Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI

Dans le volet numérique de son programme, le candidat Emmanuel Macron envisage un dispositif « anti-arnaques ». Le député Éric Bothorel, qui en a fait l’exégèse sur Twitter, est convaincu de la pertinence de cette solution. Interrogés sur le sujet, Stéphane Bortzmeyer et Alexandre Archambault ne cachent pas leur scepticisme.

Sur Twitter, le député LReM a décrit comment fonctionnerait dans les grandes lignes ce mécanisme. Il se baserait sur un DNS public capable d’avertir en amont les internautes qu’ils s’apprêtent à visiter un site malveillant. Il serait toujours possible de passer outre cet avertissement. En somme, un filtrage optionnel, non un blocage.

Un point sur lequel l'élu a insisté dans nos colonnes. Cependant, comme nous allons le voir, cet aspect facultatif ne serait valable que pour les internautes. Les fournisseurs d’accès, eux, n’auraient pas ce loisir.

• Comment fonctionnera le filtre anti-arnaque en ligne promis par Emmanuel Macron

Éric Bothorel ne veut rien imposer… aux internautes

« Il ne s’agit absolument pas d’imposer, je le redis. C’est un dispositif qui serait facultatif. Ensuite, je veux d’emblée le dire, s'il vise à réduire le volume des attaques de masse, on ne dit pas que les attaques plus ciblées ou sophistiquées sont impossibles. Je ne suis pas dans une forme de naïveté qui fait qu’on serait en train de brandir un outil qu’on aurait découvert la veille », nous indique Éric Bothorel.

L'élu compare avec la situation actuelle : « Qu’est-ce qu’on a aujourd’hui ? Des dispositifs de protection qui existent depuis un moment, comme des antivirus, des services DNS qui peuvent réputer des sites et vous inviter à ne pas y aller, etc. Que fait-on ? On s’inspire des modèles britannique ou belge, c’est-à-dire mettre en commun les signaux d’activités cybercriminelles pour constituer une base commune et publique. Alors oui tout le monde fait des efforts aujourd’hui, mais je suis désespéré de voir que, chaque jour qui passe, des gens vont finir sur un site qui va les extorquer juste en suivant des liens dans leurs emails ».

L'idée du candidat Emmanuel Macron est de faire mieux. « Peut-on faire plus dynamique et réactif ? », s’interroge le député. « Oui, en mobilisant à la fois Cybermalveillance, Cyber Campus, les futurs CERT régionaux, bref en mobilisant tous ceux qui surveillent, supervisent ou autre ».

Ce n'est cependant qu'une partie de l'iceberg, car le système envisagé contraindrait les FAI : « Après une expérimentation volontaire testant la fiabilité de la solution, et une concertation technique avec les fournisseurs d’accès à l’internet (FAI), le déploiement par défaut du mécanisme sera rendu obligatoire pour les FAI ». La messe est dite, le conditionnel devient futur.

Le mécanisme en question serait une infrastructure DNS centralisée. Pour rappel, DNS – pour Domain Name Server – désigne un serveur dont la mission est d'associer une adresse à une adresse IP. Il est un élément de base et donc critique d'Internet.

Éric Bothorel ne voit aucun problème à une telle contrainte : « Ce serait similaire à certains services existants finalement. Pour faire un parallèle, c’est comme quand vous installez une application liée à votre opérateur téléphonique pour filtrer les appels entrants et signaler ceux possiblement malveillants. On voit bien qu’on a avancé sur ce sujet. Donc on se propose d’avoir quelque chose qui ressemblerait à un service public du nom de domaine sécurisé ».

Il y a pourtant une différence flagrante : une démarche personnelle d’un côté, une connexion imposée de l’autre.

Mais que l’on se rassure ! Ce mécanisme ne serait pas piloté par le gouvernement : « Il y aura une autorité indépendante – ne me demandez pas sa nature juridique, on ne sait pas encore – qui contrôlera les critères d’addition ou de radiation de la liste. Ce ne sera pas entre les mains de l’État ».

Le député imagine qu’il pourrait s’agir d’un magistrat ou d’une commission. « Il me semble dans tous les cas qu’on est légitimes pour protéger les Français. On ne parle pas d’ingénierie sociale ou d’attaques les plus sophistiquées, mais si on peut envoyer le signal à ceux qui ne font pas beaucoup d’efforts pour vous voler 500 euros qu’en France c’est plus compliqué, ils iront faire leurs petites affaires ailleurs. Et je l’assume ».

Face à un tel projet, les risques de dysfonctionnement sont réels. Par exemple, une panne dans cette infrastructure pourrait entrainer un blocage complet de la navigation en France. « Oui », confirme Éric Bothorel. Il rit : « Et alors ? ». « Plus sérieusement, on sait qu’il y aura ce sujet à traiter, que ce sera un budget. Il ne faut pas que la question nous paralyse ».

