La proposition de loi dite « anti-Huawei » vient d’être adoptée au Parlement. La France s’est empressée de notifier à la Commission européenne ce texte taillé pour préserver les intérêts de la défense et de la sécurité nationale sur les réseaux 5G.
Le 18 juillet dernier, l’Assemblée nationale a adopté le texte de compromis édité par la commission mixte paritaire. Le 24 juillet, le Sénat embrayait. La proposition de loi défendue par Gilles le Gendre (LREM) a donc terminé son parcours parlementaire. Cependant, la loi n’est pas encore applicable.
Et pour cause, le droit européen oblige les États membres à alerter préalablement la Commission des textes venant régenter d’un peu trop près « la société de l’information ». L’idée ? Jauger leurs effets sur la sacro-sainte liberté de circulation des biens et services, comme le veut une directive de 1998.
S’agissant de la proposition de loi anti-Huawei, cette « notification », nom de ce signalement, a été réalisée le 26 juillet 2019. S’ouvre maintenant une période durant laquelle l’autorité européenne, mais également les autres États membres vont pouvoir ausculter les effets de cette future loi, voire émettre des critiques. Du côté de l’État membre, la loi en gestation entre dans une période de glaciation. C’est le « statu quo ».
Cette phase dure en principe trois mois, mais la France a déclaré « l’urgence ». Avec un tel label, l’exécutif européen devra se prononcer dans « les plus brefs délais ».
Des équipements soumis à un régime d'autorisation
Cette proposition de loi, qui fut un temps embarquée dans un amendement gouvernemental, entend protéger les architectures sensibles des réseaux de communication de nouvelles générations. L’enjeu ? Prévenir les indiscrétions des puissances étrangères. D’où son surnom de « loi anti-Huawei », même si le texte peut viser n’importe quels fabricants, notamment américains.
Dans ses grandes lignes, le code des postes et des communications électronique va intégrer un régime d’autorisation préalable à l’exploitation des équipements. C’est le Premier ministre qui donnera ce feu vert en tenant compte de la préservation des « intérêts de la défense et de la sécurité nationale ».
Précisément, sont visés les réseaux de cinquième génération et ultérieures, aussi bien sur la partie logicielle que matérielle, et qui « par leurs fonctions, présentent un risque pour la permanence, l’intégrité, la sécurité, la disponibilité du réseau, ou pour la confidentialité des messages transmis et des informations liées aux communications ».
On pense ici aux installations en cœur de réseau, voilà d’ailleurs pourquoi les appareils installés chez les utilisateurs finaux ou ceux dédiés à un réseau indépendant sont exclus du périmètre. Même sort pour les « appareils électroniques passifs ou non configurables » et les « dispositifs matériels informatiques non spécialisés incorporés aux appareils ».
Les équipements concernés
Un arrêté définit la liste des appareils soumis à autorisation, pris après avis de l’Autorité de régulation des communications électroniques et des postes (Arcep). Le texte en préparation a d’ailleurs lui aussi été notifié à Bruxelles.
Dans la longue liste, on trouve des stations de base, les « appareils assurant l'authentification et l'autorisation d’accès au réseau des équipements terminaux », ceux « assurant l'acheminement des communications des équipements terminaux vers des réseaux tiers » mais encore les dispositifs chargés de « la gestion des sessions et des connexions des équipements terminaux » ou les « appareils assurant la mise en oeuvre et le contrôle des politiques d'accès au réseau ».
Sont de même intégrés dans ce champ ceux chargés du « stockage des données cryptographiques et identifiants relatifs aux abonnés ».
Dans l’argumentaire transmis à Bruxelles, le gouvernement tire la sonnette d'alarme : « le déploiement de la 5G accroît les risques en matière de cybersécurité liés aux équipements de réseau du fait des spécificités techniques de la 5G (gestion dynamique du réseau d’accès, introduction d’unités de traitement d’information aux bornes du réseau – edge computing) et des cas d’usage de la 5G pour des domaines industriels, pour certains critiques (e.g. véhicule connecté / autonome, industrie du futur, réseaux d’énergie, etc.) ».
