Connexion
Abonnez-vous

LPM 2019 - 2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection

ANSSI bémol

LPM 2019-2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection

Le 04 juin 2018 à 15h37

Le projet de loi de programmation militaire (LPM) a été adopté fin mai par les sénateurs. Le texte va désormais être arbitré en Commission mixte paritaire. La question des données pouvant être recueillies et analysées par l’ANSSI fait partie des points de dissension.

L’article 19 de la LPM 2019 - 2025 veut autoriser les opérateurs de communications électroniques, en particulier les fournisseurs d'accès Internet (FAI), à installer volontairement des dispositifs destinés à repérer, à l’aide de marqueurs techniques, des évènements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.

L’ANSSI, l’agence nationale pour la sécurité des systèmes d’information, pourra exiger cette détection, à l’aide de ses propres marqueurs, en cas de menace touchant les autorités publiques ou des opérateurs d'importance vitale (OIV). Le tout sera chapeauté par l’Arcep qui agira comme contrôleur, histoire de vérifier que les acteurs privés comme l’agence, restent dans les clous de la loi.

Guillaume Poupard avait expliqué que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». À destination des hébergeurs, le numéro un de l’ANSSI avait regretté qu’« aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ». 

De la loi Renseignement à la LPM

Seulement, jusqu’où peut-on aller dans cette analyse approfondie ? Comme expliqué dans nos colonnes, le champ lexical de la LPM diffère de celui de la loi Renseignement. Cette dernière évoque les « informations et documents » lorsqu’elle veut se référer à la surveillance des métadonnées, à savoir celles qui encapsulent une correspondance privée. La LPM utilise, elle, d’autres expressions : « dispositifs », « marqueurs techniques », « évènements », « menace », etc.

Guillaume Poupard avait assumé cette différence : « certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers (…). Si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».

Or, les URL sont des données de contenus, non des métadonnées. Dit autrement, la LPM inscrit dans la loi la possibilité pour une autorité publique d’initier du deep packet inspection (inspection profonde des paquets) chez des acteurs privés. Une ligne rouge que n’avait jamais franchie un texte de cette importance.

La constitutionnalité d'un DPI sans définition des données 

Au Sénat, Philippe Bonnecarrère (UC), rapporteur pour avis auprès de la commission des lois, s’est interrogé sur la constitutionnalité de ce mécanisme. Faute de précision sur le périmètre même de ces données, en effet, « le dispositif de l'article 19 pourrait être considéré comme portant une atteinte disproportionnée au secret des correspondances et au droit au respect de la vie privée ».

Pour tenter de colmater cette brèche, il a fait adopter un amendement (identique à celui du sénateur Christian Cambon). pour renvoyer à un décret en Conseil d’État le soin de définir « les catégories de données techniques qui pourront être conservées ».

Dans son esprit, « de telles précisions permettent à la fois d'exclure les données de contenu et de limiter la collecte aux seules données techniques nécessaires à la prévention des attaques informatiques. L'exclusion des données portant sur le contenu des correspondances apparaît d'autant plus justifiée que seules les données techniques seraient susceptibles d'être demandées par l'ANSSI. Aussi n'y aurait-il aucune nécessité pour les opérateurs de recueillir d'autres données ».

Le gouvernement opposé à un tel inventaire 

En séance, au Sénat, la ministre des Armées, Florence Parly, s’est opposée à un tel encadrement. « Restreindre les catégories de données techniques susceptibles d’être ainsi recueillies aurait pour effet de limiter les capacités de l’ANSSI à analyser le mode opératoire d’un attaquant, sans pour autant renforcer le droit au respect de la vie privée qui n’est pas, en soi, affecté par cette analyse » assure-t-elle.

« De surcroît, l’expérience montre que les techniques d’attaque évoluent sans cesse, en tout cas extrêmement rapidement. Le risque existe donc que des données qui auraient été préalablement définies par grandes catégories dans un décret ne soient plus celles qu’il serait in fine pertinent de recueillir », a-t-elle exposé, le 22 mai dernier.