Interrogé sur les solutions existantes et la possibilité que ce DNS ne fasse que réinventer la roue, le député se dit bien sûr au courant de ces protections. Il cite d'ailleurs SafeBrowsing et les options liées aux DNS chiffrés sous Firefox. « Mais peu de gens activent ces protections, la plupart ne le sont pas par défaut », regrette-t-il. Selon lui, l’initiative reviendrait à assurer « un service minimal pour éloigner au moins les menaces les plus évidentes. Parce que pardon de le dire, mais je n’oublie pas qu’une majorité de la population n’est pas aussi à l’aise que les lecteurs de Next INpact ».

C'est pourtant ce que fait justement... SafeBrowsing : prévenir l’internaute qu’il s’avance vers un site ou un téléchargement malveillant. Cette barrière est également intégrée à Firefox et Safari. Microsoft propose de son côté un équivalent dans Edge, SmartScreen. Le député ne semble pourtant pas sensible à la présence de ces protections – actives par défaut – dans tous les navigateurs majeurs.

Ne pourrait-on pas plutôt imaginer une forme de gouvernance de SafeBrowsing ou d'un autre mécanisme, dans l’idée d’en faire un bien commun ? Il préfère en rire : « Quand on fait un outil nous-mêmes, on nous reproche qu’il n’est pas interconnecté avec Google et autres, et si on se rapproche d’un GAFA, on nous le reproche aussi ».

Non au « paradis des criminels »

L’idée même d’une structure centralisée ne pose pas uniquement des questions de résilience technique. Comme avec d’autres mécanismes conçus pour une finalité spécifique, le risque d’un détournement ou d’une « complétion » ne peut être écarté : cela tient à la définition même du site malveillant, qui peut être extrêmement vaste.

Interrogé à ce sujet, Éric Bothorel soupire : « On peut toujours imaginer le scénario du pire. Mais il faut rappeler qu’aujourd’hui on a déjà ce type de filtrage. Quand il y a un signalement sur Pharos, on ne supprime pas le contenu, mais on supprime l’accès au contenu par un blocage DNS. Tout cela existe déjà sur le haut du spectre, et je ne le sais que trop bien puisque les opérateurs télécoms revendiquent régulièrement que c’est un coût humain en plus d’un coût machine ».

« Mais la liberté du net, ce n’est pas naïvement laisser les gens faire leurs petites affaires cybercriminelles ! », enchaine-t-il. « À un moment donné, si on peut les contraindre et les en empêcher, c’est pas mal. En tout cas, moi je n’ai pas écrit ça pour protéger la copie privée. Si à chaque fois qu’un sujet nouveau émerge dans la société, on se dit que ce n’est pas terrible de faire du contrôle ou de la répression parce qu’on pourrait l’étendre à autre chose, ça devient le paradis des criminels ». La messe est dite.

La question de l’éducation est elle aussi balayée d’un revers de la main. Le député estime en effet que ce n’est plus suffisant : « Bien sûr que si tout le monde avait une bonne hygiène numérique, des mots de passe robustes et une vigilance accrue sur les sites visités, on ne poserait pas la question. Mais on ne peut pas demander à tous les Français d’être des experts – parce qu’il faut quasiment l’être – et ce n’est clairement pas de leur faute. Donc c’est le moment de faire quelque chose ».

« Une mauvaise perception du DNS par les décideurs publics »

« Une nouvelle fois, on paye une mauvaise perception du DNS par les décideurs publics », embraye Alexandre Archambault. « Son boulot, c’est juste de mettre en relation un client avec un serveur. Ce que nous apprend Internet, c’est qu’à chaque fois qu’on fait porter une finalité – même légitime – par un échelon qui, lui, ne l’est pas techniquement pour le traiter, les couches supérieures du réseau mettent en place des mécanismes de protection ».

L’avocat, ancien directeur des affaires règlementaires de Free, en veut pour preuve le phishing : « comme le trafic web, lui aussi est en chiffré ». Il enchaine avec un autre exemple : « On va avoir un cas d’école d’ici quelques semaines avec le blocage du porno. Youporn et autres sont en HTTPS, alors j’ai hâte de voir ce que va donner l’affichage de la page d’information ». Le décret d'application relatif au blocage du porno, après procédure devant l'ARCOM, exige en effet de rerouter les internautes vers une page explicative des raisons de ce blocage, éditée par l'autorité.

