La loi de programmation militaire (LPM) est un exercice législatif qui revient en France tous les 5 ans. La dernière LPM, adoptée en 2013 pour les années 2014-2019, étendait les accès administratifs aux données de connexion. Avec un certain retard, La Quadrature du Net s’était mobilisée contre cette disposition introduite par voie d’amendement lors des débats législatifs puis, avec l’aide des Exégètes amateurs, à travers un recours devant le Conseil d’État.

Cette année, la LPM revient avec une nouvelle mouture pour les années 2019-2025. Dans sa partie « cyber-défense » (chapitre III), ce texte modifie le code de la défense pour donner plus de moyens à l’ANSSI (Agence nationale de sécurité des systèmes d’information) pour veiller à l’intégrité et la sécurité des réseaux. Et cette année encore, La Quadrature accuse un retard coupable. Alors que certains de ses membres fondateurs s’étaient rendus le 12 février dernier à une réunion de présentation du projet de loi organisée à l’initiative de l’ANSSI, nous n’avions toujours pas donné notre avis sur le dispositif. Mieux vaut tard que jamais. Mais il nous faut quand même commencer par faire amende honorable en reconnaissant notre faute : nous aurions dû communiquer bien plus tôt sur le sujet.
Car ce texte sécuritaire fourre-tout qui fait l’objet d’un examen expresse pose problème en tant que tel. Il résulte en effet d’une volonté de faire passer des dispositions portant atteinte aux droits fondamentaux dans le cadre d’une loi de programmation budgétaire, alors qu’elles mériteraient en tant que telles un débat spécifique et approfondi. À cet égard, les dispositions relatives à la cyberdéfense que nous analysons ici doivent se lire dans un contexte plus global : le projet de loi prévoit également l’acquisition de deux drones Reaper militarisés, autorise le recueil de données génétiques par les militaires français à l’étranger, acte la montée en puissance des activités militaires dédiés à la lutte informatique offensive avec la création de 1500 nouveaux postes dédiés, et accorde une immunité pénale à ces « cyber-attaquants », en autres choses.

Ici, nous nous concentrons donc sur la détection des cyberattaques. À ce stade, le Sénat entame donc l’examen du texte en première lecture. S’il est sans doute illusoire d’espérer un rejet en bloc du dispositif, il est encore temps de corriger les sérieux problèmes contenus dans ce texte. Car en l’état, ce dispositif est flou, déséquilibré et attentatoire aux libertés.

Une collaboration entre l’ANSSI et les opérateurs volontaires

En premier lieu, la nouvelle LPM tend à favoriser les mesures de sécurité prises volontairement par les opérateurs de télécommunications1.
En effet, la réglementation sur la neutralité du Net2 et sur la confidentialité des communications3 autorise déjà les opérateurs de télécommunications à analyser les données de connexion (adresse IP, taille des paquets, port...) afin de « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ».

Cette possibilité, réaffirmée par la LPM, est complétée par celle de collaborer avec l’ANSSI : en lui transmettant les informations sur les menaces détectées et en utilisant les renseignements transmis par l’ANSSI afin de mieux cibler leurs activités de détection . À cela s’ajoute la possibilité pour les opérateurs d’indiquer à leurs clients que leur machine est vulnérable ou a été infectée par un logiciel malveillant.
Dans la mesure où ces mesures restent volontaires (ne sont pas imposées selon les instructions de l’ANSSI), ce dispositif peut paraître légitime. Encore faut-il que l’usage des sondes soit autorisé par les abonnés concernés, qu’il soit transparent et rigoureusement contrôlé.

Les opérateurs doivent être mandatés par leurs abonnés

Or, c’est loin d’être le cas. Il manque un élément clef : le mandat de l’abonné pour la surveillance de son trafic par l’opérateur. Sans cela, ces sondes scrutant l’ensemble du trafic sont une atteinte directe au secret des correspondances, et constituent de ce point de vue un système de surveillance des abonnés. Cette surveillance étant alors opérée par un acteur privé, sans aucun contrôle.
En s’assurant que cette surveillance du trafic résulte d’une demande de l’abonné, le paradigme change. L’opérateur devient agent de l’abonné, agissant à son compte pour les questions de sécurité des systèmes, et l’abonné peut à tout moment décider de retirer sa confiance à cet agent délégataire. On peut supposer que, le secret des communications électroniques étant un principe général du droit des télécoms, la nécessité absolue de cet accord est implicite. Reste que la précision est nécessaire pour éviter tout abus.