La crainte est donc que ces outils puissent servir de porte dérobée pour les autorités étrangères avides de renseignements, d'autant que ces équipements embarquent une intelligence pouvant être exploitée à distance. En pratique, c’est notamment l’ANSSI, Agence nationale pour la sécurité de systèmes d’information, qui plongera son nez dans ces matériels et leurs couches logicielles. L’éventuelle autorisation sera octroyée pour huit ans, renouvelable.
Un décret définira les modalités de ces procédures. Un projet de texte a, comme l’arrêté et la future loi, été notifié à la Commission européenne.
On y découvre que la demande devra être accompagnée d’une série d’informations comme la documentation technique, le degré d'utilisation prévue au sein du réseau radioélectrique, l'activation éventuelle ou la non-activation des fonctionnalités optionnelles, etc. Le demandeur devra tout autant s’engager à accepter les « contrôles nécessaires ».
L’exploitation d’un appareil sans autorisation ou ne respectant pas les conditions fixées par le Premier ministre sera punie de cinq ans d’emprisonnement et 300 000 euros d’amende.
Interdire l'espionnage étranger, autoriser les interceptions françaises
Le Premier ministre mettra son veto s’il « existe un risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale résultant du manque de garantie du respect » de certaines règles.
Quelles règles ? Elles sont répertoriées très précisément dans la loi, qui fait référence aux points a), b), e), f) et f) bis du I de l’article L. 33-1 du Code des postes et des télécommunications électroniques.
Derrière ces références, retenons qu'elles veulent garantir la permanence, l’intégrité, la sécurité, la disponibilité du réseau, ou la confidentialité des messages transmis. Le point b) veut s’assurer en particulier du respect des « conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications ».
Les points f) et f) bis obligent cette fois les équipementiers à rendre respectivement possibles l'acheminement gratuit des appels d'urgence et celui des informations publiques en cas de dangers imminents.
Le point e) mérite une attention plus poussée comme déjà expliqué dans nos colonnes :
Si l'on déroule, le fabricant devra faire en sorte que son équipement rende possible « la mise en oeuvre des interceptions » et au-delà, respecte les « prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique ».
En somme, ce bouclier contre les grandes oreilles étrangères profite du moment pour exiger des équipementiers la présence de « back doors » légales permettant les écoutes (ou interception de correspondances électroniques) par les autorités françaises ou, pourquoi pas, le déploiement de l'armada née de la loi Renseignement.
L’article 226-3 du Code pénal soumet déjà à autorisation la commercialisation et la détention d’équipements réseau pouvant permettre de porter atteinte au secret des correspondances électroniques, dont les stations de base. Une autorisation « opérateur » qui s’ajoute donc à celle bientôt exigée des fabricants dans la loi « anti-Huawei ». La loi Renseignement offre d'ailleurs aux services la possibilité de recueillir directement au moyen des équipements concernés les données de connexion (identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, données de géolocalisation) ou d'effectuer des interceptions administratives.
Un rapport est programmé à compter du 1er juillet 2020. Le Gouvernement détaillera chaque année l’application de la présente loi, en détaillant ses impacts notamment sur le rythme et le coût des déploiements des équipements de dernières générations.
Commentaires (22)
#1
L’outil de sécurisation sera basé sur un odomètre, il y aura une empreinte de l’haleine, et seul un bon Français sentant le camembert et le gros rouge aura accès au déchiffrage. LA solution française pour assurer l’exclusivité de la backdoor.
#2
Cette proposition de loi, qui fut un temps embarquée dans un amendement gouvernemental
" />
entend protéger les architectures sensibles des réseaux de communication de nouvelles générations.
comme d’hab. ça part d’une BONNE raison…mais ‘c’est après’ que ça (risque) de se ‘gâter’ !
(on se dit : “si…ce n’est QUE pour ça, alors OK”, mais……………)
#3
Je n’arrive pas à savoir si je dois rire ou pleurer devant tant de bêtise et d’incompétence…
#4
+1000. On veut que le matos soit sur d’un côté mais on crée volontairement des failles.
#5
#6
Moi ça ne me fait pas peur, ça fait bien longtemps qu’il ne faut plus faire confiance a la couche 3 “réseaux” en ce qui concerne la sécurité.
Maintenant, et grâce a ce type de loi et techno bidon, on va même avoir droit au dns over https. Vu que tous les flux passent par cloudflare maintenant … Y a plus rien a voir. Et pour ceux qui veulent vraiment être anonyme, bah y a toujours tor.
