Cybersécurité : l’Etat appelle les télécoms à la rescousse

Revue de Presse

L’article 19 du projet de loi de programmation militaire prévoit d’autoriser les opérateurs à surveiller ce qui transite sur leurs réseaux pour aider les autorités à détecter les cyberattaques. Une extension inédite de leurs prérogatives qui soulève des inquiétudes.

  • Cybersécurité  : l’Etat appelle les télécoms à la rescousse
    Faire des opérateurs télécoms des postes avancés de la détection des attaques informatiques, en les autorisant à surveiller ce qui transite sur leurs réseaux ; renforcer significativement les prérogatives de l’Agence nationale de la sécurité des systèmes d’information (Anssi), chargée de superviser la protection des réseaux de l’Etat et des « opérateurs d’importance vitale» (OIV), les entreprises jugées sensibles. C’est, en substance, ce que contient l’article 19 du projet de loi de programmation militaire (LPM), qui doit être examiné le 13 mars par la commission de la défense de l’Assemblée nationale, et débattu par les députés la semaine suivante. Une extension inédite du domaine de la cyberdéfense, qui soulève bien des interrogations. Objectif affiché : repérer, avant qu’elles ne fassent de gros dégâts, les vagues de logiciels malveillants – tels Wannacry et NotPetya, qui s’étaient répandus l’an dernier – ou les attaques dites par « déni de service distribué» (DDoS), qui consistent à saturer une cible par un afflux de connexions. En la matière, avancent les autorités, la France est à la traîne. « Ça me fait mal que ce soient des partenaires étrangers qui nous préviennent», lâchait en janvier, lors du Forum international de la cybersécurité (FIC) à Lille, le patron de l’Anssi, Guillaume Poupard – ajoutant qu’il préférait ne pas savoir comment ceux-ci étaient au courant…

Surveiller

Ces derniers mois, Poupard a d’ailleurs largement préparé le terrain, faisant état à plusieurs reprises de sa volonté de « travailler avec les opérateurs télécoms», qu’il s’agit de « rendre plus responsables». Comment ? En les autorisant à installer sur leurs réseaux des « dispositifs mettant en œuvre des marqueurs techniques à seule fin de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés». En clair, des sondes capables de repérer, dans les flux de données, des éléments caractéristiques d’une cyberattaque. Sont concernés les « opérateurs de communications électroniques» déclarés auprès de l’Arcep, le régulateur des télécoms. Soit les fournisseurs de téléphonie et d’accès à Internet, les exploitants de réseaux publics, mais aussi les fournisseurs de VPN (réseaux privés virtuels) ou encore les réseaux de diffusion de contenus (ou CDN), qui agissent comme des intermédiaires entre les internautes et certains sites web, pour améliorer les performances de ces derniers ou bloquer les attaques par déni de service.

En cas de « menace» sur les réseaux français, l’Anssi pourrait dès lors demander à ces acteurs d’utiliser, dans leurs outils de détection, ses propres informations – par exemple, l’adresse IP d’un attaquant. Les opérateurs seraient tenus d’avertir l’agence d’une alerte éventuelle, et pourraient se voir ordonner de prévenir leurs clients s’ils sont vulnérables, touchés, ou participent à leur insu à une attaque informatique. Le champ de l’article 19 ne s’arrête pas là, puisqu’il vient aussi modifier le code de la défense. Si l’agence a connaissance d’une menace informatique visant une administration ou un OIV, elle pourrait installer ses propres sondes de détection sur le réseau d’un opérateur de télécoms ou d’un hébergeur internet, « pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace». Selon l’étude d’impact qui accompagne le projet de loi, il s’agit de pouvoir surveiller l’activité de pirates informatiques « en amont du déclenchement d’une attaque»  : concrètement, écouter ce qui entre et sort d’un serveur identifié comme malveillant. Et à la suite d’une cyberattaque avérée contre un réseau sensible, opérateurs et hébergeurs seraient tenus de transmettre à l’Anssi les « données techniques pertinentes». Le tout sous le contrôle de l’Arcep – une première.

Or, le régulateur des télécoms a justement rendu sur le texte un avis pour le moins critique… Il s’interroge notamment sur la notion de « marqueur technique», et sur ce que les outils de détection installés par les opérateurs seraient amenés à analyser  : les seules « données techniques d’acheminement» (origine, destination, protocole utilisé…) ou, potentiellement, le contenu des communications ? Problème  : l’affaire est encore diablement floue.

