LPM 2019-2025 : la neutralité du Net s’invite dans la lutte contre la cybercriminalité

LPM 2019-2025 : la neutralité du Net s’invite dans la lutte contre la cybercriminalité

Du DPI neutre

Avatar de l'auteur
Marc Rees

Publié dans

Droit

14/03/2018 6 minutes
17

LPM 2019-2025 : la neutralité du Net s’invite dans la lutte contre la cybercriminalité

Le projet de loi de programmation militaire a été examiné en commission de la Défense, à l'Assemblée nationale. Une disposition cristallise les attentions : la mise en place de sondes chez les opérateurs. Sondes qui utilisent l'inspection profonde de paquets (DPI) à des fins de lutte contre la cybercriminalité. Plusieurs amendements ont été adoptés.

Le projet de loi de programmation militaire 2019-2025 sera examiné en séance à partir du 20 mars, durant une semaine à l’Assemblée nationale. Comme le veut la procédure parlementaire, le texte passe d’abord entre les mains des commissions. En commission de la Défense, qui est saisie au fond, mais également dans les commissions qui interviennent pour avis, à savoir la commission des affaires étrangères, des finances et celle des lois.

L’article 19 de la LPM, des sondes au DPI

L’article 19 est le socle d’une petite révolution en matière de lutte contre la cybercriminalité, puisque les opérateurs se voient reconnaître la possibilité de détecter des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés », et ce par le biais de marqueurs techniques.

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) disposera elle aussi de cette liberté, avec ses propres outils, qu’elle pourra installer chez ces opérateurs (notre présentation détaillée).

« Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI », ou deep packet inspection, nous avait relevé Guillaume Poupard, directeur de l’agence. Cela lors d’un entretien avec deux autres journalistes présents boulevard de la Tour Maubourg à Paris. Et pour cause, ces solutions sont pensées pour fouiller profondément les paquets, jusqu’aux pièces jointes des mails.

Pour tenter de prévenir tout emballement, le gouvernement a opté pour une solution pour le moins innovante, puisqu’il reviendra à l’Arcep « de veiller au respect par l’autorité nationale de sécurité des systèmes d’information des conditions d’application » des différentes dispositions de cet article de la LPM.

Une procédure pour cadrer et garantir l’intervention de l’Arcep

Ceci dit, plusieurs amendements ont été déposés en prévision des travaux. Quinze ont été adoptés. En commission de la Défense, le groupe des députés LREM a entendu accompagner la mission de contrôle de l’Arcep par une procédure adaptée, avec un accès complet aux données. Notons que le rapporteur, le député Jean-Jacques Briday, a déposé la même rustine adoptée aujourd’hui.

L’autorité de régulation avait exprimé son souhait de voir mieux « préciser les modalités de mise en œuvre de ce contrôle, tant en précisant le champ de ce contrôle qu’en définissant une gouvernance adaptée ». On peut donc voir dans ces amendements identiques un bel écho à l’avis dévoilé dans nos colonnes, suite à une demande de communication.

D’ailleurs, la même Arcep avait sollicité « une obligation d’information de l’Arcep par les opérateurs de la mise en œuvre des systèmes de détection prévus au présent projet d’article ». L’amendement étend cette obligation d’information sans délai aux informations détenues par l’ANSSI.

Dans cet autre amendement, le groupe LREM entend d'ailleurs contraindre les opérateurs à informer l’agence « des marqueurs techniques mis en place sur l’ensemble des réseaux », histoire de faciliter ses missions.

L’introduction du principe de neutralité du Net

Les députés de la France Insoumise comptaient contraindre l’ANSSI à remettre tous les trois mois un rapport d’information sur l’utilisation faite des données ainsi qu’un bilan des cyberattaques subies par la France. Un tel amendement, pensent-t-ils, « prévient la potentielle utilisation à des fins commerciales, ou sans rapport avec les enjeux nationaux de cybersécurité, des données personnelles directement utiles à la prévention des menaces recueillies par les opérateurs privés de communications électroniques ». Il a cependant été retiré.

La Nouvelle Gauche, elle, a voulu rappeler dans le marbre de la loi que les mesures de l’article 19 « respectent pleinement le principe de neutralité du Net et d’un Internet ouvert tel que défini » par le droit européen. Ce texte a été adopté en commission de la Défense méritera plus d'explication sur ses conséquences concrètes. 

On notera que pas un seul parlementaire n’a pensé à calquer ce rappel avec celui du secret des correspondances, pourtant crucial dès lors qu'on envisage un mécanisme capable de fouiller profondément dans les flux. 

Des données conservées finalement 10 ans

Remarquons qu’un autre amendement LREM a étendu la durée de conservation des données glanées par l’ANSSI. Dans le projet de loi initial, les données techniques utiles à la caractérisation des attaques, celles « recueillies directement par l’autorité nationale de sécurité des systèmes d’information » devaient être conservées cinq ans maximum. Avec leur correctif, ce délai est porté à 10 ans.

Le rapporteur LR a été sur la même longueur d’onde : « Une telle durée est suffisamment longue pour renforcer l'efficacité du dispositif, sans être déraisonnable s'agissant de données techniques. En effet, la "mémoire" et l'historique des évènements de sécurité passés sont essentiels à la prévention des cyber-attaques ». Ainsi, « plus la "bibliothèque" de données techniques sera fournie et accessible dans le temps, plus la résilience de notre système sera assurée ».