#7
Ce n’est ni de la bêtise ni de la stupidité si le gouvernement est hostile au peuple. C’est simplement un stigmate des intérêts divergents entre les politiciens et les autres citoyens.
" />
Bref, c’est pire…
#8
Oui mooooosieur, mais nos backdoor sont Françaaaiiisssee !!!
" />
#9
Sûr qu’avec du matériel américain ou chinois, ils vont pouvoir espionner tout en garantissant le fait que ni les américains, ni les chinois nous espionnent. C’est con mais je pourrais y croire que le 1er avril.
#10
C’est surtout que le gouvernement y croit, qui est le plus triste.
" />
#11
Merci NxI et Marc pour cette lecture précise et attentive des lois en cours, comme toujours !
Je m’abstiendrais de commenter le fond, je pourrais être désagréable vis-à-vis de nos dirigeants bien aimés :/
#12
#13
Astrologie des portes, le retour enrobé.
#14
#15
D’accord mais dans les années 90 je note qu’il y avait une crypto war féroce et chacun était dans son rôle au sens matériel : la NSA proposait des puces. Scandale… sauf que :
Il suffisait de l’enlever pour ne plus être espionné. Simple, facile, efficace. Les personnes avaient le choix et le voyaient (à condition d’avoir 0-1 neurones).
Même raisonnement avec les flux chiffrés : si tu prenais le risque de chiffrer tu prenais le risque de ne pas être net de leur point de vue… ou de l’opérateur/FAI. Grave ? Bof, c’est leur boulot d’être parano, pas le tien.
Était-ce grave ? Pas vraiment, à condition qu’il y ait eu un surveillant du surveillant procéduralement bétonné pour éviter les abus… ce qui est le réel scandale aujourd’hui…
Laissons donc la NSA décider de qui elle surveille plutôt que de tout interconnecter béatement en sachant très bien que le réseau ne produira pas pour tous ses fruits grâce notamment à ces merveilleux pataphysiciens irlandais qui foutent la merde un peu partout, et surtout chez leurs parents.
Cela n’enlève en rien la force des alternatives pour préciser que je ne souscris pas à la politique arbitraire des années 80 outre-manche, donc dans ce cas, qu’ils filent le pognon. Qu’ils ôsent.
Le chiffrement n’est pas un problème à condition de se contenter des méta-données… qui sont aussi la réelle plaie de ces 20 dernières années car tout le monde ne doit pas être pataphysicien et ce serait vraiment pas drôle, mais alors pas drôle du tout du tout pour les jeunes bien justement !!!. (voir Zuckerberg demander une règlementation relève de la faute professionnelle, ce genre de gus mérite un poste d’enseignant, pas une entreprise…)
#16
J’ajoute que se déclarer chiffreur (ou le revendiquer) ne doit pas être un problème (=>l’inconvénient d’être né).
" />
On s’attaque donc à la technique sans s’attaquer à sa non-neutralité comme d’hab… donc fraudait savoir qui est technocrate, in fine.
#17
Ah euh, les gens voyaient la puce et il pouvaient l’enlever ? euh … ? tu veux dire, comme les plaques d’immatriculation des voitures en somme… ça doit être pour ça qu’il y a autant de tracteurs flashés… non mais c’est spécieux ton histoire de choix d’être espionné !
Mais c’était même pas à ça que je pensais en fait… il s’agissait plutôt des restrictions (légales) d’exportations des logiciels de chiffrement et autres lois enterrées depuis (du moins là-bas).
…
C’est pas une histoire de parano ni de surveillants qui s’emboîtent comme des poupées gigognes ; mais juste de savoir-faire. Les métadonnées ne sont pas une panacée : un seul serveur-relais en terre étrangère suffit déjà à presque à tout faire disparaître : il ne reste alors quasiment plus que des volumes de données et des horaires à se mettre sous la dent… et encore… c’est pas bien compliqué de rajouter des données aléatoires à des horaires aléatoires à l’intérieur d’un même flux chiffré… il n’y a pas de solutions technique à cela, c’est une sorte de fuite et de course… et bientôt (ou bien est-ce déjà ?) on voudra nous dire que c’est une histoire de souveraineté, que c’est pour que les étrangers ils nous espionnent pas que il vaut mieux que ce soit l’état français qui le fasse… et que la marmotte elle a fait une indigestion de chocolat et qu’il faut mettre le papier alu sur la tête pour éviter les ondes des compteurs Linky… euh non, ça c’est l’autre news… je disais oui je disais que en fait les “services” des différents états ont un certain degré (voire un degré certain) de collaboration entre eux, non ?
