octobre 2008

Vote en première lecture au Sénat du projet de loi création et Internet

Réseaux P2P

Réseaux P2P

Le sénat a donc voté hier le projet de loi favorisant la diffusion et la protection de la création sur Internet.

Le texte adopté le 30 octobre est disponible en suivant ce lien.

Les débats se poursuivront en première et dernière lecture à l’assemblée nationale en début d’année prochaine, pour cause de calendrier parlementaire chargé. Ce texte passera ensuite en commission mixte paritaire, l’Assemblée nationale étant certainement amenée à voter de nouveaux amendements.

Premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet

Palais du Luxembourg

Palais du Luxembourg

Les premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet se tiennent au Sénat depuis mercredi 29 octobre au soir, avec le débat préliminaire et depuis ce matin jeudi 30 octobre le début des discussions sur les articles du projet de loi.

Le site du projet de loi sur le site du Sénat est accessible en suivant ce lien.

Parmi les amendements adoptés, on pourra noter :

  • la haute autorité (HADOPI) est dotée de la personnalité morale ;
  • la haute autorité sera saisie des faits constituant le manquement à l’obligation de surveillance de sa connexion Internet et non plus seulement “susceptibles de constituer” ce manquement ;
  • les recommandations adressées aux internautes dont la connexion a été détectée comme ayant une utilisation abusive comprendront des informations sur les moyens de contacter l’HADOPI pour compléter leur information ;
  • ces recommandations et les courriers recommandés ne contiendront pas d’information sur les contenus piratés ;
  • les recommandations et courriers recommandés sont toutefois motivés.

Reprise des débats cet après-midi à 16 heures :

  • débat sur le changement proposé par la commission des affaires économiques de la coupure de l’accès Internet par le paiement d’une amende (amendement n°75 rectifié de M. RETAILLEAU), rejeté ;
  • diminution de la durée minimum de la coupure de l’accès Internet de trois mois à un mois ;
  • notification à l’abonné de la prise de sanction par la haute autorité ;
  • labellisation précédée d’une évaluation certifiée pour les moyens de sécurisation préconisés par la haute autorité ;
  • il est demandé aux opérateurs de vérifier si “le contractant” est dans la base de données des personnes dont la connexion Internet est suspendue et non plus simplement son “nom” et ils n’auront accès qu’aux données strictement nécessaires à leur rôle ;
  • les opérateurs ne pourront conserver les données qu’ils auront obtenues depuis cette base de données ;
  • les modalités des compensations financières des prestations assurées par les opérateurs seront assurées dans les conditions du code des postes et communications électroniques (donc pas de changement sur ce point par rapport au texte du gouvernement), mais le rapporteur du projet de loi précise qu’il pourrait être envisagé de prendre en compte que dans ce cas les opérateurs ont un intérêt à ce dispositif et accepteraient de ne pas être remboursés ;
  • création d’un label délivré par l’HADOPI pour identifier les prestataires offrant des contenus protégés par les droits d’auteurs et les droits voisins dans des conditions conformes à la loi – dans le même amendement, la haute autorité sera chargée d’évaluer les expérimentations en matière de technologies de reconnaissance des contenus et de filtrage.

Ces discussions ont permis de conclure par un vote l’adoption de l’article 2 du projet de loi à 18:13.

Les articles suivants ont été discutés sans grands changements sur le fond du texte. La séance est levée à 20h56.

Faire face aux nouveaux défis de la délinquance numérique

France 2025

Pour ce premier article, je vais reproduire ici ce que j’ai écrit en contribution à France 2025 :

http://www.france2025.fr/xwiki/bin/view/France2025/Fairefaceauxnouveauxdefisdeladelinquancenumerique

La délinquance liée aux technologies numériques est d’ores et déjà reconnue comme un domaine à part entière parmi les phénomènes criminels contre lequel il convient d’avoir une action efficace. En 2025, cette forme de délinquance fera pleinement partie du quotidien, comme la délinquance routière aujourd’hui ou l’utilisation des moyens de transport par les délinquants.

Les technologies numériques seront ainsi pleinement intégrées dans les usages des citoyens et dans le fonctionnement intime des institutions et des entreprises françaises. Ils en seront d’autant plus vulnérables à toutes les atteintes ciblant spécifiquement ces outils, mais ils y seront évidemment beaucoup mieux préparés.

Les délinquants seront aussi beaucoup plus à l’aise dans l’utilisation des moyens numériques. Là où en 2008, seuls certains d’entre eux les utilisent pleinement ou ont les compétences techniques pour les détourner finement, en 2025 cette forme de délinquance sera généralisée :

  • les moyens de communication numérique seront pleinement maîtrisés par les délinquants, y compris les façons de rendre ces communications plus discrètes comme le chiffrement, l’utilisation de canaux cachés ou l’exploitation des failles dans les produits commercialisés et notamment leur difficile traçabilité ;
  • des équipes très organisées de hackers malhonnêtes seront ainsi facilement constituées, elles s’affranchiront des frontières géographiques et linguistiques, et s’échangeront leurs compétences pour trouver rapidement les défauts des systèmes, mettre en place des flux de blanchiment encore plus efficaces, abuser d’un maximum de systèmes inter-connectés – ce que préfigurent les botnets rencontrés aujourd’hui ;
  • les techniques « anti-forensiques », permettant aux délinquants de se protéger des investigations seront beaucoup plus largement répandues, que ce soit des techniques de chiffrement une fois encore, d’effacement de traces sur les systèmes et les réseaux et l’exploitation des possibilités de rebonds sur les systèmes mal sécurisés qui seront toujours très nombreux.