« Consentement»

L’étude d’impact donne comme exemples de « marqueurs» l’adresse IP du serveur d’un attaquant, ou l’adresse web d’un site piégé. Du côté d’Orange Cyberdefense, qui travaille déjà sur ce type de dispositif et accueille donc avec enthousiasme une évolution législative, qui permettrait à l’opérateur historique de développer de nouvelles offres commerciales, on assure qu’il n’y a  « aucune volonté d’accéder au contenu». Mais lors d’un échange récent avec quelques journalistes, auquel participait Libération, le directeur de l’Anssi a aussi évoqué l’exemple des virus embarqués dans des pièces jointes de mail. Et n’a pas caché qu’il ne voulait pas « [s’]interdire d’aller plus loin» que les seules « métadonnées» (qui communique avec qui, où, quand, comment). De quoi provoquer les inquiétudes.

Certes, le texte limite les finalités des sondes à la cybersécurité, et précise que seules les données « directement utiles à la prévention des menaces» seront conservées, les autres étant « immédiatement détruites». Les limites sont aussi techniques  : analyser en temps réel des flux de données est coûteux en bande passante, explique à Libération Kavé Salamatian, professeur d’informatique à l’université de Savoie et spécialiste des réseaux. Lors du FIC, Guillaume Poupard assurait d’ailleurs qu’il était « hors de question de faire passer l’ensemble des flux à travers des sondes» et qu’il s’agissait de viser « certains flux plus critiques». Suffisant pour rassurer ? Pas certain. Coprésident de la fédération française des fournisseurs associatifs d’accès à Internet (FFDN), Benjamin Bayart juge qu’en tout état de cause, des dispositifs intrusifs ne peuvent pas être mis en œuvre « sans le consentement de l’utilisateur : on ne peut pas admettre la fin du secret des correspondances». Sans compter qu’une fois les outils techniques déployés, leurs finalités peuvent évoluer. « Les gouvernements et les lois changent», soulignait fin février dans Libération Alexandre Archambault, avocat spécialiste du numérique et ancien de Free, qui voit dans l’article 19 une « boîte de Pandore».

Maîtrise

La seconde partie de l’article, celle qui accorde de nouveaux pouvoirs à l’Anssi, est, elle, beaucoup plus claire, mais soulève d’autres questions épineuses. Avec le projet de texte, l’agence pourrait désormais utiliser ses propres sondes de détection chez un opérateur ou un hébergeur, lorsqu’elle remonte jusqu’à un attaquant après une intrusion dans un réseau sensible ou quand elle est « tuyautée» par un partenaire étranger. Aujourd’hui, elle ne peut légalement surveiller l’activité d’un serveur malveillant qu’avec l’accord de celui qui le loue – lequel peut être la victime d’un piratage, mais aussi l’attaquant lui-même. Or, les sondes de l’Anssi, utilisées pour sécuriser les réseaux de l’Etat, scannent bel et bien les contenus, sauf à être bloquées par le chiffrement (ou « cryptage») des communications. Celle-ci veut donc à la fois avoir les coudées franches – la procédure, purement administrative, échappe au cadre judiciaire – et rassurer en plaçant ses nouvelles prérogatives sous le contrôle de l’Arcep.

A lire aussi : Entre renseignement et cyberprotection, une frontière disputée

« C’est finalement, pour des objectifs différents, la même chose que les ‘boîtes noires’ (lire ci-contre) de la loi renseignement», juge Philippe Aigrain, l’un des fondateurs de l’association la Quadrature du Net, qui s’interroge sur l’efficacité du contrôle et sur les « divisions techniques» qui en auront la charge. Le régulateur des télécoms n’a d’ailleurs pas manqué, dans son avis, d’insister sur le sujet  : la mission qui lui serait confiée implique de prévoir « les ressources et l’expertise adéquates». De son côté, Benjamin Bayart souhaiterait voir figurer dans le texte des sanctions explicites, tant pour le contrôleur que pour le contrôlé, en cas de défaillance ou de sortie de route. La balle est désormais dans le camp des parlementaires. A tout le moins, le dispositif prévu par la LPM témoigne de la volonté des autorités de s’assurer une plus grande maîtrise des réseaux. Or, pour Kavé Salamatian, « si un Etat veut garantir la sécurité informatique, il n’a pas d’autre choix que d’aller vers un contrôle accru des opérateurs»… Le chercheur juge aussi que le texte a vocation à faire sortir l’Anssi du « statut de bras technique d’autres autorités» et « change la position des différents acteurs de l’Internet les uns vis-à-vis des autres». Reste à savoir à quel prix.

Source : liberation.fr (4 mars 2018)