Jean-Jacques Briday a victorieusement injecté un amendement pour pénaliser les actions de blocage des opérateurs, FAI et hébergeurs, lorsque l’ANSSI viendra frapper à leur porte. « Est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait, pour un opérateur de communications électroniques ou ses agents (…) de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d’information, des dispositifs mentionnés au même alinéa dans les conditions prévues au même article » (et donc des sondes).

Le texte va maintenant poursuivre son chemin jusque dans l’hémicycle où là encore, des amendements pourront corriger, améliorer voire aggraver les dispositions examinées.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L’article 19 de la LPM, des sondes au DPI

Une procédure pour cadrer et garantir l’intervention de l’Arcep

L’introduction du principe de neutralité du Net

Des données conservées finalement 10 ans

Commentaires (17)


La mise au pas de la population en macronie continue…


C’est quelque chose qui est en cours depuis bien avant son élection, donc bon…



Et puis le DPI c’est bien beau, mais sur des connexions chiffrées on peut détecter quoi au final ? A part que telle IP parle à telle autre IP…


Plein de choses. La longueur du message est un indicateur notamment. Sans remplissage (“padding”), et selon le protocole, il est parfois trivial de retrouver les données (par exemple avec le DNS).


Il n’y a pas des métas qui sont obligatoirement en clair pour que le message puisse être acheminé ? Il me semblait avoir lu un article disant cela (je me trompe peut-être).


D’abord la cybercriminalité puis après la lutte contre le piratage.

(et puis en soi, le tipiakage est déjà une forme de cybercriminalité)



C’est beau le progrès.


Le sous-titre&nbsp;&nbsp; …&nbsp;&nbsp; !&nbsp; <img data-src=" />



En clair et si je lis bien entre les lignes, on analyse tout, tout le temps et on conserve tout pendant 10 ans !

YOUPIII !


Ce serait marrant de regarder la corrélation entre la montée en puissance de la surveillance généralisée, et le prix d’un Go de stockage. Parceque pour stocker 10 années de flux, avec des flux qui s’intensifient, il va en falloir du disque dur. Puis j’espère qu’ils se font rembourser la taxe copie privée!


Concernant les hébergeurs ayant leur siège en france mais des datacenters hors de france, les « sondes » vont-elles être installées dans les datacenters non présents sur le sol français ?


Il ne s’agit pas des hébergeurs mais des opérateurs qui eux sont bien sur le sol français.








fred42 a écrit :



Il ne s’agit pas des hébergeurs mais des opérateurs qui eux sont bien sur le sol français.






Oui mais avec plus de 2500 opérateurs (gros et petits) déclarés à l'ARCEP, ça va en faire de la 'sonde'&nbsp; à déployer.     



Sans compter que les gros vont être obligés d’avoir de ‘grosses sondes’ pour nous sonder, il va en falloir des Po de disques pour garder tout ça pendant 10 ans&nbsp;&nbsp;&nbsp; …



Blanc sur bleu ? À part éclater les yeux gratuitement…


Mais certains hébergeurs sont devenus opérateurs, comme OVH, dans ce cas des sondes seront-elles installées ? si oui, inspecteront-elles les flux venant uniquement de la partie opérateur ?


Quid des fournisseurs d’accès à Internet associatifs ? Ils vont pas aimer devoir mettre des sondes de ce genre …


Donc si on fait une petite analogie avec la poste, l’Etat s’autorise ouvrir le courrier de tout le monde, et à en conserver une copie pendant 10 ans, le tout sous couvert de protéger les destinataires des arnaques et des colis piégés qu’ils pourraient recevoir. Charmant…



Ça va jamais passer le conseil constitutionnel, ce genre de trucs (enfin, j’espère)


Seules les données techniques utiles à la caractérisation des attaques, celles « recueillies directement par l’autorité nationale de sécurité des systèmes d’information » seront conservées.



Il ne s’agit pas de conserver toutes les données vues par les sondes. Donc, inutile d’investir dans les sociétés qui font des disques comme le fantasment certains.


D’accord, mais reconnais que la frontière est mince. Et surtout, elle n’est pas décrite précisément dans le projet de loi, a priori.



Parce que je doute que les métadonnes soient suffisantes : si on prend le cas d’une campagne de phishing, analyser et conserver uniquement les métadonnées du mail (sans le sujet, le contenu, etc.) ne sera pas très utile pour détecter que c’est bien du phishing.

&nbsp;

Il faudra forcément mettre le nez dans le contenu. Et là, je ne vois pas trop comment ça peut respecter le secret des correspondances…


(14) « Les agents de l’autorité nationale de sécurité des systèmes d’information sont autorisés, aux seules fins de caractériser la menace affectant les systèmes d’information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332‑1 et L. 1332‑2, à procéder au recueil et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation.



(15) « Les données recueillies autres que celles directement utiles à la prévention des menaces sont immédiatement détruites.



(16) « Les données techniques utiles à cette caractérisation, recueillies directement par l’autorité nationale de sécurité des systèmes d’information en application du premier alinéa ou obtenues en application du deuxième alinéa de l’article L. 2321‑3 ne peuvent être conservées plus de cinq ans. » ;



Je ne sais pas ce qu’il te faut !



C’est le 16 qui est modifié en passant de 5 à 10 ans.



Par contre, il ne s’agit pas uniquement des métadonnées. On est dans le DPI, donc on scrute tout.



Et pour le secret des correspondances, il est déjà soumis à des exceptions.