Mozilla lance une pétition contre le projet de loi français de filtrage au niveau du navigateur

La fondation Mozilla alerte l'opinion au sujet d'un article du projet de loi visant à sécuriser et réguler l’espace numérique (SREN) qui « créerait un dangereux précédent et servirait de modèle à d’autres gouvernements pour à leur tour transformer les navigateurs en outils de censure gouvernementale. »

La Fondation Mozilla vient de lancer une pétition « pour empêcher la France d’obliger les navigateurs tels que Firefox de Mozilla à censurer des sites web directement au niveau du navigateur » :

«  Cette mesure créerait un dangereux précédent et servirait de modèle à d’autres gouvernements pour à leur tour transformer les navigateurs en outils de censure gouvernementale. »

Mozilla souligne cela dit que « le temps presse », à mesure que le gouvernement a déposé au Parlement son projet de loi visant à sécuriser et réguler l’espace numérique (SREN) « peu avant les vacances d’été et espère l’adopter aussi rapidement et discrètement que possible ; le gouvernement a même engagé la procédure accélérée, le vote devant avoir lieu à l’automne ».

• « Sécuriser et réguler » le numérique : ce que contient le projet de loi

Le projet de loi amendé et adopté, en première lecture, au Sénat, a été transmis début juillet à l'Assemblée.

Un précédent mondial qui nuira gravement à l’internet ouvert

Dans un billet de blog publié en juin intitulé « La proposition française de bloquer les sites web via le navigateur nuira gravement à l’internet ouvert mondial », Mozilla qualifiait ce projet de « tentative louable, mais périlleuse de lutter contre la fraude en ligne », obligeant les créateurs de navigateurs « à mettre en oeuvre une fonctionnalité technique relevant de la dystopie » : 

« L’article 6 du projet de loi SREN obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. »

Mozilla avançait que « pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement » : 

« Plutôt que d’imposer un blocage basé sur le navigateur, nous pensons que la législation devrait se concentrer sur l’amélioration des mécanismes existants déjà utilisés par les navigateurs – des services tels que Safe Browsing et Smart Screen. La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées. »

Mozilla déplorait en outre l'absence de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins : 

« En fait, la possibilité pour un gouvernement d’exiger qu’un certain site web ne s’ouvre pas du tout sur un navigateur/système est un terrain inconnu et même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.). »

À l'en croire, il s'agirait d' « un précédent mondial » qui, bien que cantonnée à ce jour aux seuls logiciels malveillants et à l’hameçonnage, « créera un précédent et donnera aux navigateurs la capacité technique de réaliser tout ce qu’un gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donnée, et ce, pour toujours » : 

« Un monde dans lequel les navigateurs peuvent être forcés d’incorporer une liste de sites web interdits au niveau logiciel qui ne s’ouvrent tout simplement pas, que ce soit dans une région ou dans le monde entier, est une perspective inquiétante qui soulève de sérieuses préoccupations en matière de liberté d’expression. Si cette loi est adoptée, le précédent qu’elle créerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type émanant d’autres gouvernements. »

Un « vide juridique national »

Après avoir rappelé les dispositifs judiciaires existants en matière de contenus haineux, pédopornographiques ou terroristes, de nature à altérer la sincérité des scrutins, portant atteinte aux droits d'auteur et aux droits voisins, les rapporteurs de la Commission spéciale sur le projet de loi visant à sécuriser et réguler l'espace numérique évoquent un « vide juridique national », s'appuyant sur l'étude d'impact du projet de loi :

« Il n'existe pas de précédent identifiable en droit français permettant de répondre à la préoccupation de lutter préventivement contre les actes de cybermalveillance visés par le dispositif et de façon aussi rapide et efficace que les modes opératoires standardisés, évolutifs et extrêmement réactifs des cybercriminels. »

Et ce, alors que la fréquentation de la plateforme Cybermalveillance.gouv.fr, opérée par le groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma), est en hausse avec 3,8 millions de visiteurs et plus de 280 000 parcours d'assistance en 2022. De son côté, la plateforme Pharos avait traité, en 2022, près de 90 000 demandes de retraits, plus de 4 000 de déréférencement, et 350 blocages.