Garantir un usage transparent et contrôlé des sondes

Par ailleurs, il faut qu’une autorité de contrôle puisse s’assurer de la bonne utilisation de ces sondes extrêmement dangereuses au plan de la vie privée, et qu’elle puisse faire la transparence sur l’utilisation de ces outils maniés par des acteurs privés. Cette autorité, ce devrait être l’ARCEP, à qui le projet de loi donne quelques compétences s’agissant des pouvoirs nouveaux octroyés par l’ANSSI (compétences utilement précisées et renforcées par l’Assemblée nationale, voir plus bas).

Mais même si le Code des postes et des communications électroniques prévoit bien que l’ARCEP contrôle le respect par les opérateurs de leurs obligations en matière de confidentialité des communications4 et que le règlement européen de 2014 protège la neutralité du Net, le projet de loi ne prévoit rien de spécifique s’agissant de ces activités de détection de cyberattaques appelées à monter en puissance. L’ARCEP devrait également les contrôler régulièrement et de manière inopinée, et le cas échéant les sanctionner les utilisations abusives, en communiquant publiquement sur la nature et les suites données à ces contrôles.

Les nouvelles boîtes noires imposées par l’ANSSI

La nouvelle LPM entend également permettre à l’ANSSI d’agir directement sur les réseaux, elle-même, en déployant ses propres « boîtes noires » sur les systèmes des opérateurs et fournisseurs d’accès à Internet, ainsi que ceux des hébergeurs5. Suite à un amendement adopté à l’Assemblée, le non-respect de ces obligations par les opérateurs et hébergeurs est désormais passible de sanctions (un an d’emprisonnement et 75 000 euros d’amende).
Ces boîtes noires sont définies comme « un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » (dans une formulation d’ailleurs très proche de celle donnée en 2015 dans la loi renseignement)6. La LPM limite l’utilisation des ces sondes aux cas où l’ANSSI « a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs » d’importance vitale (centrale électrique, aéroport, opérateurs télécoms, industries de défense, etc.). Or, ainsi définies, ces dispositions confèrent à l’ANSSI un pouvoir excessif.

Une atteinte injustifiée à la confidentialité des communications

La notion de « données techniques » ou « marqueurs techniques » utilisée dans le projet de loi n’a aucune définition juridique ou technique. Comme l’a relevé le journaliste Marc Rees, il s’agit bel et bien par ce vocable de contourner la jurisprudence constitutionnelle protégeant la confidentialité des communications, pour surveiller le contenu des communications et non les seules métadonnées. D’ailleurs, Guillaume Poupard, le directeur de l’ANSSI, ne se cache pas de la volonté de regarder dans le détail le contenu des communications. Lors de son 7. Ci ces métadonnées peuvent déjà révéler beaucoup d’informations sur notre vie, limiter le pouvoir de surveillance de l’ANSSI à ces seules métadonnées aurait au moins le mérite de ne pas anéantir l’ensemble de l’édifice juridique qui protège encore un tant soit peu peu la confidentialité de nos communications.

Quel degré de surveillance pour quelles menaces ?

De même, la LPM n’établit aucun lien de causalité entre la menace pour les autorités publiques et les opérateurs d’importance vitale, d’un côté, et, de l’autre, les « événements susceptibles d’affecter la sécurité des systèmes » et que les boîtes noires doivent détecter. Un tel lien doit être établi afin que l’ANSSI ne puisse analyser le trafic qu’aux seuls points du réseau où elle pourra détecter les menaces affectant les seules autorités et opérateurs qu’elle est censée protéger. Une précision par ailleurs indispensable pour permettre aux opérateurs concernés et à l’ARCEP, qui contrôlera l’action de l’ANSSI dans ce domaine, de s’assurer de la proportionnalité de la mesure de surveillance engagée.

