Devant l’Assemblée nationale, l’État prépare son arsenal informatique

Beat ze Bit 34
Par
le mercredi 13 novembre 2013 à 13:00
Marc Rees

Le projet de loi de programmation militaire entre en discussions à l’Assemblée nationale. Il programme différentes mesures touchant aux nouvelles technologies. En voici un condensé, tel que présenté en Commission des lois.

pailloux anssi

Patrick Pailloux (directeur général de l'ANSSI) aux Assises de Monaco

Avec ce projet de loi, les services de renseignement du ministère de la Défense et ceux du ministère du Budget pourront dorénavant accéder aux sept fichiers administratifs (immatriculation, carte nationale d’identité, passeports, etc.) dès lors que sont mises en avant des « atteintes aux intérêts fondamentaux de la Nation ». « En l’état du droit, l’accès des services de renseignement du ministère de la Défense aux fichiers reste limité à la seule lutte contre le terrorisme » regrette la Commission des lois qui approuve cette extension. Le dispositif s'intéresse d'ailleurs de près à ces longs listings. 

Des fichiers, des fichiers, des fichiers

Dans le même sens, les services du renseignement pourront aussi scruter les fichiers relatifs aux passagers aériens dès lors que ses intérêts sont en jeux.

Ce n'est pas tout : à titre expérimental, le gouvernement va créer un nouveau traitement relatif aux données des transporteurs aériens (fichier de données PNR pour « Passenger name record »), afin d’anticiper le futur vote d’une directive européenne. Police, gendarmerie et les services de renseignement auront alors le droit dans certains cas (criminalité organisée, terrorisme, atteintes aux intérêts fondamentaux de la Nation) de puiser dans ces fiches qui enregistreront « l’ensemble des vols à destination et en provenance du territoire national, à l’exception des vols reliant deux points de la France métropolitaine. »

Cette consultation se fera de manière indirecte puisqu’une unité de gestion sera chargée de la collecte et de vérifier exactitude des informations stockées. Ce fichier est temporaire, il est programmé pour l’instant jusqu’au 31 décembre 2017. En commission des lois, une limite supplémentaire a été posée avec un amendement qui exclut du traitement les données sensibles, celles « susceptibles de révéler l’origine ethnique d’une personne, ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, ou les données qui concernent la santé ou la vie sexuelle de l’intéressé. »

Le ministère de la Défense va aussi pouvoir accéder directement aux fichiers de police judiciaire dans le cadre des enquêtes administratives (fichiers des antécédents judiciaires). Depuis la loi LOPPSI de 2003, il est déjà possible pour la police ou la gendarmerie de réaliser des enquêtes administratives afin de « vérifier, préalablement à un recrutement, une affectation, un agrément ou une autorisation, que la personne concernée a eu un comportement compatible avec l’exercice des fonctions envisagées ». Pour mémoire, ces fichiers servent de base au système de traitement des infractions constatées (STIC), du fichier JUDEX ainsi que du traitement d’antécédents judiciaires (TAJ) qui doit remplacer ces deux fichiers. Le projet de loi de programmation militaire veut donc autoriser la consultation de ces fichiers par des agents habilités au sein des services spécialisés de renseignement au sein du ministère de la Défense. « Les agents des services de renseignement du ministère de la Défense peuvent (…) avoir besoin de s’assurer de l’honorabilité de personnes susceptible d’exercer des fonctions sensibles ou accéder à des informations protégées par le secret de la défense nationale. »

Ajoutons encore l’article 12 du projet de loi, avec lequel les services du ministère de la Défense accèderont aux fichiers de police judiciaire toujours dans le cadre des enquêtes administratives, mais cette fois pour l’exercice de missions ou d’interventions (mission de protection des personnels du ministère).