Avec les nouveaux usages et les nouveaux outils numériques apparaîtront à chaque fois de nouvelles formes de délinquance.

Ainsi, la généralisation de l’usage d’une forme d’identité numérique entraînera des tentatives multiples d’abus de cette identité. Si on peut imaginer que les supports officiels de l’identité seront fortement sécurisés et très certainement l’objet d’attaques, ils ne seront pas les seuls. Que ce soient les supports mis en place par les commerçants et les fournisseurs de services en ligne, liés à une identité réelle ou à une identité virtuelle (pseudonymat) ou totalement anonyme, tous n’auront pas forcément les mêmes niveaux de protection. Ainsi, le format des moyens de paiement sera démultiplié, et le niveau de sécurisation des identifiants numériques utilisés sur différents sites communautaires ne sera pas égal.

A contrario, on peut imaginer qu’un lien plus fort à l’identité sera recherché par l’utilisateur et que l’internaute sera plus familier avec les moyens permettant de vérifier l’identité de ses interlocuteurs : non seulement la véracité de la signature (SSL aujourd’hui) du certificat d’un site de commerce en ligne, mais aussi des personnes avec lesquelles il sera en contact (signature électronique, présentation de certificats d’identité reconnus). Toutefois, il n’est pas certain que la course entre les utilisations bien cadrées et les utilisations plus libres soit gagnée par les premières, notamment sur les sites communautaires de nature ludique.

Le déploiement du nouveau système d’adresses Internet IP v6 va rendre la traçabilité des connexions et des échanges plus riche. Ainsi chaque objet connecté à Internet sera clairement identifié et éventuellement associé fortement à son propriétaire. Toutefois le volume d’informations à conserver et à échanger va croître de façon exponentielle : un même utilisateur qui en 2008 utilise une adresse IP à son domicile, une autre à son travail et éventuellement une autre de façon nomade, sera associé en 2025 à plusieurs centaines d’adresses différentes qui ne lui seront pas forcément toutes directement reliées. Certaines seront même anonymes, reliées à des objets numériques achetés dans des distributeurs automatiques ou la grande distribution, comme la montre qu’il porte à son poignet (qui pourra l’avertir des courriers électroniques qui lui sont destinés) ou ses lunettes de vision (qui lui permettront d’accéder à des canaux d’information divers). Et les délinquants sauront abuser de toutes ces possibilités.

Le très haut débit, enfin, sera généralisé et s’il permettra en 2025 une richesse d’accès à une information en temps réel, avec des images animées en haute définition et en relief, des bases de données multiples accessibles instantanément, il autorisera aussi de camoufler très facilement et plus discrètement à cause de la vitesse de transmission, les communications des délinquants au milieu de cette masse phénoménale d’informations en circulation.

Serons-nous préparés à ces défis ?

Tout d’abord un constat : la France, ses chercheurs et ses ingénieurs sont très dynamiques dans le domaine des technologies numériques et notamment en ce qui concerne la cryptologie ou la sécurité des systèmes d’information. Ainsi, on peut citer l’invention de la carte à puce ou des équipes de chercheurs mondialement reconnus dans le domaine de la cryptanalyse.

Mais contrairement à beaucoup de nos partenaires, notamment anglo-saxons, la recherche et l’innovation dans les domaines plus spécifiques de la lutte contre la délinquance numérique, se concentrant sur une posture préventive. Ainsi, en 2025, il est essentiel que la France et ses partenaires européens disposent de pôles de compétence expérimentés dédiés à la lutte contre la criminalité liée aux technologies numériques, afin de développer :

  • des outils innovants en matière d’analyse forensique des traces sur les systèmes et les réseaux numériques ;
  • la recherche sur les techniques anti-forensiques et les moyens de les prévenir ;
  • les moyens concrets d’une traçabilité sûre des échanges sur les réseaux, qui garantisse encore mieux la vie privée des internautes tout en permettant les investigations judiciaires et surtout réponde efficacement au défi des volumes d’information à traiter ;
  • et évidemment contribuer à la veille sur les risques sur la sécurité des systèmes d’information par des échanges efficaces avec la communauté des chercheurs travaillant sur ces domaines.

Ces pôles de compétence, à construire dès aujourd’hui, devront associer des universitaires, des compétences industrielles (notamment opérateurs et sociétés développant des logiciels et des matériels) et le soutien des services chargés des investigations.

Trop souvent aujourd’hui, ainsi que le montrent par exemple les études successives présentées par le Clusif (Club français de la sécurité des systèmes d’information), les dépôts de plainte et les signalements aux autorités compétentes des incidents rencontrés sont très rares. il est donc indispensable qu’en 2025 soient en place des espaces d’échange entre les différentes parties prenantes : pouvoirs publics, industriels et éventuellement chercheurs pour pouvoir dialoguer en toute confiance sur les incidents graves ou moins graves, les risques envisagés. Ces espaces pourront être organisés par branches professionnelles (banque, opérateurs de communications électroniques, développeurs de logiciels,…) et selon les sujets abordés (sécurité des systèmes, fraudes), plus ou moins restreints et surtout devront reposer sur des chartes couvrant la confidentialité des débats, l’engagement à la transparence entre les partenaires et surtout à agir promptement en fonction des mesures arrêtées ensemble.

L’ensemble de ces dispositifs s’inscrivent évidemment dans un contexte de coopération internationale qui devra se poursuivre et être renforcée en 2025, mais il est indispensable que la France soit dotée d’outils et de compétences adaptés à la lutte contre les phénomènes de délinquance numérique.