Enfin, la notion de « menace » pour les autorités et opérateurs dont l’ANSSI est chargée d’assurer la protection est également très floue. L’étude d’impact de la loi parle d’une vingtaine seulement de menaces par an qui seraient suffisamment graves pour justifier de telles pratiques. Or, la loi n’offre aucun critère pour les limiter de la sorte et empêcher que des boîtes noires ne soient déployées constamment et en tout point pour prévenir n’importe quel type de menace plus ou moins abstraite - ce qui serait parfaitement injustifiable. Là encore, ces éléments de doctrine doivent figurer dans la loi, et faire l’objet d’une information régulière et transparente afin de permettre aux citoyens et à l’ensemble des acteurs concernés par ces mesures de pouvoir juger de leur proportionnalité.

Une durée de conservation des données doublées, sans raison valable

Alors que le projet de loi du gouvernement prévoyait que l’ANSSI puisse conserver pendant une durée maximale de cinq années les « données techniques » collectées, la commission de la Défense nationale de l’Assemblée nationale a doublé cette durée, en la portant à 10 ans. Cette durée semble excessivement longue puisque, comme on l’a vu, les données techniques recueillies sont très souvent des données à caractère personnel. Cinq années paraît déjà très long quand on sait que la loi renseignement limite à un mois après leur collecte la durée de conservation des contenus des correspondances.

Les responsables de l’ANSSI irresponsables ?

Quand bien même les nouveaux pouvoirs donnés à l’ANSSI seraient mieux limités, une autorité indépendante doit pouvoir s’assurer que ces pouvoirs ne sont dévoyés à des fins politiques ou de contrôle de la population. Or, le contrôle des activités de l’ANSSI par l’ARCEP, prévu dans le projet de loi, manque singulièrement de mordant.
D’abord, comme l’a souligné l’ARCEP dans son avis rendu sur le projet de loi, se pose d’abord la question du renforcement de ses moyens pour garantir sa capacité à contrôler l’ANSSI. Ensuite, en dépit des précisions apportées par l’Assemblée s’agissant des modalités de ce contrôle8, le texte ne prévoit qu’un contrôle distant, sur la foi de rapports et de documents, mais loin du terrain. Aucune possibilité de contrôler le fonctionnement des sondes installées sur les infrastructures des opérateurs télécoms ou des hébergeurs n’est prévue. Le projet de loi ne prévoit pas non plus que ces derniers puissent saisir l’ARCEP pour faire obstacle aux demandes de l’ANSSI.
Enfin, si elle constate des abus, l’ARCEP ne pourra qu’adopter des recommandations à l’adresse de l’ANSSI. Le texte ne prévoit aucune sanction. Pour faire en sorte que les nouveaux pouvoirs de l’ANSSI soient dûment encadrés, il faudrait aussi poser explicitement dans la loi le fait que le non-respect des dispositions contenues dans ce chapitre « cyberdéfense » sont constitutives des délits prévus en matière de traitements illégaux de données. Ces derniers font l’objet de sanctions pénales, et par ce truchement, toute constatation par l’ARCEP de non-respect des dispositions devra être signalée au Ministère public, lequel pourra ensuite engager une action pénale (voir l’article 40 du code de procédure pénale). En cas d’abus, les responsables de l’ANSSI seront ainsi mis devant leurs responsabilités.

Le droit européen de nouveau bafoué

On sait tout l’irrespect dont font preuve nombre de responsables publics français vis-à-vis des règles européennes encadrant les mesures de surveillance. Ce projet de loi en fournit une nouvelle illustration.
D’abord, parce qu’il ne prévoit aucune information des personnes qui verraient leur trafic Internet scruté par l’ANSSI. Lors de son audition, Guillaume Poupard expliquait ainsi que la volonté pour l’ANSSI d’en passer directement par l’installation de sondes chez les hébergeurs plutôt qu’auprès des personnes ayant loué ses machines :
Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l’a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l’on n’a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l’agresseur lui-même.
Or, quelque soit le statut de ces personnes dont le trafic aura été surveillé — victimes innocentes et ignorantes ou cyber-attaquant malveillant —, à aucun moment le projet de loi ne prévoit qu’elles en soient informées. C’est pourtant là une obligation, qui ressort notamment de la jurisprudence de la Cour européenne des droits de l’Homme (CEDH), et qui permet ensuite de garantir à chacun un droit de recours effectif contre ces mesures de surveillance.