Des données sollicitées en temps réel

L’article suivant veut clarifier, mais surtout autoriser le transfert de données en temps réel. Actuellement, les services de renseignement peuvent obtenir communication des fadettes (factures détaillées) pour retracer la localisation des personnes dans le cadre de la lutte anti-terroriste à partir des données « conservées » par les opérateurs et « donc après l’utilisation d’un téléphone portable, rendant impossible le suivi en temps réel d’une « cible » des services. »

Avec cette disposition déjà votée au Sénat, des agents habilités de la sécurité intérieure, de la Défense, de l’Économie et du Budget pourront, dans le cadre de :

  • La recherche de renseignements intéressant la sécurité nationale,
  • La sauvegarde d'éléments essentiels du potentiel scientifique et économique de la France,
  • La prévention du terrorisme, de la criminalité et de la délinquance organisée, etc.

solliciter des opérateurs la communication en temps réel toute une panoplie de données :

  • Des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique
  • Dont les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communication électronique,
  • Le recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée,
  • Les données relatives à la localisation des équipements terminaux utilisés
  • Les données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications

« Ce nouveau dispositif serait mis en œuvre sur autorisation du premier ministre, prévient la Commission des lois, sur la base d’une demande écrite et motivée des ministres en charge de la sécurité intérieure, de la défense, de l’économie et du budget (ou des personnes que chacun d’eux aura spécialement désignées), pour une durée maximale de dix jours. Elle peut être renouvelée dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission Nationale de Contrôle des Interceptions de Sécurité ».

Toujours en commission des lois, un amendement du rapporteur a été adopté afin d’allonger cette autorisation de 10 jours à quatre mois. « En effet, le procédé de géolocalisation s'avérant moins intrusif dans la vie privée qu'une interception de sécurité, il serait curieux que la durée d’utilisation soit plus courte pour ce mode d’intervention. »

Contre les cybermenaces

Le texte prévoit encore toute une panoplie de mesures afin de protéger les infrastructures vitales contre les « cybermenaces » (services de télécommunications, centrales nucléaires, systèmes financiers, etc.). Ces mesures seront placées sous la responsabilité du premier ministre lequel sera chargé de définir et coordonner la sécurité et la défense des systèmes d’information. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est consacrée autorité nationale de défense des systèmes d’information.

Ainsi, l’État pourra « prendre des mesures de lutte informatique défensive en cas d’attaque informatique portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation », sans être susceptible d’être condamné pour piratage informatique. L’ANSSI pourra ainsi détenir et étudier des logiciels susceptibles de porter atteinte aux systèmes de traitement automatisé de données. Sans l’autorisation de l’auteur, elle sera en droit d’observer, étudier ou tester le fonctionnement d’un logiciel et sa sécurité.

L’Agence pourra aussi pénétrer ces systèmes, alors que ces opérations tombent aujourd’hui sous le coup du Code pénal. « Les services de l’État peuvent avoir besoin d’accéder aux systèmes à l’origine de l’attaque pour rechercher des données permettant de comprendre le fonctionnement de l’attaque informatique », explique la Commission des lois à l’Assemblée nationale.

De nouvelles obligations pour les opérateurs d’importance vitale

Comme exposé à Monaco par l'ANSSI, les 250 opérateurs d’importance vitale (OVI) verront peser sur leurs épaules de nouvelles obligations en matière de sécurité et de défense des systèmes d’information. Ce sont des opérateurs « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Le premier ministre pourra les obliger, via l’ANSSI, à prendre mieux protéger leurs systèmes, à leurs frais. Ils seront tenus de signaler sans délai leurs incidents informatiques (voir notre actualité). En outre, l’État aura la possibilité de les auditer voire, en cas de crise informatique majeure, de les contraindre à prendre « les mesures techniques nécessaires à la protection des systèmes d’information. »

Équipements informatiques sensibles

En France, « l’article 226-3 du Code pénal soumet à autorisation les appareils conçus pour porter atteinte au secret des correspondances ». Problème, selon la Commission des lois, « de plus en plus d’équipements de réseau, sans être des moyens d’interception, possèdent des fonctions qui pourraient être utilisées pour intercepter le trafic du réseau ». Le projet de loi étend donc ce régime d’autorisation aux logiciels simplement « susceptibles » de permettre ces opérations.

Accès aux coordonnées des utilisateurs pour les besoins de la sécurité informatique

Les agents habilités et assermentés de l’agence nationale de sécurité des systèmes d’information (ANSSI) pourront enfin « obtenir des opérateurs de communications électroniques l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information afin de les alerter sur la vulnérabilité ou la compromission de leur système. »

Ces agents pourront se voir délivrer les données de connexion « pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé » dès lors qu’est en jeu la sécurité des systèmes d'information de l'État et des opérateurs d’infrastructure vitale.


chargement
Chargement des commentaires...