Connexion
Abonnez-vous

LPM 2019 - 2025 : comment l’ANSSI compte détecter les cybermenaces chez les opérateurs

À marqueur vaillant, rien d'impossible

LPM 2019-2025 : comment l’ANSSI compte détecter les cybermenaces chez les opérateurs

Le 09 février 2018 à 09h02

C’est peu de le dire, l’article 19 du projet de Loi de programmation militaire pour la période 2019 - 2025 va susciter de lourdes interrogations. Il veut autoriser la détection de « marqueurs » chez les opérateurs pour repérer des cybermenaces. Une procédure inédite, et pas seulement parce qu'elle est chapeautée par l’ANSSI, sous l’œil de l’Arcep.

L’annonce avait été esquissée lors des Assises de la sécurité à Monaco l’an dernier. Elle est matérialisée dans le projet de LPM dévoilé hier, bientôt en discussion au Parlement. Une nouvelle qui ravira Orange dont le président du chapitre Cyberdefense, Michel Van Den Berghe, nous avait déjà fait part de son impatience en novembre, avec des projets plein les cartons.

Qu’en-est-il ? L’article 19 du projet entend modifier le Code des postes et des communications électroniques et celui de la Défense en attribuant une mission à l’ANSSI qui dépasse allègrement son cadre antérieur.

Alors que l’agence peut, depuis cinq ans, mettre en place des sondes pour protéger les opérateurs d’importance vitale (dont les centrales nucléaires), son rôle va déborder sur les opérateurs de communication électronique (2 471 déclarés à l’Arcep) et les hébergeurs. 

L’étude d’impact en explique les raisons : des attaques d’origines multiples venant même de puissance étrangère, des armes informatiques qui prolifèrent et se démocratisent, une cybercriminalité qui envahit la sphère régalienne, et enfin « une exposition accrue de notre société à la menace du fait d’une numérisation plus étendue de celle-ci et une utilisation à grande échelle d’objets connectés ».

Ceci posé, dans ce nouveau chapitre, l’intervention de l’ANSSI sera croissante selon le degré de la menace (potentielle ou consommée) et les cibles (sensibles ou non). Et en l'état du texte, toujours susceptibles d'évolution lors des débats législatifs. 

Une détection des cyberattaques décidée par les opérateurs

Concrètement, le futur article 33 - 14 fera son apparition dans le CPCE afin d’autoriser les opérateurs de communications électroniques à installer d’eux-mêmes – et à leur charge – des dispositifs capables de repérer sur le réseau des « marqueurs techniques » imaginés par eux ou par l’ANSSI.

Leur objectif ? Détecter dans les flux des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ». Concrètement, il s’agit d’adresses IP d’un serveur malveillant ou le nom d’un site Internet piégé. D'ailleurs, à Lille, lors du Forum international contre la cybercriminalité, Guillaume Poupard nous a cité l’exemple fictif d’un faux site tel LeFigar0.com gorgé de malwares.

« Susceptible » laisse entrevoir une surveillance potentiellement en temps réel de détection des futures attaques, sans aucune limite temporelle. Ce scénario semble confirmé toujours dans l’étude d’impact.

Elle décrit des outils « qui comparent en temps réel l’activité d’un réseau à des marqueurs d’attaque. Ceux-ci analysent automatiquement le trafic sans s’intéresser au contenu, en se limitant à le comparer aux marqueurs d’attaque ». Avec une précision : « le trafic n’est pas stocké ».

La notion d’« évènement » est tout aussi importante dans le marbre de la loi : ceci confirmé, l’ANSSI endossera un rôle de pompier beaucoup plus professionnel via cette fois le Code de la défense, comme on le verra dans quelques lignes.

Bien entendu, et c’est là où Orange pourra tirer son épingle du jeu, ces marges offertes aux opérateurs leur ouvrent la possibilité « de développer des offres commerciales comme des services optimisés à destination de leurs abonnés », dixit l’étude annexée à la LPM.

