Aller au contenu

2

parlement_europeenLe "Paquet télécom" est actuellement amplement débattu au sujet d'amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.

Il s'agirait d'introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive "cadre") une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l'intégrité des données de leurs abonnés, ayant eu un impact significatif.

Aucun texte - jusqu'à présent - au niveau Européen n'impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l'étude menée par le Clusif tous les deux ans).

Du point de vue des services d'enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n'est pas possible de mener des investigations sur ces faits, d'en collecter les preuves et d'espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d'autres pays.

Du point de vue des clients, une telle mesure permettrait d'avoir une meilleure information sur de tels incidents et, éventuellement, d'envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s'arrête à l'autorité de régulation nationale, est-ce suffisant ?

Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d'impact significatif), pour éviter d'imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L'autre élément du débat enfin est de savoir s'il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.

Le texte est consultable ici, en page 61.

Ce "Paquet télécom" est donc intéressant à suivre dans les mois qui viennent !

1

Bienvenue au Connecticut
Bienvenue au Connecticut

Une information publiée ce week-end pointait l'attention des lecteurs attentifs sur une actualité provenant des Etats-Unis : 5500 utilisateurs de Facebook, délinquants sexuels, ont vu leur compte supprimé. Cette actualité pose la question plus générale du moyen de prévenir l'action de prédateurs sexuels potentiels sur Internet.

Que s'est-il passé exactement ?

Selon les différents articles publiés à ce sujet, assez largement répétitifs, car provenant certainement de la même dépêche d'agence de presse, 5585 comptes d'utilisateurs de Facebook ont été supprimés (sur les 175 millions de comptes existants) entre le 1er mai 2008 et le 31 janvier 2009, suite à des investigations menées notamment par le procureur général de l'État américain du Connecticut, mais aussi sur la base de recoupements opérés par Facebook pour repérer des pratiques suspectes. Et la déclaration du représentant de la société est à ce titre très intéressante : "Notre optique est d'effacer les délinquants sexuels quand ils sont signalés ou identifiés, par tous les moyens".

Dans le cadre de la même commission d'enquête à laquelle participe le procureur général du Connecticut, 90.000 prédateurs sexuels auraient été identifiés parmi les utilisateurs de la communauté en ligne Myspace. La même société avait annoncé en Juillet 2007 la suppression de 29.000 comptes sur la base de Sentinel Safe, une base de données privée recensant les données personnelles de centaines de milliers de prédateurs sexuels américains.

Qu'en conclure et quelles questions cela soulève-t-il ?

Facebook a agi sous l'impulsion et vraisemblablement selon les directives d'un magistrat. D'autre part, Facebook est une société de droit privé qui affiche très clairement la volonté de ne pas voir dévoyé son système au profit de prédateurs sexuels. Peut-on donc leur en vouloir ?

L'autre face de la médaille est la privatisation de l'action répressive. En effet, mener une telle enquête sur des réseaux, collecter des données personnelles et se servir pour cela des services d'une société privée constitue un pas de plus dans cette direction. Avant de continuer, il faut se rappeler qu'aux Etats-Unis, les coordonnées des personnes condamnées pour des délits de nature sexuelle sont librement accessibles, par exemple sur le site national "Dru Sjodin National Sex Offender Public Website", suite au vote de la loi Megan en 1996, du nom d'une victime d'un prédateur sexuel. En France, de telles informations ne sont pas publiées, mais effectivement collectées, dans le FIJAIS - fichier judiciaire des auteurs d'infractions sexuelles.

Les questions sont donc multiples :

  • les prédateurs sexuels condamnés doivent-ils pouvoir avoir une activité sur Internet ?
  • qui peut contrôler leurs faits et gestes ? est-ce qu'on peut laisser à une société privée le soin de faire le ménage sur les réseaux ?
  • est-ce que la prévention auprès des victimes potentielles est suffisante ? (se méfier des inconnus, ...)