Les rapporteurs soulignent que si la France ne dispose pas encore d'un dispositif national de filtrage des actes de cybermalveillance à destination du grand public, diverses solutions techniques ont été mises en oeuvre dans d'autres pays :

Des « fournisseurs de navigateurs sur Internet »...

Partant du constat que les actes de cybermalveillance sont en hausse et qu’il n’existe pas en France de dispositif national de filtrage des contenus sur Internet permettant de prévenir ces actes (usurpation d’identité, usage frauduleux d’un moyen de paiement, collecte frauduleuse de données à caractère personnel, etc.), l'article 6 du SREN vise ainsi à  instaurer un « filtre national de cybersécurité grand public ».

Objectif : permettre à la DGCCRF, l'Autorité de contrôle prudentiel et de résolution (ACPR), l'Autorité des marchés financiers (AMF), la sous-direction de la lutte contre la cybercriminalité de la police nationale, le commandement de la gendarmerie dans le cyberespace (COMCyberGend) et l'Agence nationale de la sécurité de systèmes d'information (ANSSI) d'envoyer aux fournisseurs d'accès à Internet et aux « fournisseurs de navigateurs sur Internet » (sic) les noms de domaines litigieux.

Les rapporteurs soulignent que le cybermalveillance.gouv.fr s'est proposé pour être l'opérateur technique de ce futur dispositif, dont le coût fixe de développement a été estimé à 1,115 million d'euros, « sans inclure les frais de maintenance pour les années à venir ».

Source : GIP Acyma

... comme Yahoo, Bing, Qwant

Ce dispositif national de cybersécurité grand public ciblerait « des actes de cybermalveillance bien identifiés » correspondant aux infractions suivantes :

• l'usurpation d'identité, c'est-à-dire « le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération » ;
• la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
• l'accès frauduleux à un système de traitement automatisé de données, y compris s'il en résulte la suppression ou la modification des données contenues dans le système ;
• l'usage frauduleux de moyens de paiement, c'est-à-dire « le fait, pour toute personne, de fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés » pour :
  • contrefaire ou falsifier un chèque ou un autre instrument de paiement ;
  • faire ou tenter de faire usage, en connaissance de cause, d'un chèque ou d'un autre instrument de paiement contrefait ou falsifié ;
  • accepter, en connaissance de cause, de recevoir un paiement au moyen d'un chèque ou d'un autre instrument de paiement contrefait ou falsifié.

Dans un premier temps, les « fournisseurs de navigateurs sur Internet (Google Chrome, Apple Safari, Mozilla Firefox, Microsoft Edge, Samsung Internet, Yahoo, Bing, Qwant, etc. » (re-sic) seraient tenus d'alerter leurs utilisateurs, pendant sept jours, de « toute mesure utile consistant à afficher un message avertissant l'utilisateur du risque de préjudice encouru en cas d'accès à cette adresse ».

Passés ces sept jours, l'autorité administrative pourra demander aux « fournisseurs de navigateurs sur Internet », d'accès à Internet (FAI) ou de systèmes de résolution de nom de domaine (DNS, tels que Cloudflare, Quad9, NextDNS, CleanBrowsing, etc.) de prendre, pour une durée maximale de trois mois, « toute mesure utile destinée à empêcher l'accès à l'adresse de ce service, et d'afficher un message avertissant les utilisateurs du risque de préjudice encouru lorsqu'ils tentent d'y accéder », à l'issue d'une procédure contradictoire, et sous réserves de plusieurs considérants :

• si le constat de l'infraction est toujours valable,
• si l'éditeur en cause n'a pas transmis ses observations dans le délai imparti ou 
• s'il n'a pas mis à disposition les informations nécessaires pour le contacter.