Une détection des cyberattaques demandées par l’ANSSI

L’implication volontaire des opérateurs n’est pas la seule option prévue par l’article 19. L’Agence nationale de sécurité des systèmes d’information pourra elle-même leur demander une telle action dès lors qu’elle aura connaissance d’un risque soufflé par un autre opérateur mobile, un FAI concurrent ou pourquoi pas un bulletin de sécurité.

Le texte organise d’ailleurs une collaboration étroite puisque dès qu’un opérateur aura détecté « des évènements » susceptibles d’affecter non pas « sa » mais « la » sécurité, alors il devra en informer sans délai l’agence qui pourra procéder aux analyses de rigueur.

Signe d’un possible chalutage, un alinéa prévient que les données « ainsi recueillies » dès lors qu’elles ne sont pas directement utiles à la prévention des menaces, devront être « immédiatement détruites ».

Cette information en main, l’ANSSI pourra même ordonner aux acteurs d’alerter leurs abonnés en cas de vulnérabilité ou d’atteinte à leurs systèmes d'information (SI). Le III de l’article D. 98 - 5 du CPCE prévoit déjà un tel signalement. Cependant, il ne concerne que la violation de la sécurité du réseau d’un opérateur, non les programmes malveillants transitant via leurs réseaux, nuance l’étude d’impact. Une question : quid si un opérateur veut lancer seul une telle alerte ?

L’étude relate au passage qu’en 2017, l’agence avait fait des tests techniques « lui permettant d’identifier plusieurs milliers d’adresses IP vulnérables » suite à une faille Windows. Elle avait demandé alors aux opérateurs « d’alerter les détenteurs des systèmes concernés, mais n’a reçu aucun engagement de la part de ces derniers. Quelques mois plus tard, le code malveillant WannaCry utilisait cette même vulnérabilité pour se propager massivement en France ». Un bon exemple pour justifier un tour de vis législatif. 

C’est un décret en Conseil d’État qui détaillera les modalités d’application. Pour prévenir tout emballement, l’Arcep sera chargée de veiller au respect par l’ANSSI des modalités prévues aussi dans le Code de la défense. Que prévoient-elles ?

Une détection susceptible de viser les autorités publiques ou les OIV

On quitte ici le périmètre de la qualité ou de la sécurité des services pour celui de la sécurité nationale. Un niveau plus sensible régenté par le futur article L2321-2-1 du Code de la défense.

« Le déploiement de tels dispositifs de détection n’interviendra que de manière exceptionnelle, lorsque l’agence sera en possession, grâce aux signalements de ses partenaires ou aux fruits de ses analyses, de suffisamment d’éléments tangibles » veut rassurer l’étude d’impact. 

Si elle n’évoque qu’une vingtaine de cas par an, il suffira cependant qu’une menace soit là encore « susceptible » de porter atteinte aux systèmes informatiques des autorités publiques ou d’un opérateur d’importance vitale, pour justifier ce cran en dessus. 

Ici plus de décision d’une société privée ou d’une demande de l’agence. C’est l’ANSSI seule qui décidera d’installer et mettre en œuvre directement sur le réseau d’un opérateur ou même d’un hébergeur, ce fameux « système de détection recourant à des marqueurs techniques », soit des sondes de détection concoctées par ses soins.

D’autres exemples de marqueurs sont cités à cette occasion dans l'étude : « les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes ».

La finalité de cette détection devra être l'analyse des « événements ». En outre, la durée et le déploiement de ces outils devront être « strictement nécessaires à la caractérisation de la menace ». Dit autrement, plus grande sera la menace, plus larges et inquisiteurs seront les yeux et les oreilles. 

Nécessité faisant loi, les agents de l’ANSSI seront autorisés à « procéder au recueil et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation ».

Des « données pertinentes » ? L’étude d’impact cite en vrac des « adresses IP source et destination, le type de protocole utilisé, les métadonnées de sessions de navigation, le nombre et la taille des paquets échangés ». Mais la liste n’est pas limitative et pourrait donc faire tiquer le Conseil constitutionnel.

