Le projet de loi de programmation militaire 2024 - 2030 prévoit d’élargir considérablement les pouvoirs de l’ANSSI. Parmi ceux-ci, la capacité de bloquer les DNS pour les sites jugés malveillants. Vinton Cerf et d’autres figures importantes de l’Internet ont publié une lettre ouverte invitant les parlementaires français à lever le pied sur le sujet.
La nouvelle loi de programmation militaire (LPM) a été dévoilée début avril. Elle doit encore être votée, mais le projet a dévoilé de nombreux changements à venir pour l’ANSSI (Agence nationale de la sécurité des systèmes d'information), dont les pouvoirs d’action seraient largement étendus, notamment pour mieux lutter contre tout ce qui touche aux cyberattaques.
Parmi les nouveaux outils de lutte, on en retient surtout plusieurs. D’une part, l’ANSSI pourra exiger d’un site (plus spécifiquement du titulaire d’un nom de domaine) impliqué dans une attaque « de prendre, dans un délai qu’elle lui impartit, les mesures adaptées pour neutraliser la menace ».
Elle pourra surtout « ordonner aux hébergeurs et aux FAI de mettre en œuvre une mesure de blocage, ou enjoindre aux registres et bureaux d’enregistrement de suspendre le nom de domaine ». Le trafic pourra également être redirigé vers un serveur géré par l’ANSSI (pour une durée maximale de deux mois), qui aura la capacité de réclamer le nom de domaine. L’Agence aura donc le pouvoir d’imposer des modifications sur les serveurs DNS.
Même si d’autres points importants sont abordés par la loi, surtout dans ses articles 33 et 34 (notamment la récupération de « données techniques de cache » de serveurs DNS, et l’obligation pour un éditeur de logiciel de communiquer à l’ANSSI et aux clients quand elle subit une attaque ou détecte une vulnérabilité critique dans un produit), c’est ce pouvoir sur les serveurs DNS qui fait tiquer.
Dans une lettre ouverte publiée le 23 juin, Vinton Cerf, cocréateur du protocole TCP/IP, a réuni autour de lui plusieurs personnalités de l’Internet et de la technique, dont Stephen Crocker, ancien président de l’ICANN, Mirja Kühlewind et Mallory Knodel de l’Internet Architecture Board, le polytechnicien David Schinazi, Alexis Hancock de l’Electronic Frontier Foundation (EFF) ou encore Erik Kline, l’un des directeurs de l’Internet Engineering Task Force (IETF). Objectif, alerter des dangers d’une telle loi.
La France doit montrer l’exemple
Le ton général se veut compréhensif face à ces projets de loi : « L’intention de ces lois est explicitement de fournir des outils aux autorités de cybersécurité, comme l’ANSSI, pour combattre la diffusion des rançongiciels et la menace de cyberespionnage contre les organisations françaises ».
Le ton prend cependant vite un autre tournant. Les auteurs se disent « profondément inquiets », car ils estiment que ces mesures feront peu pour les problèmes auxquelles elles doivent s’attaquer, « tout en créant et exacerbant incidemment d’autres sources de risques ». En outre, le projet étant en préparation en France, il pourrait inspirer d’autres juridictions « démocratiques et non démocratiques », avec des « implications globales pour la sécurité et la liberté en ligne ».
Surtout, ce projet de loi aurait de lourdes implications sur le système des noms de domaine. Il arrive ainsi que des gouvernements offrent des « DNS protégés », permettant à des entreprises privées de profiter d’un DNS filtré, opéré par les agences nationales. Mais ce mécanisme est volontaire et se fait au cas par cas, la lettre ouverte évoquant des « implications territoriales » et le risque « immense » de débordement par les gouvernements.
Selon les auteurs, le projet de loi de programmation militaire revient à renverser la vapeur. Même si les intentions sont bonnes, « l’infrastructure conçue pour combattre la fraude en ligne, les rançongiciels et les attaques de botnets pourrait être tout aussi simplement adaptée pour supprimer les dissensions internes, censurer l’information extérieure et surveiller les dissidents et journalistes ». D’ailleurs, « un certain nombre de gouvernements autoritaires appliquent déjà une large censure à Internet sous couvert de cybersécurité ».