Pour le gouvernement, dresser la liste des données techniques pouvant être analysées par deep packet inspection serait incompatible avec la caractéristique première des attaques, qui est d’évoluer « sans cesse ». Définir une telle liste limitative serait même « tout à fait contre-productif » selon Florence Parly.

L'exécutif a donc déposé un amendement pour couper court à une telle définition exhaustive, demandant au décret d’application de seulement définir « les modalités d’application du texte ». Sans plus de détail… mais selon l’exposé des motifs, cela permettrait « d’en entourer la mise en œuvre de garanties supplémentaires ». Juré, promis !

Sans définition précise, pas de contrôle de proportionnalité

Dans le fil des débats, le rapporteur au fond Christian Cambon (LR) a critiqué cette rustine : « la définition précise des catégories de données, madame la ministre, est une des conditions permettant au Conseil constitutionnel de considérer que la collecte et la conservation par les opérateurs ne portent pas une atteinte disproportionnée au secret des correspondances et au respect de la vie privée ».

Un argument suivi par le rapporteur au fond, qui a pris l’exemple d’une analyse contraignante d’un mail aux fins de cybersécurité : « Dans la mesure où l’ANSSI recherche des marqueurs de virus, il lui faut ouvrir le mail en question et ses éventuelles pièces jointes pour vérifier toute anomalie de signature ou de caractère. La recherche des virus oblige donc intrinsèquement à regarder dans le document, non pour le lire – je vous en donne acte, madame la ministre –, mais pour vérifier la présence d’un caractère anormal. Sous cet angle, il nous semble difficile de contester l’existence d’une atteinte à la vie privée. Et cette atteinte est d’autant plus marquante que l’ANSSI conservera les données qu’elle aura collectées – ce qu’elle a excellemment justifié lors de nos auditions – durant dix ans ».

L’amendement du gouvernement a ainsi été rejeté, laissant prospérer l’obligation de fixer par décret la liste des données techniques pouvant être traitées par l’ANSSI.

La balle est désormais dans le camp de la commission mixte paritaire. Les sept parlementaires des deux chambres devront trouver un terrain d’entente, sachant que l’Assemblée nationale, où le groupe LREM a une large majorité, aura dans tous les cas le dernier mot.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







crocodudule a écrit :



Il est évident que si un texte de cette nature passe alors le VPN se généralisera pour les geek que nous sommes.



Néanmoins, il est probable alors qu’un texte complémentaire intervienne pour interdire certains types de chiffrements juger trop difficiles à péter etc… (à l’image de certains pays qui interdisent certaines applications comme télégram).





 Bah VPN interdit ou pas, d’autres technologie existeront (stégano, flood de paquets chiffrés UDP vers des tas de destinations aléatoires avec seuls certains pertinents, les moyens ne manquent pas).



“Imposer” des certificat ou autres moyens sur le terminal alors même que les GAFA essaient de bannir le HTTP et la crypto faible…



Moi je pense que le vrai souci, ce sera à terme que les “nouveaux centres” risquent d’être ces GAFA justement. Et le seul moyen d’éviter ça c’est



 1) La normalisation via des méthodes “ouvertes” , type RFC , et le respect de ces normes (ie Neutralité)

 2) Les avancées techniques, sachant que les organismes de répression (type police) seront forcément à la traîne. 



 

Le problème de cette escalade, c’est que les usages que NOUS, nous  jugeons “malfaisant” (type malware, botnet, ransomware) utiliseront les mêmes techniques aussi.



 Mais il n’y a pas consensus sur ce que la population juge malfaisant : Typiquement, un ponte de la SACEM jugera le piratage ainsi (alors qu’on est beaucoup à le pratiquer au quotidien sans une once de culpabilité), et je suis bien certain qu’un développeur de ransomware lituanien ne voit pas du tout son travail comme mauvais , quand ça lui permet de nourrir sa famille … (et je ne parle même pas des terroristes, pour qui les mécréants, c’est nous).

