Le projet de loi de programmation militaire 2024-2030, présenté ce mercredi en Conseil des ministres, veut permettre à l'ANSSI d'obliger les FAI à bloquer des sites web sans passer par une décision de justice, relève L'informé.
Ce type de blocage administratif n'est à ce jour possible que pour les seuls sites pédopornographiques, relevant de l’apologie du terrorisme ou « mettant gravement en danger les consommateurs ». La LPM pourrait l'étendre au « filtrage de noms de domaine utilisés ou instrumentalisés par des cyberattaquants » en cas de menace susceptible d’affecter la sécurité nationale.
En pratique, l'ANSSI pourrait en premier lieu sommer le titulaire du nom de domaine du site impliqué dans une cyberattaque « de prendre, dans un délai qu’elle lui impartit, les mesures adaptées pour neutraliser la menace ».
Dans un second temps, elle pourrait « ordonner aux hébergeurs et aux FAI de mettre en œuvre une mesure de blocage, ou enjoindre aux registres et bureaux d’enregistrement de suspendre le nom de domaine ». Voire rediriger le trafic vers un serveur neutre ou sécurisé et maîtrisé par l’ANSSI, et même transférer le nom de domaine à l'agence en charge de la cyberdéfense.
L'Informé note cela dit que « ces opérations seront soumises au contrôle a posteriori de l’Autorité de régulation des communications électroniques et des postes (ARCEP) », et qu'elles pourront faire l’objet d’un recours devant les juridictions administratives.
L’article 33 de la LPM propose également de « prévoir la communication (…) de certaines données techniques de cache de serveurs de systèmes de noms de domaines (DNS) » afin de permettre à l'ANSSI de « connaître les requêtes DNS qui ont été effectuées par les clients, légitimes et malveillants, de manière anonymisée, pour identifier l’infrastructure de l’attaquant et suivre son activité », et de « caractériser plus finement l’attaque et la stratégie de l’attaquant ».
L'article 34, pour sa part, voudrait « obliger les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service à en informer l’ANSSI et leurs clients français ».
Commentaires (20)
#1
Il y a des gens qui se lèvent le matin et qui se posent la question “qu’est-ce que je pourrais faire aujourd’hui pour transformer la société et rajouter un peu plus d’arbitraire et retirer un peu d’état de droit” …
… et la réponse est souvent “Je sais! En retirant une compétence à un juge pour une situation précise et en mettant des contrôles à posteriori qui seront hors d’atteinte du citoyen, et si ça marche, on élargira le champ du transfert de compétences.”
#1.1
Sur l’aspect blocage et suspension du nom de domaine, comme il s’agit souvent d’agir vite pour éviter la propagation d’une attaque ou pour supprimer le contrôle de bots ayant infecté des machines, je ne suis pas contre, sachant que l’ANSSI est une entité sérieuse.
Sur la communication des requêtes DNS, dont je ne comprends pas l’intérêt, je suis pour l’instant franchement contre. D’autant plus que l’adresse IP étant une donnée identifiante, je ne comprends pas comment on peut parler d’anonymisation alors même il faut avoir accès aux adresse IP concernées pour identifier l’infrastructure et suivre son activité.
Les risques pour la vie privée sont trop importants.
Sur le dernier point, je suis à 100 % pour obliger à l’information de l’ANSSI et des clients.
#1.4
Je plussois pour le serieux de l’ANSSI.
Cependant, la problèmatique n’est pas maintenant pour plus tard.
De la même manière qu’une democratie républicaine peut passer en dictature sanguinaire, rien ne dit qu’une administration change de vision en cours de route ?
#1.2
j’ai une image plutôt positive de l’ANSSI, donc à la limite, si une autorité administrative devait avoir un pouvoir de ce type, je préfère que ce soit elle (par opposition par exemple à l’ARCEP, qui n’a pas vraiment fait la preuve de sa compétence). Cependant, sur le principe, tu as parfaitement raison, dans notre société on a tendance à trop sacrifier les contre-pouvoirs au nom d’une supposée “efficacité” qu’on risque in fine de ne pas avoir.
Sur l’aspect “blocage urgent”, il existe la procédure de référé qui permet d’avoir un jugement rapide, réalisé par un juge judiciaire, et qui est susceptible d’appel - si je me plante je crois que tu es plus calé que moi dans le domaine. Du coup, j’ai un peu de mal à voir l’intérêt sur ce point…
#1.3
Je m’intéresse certes à ce genre de sujets, mais je ne suis pas juriste (j’ai une formation d’ingénieur télécoms).
Les référés les plus courts (référés d’heure à heure) peuvent prendre 48 h ce qui est long pour bloquer une attaque. Il faut convoquer les parties adverses (ici les FAI, hébergeurs ou gestionnaires de noms de domaine).
#2
La LPM c’est le truc à 413 milliards d’€ d’ici 2030 ?
C’est beaucoup pour un état disposant déjà de la dissuasion nucléaire.
Si c’était “seulement” 400M, les 13M restants ils ne pouvaient pas financer les retraites afin que tous les actifs ne travaillent pas 2 ans de plus ?
#3
Je suis d’accord, et à une autre époque le texte m’aurais semblé moins dangereux.
Mais comme la définition des menaces à neutraliser est vague, l’article 32 pourrait être utilisé pour des cas plus discutables.