La logique conduira à nouveau à une analyse poussée pour séparer le bon grain de l’ivraie. Le trop absorbé devra être immédiatement détruit. Les données purement techniques utiles à la caractérisation de la menace seront-elles conservées pendant cinq ans.

L’exploitation des données techniques fera enfin l’objet d’une compensation selon un tarif à définir. Mais comme ici l’ANSSI fera presque tout « le boulot », inutile que les opérateurs s’attendent à un gros butin : « les matériels appartiennent à l’agence. Le coût marginal pour l’opérateur est très faible » assure le document annexé, « la mise en place du système revient à moins d’un millier d’euros par an, dont essentiellement de la consommation électrique et de l’espace occupé par la sonde non disponible pour ses clients ».

Un « évènement » touchant une autorité publique ou un OIV

Dernier stade : celui d'un « évènement » affectant un OIV ou une autorité publique. Cette fois, les agents de l’ANSSI auront le droit d’obtenir toutes « les données techniques strictement nécessaires » à son analyse, entre les mains des opérateurs. Un plein droit d’accès et de conservation. Le principe de proportionnalité est répété sauf qu’il n’y a plus cette date butoir de cinq années.

Là encore, c’est l’Arcep qui sera chargée de contrôler le respect par l’agence de ces prescriptions. Une ordonnance est programmée pour détailler cette mission.

Une information complète avant réponse à une attaque

Si le Conseil d’État a fait quelques réserves à la lecture du projet de loi, celui-ci a salué le caractère novateur du contrôle par l’Arcep de cette mission confiée à l’ANSSI.

À tout le moins, il considère « qu'eu égard à l’intérêt général qui s’attache à prévenir les menaces visant plus particulièrement les systèmes d’information des autorités publiques et des opérateurs d’importance vitale ou susceptibles de les affecter, ces mesures ne portent à des droits garantis par la Constitution ou aux engagements internationaux de la France qu’une atteinte justifiée et proportionnée et ne soulèvent donc pas d’objection de sa part ».

Ces détections volontaires ou imposées seront taillés pour compléter également une disposition votée en 2013. L’article L2321-2 du Code de la défense autorise ainsi l’ANSSI à « répondre à une attaque informatique » d’importance, sans risque d’être poursuivie pour piratage informatique.

Ces attaques sont celles qui visent « les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Autant dire que la France compte se mettre à niveau aussi bien dans un cadre préventif qu’en matière de réponse à une cyber-attaque. 

Les explications de Guillaume Poupard

Lors du FIC de Lille le mois dernier, le numéro un de l’ANSSI avait expliqué sa volonté de rendre plus responsables les opérateurs. « Aujourd’hui un opérateur est quelqu’un à qui on demande scrupuleusement de transmettre une attaque de l’attaquant à la victime » caricaturait-il à peine.

Dans le cadre d’une attaque DDoS, impossible d’agir à la source ou auprès de chaque victime. Le seul point névralgique réside chez ceux qui connectent les utilisateurs au réseau.

La crainte de l’ANSSI est toutefois de susciter une certaine peur issue de cette reprise en main des réseaux par l’État. Voilà pourquoi Guillaume Poupard a rejeté plusieurs fois d'étiqueter l’ANSSI comme une future agence du renseignement. Voilà pourquoi encore le texte tente d'éviter d'autres exploitations que la cybersécurité.

Lors d’un échange presse, le patron de l’agence a tenu à rappeler la ligne rouge de la neutralité du Net. Il a contesté aussi l’usage de l'inspection profonde de paquets (DPI), donc du contenu. L’étude d’impact est moins bavarde : elle dit simplement que le dispositif envisagé « doit s’articuler avec les principes de neutralité de l’Internet, du secret des correspondances et de respect de la propriété des opérateurs de communications électroniques sur leurs réseaux ». En tout cas, c’est cette mise en balance qui a justifié ce vecteur législatif, et non celui des arrêtés de la loi transposant la directive NIS.

