Le projet de loi de programmation militaire 2024-2030 prévoit d’élargir considérablement les pouvoirs de l’ANSSI. Parmi ceux-ci, la capacité de bloquer les DNS pour les sites jugés malveillants. Vinton Cerf et d’autres figures importantes de l’Internet ont publié une lettre ouverte invitant les parlementaires français à lever le pied sur le sujet.
La nouvelle loi de programmation militaire (LPM) a été dévoilée début avril. Elle doit encore être votée, mais le projet a dévoilé de nombreux changements à venir pour l’ANSSI (Agence nationale de la sécurité des systèmes d'information), dont les pouvoirs d’action seraient largement étendus, notamment pour mieux lutter contre tout ce qui touche aux cyberattaques.
Parmi les nouveaux outils de lutte, on en retient surtout plusieurs. D’une part, l’ANSSI pourra exiger d’un site (plus spécifiquement du titulaire d’un nom de domaine) impliqué dans une attaque « de prendre, dans un délai qu’elle lui impartit, les mesures adaptées pour neutraliser la menace ».
Elle pourra surtout « ordonner aux hébergeurs et aux FAI de mettre en œuvre une mesure de blocage, ou enjoindre aux registres et bureaux d’enregistrement de suspendre le nom de domaine ». Le trafic pourra également être redirigé vers un serveur géré par l’ANSSI (pour une durée maximale de deux mois), qui aura la capacité de réclamer le nom de domaine. L’Agence aura donc le pouvoir d’imposer des modifications sur les serveurs DNS.
Même si d’autres points importants sont abordés par la loi, surtout dans ses articles 33 et 34 (notamment la récupération de « données techniques de cache » de serveurs DNS, et l’obligation pour un éditeur de logiciel de communiquer à l’ANSSI et aux clients quand elle subit une attaque ou détecte une vulnérabilité critique dans un produit), c’est ce pouvoir sur les serveurs DNS qui fait tiquer.
Dans une lettre ouverte publiée le 23 juin, Vinton Cerf, cocréateur du protocole TCP/IP, a réuni autour de lui plusieurs personnalités de l’Internet et de la technique, dont Stephen Crocker, ancien président de l’ICANN, Mirja Kühlewind et Mallory Knodel de l’Internet Architecture Board, le polytechnicien David Schinazi, Alexis Hancock de l’Electronic Frontier Foundation (EFF) ou encore Erik Kline, l’un des directeurs de l’Internet Engineering Task Force (IETF). Objectif, alerter des dangers d’une telle loi.
La France doit montrer l’exemple
Le ton général se veut compréhensif face à ces projets de loi : « L’intention de ces lois est explicitement de fournir des outils aux autorités de cybersécurité, comme l’ANSSI, pour combattre la diffusion des rançongiciels et la menace de cyberespionnage contre les organisations françaises ».
Le ton prend cependant vite un autre tournant. Les auteurs se disent « profondément inquiets », car ils estiment que ces mesures feront peu pour les problèmes auxquelles elles doivent s’attaquer, « tout en créant et exacerbant incidemment d’autres sources de risques ». En outre, le projet étant en préparation en France, il pourrait inspirer d’autres juridictions « démocratiques et non démocratiques », avec des « implications globales pour la sécurité et la liberté en ligne ».
Surtout, ce projet de loi aurait de lourdes implications sur le système des noms de domaine. Il arrive ainsi que des gouvernements offrent des « DNS protégés », permettant à des entreprises privées de profiter d’un DNS filtré, opéré par les agences nationales. Mais ce mécanisme est volontaire et se fait au cas par cas, la lettre ouverte évoquant des « implications territoriales » et le risque « immense » de débordement par les gouvernements.
Selon les auteurs, le projet de loi de programmation militaire revient à renverser la vapeur. Même si les intentions sont bonnes, « l’infrastructure conçue pour combattre la fraude en ligne, les rançongiciels et les attaques de botnets pourrait être tout aussi simplement adaptée pour supprimer les dissensions internes, censurer l’information extérieure et surveiller les dissidents et journalistes ». D’ailleurs, « un certain nombre de gouvernements autoritaires appliquent déjà une large censure à Internet sous couvert de cybersécurité ».
Une solution inutile et dangereuse
La lettre rappelle que le sujet n’est pas nouveau : l’ICANN en parlait il y a plus d’une décennie. Les auteurs mettent donc en garde : « Le blocage DNS ne retire pas le contenu illégal ou malveillant d’Internet. Il empêche seulement les serveurs DNS d’y rediriger les internautes. Les utilisateurs motivés peuvent aisément contourner le blocage DNS en changeant de fournisseur DNS […], en lançant leur propre résolveur DNS, en se rendant directement vers l’adresse IP sans passer par le DNS, ou simplement en utilisant un VPN […] ».