En plus, avec le règlement eidas qui va forcer les navigateurs à intégrer les autorités de certification des états, on risque, au nom de la protection de la sûreté nationale, la mise en place d’une interception relativement arbitraire du trafic, même sécurisé en TLS (un MITM est trivial quand on peut forcer les navigateurs à intégrer une autorité de certification produisant des certificats falsifiés)
Si c’est vraiment anonymisé (pas pseudonymisé par un hash sans sel), ça peut au plus permettre d’évaluer la taille d’un botnet. Si c’est mal anonymisé, ça peut servit à identifier les utilisateurs d’une plateforme. C’est effectivement un risque grave de voir le système utilisé pour faire la traque aux journalistes, à leurs sources, ou aux opposants politiques.
Le point 34 me semble aussi problématique car il rajoute une couche administrative en cas de problème de sécurité.
Si à chaque vulnérabilité sérieuse, un éditeur se retrouve à devoir suivre les procédures de notification individuelles de tous les pays de l’OCDE, ça va devenir prohibitif d’admettre l’existence ou la criticité d’une faille.
Ce serait mieux de renforcer les règles autour de la publication de vulnérabilités dans un système commun international.
#3.1
Je viens de lire l’étude d’impact sur ces 3 articles.
Sur le 32, rien à ajouter à mon premier commentaire.
Sur le 33 (requêtes DNS), je retire ma crainte. Les IP source des requêtes ne seront pas transmises, seule les autres informations en cache, ce qui supprime le risque d’atteinte à la vie privée. L’ANSSI étudiait régulièrement les requêtes DNS (qui passaient souvent en clair) pour mieux comprendre les attaques. Ils devaient pouvoir repérer les résolutions de nom de domaine participant à des attaques pour mesurer l’ampleur de l’attaque. Le serveur DNS est aussi important pour savoir quel type de réseau est concerné (par exemple réseau mobile, FAI particuliers ou entreprises).
Par contre, je n’avais pas compris que ce transfert devait être fait “de façon récurrente”. C’est peut-être un problème.
Le but affiché est de remplacer l’analyse précédente des flux de requêtes DNS qui est gêné par le chiffrement (probablement avec l’essor du DoH ou autre technique de protection de la vie privée). qui leur cause un problème. L’avantage avec ce dispositif, c’est que les IP sources des requêtes ne seront plus à disposition de l’ANSSI.
Sur l’article 34, la volonté est d’obliger les éditeurs de logiciel à communiquer les vulnérabilités alors que certains ont peur de le faire (crainte pour leur cours de bourse par exemple) afin que leur clients puissent se protéger (patch, installation nouvelle version, ….). Ça part du constat que trop de vulnérabilité ayant une correction restent en l’état faute d’information des utilisateurs.
Je maintiens que c’est une bonne mesure pour la sécurité globale.
#3.2
Rien à ajouter +1
#4
Il manque quelques trucs, donc la redirection vers un serveur de l’ANSSI
“Les mesures de redirection d’un nom de domaine vers un serveur sécurisé de l’autorité nationale prises aux fins de caractérisation de la menace ne peuvent excéder une durée de deux mois.”
#5
C’est un peu ce qui manque dans le texte: une caractérisation de l’urgence et du type de menace. Il faut que ça réponde à une véritable attaque technique sur les infrastructures en lien avec l’intérète de la nation et pas que ce soit utilisé juste à des fins de renseignement ou d’ordre public.
#6
60% de ce budget est destiné au maintien de la dissuasion nucléaire.
#6.1
Euh non, ça fait 13 % de l’enveloppe globale c’est à dire 58 milliards d’euros d’ici à 2030.
Tout en étant en totale contradiction avec l’esprit et la lettre du Traité de non-prolifération nucléaire (TNP), et s’inscrit toujours contre le Traité sur l’interdiction des armes nucléaires (TIAN), nouvelle norme internationale adoptée par 122 États au sein des Nations unies.
Mais bon, on est plus à ça près.
#7
C’est pourtant ce que dit Le Monde.
Tu as une source qui prouve le contraire ?
#7.1
Mediapart
L’introspection semble toutefois avoir été rapide puisqu’elle ne remet en cause aucun des grands choix faits en matière de défense par la France (qui remontent, pour beaucoup, aux années 1960). L’arme nucléaire reste ainsi « le cœur de notre défense en protégeant la France et les Français contre toute menace d’origine étatique contre ses intérêts vitaux, d’où qu’elle vienne et quelle qu’en soit la forme », assure le document. Elle sera donc modernisée. À quel prix ? Le projet de loi ne le précise pas, mais des indications données par ailleurs par le ministre (qui a évoqué « 13 % de l’enveloppe globale ») laissent penser que cela coûtera aux Français·es environ 58 milliards d’euros d’ici à 2030.
#7.2
Je pense que ce n’est pas le même périmètre.
Le Monde parle de l’ensemble de la dissuasion (missiles, rafales et SNLE inclus) :
#7.3
Yep, c’est ce que je me disais après avoir lu ton article sur LeMonde.
#8
Mais bon à part les vecteurs, les porteurs eux peuvent être affectés à d’autres taches.
#8.1
Non, pas les SNLE de par leur nom. (les engins en questions sont uniquement des missiles nucléaires). Ils ont cependant aussi un armement de défense.
On parle de 40 milliards pour le programme des prochains SNLE, mais c’est une estimation, l’information étant secrète.
#8.2
Yep, mais on ne sait pas s’il y a de la R&D dedans qui par la suite pourrait profiter aux SNA.
+1 avec toi pour l’instant nous sommes sur des estimations sur la répartition de la part de la presse.