Pour respecter le droit européen, d’autres dispositifs pourraient d’ailleurs être envisagés pour permettre l’exercice d’un droit de recours effectif, comme la possibilité de saisir l’ARCEP pour savoir si nos communications ont été, pour une raison ou une autre, aspirées par l’ANSSI. Le cas échéant, cela permettrait à l’ARCEP de s’assurer ensuite du caractère proportionné de cette surveillance. Si elle constate une irrégularité, elle pourra ensuite ordonner la destruction des données et saisir d’elle-même le ministère public. Dans le même temps, l’ARCEP doit s’assurer de la bonne information de la personne surveillée et de la possibilité pour elle de se constituer partie civile.

Par ailleurs, le texte viole la directive européenne de 2000 sur la société de l’information, dont l’article 15 interdit aux États d’imposer aux opérateurs ou aux hébergeurs des mesures générales de surveillance. Or, en l’état, l’article 2321-2-1 va bien à l’encontre de ce principe, en prévoyant que l’ANSSI puisse exiger l’utilisation de boîtes noires dans le but de scanner l’ensemble du trafic pour repérer des « cyber-menaces » chez les opérateurs et les hébergeurs.10 Notons que ce sont là les mêmes arguments que nous soulevons contre les boîtes noires de la Direction générale de la Sécurité intérieure (DGSI) dans le cadre de nos recours contre la loi renseignement.

L’ANSSI, ce faux-ami

Pour finir, il faut évoquer une inquiétude de fond s’agissant de l’ANSSI. Car même si les grands pontes de la cybersécurité en France aiment rappeler l’originalité du modèle français en la matière, avec une agence cybersécurité civile rattachée directement au Premier ministre et ne s’occupant pas de lutte informatique offensive, force est de reconnaître la porosité croissante entre l’ANSSI et le monde du renseignement pour tout un tas de missions (les intrusions étrangères dans les systèmes d’information de l’État, la gestion des logiciels « chevaux de Troie » utilisés par les services pour réaliser des intrusions informatiques, l’échange de renseignement s’agissant de failles informatiques, etc.).

Cela a pu par le passé conduire à des prises de position pour le moins surprenantes, et en rupture avec l’image bienveillante et soucieuse des libertés que les dirigeants de l’ANSSI prennent soin de cultiver. Ainsi, Next INpact rappelait fin 2015 que, pour le projet du gouvernement de généraliser le chiffrement des mails, l’ANSSI avait tenu à distance des solutions de chiffrement robustes et décentralisées, dites de « bout-en-bout ». Guillaume Poupard disait alors vouloir ménager la possibilité que le trafic email soit accessible en clair en certains points du réseau. Plutôt que de promouvoir un chiffrement fort sans lequel il ne peut y avoir de véritable sécurité informatique, l’ANSSI entendait alors ménager les capacités de surveillance des services de renseignement et de police.