Face à la confirmation du député que le mécanisme est pensé pour être obligatoire auprès des FAI, il tranche : « Il va falloir le notifier à l’Union européenne, parce que ça porte atteinte à l’organisation des réseaux, et in fine au marché intérieur. Je ne remets pas en question la finalité du dispositif, mais on ne peut pas s’amuser avec le DNS, sauf à faire du man-in-the-middle avec un certificat étatique, comme en Corée du Nord ». Ambiance.

Alexandre Archambault insiste particulièrement sur ce lien entre objectif et moyens : « quand on poursuit une finalité, il faut le vecteur approprié. Le DNS ne l'est pas pour du chirurgical. Et quand on voit qu’au niveau européen, ils réfléchissent à la même chose, pour pouvoir par exemple bloquer une vidéo YouTube, je bondis un peu. Le DNS ne sait pas du tout faire ça ! Bloquer tout YouTube oui, mais c’est tout », tempête l’avocat.

Et, de son analyse, la thématique est loin d’être neuve : « On a encore eu l’exemple il y a une quinzaine de jours quand il s’est agi de bloquer les contenus d’une certaine propagande d’un pays un peu envahissant – RT donc. Une nouvelle fois on comprend la finalité politique, mais derrière tout ça il y a quand même un texte qui est le fondement même dans une démocratie et en Europe. Surtout qu’en France on fait la leçon à tout le monde avec le respect des droits de l’homme. Et là objectivement, sous la pression de l’urgence et de l’émotion, on est dans la fierté de l’amateurisme ».

Le spectre Albanel

Devant cette promesse électorale, Alexandre Archambault ne mâche pas ses mots : « Tout ça me rappelle les heures les plus sombres de Christine Albanel, avec des arguments d’autorité. Et si vous vous y opposez, ça veut dire que vous êtes pour les méchants et contre les gentils. Je plaisante un peu, mais c’est tout à fait ça. Je ne suis pas pour les méchants. Je suis pour l’État de droit ».

Une idée hors-sol ? « Sauf à conférer à ces DNS un rôle de racines, je vois mal comment ils pourraient faire. Même là je leur souhaite bon courage, parce que je nous imagine mal aller demander ça avec notre petit drapeau tricolore aux instances de normalisation Internet. Et même si c’était accepté, la Chine ou d’autres États pourraient faire la même chose. À partir du moment où l’on gère une partie d’un bien commun, on n’a pas à le nationaliser dans un sens ou dans l’autre », souligne l'avocat.

Et pour se recentrer davantage sur le juridique, il faut rappeler que le Règlement sur l'Internet ouvert, qui a consacré la neutralité du Net en 2020, cadre les pratiques. « L’article 3 du Règlement dit qu’un opérateur, un FAI peut mettre du filtrage ou du blocage, mais ce n’est pas non plus open bar », explique Alexandre Archambault.

S'il assure comprendre « les arguments du député Bothorel, qui est dans une optique de sécurité, de sûreté, de protection des utilisateurs », c'est pour tempérer aussitôt : « le même article ne dispense pas d’une analyse de proportionnalité ».

Au-delà de la technique et du juridique, faut-il s’inquiéter d’un possible débordement de cette infrastructure vers d’autres objectifs ? « Bien sûr ! L’histoire nous a montré qu’une fois qu’on ouvre une brèche, elle est toujours utilisée par d’autres. Regardez le blocage administratif. Au départ on nous disait que ce serait uniquement pour les "méchants très très méchants" – les terroristes et les pédophiles – et on voit que petit à petit ça a étendu. Et que la nouvelle Arcom n’est ni plus ni moins qu’une extension du blocage administratif. On risque vraiment de mettre le doigt dans un engrenage ».

La piste envisagée n’est donc pas la bonne pour l’avocat, car l’outil est loin d’être adapté à la finalité poursuivie, sans même parler des problèmes juridiques et techniques qu’engendrerait une telle infrastructure obligatoire.

« Le DNS n’est pas le bon endroit pour faire du filtrage de logiciel malveillant »

« Des résolveurs DNS qui prétendent protéger des méchants, on en connait déjà », martèle d’emblée l’ingénieur Stéphane Bortzmeyer. « Cisco OpenDNS fait ça, Quad9 fait ça, Cloudflare et Yandex ont une option pour avoir des résultats filtrés, notamment pour la pornographie. Ce n’est pas une nouveauté en soi ».

On sera dans le cadre d’une obligation nationale de faire transiter toutes les requêtes par cette infrastructure, avec les craintes que l’on peut supposer au sujet de la résilience technique d’une telle installation et de la neutralité du net. « Tout à fait, alors qu’on a déjà des problèmes non traités, comme le fait que beaucoup de hotspots Wi-Fi envoient par défaut toutes les requêtes à Google. Pour l’instant, je n’ai entendu personne dans la tribune de l’Assemblée pousser des cris à ce sujet ».

