Le Web vibre ces derniers temps contre le projet de Loi du gouvernement dont on peut suivre l’actualité sur Twitter via le hashtag #PJLRenseignement, qui imposerait aux hébergeurs et FAI (Fournisseurs d’Accès Internet) de s’équiper d’une « boite noire » qui pourrait enregistrer toutes les communications numériques des citoyens, à tout instant.
Comme nous l’avons exposé lors de nos deux précédents articles, ce projet sera inefficace, dangereux pour l’économie numérique et également très complexe à mettre en place.
De surcroit, comme le disait Benjamin Franklin, « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »
Cette atteinte massive à la liberté des communications et d’échanger sous seing privé rappelle par ailleurs ce qu’ont pu mettre en place de nombreux régimes politiques pour contrôler leurs populations, avec les conséquences qui s’en sont suivies. Par ailleurs, récemment encore, de nombreux faits d’écoute, à la légalité contestée, ont émaillé l’actualité et contribué à l’animation des cours de Justice.
Il est bien entendu que personne ne soutient le terrorisme ici. Nous sommes enclins à aider la justice et souhaitons que les hébergeurs soient inclus dans ce processus. Mais à l’inverse, l’écoute systématique n’est pas une solution viable ou acceptable pour autant. Et l’installation d’équipement « sauvage », « fantôme », que l’hébergeur ne peut contrôler lui-même met en péril l’activité de ce dernier et la sécurité de ces clients.
Les principaux obstacles que nous identifions sont :
– Le systématisme « sans tri » des opérations d’écoutes
– L’absence des juges dans le processus d’autorisation ou non d’une écoute
– La mise en place d’un dispositif et matériel non contrôlé, dont le niveau de sécurité est inconnu et dont l’installation est opérée par un tiers au sein d’un réseau de confiance
– Le coût pharaonique de l’opération pour un résultat inutile
Par ailleurs, le secret des correspondances et le droit à la vie privée sont des articles de notre Code Civil (9 et 10) et sont défendus très clairement dans l’article 8 de la Convention européenne des droits de l’Homme. Le projet tel qu’il est présenté aujourd’hui est lui-même très proche de la violation de ces articles.
Offrir une critique sans solution n’est pas dans nos habitudes, aussi aimerions-nous formuler une contre-proposition qui permette de résoudre ces points clefs.
Une solution technique plus réaliste, sécurisée et moins coûteuse
Chez les opérateurs téléphoniques, il existe déjà un processus rodé et non intrusif permettant, suite à la délivrance d’un mandat, de mettre sous écoute un numéro de téléphone. Les opérateurs téléphoniques ont installé eux-mêmes, sur leur infrastructure, des « équipements d’interception légale ». Ces équipements permettent, sur demande de la justice, de transmettre directement le flux de données téléphoniques ou bien de réaliser une copie à intervalles réguliers afin de les envoyer à l’entité en charge de l’analyse de ces données. Nous proposons ici d’adopter la même technique et le même type de processus, pour les hébergeurs, dans le cadre de la Loi Renseignement.
La mise en place d’une solution de ce type peut être réalisée en un temps record, tout en limitant les investissements matériels, humains et budgétaires.
– Rediriger un flux de données ou à réaliser une copie de celles-ci afin de les retransmettre à une entité extérieure ne nécessite pas de nouveau matériel. Un paramétrage sur les pare-feu ou les routeurs suffirait. Pour la plupart, les hébergeurs possèdent déjà les équipements permettant ce paramétrage ; soit pas, ou très peu, d’investissement matériel.
– Ce paramétrage peut se traduire en quelques lignes de code. Ainsi la R&D serait quasi nulle et le temps de test très court ; soit un investissement humain très limité.
– Le déploiement technique, très rapide, peut se faire en quelques jours. Le matériel serait fourni, installé, contrôlé et entretenu par l’hébergeur ou le FAI ; soit aucun investissement financier de l’État.
– L’accès au Datacenter serait conservé exclusivement par l’hébergeur ou le FAI ; soit un maintien d’un niveau de sécurité élevé.
– L’hébergeur peut ainsi se porter garant que seules les métadonnées seront transmises ; soit la préservation de la confiance des acteurs français et étranger.