…
C’est bien ce genre de réglementation qui sont miteuses dès la base… M. et Mme Jyconnaisrien vont dire que le gouvernement veille, mais en vrai que dalle : il ne peuvent qu’être à l’affût d’une erreur… bon ok, personne n’est parfait…okay… mais de là à mettre en place d’entrée de jeu des règlements qui imposent que les équipements soient aptes à espionner… et à espionner tout le monde… et en plus à les mettre à disposition des étrangers en loucedé puisqu’il faut pas se leurrer dans le domaine du renseignement c’est bien souvent le prix (pas toujours, mais comme on est pas les rois du pétrole, et qu’on a pas assez de porte-avions pour faire peur… au final…)
…
Ça me fait un effet, genre… un peu comme un état qui dirait que comme il n’a pas assez de douaniers et de sous-marins pour surveiller tout l’océan, bah, dorénavant il faudra une permission pour sortir des eaux territoriales (ou y rentrer), et puis, bah, du coup tant qu’on y est, une petite fouille minutieuse du navire, et la pose d’un GPS espion pour savoir où vous allez… non mais faudrait pas que vous croyiez que vous pouvez vous barrer comme ça, hein…
…
…
Bon et sinon je prends les paris : est-ce qu’on colonisera d’abord la Lune ou bien l’Antarctique ?
🌙❄
#18
Et qui va faire les « contrôles nécessaires » ? La complexité d’une puce ou d’un logiciel est telle qu’il faudra des équipes hautement qualifiées pour analyser l’équipement.
#19
C’est juste la continuité d’une grosse bêtise.
Huawei de part ses couts de production a bouffé pas mal de part de marché au géant américain. Ce n’est pas le seul concurent mais il se pose là de part le coté politique aussi. Donc le gros Cisco quand il est pas content; il le fait savoir au gouvernement américain qui ne tardera pas à trouver un moyen de taper du pieds dans la timbale pour faire “sonner”.
Déjà en 2017 ca sentait un peu le pâté.
Certes il y a eu des “cas” dont bon nombre d’ingénieurs réseau à bien rigolé. Les fameux bugs de certains switch Huawei qui étaient identiques aux bugs de Cisco. Les procès aux conclusions hilarantes. La belle époque quoi.
Je vois plutôt cela comme une gué-guère commmecialo-politico-financière. On sait que Cisco vend des backdoor hors pair. Obliger son concurrent principal à en faire plus permet de jouer sur les prix in fine.
Et la y’a toutes la fine équipe. L’histoire se répète.
A noter que le gouvernement Français comme Européen semble bien trop “dans le sens Américains” pour que cela ne soit pas suspect.
#20
C’est juste la réalité d’un développement technologique non dit, ou explicité… et cela fait peur en effet !
" />
Ainsi le ‘système’ républicain est remplacé par le ‘système’ informatique. On a connu mieux dans le passé réel.
La pupuce avait le mérite de dire : on a du matériel, vous aussi, débattons.
Mais comme la démocratie ça coûte trop cher apriori on est arrivé à ce point qu’il faudra bien faire une guerre pour changer quelque-chose. Alors cela se transforme en guerre économico-technique, mais jusqu’à quand ?
et que la marmotte elle a fait une indigestion de chocolat et qu’il faut mettre le papier alu sur la tête pour éviter les ondes des compteurs Linky…
Il y a quand même eu une révolte d’EDF vis-à-vis de la societé (et non l’inverse) car les données privées sont reconnues propriété du client. Autrement dit ceux qui ne les vendent pas sont renvoyés au goulag du réel. Je pense que la societé du bio-pouvoir ne marche pas. En tous cas celle proposée n’est pas soutenue par un tissus universitaire… ad hoc.
Bon et sinon je prends les paris : est-ce qu’on colonisera d’abord la Lune ou bien l’Antarctique ?
Saturne…
#21
Une bonne raison
" />
Pour des backdoors que l’on n’a jamais vues, on en ajoute.
sous le commandement des US.
#22