« Aujourd’hui les opérateurs sont tétanisés et s’interdisent de faire quoi que ce soit » nous a confié Guillaume Poupard lors d’un échange, cette fois sur le stand de l’agence au FIC. « Nous souhaitons que les opérateurs mettent en place des sondes de manière intelligente et proportionnée. Et quand on leur donne des marqueurs particuliers sur certaines menaces, qu’ils soient capables de les rechercher. Ce qui n’est pas en place aujourd’hui ». Des marqueurs visant des protocoles, des paquets, mais juré, craché, « cela ne va pas jusqu’aux DPI ».

Si sa volonté est de disposer de moyens solides à la hauteur de ses ambitions, l’ANSSI ne peut ignorer que ce texte flirte avec la boite de Pandore. Ce qu’une loi fait, une autre peut défaire… ou réorganiser pour assouvir l'appétit des services du renseignement.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Si la ligne rouge est la neutralité du net, il faut que celle-ci passe dans la constitution. Ce qui donnera une hiérachie: une loi prévoit une dérogation exceptionnelle à un principe constitutionnel.



De mémoire, la neutralité du net n’interdit pas le DPI ou de virer du flux d’IP de son réseau mais le but de ces actions est dans l’intérêt technique avec la maintenance du réseau, sa résiliance et non pas un avantage commerciale ou une censure politique.

votre avatar







MarcRees a écrit :



et encore, j’ai pas évoqué les ayants droit :) 





Ben si , plus ou moins :



“Bien entendu, et c’est là où Orange pourra tirer son épingle du jeu, ces marges offertes aux opérateurs leur ouvrent la possibilité « de développer des offres commerciales comme des services optimisés à destination de leurs abonnés », dixit l’étude annexée à la LPM.”



=> Si j’ai bien compris , ça veux dire que l’état veux que les FAI mettent en place ces “sondes” , mais que, conscient que ça va coûter une blinde qu’ils n’ont pas envie d’assumer, autorise, grand seigneur, les FAI à monétiser ces données



Dans la citation ci-dessus, si l’on considère que Orange offre un “service d’abonnement” privatif à ce genre de sonde, on peux très bien comprendre qu’ici, les abonnés sont pas les clients finaux des lignes du FAI mais… les ayants droits ! 

En leur facturant la prestation, il y a ptet moyen de rentrer dans les frais…



Décidément, la situation est de plsu en plus sympa :-(



Pour moi la solution reste , là encore, la même:



 * On pourra pas se défaire de ces “FAI Nationaux” , ils ont trop d’emprise et l’état (bercy) est trop content de la situation de quasi-monopole.



 * La seule solution accessible à tous, c’est le VPN (je préférerais les contrats de bitstream, mais c’est justement conçu “en couche”, pour être financièrement non rentable pour les particuliers à petite échelle, et en plus ca n’existe pas en fibre et très très peu en VDSL2 (géographiquement parlant).



* La terminaison du tunnel étant un FAI tiers , plus petit mais surtout très très varié pour les gens .



Du coup le “FAI” de sa ligne physique ne devient qu’un prestataire technique, et l’intérêt des personnes est simplement de choisir 1/ le moins cher et 2/ celui qui a le meilleur tuyau non saturé vers son FAI-VPN préféré.

 

La seule question étant ensuite de savoir combien de temps Orange et les autres vont mettre pour “plomber” le trafic chiffré et constant vers une seule destination (caractéristique du VPN) , trafic qu’ils ne pourront donc pas monétiser.


votre avatar

  • Bon, voila le plan: on va d’abord installer ces sondes chez les FAI pour prévenir les cybermenaces.



    • oui chef.

    • Ensuite on fera une mise à jour du code des sondes pour lutter contre la cybercriminalité.

    • ok, c’est bien joué, chef.

    • Et pour finir, on fera un update pour traquer et détruire ces salopiauds de pirates.