– Les normes de type PCI/DSS seraient conservées ; soit la sauvegarde de l’expertise française en matière de sécurité e-commerce.
– L’intégrité des données et le niveau de sécurité pourra continuer à être géré et contrôlé par les acteurs numériques français sans envisager une délocalisation ; soit la garantie de l’expertise française en matière de sécurité et d’intégrité.
Les barrières de mise en place
Les seuls éléments qui seront « problématiques » et plus long à mettre en place concernant la partie « administrative » et « accréditation » sont :
– Un choix de l’entité réceptrice des données
Des débats s’ouvriront et de grands organismes et sociétés, aujourd’hui multinationaux, vont certainement s’affronter pour obtenir cette accréditation et reconnaissance officielle. Ce choix principalement politique appartient entièrement au gouvernement.
– Un protocole bien ficelé et sécurisé
Il est important, dans ce projet de loi antiterroriste, de prévoir des transmissions sécurisées ne laissant aucune brèche et faille exploitables par les pirates internationaux. La France a l’avantage de détenir sur son territoire des spécialistes en sécurité (whiteHats), comme les experts présents au sein des sociétés NBS System, HSC ou encore Intrinsec (sans dresser de liste exhaustive). Le gouvernement pourrait consulter ces experts et utiliser leurs compétences pour élaborer un protocole viable et sécurisé.
– Une procédure impliquant les juges
Comme le mentionne Marc Trévidic (juge antiterroriste) dans l’article de L’express du 19/03/2015 : « Ne mentons pas aux Français en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judiciaires, pourtant garants des libertés individuelles dans notre pays. » Il est en effet important que les juges interviennent dans le processus d’autorisation ou non d’une écoute. Un nouveau protocole pourrait être créé permettant de simplifier la procédure et habilitant les juges à délivrer un mandat de manière accélérée (en quelques heures) impliquant une mise sous écoute numérique d’une IP source ou destination.
– Un mandat précisant bien les conditions & obligations des hébergeurs ou FAI
Ce mandat devra imposer à l’hébergeur ou au FAI concerné des termes bien définis : la ou les adresse(s) IP émettrice(s) ou réceptrice(s) à surveiller, le délai légal de réponse de l’hébergeur (pouvant être réduit à quelques heures), la fréquence d’envoi des données ou la copie constante du flux réseau de l’IP surveillée, la période d’implication, l’entité officielle vers qui rediriger ces éléments, etc.
– Un processus d’homologation assurant la bonne foi des hébergeurs et FAI
Afin de pouvoir être certain que les hébergeurs et FAI n’envoient pas de fausses informations ou ne fassent pas de la rétention de données, le gouvernement peut s’inspirer du fonctionnement de l’ARJEL (autorité de régulation des jeux en ligne). L’État devra ainsi reconnaître et qualifier quelques sociétés en qui il a confiance, afin que celles-ci servent d’intermédiaire et certifient la bonne volonté des hébergeurs et FAI devant fournir les données demandées. Elles s’assureront que l’hébergeur ou FAI a les compétences et outils nécessaires pour fournir les données et qu’il a mis les processus adéquats en interne afin que rien ne soit laissé au hasard. Cela permettra à l’État d’être certain de la véracité et de l’exhaustivité des informations fournies. En plus de cela, le gouvernement peut se réserver le droit de réaliser des « contrôles surprises », dans la limite du raisonnable, chez les hébergeurs ou les FAI, ainsi qu’un contrôle sur le travail des entreprises certificatrices.
En conclusion
Cette solution permet d’atteindre l’objectif de surveillance, tout en filtrant uniquement ce qui est nécessaire. Réintégrer systématiquement les juges dans les demandes conserverait l’intégrité des acteurs numériques et du système judiciaire français. Cette solution n’impacterait pas les environnements de production des acteurs numériques, et éviterait de nombreux investissements financiers, humains et matériels non nécessaires pour atteindre l’objectif premier de la Loi.
_____________
Renseignement
En éditant cet article, NBS System souhaite contribuer à la mise en place d’un nouveau système antiterroriste sans tomber dans les travers de la surveillance de masse.
Pour plus d’information, contactez NBS System : communication@nbs-system.com
Myriam Fiévé – 01.58.56.25.99 Lucie Saunois – 01.58.56.60.84