Une solution inutile et dangereuse
La lettre rappelle que le sujet n’est pas nouveau : l’ICANN en parlait il y a plus d’une décennie. Les auteurs mettent donc en garde : « Le blocage DNS ne retire pas le contenu illégal ou malveillant d’Internet. Il empêche seulement les serveurs DNS d’y rediriger les internautes. Les utilisateurs motivés peuvent aisément contourner le blocage DNS en changeant de fournisseur DNS […], en lançant leur propre résolveur DNS, en se rendant directement vers l’adresse IP sans passer par le DNS, ou simplement en utilisant un VPN […] ».
Pour illustrer le propos, la lettre indique que 21 % des internautes en France se servent d’un résolveur ouvert. C’est là que se situe un gros problème : le projet de loi ne fait pas la distinction entre les résolveurs des fournisseurs d’accès et les résolveurs ouverts, de sorte que pour se mettre en conformité avec la loi, ces derniers devraient appliquer le blocage de manière globale. Et même si l’ANSSI n’utiliserait ce blocage que dans un objectif de cybersécurité, le mécanisme serait là pour être utilisé plus tard pour d’autres buts, ou inspirant les régimes totalitaires.
Quelle solution dès lors ? Le blocage des connexions HTTP/HTTPS et de l’adresse IP, qui a déjà fait ses preuves selon les auteurs. Le périmètre d’action serait limité à la France, dont les autorités pourraient travailler avec les registraires pour faire tomber les noms de domaine incriminés. Les auteurs de la lettre notent d’ailleurs que ce type de procédure existe déjà… pour les détenteurs de droits d’auteur.
Navigateurs, centres de données, même combat
La lettre ouverte pointe également les articles 6 et 35. Le premier imposerait aux navigateurs d’afficher une alerte pour tout site signalé par l’ANSSI. Les auteurs pointent les mêmes dangers que pour le blocage DNS, dont la répercussion à l’ensemble des internautes dans le monde.
L’article 35 est jugé encore plus dangereux, puisque l’ANSSI pourrait installer des « marqueurs matériels et logiciels dans les centres de données, permettant la collecte de données utilisateurs ». En clair, l’ANSSI aurait la capacité d’installer des outils de surveillance de masse. La lettre pointe à ce titre que cette mesure semble en conflit avec la loi européenne, la déclaration de l’OCDE sur l’accès aux données personnelles par le secteur privé, ou encore le jugement rendu dans l’affaire Schrems II.
Les auteurs soulignent un autre danger : les techniciens auraient potentiellement plus de mal à répondre aux incidents dans les centres de données, car la présence de ces « marqueurs » impliquerait le gouvernement français, nécessitant potentiellement son accord, ou tout du moins un accompagnement technique. Or, ces incidents doivent être résolus très rapidement.
La solution proposée serait simplement de s’assurer que les demandes parviennent vite aux propriétaires d’infrastructures, qui auraient alors les mains libres pour appliquer une solution. La lettre indique que ces entreprises ont le plus souvent une structure pour centraliser les demandes gouvernementales et répondre aux requêtes de données dans le cadre des enquêtes cybercriminelles.
Quant à l’article 34, qui forcerait les éditeurs de logiciels à communiquer immédiatement à l’ANSSI et aux clients en cas de découverte d’une importante vulnérabilité, la mesure est considérée comme contre-productive. La période avant publication d’une solution est considérée comme critique, et toute communication « responsable » se fait en évitant autant que possible la fuite de détails. Dans le cas contraire, cela revient à donner aux cybercriminels des armes qui auront le temps de nuire avant que le correctif soit proposé.
Un sujet déjà ancien
Sur Twitter, l’ingénieur Stéphane Bortzmeyer a rappelé que ce type de discussion n’est pas neuf, loin de là. En 2013, l’Afnic donnait déjà son avis sur la question et la conclusion était claire :
« Il ressort de l’étude du conseil scientifique de l’Afnic que le filtrage DNS est une technique qui permet théoriquement de relocaliser au niveau d’un pays, ou d’un opérateur télécom, la décision d’autoriser ou d’interdire l’accès à un nom de domaine. Toutefois, le contournement de ces mesures est techniquement simple.
L’adoption de technologies comme DNSSEC pourrait également être perturbée. Enfin, les mesures prônées habituellement pour renforcer la confiance sur les sites de commerce électronique, notamment la vérification de l’URL dans la barre du navigateur, verraient leur efficacité atténuée.