Sur la question du vecteur, Stéphane Bortzmeyer rejoint sans surprise Alexandre Archambault : « le fond du problème, c’est que le DNS n’est pas le bon endroit pour faire du filtrage de logiciel malveillant ». Pourquoi ? « Parce que c’est relativement rare que ce logiciel soit distribué via un serveur dédié à cette tâche. La méthode la plus courante est de pirater le serveur web de quelqu’un d’autre et, une fois que c’est fait, la diffusion peut commencer. Donc le filtrage par DNS n’est pas la bonne idée, car la granularité n’est pas suffisante ».

Quelle solution alors ? « Le bon endroit pour le faire c’est dans le navigateur au niveau des URL, pas des domaines ». Sur la question de reprendre une protection existante comme SafeBrowsing, l’ingénieur se montre plus sceptique « Les listes de Google et d’autres ont aussi leurs défauts. Elles ont une certaine tendance à tirer d’abord et réfléchir après, donc il peut y avoir des faux positifs. Mais le navigateur reste le bon endroit », insiste Bortzmeyer.

L'ingénieur se dit également « gêné » par l’expression « anti-arnaques ». Elle apparaît dans les éléments de communication de la campagne d’Emmanuel Macron, alors que les tweets d’Éric Bothorel sur le sujet n’évoquent que les logiciels malveillants.

« De quoi parle-t-on ici ? Si je vais sur LeBonCoin et que je suis victime d’une arnaque, il n’y a rien dans un résolveur DNS qui va me protéger contre ça, on ne va pas bloquer tout le domaine. Donc le terme d’arnaque est très ambigu, parce qu’il n’y a rien qu’on puisse mettre dans un logiciel pour bloquer ça. Le logiciel ne sait pas ce qu’est une arnaque. Je crois que quelqu’un s’est dit à un moment que logiciel malveillant ça ne parlerait pas aux électeurs, alors on va plutôt parler d’arnaque ».

Le risque d’un projet réalisé à la va-vite

Les risques d’un tel projet sont conséquents : « presque toute action sur Internet commence par une requête DNS. C’est un composant extrêmement critique. Si le DNS est en panne, c’est comme si on n’avait pas d’Internet. Il ne s’agit donc pas de faire simplement un résolveur DNS, il faut faire un résolveur fiable. Donc il faut de l’argent, une équipe dédiée… tout le monde n’est pas Google. C’est faisable, mais pas en cinq minutes dans un coin, pas avec deux gus dans un garage. Il faut un gros investissement derrière. Et comme avec toutes les promesses électorales, il y a des questions qui n’arriveront qu’après : combien ça va coûter, comment on va le financer… Sans parler de l’entretien », continue l'ingénieur.

Sur ce point, l'historique des projets français ne plaide pas en faveur de cette idée de DNS. Son scepticisme est flagrant : « Compte-tenu de l’expérience de pas mal de projets informatiques publics ou semi-publics en France, il y a quand même un risque qu’une boite remporte un appel d’offres, que ça traine, qu’un truc marche à moitié, et au bout de quelques années tout est abandonné ou vendu aux Chinois. C’est un risque réel, donc j’aimerais connaître les mesures qui vont être prises cette fois pour éviter le même sort ».

Autre hypothèse, toujours sous un œil très critique, « c’est peut-être quelque chose qui a été balancé comme ça dans un programme et qui sera oublié, comme l’avait été l’OS souverain dans le précédent gouvernement. L’Assemblée nationale avait voté la création du Commissariat national au numérique et la réalisation d’un système souverain, et deux mois après c’était oublié ». L’ingénieur évoque aussi la piste marque blanche, avec une commande passée par la France à une entreprise américaine, qui pourrait éventuellement ouvrir une filiale dans l’Hexagone, « pour donner un aspect cocorico ».

Si l’éventuel futur gouvernement devait poursuivre dans cette voie, beaucoup auraient également à cœur de surveiller les potentiels objectifs « annexes », quand d'autres pourraient anticiper des dommages collatéraux. Bortzmeyer abonde : « C’est un gros risque effectivement. Filtrer pour combattre des logiciels malveillants, a priori tout le monde va être d’accord. Mais si on fait ça, on aura plus de mal par la suite à défendre l’idée de neutralité et à se défendre contre les pressions qu’il ne manquera pas d’y avoir pour filtrer les fake news, les violations de la propriété intellectuelle, etc. »

« Si Google et Cloudflare ne filtrent rien et qu’ils sont complètement neutres, ce n’est pas juste qu’ils sont gentils, c’est aussi parce que leur service juridique leur a dit : attention, si on ne filtre rien on peut dire qu’on est neutres, mais si on commence à filtrer on n’aura plus aucune excuse pour ne pas filtrer ceci et cela en plus », ajoute l’ingénieur.