LPM 2019-2025 : la neutralité du Net s’invite dans la lutte contre la cybercriminalité

Du DPI neutre 17
Accès libre
image dediée
Crédits : Marc Rees (CC-BY-SA 3.0)
Loi
Marc Rees

Le projet de loi de programmation militaire a été examiné en commission de la Défense, à l'Assemblée nationale. Une disposition cristallise les attentions : la mise en place de sondes chez les opérateurs. Sondes qui utilisent l'inspection profonde de paquets (DPI) à des fins de lutte contre la cybercriminalité. Plusieurs amendements ont été adoptés.

Le projet de loi de programmation militaire 2019-2025 sera examiné en séance à partir du 20 mars, durant une semaine à l’Assemblée nationale. Comme le veut la procédure parlementaire, le texte passe d’abord entre les mains des commissions. En commission de la Défense, qui est saisie au fond, mais également dans les commissions qui interviennent pour avis, à savoir la commission des affaires étrangères, des finances et celle des lois.

L’article 19 de la LPM, des sondes au DPI

L’article 19 est le socle d’une petite révolution en matière de lutte contre la cybercriminalité, puisque les opérateurs se voient reconnaître la possibilité de détecter des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés », et ce par le biais de marqueurs techniques.

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) disposera elle aussi de cette liberté, avec ses propres outils, qu’elle pourra installer chez ces opérateurs (notre présentation détaillée).

« Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI », ou deep packet inspection, nous avait relevé Guillaume Poupard, directeur de l’agence. Cela lors d’un entretien avec deux autres journalistes présents boulevard de la Tour Maubourg à Paris. Et pour cause, ces solutions sont pensées pour fouiller profondément les paquets, jusqu’aux pièces jointes des mails.

Pour tenter de prévenir tout emballement, le gouvernement a opté pour une solution pour le moins innovante, puisqu’il reviendra à l’Arcep « de veiller au respect par l’autorité nationale de sécurité des systèmes d’information des conditions d’application » des différentes dispositions de cet article de la LPM.

Une procédure pour cadrer et garantir l’intervention de l’Arcep

Ceci dit, plusieurs amendements ont été déposés en prévision des travaux. Quinze ont été adoptés. En commission de la Défense, le groupe des députés LREM a entendu accompagner la mission de contrôle de l’Arcep par une procédure adaptée, avec un accès complet aux données. Notons que le rapporteur, le député Jean-Jacques Briday, a déposé la même rustine adoptée aujourd’hui.

L’autorité de régulation avait exprimé son souhait de voir mieux « préciser les modalités de mise en œuvre de ce contrôle, tant en précisant le champ de ce contrôle qu’en définissant une gouvernance adaptée ». On peut donc voir dans ces amendements identiques un bel écho à l’avis dévoilé dans nos colonnes, suite à une demande de communication.

D’ailleurs, la même Arcep avait sollicité « une obligation d’information de l’Arcep par les opérateurs de la mise en œuvre des systèmes de détection prévus au présent projet d’article ». L’amendement étend cette obligation d’information sans délai aux informations détenues par l’ANSSI.

Dans cet autre amendement, le groupe LREM entend d'ailleurs contraindre les opérateurs à informer l’agence « des marqueurs techniques mis en place sur l’ensemble des réseaux », histoire de faciliter ses missions.

L’introduction du principe de neutralité du Net

Les députés de la France Insoumise comptaient contraindre l’ANSSI à remettre tous les trois mois un rapport d’information sur l’utilisation faite des données ainsi qu’un bilan des cyberattaques subies par la France. Un tel amendement, pensent-t-ils, « prévient la potentielle utilisation à des fins commerciales, ou sans rapport avec les enjeux nationaux de cybersécurité, des données personnelles directement utiles à la prévention des menaces recueillies par les opérateurs privés de communications électroniques ». Il a cependant été retiré.

La Nouvelle Gauche, elle, a voulu rappeler dans le marbre de la loi que les mesures de l’article 19 « respectent pleinement le principe de neutralité du Net et d’un Internet ouvert tel que défini » par le droit européen. Ce texte a été adopté en commission de la Défense méritera plus d'explication sur ses conséquences concrètes. 

On notera que pas un seul parlementaire n’a pensé à calquer ce rappel avec celui du secret des correspondances, pourtant crucial dès lors qu'on envisage un mécanisme capable de fouiller profondément dans les flux. 

Des données conservées finalement 10 ans

Remarquons qu’un autre amendement LREM a étendu la durée de conservation des données glanées par l’ANSSI. Dans le projet de loi initial, les données techniques utiles à la caractérisation des attaques, celles « recueillies directement par l’autorité nationale de sécurité des systèmes d’information » devaient être conservées cinq ans maximum. Avec leur correctif, ce délai est porté à 10 ans.

Le rapporteur LR a été sur la même longueur d’onde : « Une telle durée est suffisamment longue pour renforcer l'efficacité du dispositif, sans être déraisonnable s'agissant de données techniques. En effet, la "mémoire" et l'historique des évènements de sécurité passés sont essentiels à la prévention des cyber-attaques ». Ainsi, « plus la "bibliothèque" de données techniques sera fournie et accessible dans le temps, plus la résilience de notre système sera assurée ».

Jean-Jacques Briday a victorieusement injecté un amendement pour pénaliser les actions de blocage des opérateurs, FAI et hébergeurs, lorsque l’ANSSI viendra frapper à leur porte. « Est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait, pour un opérateur de communications électroniques ou ses agents (…) de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d’information, des dispositifs mentionnés au même alinéa dans les conditions prévues au même article » (et donc des sondes).

Le texte va maintenant poursuivre son chemin jusque dans l’hémicycle où là encore, des amendements pourront corriger, améliorer voire aggraver les dispositions examinées.


chargement
Chargement des commentaires...