Pour illustrer le propos, la lettre indique que 21 % des internautes en France se servent d’un résolveur ouvert. C’est là que se situe un gros problème : le projet de loi ne fait pas la distinction entre les résolveurs des fournisseurs d’accès et les résolveurs ouverts, de sorte que pour se mettre en conformité avec la loi, ces derniers devraient appliquer le blocage de manière globale. Et même si l’ANSSI n’utiliserait ce blocage que dans un objectif de cybersécurité, le mécanisme serait là pour être utilisé plus tard pour d’autres buts, ou inspirant les régimes totalitaires.
Quelle solution dès lors ? Le blocage des connexions HTTP/HTTPS et de l’adresse IP, qui a déjà fait ses preuves selon les auteurs. Le périmètre d’action serait limité à la France, dont les autorités pourraient travailler avec les registraires pour faire tomber les noms de domaine incriminés. Les auteurs de la lettre notent d’ailleurs que ce type de procédure existe déjà… pour les détenteurs de droits d’auteur.
Navigateurs, centres de données, même combat
La lettre ouverte pointe également les articles 6 et 35. Le premier imposerait aux navigateurs d’afficher une alerte pour tout site signalé par l’ANSSI. Les auteurs pointent les mêmes dangers que pour le blocage DNS, dont la répercussion à l’ensemble des internautes dans le monde.
L’article 35 est jugé encore plus dangereux, puisque l’ANSSI pourrait installer des « marqueurs matériels et logiciels dans les centres de données, permettant la collecte de données utilisateurs ». En clair, l’ANSSI aurait la capacité d’installer des outils de surveillance de masse. La lettre pointe à ce titre que cette mesure semble en conflit avec la loi européenne, la déclaration de l’OCDE sur l’accès aux données personnelles par le secteur privé, ou encore le jugement rendu dans l’affaire Schrems II.
Les auteurs soulignent un autre danger : les techniciens auraient potentiellement plus de mal à répondre aux incidents dans les centres de données, car la présence de ces « marqueurs » impliquerait le gouvernement français, nécessitant potentiellement son accord, ou tout du moins un accompagnement technique. Or, ces incidents doivent être résolus très rapidement.
La solution proposée serait simplement de s’assurer que les demandes parviennent vite aux propriétaires d’infrastructures, qui auraient alors les mains libres pour appliquer une solution. La lettre indique que ces entreprises ont le plus souvent une structure pour centraliser les demandes gouvernementales et répondre aux requêtes de données dans le cadre des enquêtes cybercriminelles.
Quant à l’article 34, qui forcerait les éditeurs de logiciels à communiquer immédiatement à l’ANSSI et aux clients en cas de découverte d’une importante vulnérabilité, la mesure est considérée comme contre-productive. La période avant publication d’une solution est considérée comme critique, et toute communication « responsable » se fait en évitant autant que possible la fuite de détails. Dans le cas contraire, cela revient à donner aux cybercriminels des armes qui auront le temps de nuire avant que le correctif soit proposé.
Un sujet déjà ancien
Sur Twitter, l’ingénieur Stéphane Bortzmeyer a rappelé que ce type de discussion n’est pas neuf, loin de là. En 2013, l’Afnic donnait déjà son avis sur la question et la conclusion était claire :
« Il ressort de l’étude du conseil scientifique de l’Afnic que le filtrage DNS est une technique qui permet théoriquement de relocaliser au niveau d’un pays, ou d’un opérateur télécom, la décision d’autoriser ou d’interdire l’accès à un nom de domaine. Toutefois, le contournement de ces mesures est techniquement simple.
L’adoption de technologies comme DNSSEC pourrait également être perturbée. Enfin, les mesures prônées habituellement pour renforcer la confiance sur les sites de commerce électronique, notamment la vérification de l’URL dans la barre du navigateur, verraient leur efficacité atténuée.
Ainsi, les effets collatéraux de la mise en place à grande échelle du filtrage DNS sont importants sur la sécurité de l’Internet. Ses effets pourraient affaiblir durablement les repères de confiance sur lesquels les utilisateurs s’appuient aujourd’hui. »
Nous avons contacté l’ANSSI en vue d’une réaction, sans réponse pour l’instant.
