œuvre de garanties supplémentaires ». Juré, promis !
Sans définition précise, pas de contrôle de proportionnalité
Dans le fil des débats, le rapporteur au fond Christian Cambon (LR) a critiqué cette rustine : « la définition précise des catégories de données, madame la ministre, est une des conditions permettant au Conseil constitutionnel de considérer que la collecte et la conservation par les opérateurs ne portent pas une atteinte disproportionnée au secret des correspondances et au respect de la vie privée ».
Un argument suivi par le rapporteur au fond, qui a pris l’exemple d’une analyse contraignante d’un mail aux fins de cybersécurité : « Dans la mesure où l’ANSSI recherche des marqueurs de virus, il lui faut ouvrir le mail en question et ses éventuelles pièces jointes pour vérifier toute anomalie de signature ou de caractère. La recherche des virus oblige donc intrinsèquement à regarder dans le document, non pour le lire – je vous en donne acte, madame la ministre –, mais pour vérifier la présence d’un caractère anormal. Sous cet angle, il nous semble difficile de contester l’existence d’une atteinte à la vie privée. Et cette atteinte est d’autant plus marquante que l’ANSSI conservera les données qu’elle aura collectées – ce qu’elle a excellemment justifié lors de nos auditions – durant dix ans ».
L’amendement du gouvernement a ainsi été rejeté, laissant prospérer l’obligation de fixer par décret la liste des données techniques pouvant être traitées par l’ANSSI.
La balle est désormais dans le camp de la commission mixte paritaire. Les sept parlementaires des deux chambres devront trouver un terrain d’entente, sachant que l’Assemblée nationale, où le groupe LREM a une large majorité, aura dans tous les cas le dernier mot.
Commentaires (16)
#1
Incroyable un tel degré d’inconséquence: le Gouvernement sait que le texte en l’état est potentiellement inconstitutionnel et très probablement inconventionnel, mais c’est pas grave, on use d’un parfait sophisme (y a pas d’atteinte à la vie privée dans le genre relativisme des mots… c’est comme lorsqu’ils recourent systématiquement aux mesures de sureté tout en prétendant qu’il n’y a pas d’atteinte aux libertés…) et on attend de prendre la sanction dans les dents.
#2
#3
#4
Bonjour @ tous,
" />
" /> , trop d’argent “qu’ils” ne pourrons pas dégager ) et alors il ne s’agissait que de la protection des droits d’auteurs 
" /> mais petit à petit …
" />
" />
Je me rappelle au cours des discutions sur l’Hadopi, le DPI avait déjà été cité
Les commentaires sur ce site et sur d’autres avaient déchainés les passions et les critiques, (Impossibles trop intrusifs, pour d’autres quel déploiement de puissance de calcul….
Loi contre la pédophilie, puis lois anti-terroristes, et maintenant le prétexte la loi LPM.
tout viens à point à qui sait attendre.
@Marc Merci pour ces analyses de fond (je n’ose pas dire (DPI). C’est bien 67 millions d’habitants présumés coupables qui s’insinue dans notre société d’oligarques. Nous l’avons dans le DPI
#5
Et les thuriféraires de Macronléon 1er vont encore venir pleurer le coeur sur la main qu’on est encore en démocrassie….
" />
VPN obligatoire quand on vit dans un état fasciste. Point barre. Ceux qui vous diront le contraire sont des idiots ou des trolls payés par le pouvoir. (notez les noms dans les commentaires)
#6
Dans mon cas et en prévision, toutes mes connexions se font via vpn depuis 3 ans et ce, même si je ne fais rien de répréhensible, même pas par la hadopi. Néanmoins, sans verser dans la paranoïa, je doute que ça soit suffisant…
#7
Oui enfin le VPN c’est pas non plus la solution a tout :-(
Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.
Mais c’est vrai que ça limite la pêche au gros …. et ça leur permet de considérer tout le monde comme potentiellement coupable de “quelque chose - on sait pas trop quoi mais bon doit y avoir un truc” , comme en chine :-)
Philosophiquement, ça donne de plus en plus l’impression qu’il y a d’un coté la classe décisionnaire et le flics d’un coté de la société, et la population “à surveiller” de l’autre. Je sais pas si c’est ce qui est recherché, mais je trouve ça assez négatif comme esprit, et contre productif.
L’autre point c’est que la technologie n’a pas de cause : Ces DPI pourront être utilisé en anti-terrorisme, mais , demain ce sera utilisé pour surveiller les communications des syndicalistes, pour traquer les personnes qui aident les migrants ou les ZADiste, pour couper l’herbe sous le pied à toute forme de contestation…. et on en saura jamais rien vu que l’absence de contrôle est poussé comme la norme.
(Bon, après, on trouvera des applications ou des protocoles pour se planquer - regardez en Russie & en chine où Télégram est interdit, ça veux bien dire qu’ils ne savent pas ou veulent pas fouiller dedans)
#8
Le fait de légaliser les deep packet inspection ne présagent pas un espionnage massif pour toutes causes ? :/ C’est pas terrible comme idée…
#9
[quote:6025071:OB]Oui enfin le VPN c’est pas non plus la solution a tout :-(
Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.
Je ne me limite pas au VPN ;) mais écrire un commentaire est déjà une empreinte…
#10
C’est quoi concrètement un « marqueur technique » ?
Et avec la généralisation du https et du chiffrement en général, le DPI est encore efficace ?
#11
Y a de fortes chances que si ça passe en l’état, le Conseil Constitutionnel sera saisi pour une QPC..
#12
#13
Oui, ça reste clairement efficace, et puis d’ailleurs l’interception de type MITM doit faire parti du lot pour pouvoir correctement inspecter en profondeur les paquets ^^ bientôt un certificat “national” sera délivré pour chaque citoyen, pour mieux les protéger, et mieux les contrôler, niark ! finalement, nous ne sommes que du mauvais côté de la barrière xD
Trêve de plaisanterie, c’est en fait vraiment pas drôle et plutôt sombre comme avenir…
#14
#15
#16