 



 


votre avatar

Incroyable un tel degré d’inconséquence: le Gouvernement sait que le texte en l’état est potentiellement inconstitutionnel et très probablement inconventionnel, mais c’est pas grave, on use d’un parfait sophisme (y a pas d’atteinte à la vie privée dans le genre relativisme des mots… c’est comme lorsqu’ils recourent systématiquement aux mesures de sureté tout en prétendant qu’il n’y a pas d’atteinte aux libertés…) et on attend de prendre la sanction dans les dents.




Par ailleurs, si je présume que l'extrait de l'interview du responsable de l'ANSI n'est pas contextualisé, cette phrase est pour le moins préoccupante ; « aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir » ...       






Dans quel cadre la liste est établie du coup, ils font de la prospection en freelance ? Non parce qu'ils sont probablement animés des meilleurs intentions tout ça tout ça mais pour établir cette liste et être "quasi"-certains de l'existence d'attaques, il faut bien y avoir mis un peu le nez non ?
votre avatar







crocodudule a écrit :



Par ailleurs, si je présume que l’extrait de l’interview du responsable de l’ANSI n’est pas contextualisé, cette phrase est pour le moins préoccupante ; « aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir » …




Dans quel cadre la liste est établie du coup, ils font de la prospection en freelance ? Non parce qu'ils sont probablement animés des meilleurs intentions tout ça tout ça mais pour établir cette liste et être "quasi"-certains de l'existence d'attaques, il faut bien y avoir mis un peu le nez non ?







oui => boites noires. ^^


votre avatar







hellmut a écrit :



oui => boites noires. ^^





On est d’accord…


votre avatar

Bonjour @ tous,

Je me rappelle au cours des discutions sur l’Hadopi, le DPI avait déjà été cité <img data-src=" />



Les commentaires sur ce site et sur d’autres avaient déchainés les passions et les critiques, (Impossibles trop intrusifs, pour d’autres quel déploiement de puissance de calcul….<img data-src=" /> , trop d’argent “qu’ils” ne pourrons pas dégager ) et alors il ne s’agissait que de la protection des droits d’auteurs <img data-src=" /> mais petit à petit …



Loi contre la pédophilie, puis lois anti-terroristes, et maintenant le prétexte la loi LPM.



tout viens à point à qui sait attendre. <img data-src=" />





@Marc Merci pour ces analyses de fond (je n’ose pas dire (DPI). C’est bien 67 millions d’habitants présumés coupables qui s’insinue dans notre société d’oligarques. Nous l’avons dans le DPI <img data-src=" />

votre avatar

Et les thuriféraires de Macronléon 1er vont encore venir pleurer le coeur sur la main qu’on est encore en démocrassie…. <img data-src=" />



VPN obligatoire quand on vit dans un état fasciste. Point barre. Ceux qui vous diront le contraire sont des idiots ou des trolls payés par le pouvoir. (notez les noms dans les commentaires)

votre avatar

Dans mon cas et en prévision, toutes mes connexions se font via vpn depuis 3 ans et ce, même si je ne fais rien de répréhensible, même pas par la hadopi. Néanmoins, sans verser dans la paranoïa, je doute que ça soit suffisant…

votre avatar

Oui enfin le VPN c’est pas non plus la solution a tout :-(

Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.



Mais c’est vrai que ça limite la pêche au gros …. et ça leur permet de considérer tout le monde comme potentiellement coupable de “quelque chose - on sait pas trop quoi mais bon doit y avoir un truc” , comme en chine :-)

&nbsp;&nbsp;



Philosophiquement, ça donne de plus en plus l’impression qu’il y a d’un coté la classe décisionnaire et le flics d’un coté de la société, et la population “à surveiller” de l’autre. Je sais pas si c’est ce qui est recherché, mais je trouve ça assez négatif comme esprit, et contre productif.



L’autre point c’est que la technologie n’a pas de cause : Ces DPI pourront être utilisé en anti-terrorisme, mais , demain ce sera utilisé pour surveiller les communications des syndicalistes, pour traquer les personnes qui aident les migrants ou les ZADiste, pour couper l’herbe sous le pied à toute forme de contestation…. et on en saura jamais rien vu que l’absence de contrôle est poussé comme la norme.



