La raison de sa colère, plus précisément, tient à ce que la LPM (et son futur article 246-1) prévoit une double extension de la possibilité de récupérer des données de connexion :
- d’abord le texte va ouvrir un accès très large aux agents de plusieurs ministères (v. futur art. 246-1), en particulier ceux chargés « de la sécurité intérieure, de la défense, de l’économie et du budget » ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ?
- ensuite les motifs pour lesquels ces agents auront accès à ces informations seront étendus substantiellement eux aussi, à : « la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisée (…) » ; actuellement l’article L. 34-1 du CPCE est beaucoup plus strict et prévoit que cet accès ne peut se faire que « dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire (…)« . On voit donc bien le changement de perspective !
- Enfin, il faut noter que ces agents auront accès à ces informations en temps réel (futur art. L. 246-3).
L’ASIC souhaitait en particulier que les demandes des agents administratifs soient _« placées sous la direction ou la surveillance de l’autorité judiciaire » _ce qui semble assez raisonnable considérant l’ampleur du nouveau système, particulièrement à l’heure où PRISM occupe les esprits…
Toute cette réflexion a été pour moi l’occasion de me plonger dans la LPM et d’y découvrir également une série de perles cachées… Voilà en quelques mots ce que cette loi nous prévoit :
1) La France pourra légalement attaquer les pirates informatiques
A la question de savoir si on peut attaquer un pirate informatique, le Gouvernement ne se perdra plus dans les méandres juridiques de la légitime défense qui est tout sauf permissive (pour être légale, il faudrait qu’une contre-attaque soit déjà strictement nécessaire – qu’il n’y ait pas d’autre moyen – autant que proportionnée. Autant dire que ce n’est jamais possible en informatique).
La LPM prévoit – et cela sans aucun contrôle – que les services du Premier Ministre pourront librement « répondre à une attaque informatique« , si celle-ci porte atteinte :
- au potentiel de guerre ;
- au potentiel économique ;
- à la sécurité ou la capacité de survie de la Nation.
Une fois l’attaque identifiée, l’ANSSI pourra mettre en oeuvre les moyens « nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine » (c’est-à-dire notamment détruire l’ordinateur ou l’ensemble des ordinateurs qui en sont à l’origine, ou les pirater simplement).
Il est probable qu’une partie de ces dispositions soit censuré par le Conseil Constitutionnel, mais qu’importe. Sur le fond, la question est de savoir si l’idée est vraiment bonne. D’un côté il est parfaitement compréhensible d’avoir envie de riposter à une attaque menée contre des intérêts militaires ou diplomatiques français. De l’autre, on se demande un peu qu’est-ce qui va déraper, et comment (ex : mettre hors service un ordinateur critique d’un hôpital servant de relai à une attaque ?). Difficile aussi de ne pas y voir une belle opportunité également pour de véritables pirates de s’amuser : par exemple, pirater un ordinateur israélien, et utiliser ce système pour mener une attaque contre un système français, puis laisser la France riposter officiellement… contre l’Etat d’Israël. Belles perspectives d’incidents diplomatiques !
« Art. L. 2321-2.** – **Pour répondre à une attaque informatique de systèmes d’information portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine.
« Afin d’être en mesure de répondre aux attaques informatiques mentionnées au premier alinéa, les services de l’État déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toute donnée susceptibles de permettre la réalisation d’une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du code pénal en vue d’analyser leur conception et d’observer leur fonctionnement. »
Note : il y a une énorme bourde de rédaction dans ces articles, je vous laisse la chercher, on verra si ses rédacteurs la trouveront (sinon je l’expliquerai lorsque la loi sera entrée en vigueur 😉
2) L’ANSSI pourra identifier tout détenteur de systèmes « vulnérables, menacés ou attaqués »
Second point intéressant, l’ANSSI pourra demander (encore une fois sans aucun contrôle) « l’identité, l’adresse postale et l’adresse électronique » de tout utilisateur détenant :
- un système qui est « vulnérable » (ex: quand Adobe Acrobat n’est pas à jour) ;
- un système « menacé » ;
- un système qui a été « attaqué ».
Ses agents n’auront pas vraiment à justifier leur demande autrement qu’en invoquant « les besoins de la sécurité des systèmes d’information de l’Etat« , ce qui est… très large.
« Art. L. 2321-3. – Pour les besoins de la sécurité des systèmes d’information de l’État et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2, les agents de l’autorité nationale de sécurité des systèmes d’information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d’État, peuvent obtenir des opérateurs de communications électroniques, en application du III de l’article L. 34-1 du code des postes et des communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués. »
3) La recherche et la sécurité deviennent des motifs légitimes de posséder des outils d’attaques
En 2004, la loi pour la Confiance dans l’Economie Numérique avait créé une infraction spécifique relative à la détention d’armes informatiques. Le Parlement (en fait Alex Türk, ancien Président de la CNIL) avait jugé intelligent de ne pas sanctionner cette détention si on avait un motif légitime. 10 ans après, on ne sait toujours pas ce qu’est un motif légitime… lacune que la LPM vient combler justement, puisqu’elle change l’article 323-3-1 du Code pénal en ajoutant deux exceptions légales. Deviennent alors motifs légitimes la recherche (scientifique, faut-il lire même si ce n’est pas précisé) et la sécurité informatique.
I. – À l’article 323-3-1 du code pénal, après les mots : « sans motif légitime », sont insérés les mots : « , notamment de recherche ou de sécurité informatique ».
Cela apportera un peu plus de sérénité aux administrateurs systèmes et aux RSSI, mais cela remet aussi fondamentalement en cause l’utilité de ces dispositions. On ne voit pas trop quel pirate ne dira pas qu’il a développé ses armes informatiques pour… faire de la recherche…
Affaire à suivre !