Ainsi, les effets collatéraux de la mise en place à grande échelle du filtrage DNS sont importants sur la sécurité de l’Internet. Ses effets pourraient affaiblir durablement les repères de confiance sur lesquels les utilisateurs s’appuient aujourd’hui. »
Nous avons contacté l’ANSSI en vue d’une réaction, sans réponse pour l’instant.
Commentaires (20)
#1
Et le bal des fausses bonnes idées continu
#1.1
#1.2
L’acronyme étant : F.B.I
#2
Je ne me suis pas encore penché sur cette nouvelle saison de la LPM.
Saison 4 ? je ne sais plus…
Mais effectivement:
est un gros problème.
#3
Lettre que les parlementaires en question ne liront jamais, parce qu’elle a atterri directement à la poubelle sans même arriver sur leurs bureaux.
Bon, sinon : saviez-vous que Vinton Cerf avait joué dans une série télé ? À ce jour, c’est sa seule et unique apparition dans une œuvre audiovisuelle.
#4
” 21 % des internautes en France se servent d’un résolveur ouvert. “
Wow, j’aurais parié sur 5% pas plus !
#4.1
beaucoup ont appris 8.8.8.8 quand même, les articles ne manquent pas.
Par contre, DOH reste limité à un public d’initiés sans doute.
#4.2
Ça m’étonne cette tournure de phrase que DoH c’est pour les initiés au contraire de mettre ceux de Google.
Changer ses DNS sur l’OS est plus complexe (mais il y a effectivement une chié de tuto) que juste “cocher une case” dans le navigateur pour activer DoH.
#4.3
Je crois que pas grand monde ne sait que le navigateur peut gérer ses propres résolveurs, ni quelle priorité ils ont sur ceux du système.
d’ailleurs, maintenant windows permet le DOH au niveau du système, mais bon pareil, il faut creuser un peut aussi la configuration réseau.
#4.4
Me semblait que c’était activé par défaut sur Firefox dans une installation totalement vierge et neuve.
#4.5
faudra que je me réinstalle firefox sur une VM pour voir, mais jusqu’ici je l’ai toujours activé manuellement
#5
heu, je ne crois pas que le sujet soit la filmographie de untel ou untel, mais plutôt les libertés globales, pas seulement individuelles, la dérive serait extrêmement grave de trafiquer le système DNS, lequel se base sur la confiance, plus rien ne serait propre si il était globalement compromis.
Tant que ça reste au niveau résolveur, c’est contournable, c’est ce qu’on fait, mais si on impose aux domaines eux mêmes des règles inacceptables, tout s’écroule.
#6
c’est quoi un résolveur ouvert dans ce cas ?
Est-ce que celui de son FAI entre dans cette catégorie ?
Car il faut vraiment insister pour éviter d’utiliser le résolveur de son FAI si la box est laissée en chef d’orchestre du réseau…
Et seul Firefox, à ma connaissance, active DoH par défaut (mais ne change pas les réglages si un vieux profil est utilisé…
Bref les 21% je suis étonné. 21% de geeks, oui :-)
#7
Non justement d’après la source j’en comprends que c’est tout sauf le resolveur de ton FAI, je cite :
Google pèse pour 16% sur les 21% d’après le tableau 🙄
#8
C’est ce qui arrive quand on demande leurs avis aux incompétents : C’est la loi du “Y’a qu’à, faut con…” !
#8.1
Si c’est l’ANSSI , elle n’a pas la réputation d’être complètement incompétente quand même…
#8.2
il te répondra certainement, mais je crois qu’il était plutôt question des députés, donc de la démocratie, tant qu’elle n’est pas muselée par le gouvernement, comme on l’a vu en ce début d’année.
#8.3
Oui c’est ce que je me suis dis après, “nos chers députés élus”
#9
C’est ce qui m’inquiète. Si l’ANSSI en est à proposer ce genre de solution c’est que le niveau baisse très fortement dans cette institution…
#10
Ça revient à sortir le bazooka pour tuer un moustique, ça. Car tu peux tout simplement créer un profil vierge via la commande « firefox -p », et tu pourras le vérifier tout aussi bien (profil vierge que tu pourras ensuite dézinguer par le même moyen).