    • vous êtes un génie, chef.


votre avatar

«LeFigar0.com »<img data-src=" />

On cite un site et même pas on met le lien <img data-src=" />

votre avatar



les matériels appartiennent à l’agence. Le coût marginal pour l’opérateur est très faible



Je vois mal comment brancher une sonde sur le cœur de réseau d’un opérateur à un coût très faible.

Il va falloir que l’opérateur filtre lui même les paquets, impossible pour la sonde d’absorber plusieurs Tb/s de trafic ni aux opérateurs de fournir assez de ports sur leurs routeurs.

Il va donc falloir un moyen d’échange, pour que l’ANSSI fournisse des filtres aux opérateurs, qui devront les mettre en place (avec les risques de casser le réseau en cas d’erreur de manipulation), et s’assurer d’avoir la puissance de traitement nécessaire sur leurs routeurs (difficile à quantifier).

votre avatar

Impossible d’identifier l’accès à unhttps://LeFigar0.com sans analyse du contenu, soit :




  • des requêtes DNS (ou alors il faut considérer qu’elles ne sont que des méta données, et n’ont pas de contenu !)

  • des entêtes TLS Server Name Indication (on inspecte le contenu du point de vue TCP, mais pas du point de vue SSL, donc c’est discutable, mais déjà ça exige bien plus de puissante de traitement que le DNS)

votre avatar

Que ce soit vis à vis de la neutralité du net, ou du risque de surveillance massive, il est clair qu’ils marchent sur des œufs la…



&nbsp;Je veux bien être gentil et admettre que parfois, dans le meilleur des cas, on peut trouver des marqueurs d’attaques faciles à identifiés sans DPI. Un exemple simple : des connexions vers le ou les serveurs de contrôle d’un malware bien identifié.&nbsp;&nbsp; Mais même dans ce cas limpide, en supposant que le C&C soit installé sur un serveur piraté, à coté d’autres sites web parfaitement légitimes… On fait quoi ?&nbsp; Vous imaginez la catastrophe si l’opérateur bloque les communications vers un ensemble de site web sous prétexte que l’un d’eux à été hacké et qu’il héberge un C&C ?



Bref, je comprend les envies de l’ANSSI, mais je suis pas du tout certain que je mettre des sondes chez les FAI soit la solution :/

votre avatar

On est encore et toujours dans le même schéma:

vous devez l’accepter c’est pour votre bien et ceux qui s’inquiètent des dérives rendues possibles par des textes&nbsp; mal rédigés/encadrés sont des droits-de-l’hommisme inconscients (si on a pas droit à “complices”).



Force est de constater que là encore le discours est totalement contradictoire, la ligne rouge c’est la neutralité du net mais deux lignes après “le dispositif envisagé « doit s’articuler avec les principes de neutralité de l’Internet, du secret des correspondances et de respect de la propriété des opérateurs de communications électroniques sur leurs réseaux »”.



Du coup, on aimerait le croire lorsqu’il dit qu’il n’y aura pas de DPI, mais faute de garantie, on peut légitiment craindre qu’au fil de l’eau la pratique viendra…

votre avatar

A la fois fascinant devant la sérieux affiché vis à vis de ces menaces, et l’obligation de lutter contre celles-ci et effectivement une sourde inquiétude sur ce que ça peut amener au final vu le contexte ambiant.

votre avatar

et encore, j’ai pas évoqué les ayants droit :)&nbsp;

votre avatar







MarcRees a écrit :



et encore, j’ai pas évoqué les ayants droit :)&nbsp;





Les ayants droit ont son oreille ? Si c’est le cas alors le DPI est même plus une hypothèse mais une certitude ^^


LPM 2019 - 2025 : comment l’ANSSI compte détecter les cybermenaces chez les opérateurs

  • Une détection des cyberattaques décidée par les opérateurs

  • Une détection des cyberattaques demandées par l’ANSSI

  • Une détection susceptible de viser les autorités publiques ou les OIV

  • Un « évènement » touchant une autorité publique ou un OIV

  • Une information complète avant réponse à une attaque

  • Les explications de Guillaume Poupard

Fermer