Sur avis conforme de la personnalité qualifiée de la CNIL

Au-delà, la mesure pourra être prolongée pour une durée de six mois, « renouvelable une fois pour la même durée », sur « avis conforme » de la personnalité qualifiée au sein de la Commission nationale pour l'informatique et les libertés (CNIL).

Chargée de s'assurer « du caractère justifié des mesures et des conditions d'établissement, de mise à jour, de communication et d'utilisation de la liste des adresses électroniques concernées », la personnalité qualifiée pourra en outre, et à tout moment, « enjoindre à l'autorité administrative de mettre fin aux mesures qu'elle a prises ».

Les éditeurs des services de communication au public en ligne en cause pourront, de leur côté, saisir d'un recours cette personnalité qualifiée. Leur recours étant suspensif, le blocage de l'accès aux services concernés sera dès lors suspendu pendant le temps de l'instruction.

Interrogée par la Commission spéciale, Marie-Laure Denis, présidente de la Cnil, explique que le gardien des données personnelles «  approuve le souhait du Gouvernement de renforcer la protection de l'internaute contre les risques cyber via l'affichage d'un message dans leur navigateur lorsqu'il accède à un site comportant des risques ».

Elle souligne néanmoins que le nombre potentiel de sites cybermalveillants serait « de l'ordre de 300 000 par an », que « le contrôle de ces sites constituera donc un défi considérable qui implique des moyens adéquats » et que, « concrètement, la CNIL est susceptible de recevoir des notifications concernant peut-être 1 000 adresses par jour ».

S'agissant des modalités techniques de déploiement de ce filtre, la Commission s'est par ailleurs déclaré favorable à ce que le filtrage soit réalisé au sein du navigateur Internet, « donc sous la responsabilité de l'internaute, préservant ainsi sa liberté de communication », et que l'activation du dispositif au niveau des fournisseurs d'accès à Internet (FAI) et des systèmes de résolution des noms de domaine (DNS) soit réservée aux cas les plus graves.

Un an d'emprisonnement et 250 000 euros d'amende

« Afin de rendre ce dispositif plus opérationnel, plus facilement compréhensible par les opérateurs qui seront chargés de sa mise en oeuvre, de renforcer le niveau de protection des citoyens en ligne [et] de responsabiliser l'ensemble des intermédiaires techniques et des opérateurs concernés », la commission spéciale a en outre adopté une dizaine d'amendements, émanant du rapporteur Patrick Chaize (LR) et qui :

• facilite la constatation des infractions visées, et donc le déclenchement du filtre anti-arnaques par les autorités administratives compétentes ;
• prévoit une procédure de mise en demeure des éditeurs de services de communication en ligne considérés comme frauduleux au lieu d'une procédure d'information, car le déclenchement du dispositif fait suite à la constatation d'une ou plusieurs infractions ;
• précise que ce sont les adresses électroniques qui doivent être notifiées ;
• précise que le message d'avertissement à l'attention des internautes doit être clair, lisible, compréhensible, unique et permettre le renvoi vers la plateforme Cybermalveillance.gouv.fr, dans un double objectif de sensibilisation accrue aux escroqueries en ligne et d'harmonisation de l'information présenté aux internautes ;
• prévoit également que les mesures de blocage ordonnées par voie administrative doivent être prises sans délai ;
• oblige les autorités administratives compétentes à tenir une liste des adresses électroniques permettant l'accès à des sites ayant fait l'objet d'une mesure de blocage, afin qu'elles puissent évaluer, à l'issue de la durée de blocage, si un nouvelle mesure de blocage est nécessaire ;
• applique la peine d'un an d'emprisonnement et de 250 000 euros d'amende à l'ensemble des intermédiaires techniques mobilisés dans le déploiement du dispositif, afin qu'ils soient tous responsabilisés de la même façon.

Adopté le 5 juillet en première lecture au Sénat, le texte a été transmis à l'Assemblée, qui n'a pas encore fixé l'agenda de sa discussion.