(Bon, après, on trouvera des applications ou des protocoles pour se planquer - regardez en Russie & en chine où Télégram est interdit, ça veux bien dire qu’ils ne savent pas ou veulent pas fouiller dedans)



&nbsp;

votre avatar

Le fait de légaliser les deep packet inspection ne présagent pas un espionnage massif pour toutes causes ? :/ C’est pas terrible comme idée…

votre avatar

[quote:6025071:OB]Oui enfin le VPN c’est pas non plus la solution a tout :-(

Déjà parce que ca te donne vite un excès de confiance , ensuite parce que ça ne marque pas la volumétrie et donc les attaques par corrélation de timing.



Je ne me limite pas au VPN ;) mais écrire un commentaire est déjà une empreinte…

votre avatar

C’est quoi concrètement un « marqueur technique » ?



Et avec la généralisation du https et du chiffrement en général, le DPI est encore efficace ?

votre avatar

Y a de fortes chances que si ça passe en l’état, le Conseil Constitutionnel sera saisi pour une QPC..

votre avatar







Ricard a écrit :



Et les thuriféraires de Macronléon 1er vont encore venir pleurer le coeur sur la main qu’on est encore en démocrassie…. <img data-src=" />



VPN obligatoire quand on vit dans un état fasciste. Point barre. Ceux qui vous diront le contraire sont des idiots ou des trolls payés par le pouvoir. (notez les noms dans les commentaires)





Il est évident que si un texte de cette nature passe alors le VPN se généralisera pour les geek que nous sommes.



Néanmoins, il est probable alors qu’un texte complémentaire intervienne pour interdire certains types de chiffrements juger trop difficiles à péter etc… (à l’image de certains pays qui interdisent certaines applications comme télégram).



C’est donc le principe même de la surveillance généralisée et par défaut qu’il faut combattre, car lorsque cette digue sera franchie le mal sera fait.


votre avatar

Oui, ça reste clairement efficace, et puis d’ailleurs l’interception de type MITM doit faire parti du lot pour pouvoir correctement inspecter en profondeur les paquets ^^ bientôt un certificat “national” sera délivré pour chaque citoyen, pour mieux les protéger, et mieux les contrôler, niark ! finalement, nous ne sommes que du mauvais côté de la barrière xD



Trêve de plaisanterie, c’est en fait vraiment pas drôle et plutôt sombre comme avenir…

votre avatar







crocodudule a écrit :



[…] C’est donc le principe même de la surveillance généralisée et par défaut qu’il faut combattre, car lorsque cette digue sera franchie le mal sera fait.





Oui, tout à fait. La logique actuelle vise à faire payer l’addition des méfaits de quelques-uns à tout le monde, en arguant, dans le moins pire des cas, du faible prix à payer (alors même qu’il est exorbitant) et dans le pire des cas, en jouant sur la culpabilisation outrageuse (« si vous avez quelque chose à cacher, c’est que vous êtes déjà un coupable »).


votre avatar







Mihashi a écrit :



C’est quoi concrètement un « marqueur technique&nbsp;» ?



Et avec la généralisation du https et du chiffrement en général, le DPI est encore efficace ?





Oui , car si t’a pas le contenu, t’a encore les métadonnées (volumétrie,

timing, sources+destination) , surtout si t’arrive à être

“tentaculaire” et que tu peux espionner / corréler tous les échanges en plusieurs points, quitte à recouper avec les états-copains.

C’est comme ça que le FBI avait réussi à débusquer des gens qui

utilisaient TOR , il me semble, à l’époque de silkroad - avant que TOR n’inclue de l’aléatoire dans des paquets transmis pour contrer ça.

&nbsp;


LPM 2019 - 2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection

  • De la loi Renseignement à la LPM

  • La constitutionnalité d'un DPI sans définition des données 

  • Le gouvernement opposé à un tel inventaire 

  • Sans définition précise, pas de contrôle de proportionnalité

Fermer