Aujourd’hui, les dirigeants de l’ANSSI sont peut être sincères lorsqu’ils évoquent leur volonté de minimiser l’impact sur les libertés, la neutralité du Net et le droit au chiffrement de ces mesures de détections des attaques. Mais qu’en sera-t-il demain ? Ce qui est sûr, c’est que les services de renseignement ont joué un rôle de premier plan dans la rédaction de ce projet de loi. De fait, l’ANSSI — et les pouvoirs nouveaux dont la dote cette nouvelle LPM —, évolue dans une réalité institutionnelle qui la rend très perméable aux dérives sécuritaires. Raison pour laquelle un modèle de cybersécurité plus décentralisé, extirpé au maximum du secret d’État et misant sur la capacitation de l’ensemble des acteurs et utilisateurs d’Internet, aurait mérité d’être sérieusement envisagé et débattu publiquement. Au lieu de ça, le choix a été fait de présenter une nouvelle loi de surveillance, adoptée en procédure accélérée.
• 1. Les mesures de sécurité réalisables par les opérateurs sont prévues au nouvel article L. 33-14 du code des postes et des communications, créé par l’article 19 de la LPM.
• 2. Voir l’article 3, b), du règlement 2015/2120.
• 3. Voir les articles 32-3 et L. 34-1, IV, second alinéa, du code des postes et des télécommunications.
• 4. Dans son rapport, la commission de la défense nationale de l’Assemblée estime ainsi que « l’ARCEP sera en mesure de contrôler la régularité de la mise en œuvre de ces dispositifs par les opérateurs sur le fondement des articles L. 32-4 et L. 36-7 du code des postes et des communications électroniques ».
• 5. Les nouveaux pouvoirs d’analyse du réseau par les boites noires de l’ANSSI sont prévus à l’article L. 2321-2-1 du code de la défense, créé par l’article 19 de la LPM.
• 6. L’article L. 851-3 du code de la sécurité intérieure définit les boîtes noires utilisables par les services français comme des « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ».
• 7. Il déclare ainsi à Next INpact : « On fait du NetFlow [analyse de métadonnées d’un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret ».
• 8. Voir le rapport de la commission de la défense nationale de l’Assemblée : « À l’initiative du rapporteur et la commission a adopté le dispositif de contrôle suivant. Il confie cette nouvelle mission à la formation de règlement des différends, de poursuite et d’instruction (formation RDPI) de l’ARCEP et prévoit : – une obligation, pour l’ANSSI, d’informer sans délai, la formation RDPI : d’une part, de la mise en œuvre des dispositifs de détection sur les réseaux des acteurs concernés (opérateurs de communications électroniques, hébergeurs, FAI) ; d’autre part, des demandes formulées par l’ANSSI tendant à l’obtention des données techniques nécessaires à la caractérisation d’une menace affectant la sécurité des systèmes d’informations des OIV ou des autorités publiques. – que la formation RDPI dispose d’un accès complet aux données techniques recueillies ou obtenues dans le cadre des dispositions prévues à l’article 19 ; – qu’elle peut adresser à l’ANSSI des recommandations, et qu’elle est informée des suites qui y sont données ; – que si aucune suite n’est donnée à ces recommandations, ou si elle juge ces suites insuffisantes, la formation RDPI pourra enjoindre l’ANSSI d’interrompre les opérations en cause ou de détruire les données recueillies ; – que l’ARCEP remet, chaque année, un rapport au Gouvernement et au Parlement sur les conditions d’exercice et les résultats du contrôle exercé par la formation de règlements des différends. ».
• 9. Selon la CEDH, en effet : « Il peut ne pas être possible en pratique d’exiger une notification a posteriori dans tous les cas (...). Cependant, il est souhaitable d’aviser la personne concernée après la levée des mesures de surveillance dès que la notification peut être donnée sans compromettre le but de la restriction. Par ailleurs, la Cour prend acte de la recommandation du Comité des Ministres visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police, laquelle dispose que lorsque des données concernant une personne ont été collectées et enregistrées à son insu, elle doit, si les données ne sont pas détruites, être informée, si cela est possible, que des informations sont détenues sur son compte, et ce dès que l’objet des activités de police ne risque plus d’en pâtir » (§ 287, affaire Roman Zakharov c. Russie).
• 10. La directive de 2000 proscrit ainsi des mesures de filtrage du trafic visant à bloquer ou détecter certains communications au niveau d’un fournisseurs d’accès ou d’un hébergeur. Selon la Cour de justice de l’Union européenne : « (...) l’injonction faite au prestataire de services d’hébergement de mettre en place le système de filtrage litigieux l’obligerait à procéder à une surveillance active de la quasi- totalité des données concernant l’ensemble des utilisateurs de ses services. Il s’ensuit que ladite injonction imposerait au prestataire de services d’hébergement une surveillance générale qui est interdite par l’article 15, paragraphe 1, de la directive 2000/31 » (CJUE, 16 février 2012, SABAM c/ Netlog, C-360/10, §38. Voir aussi CJUE, 24 novembre 2011, SABAM c/ Scarlet Extended, C-70/10, §40.)