Premières pistes de réflexion

Je propose les pistes suivantes pour tenter de réfléchir à ces questions :

  1. La législation française permet depuis 1998 la mise en place de mesures de suivi socio-judiciaires, parmi lesquelles l'interdiction de rentrer en contact avec les personnes susceptibles d'être les victimes de ces méfaits
  2. Seules les personnes chargées de ce suivi socio-judiciaire et les policiers ou gendarmes qui ont accès au FIJAIS peuvent vérifier si quelqu'un est soumis à ces contraintes
  3. Parallèlement, il est important qu'après avoir purgé leur peine les personnes condamnées soient en mesure de se réintégrer, donc il n'est pas raisonnable aujourd'hui de leur interdire à tous l'usage d'une connexion Internet (même si c'est imaginable pour certains cas graves)
  4. En revanche, les gestionnaires de sites reçoivent les plaintes de leurs utilisateurs et peuvent imaginer des modèles de comportements à risques (un homme de plus de 18 ans qui ne chercherait que des profils de jeunes filles de moins de 18 ans, etc...). Qui peuvent-ils contacter pour valider leurs découvertes ? Quelles mesures peuvent-ils prendre de leur propre chef ?

En conclusion, et s'agissant de mesures préventives, prenant en compte les constats effectués lors de ces initiatives américaines - à savoir la réalité de la présence active de prédateurs sexuels sur les réseaux sociaux, il nous revient de trouver une solution adaptée et proportionnelle et cela suppose de faire travailler ensemble des personnes et des services qui ne se croisent généralement qu'une fois qu'un problème est survenu.

Des événements à venir :

2

Campagne prévention
Campagne de prévention

Un post intéressant lu sur un blog récemment, m'amène à réagir sur ce sujet qui semble de plus en plus du domaine du débat public : la réalité du danger sur Internet pour les enfants. De plus en plus de voix s'élèvent pour dire que finalement, il n'y a pas de prédateurs d'enfants sur Internet, ou pas tant que ça et que l'on en parle trop. Malheureusement, ces voix se trompent.

Un peu de perspective pour commencer

Tout d'abord, effectivement, le monde n'a pas changé avec Internet, les dangers qui attendent les enfants qui grandissent dans notre société moderne, ne sont pas tout à fait nouveaux. Ce qui change pour les enfants aujourd'hui, c'est que les dangers ne sont pas uniquement dans la rue et sur le chemin de l'École, mais potentiellement à la maison et à l'école, si l'accès Internet de ces enfants n'est pas correctement accompagné. La campagne à venir, comme d'autres avant, parle avant tout de cela, et pour avoir participé à de nombreuses occasions à la sensibilisation des parents et des enseignants sur ces sujets, et le retour que je peux avoir de mes collègues qui font cela, la conscience de ces risques n'existe pas toujours chez les adultes.

Dans un deuxième temps, est-ce qu'Internet a entraîné une augmentation des risques ? Je me risquerai à dire que oui, malheureusement. Du côté des amateurs d'images pédophiles, nombre d'entre eux, pendant leurs interrogatoires, admettent qu'ils n'auraient pas été tentés si l'accès à ces contenus n'avait pas été aussi facile. Certains nous affirment même ne pas ressentir d'interdit. Ils sont en quelque sorte désinhibés, par le relatif anonymat de la connexion à Internet, seul depuis leur nid douillet.

Du côté des enfants, il ne faut pas se faire d'illusion sur leur capacité à prendre en compte les risques. Ce n'est pas parce que nos enfants sont plus à l'aise que beaucoup d'adultes devant un micro-ordinateur qu'ils sont conscients des dangers, qu'ils en maîtrisent tous les risques et toutes les chausse-trapes. Ils sont même très souvent rassurés dans cet univers qui leur semble familier, où ils parlent en même temps à leurs camarades de classe et à un ami à l'autre bout du monde.

Maintenant, faites l'expérience de vous connecter sur certains sites de discussion existant sur Internet et soi-disant réservés aux "moins de 18 ans" (la plupart des professionnels français sont très sérieux dans la prévention dans ce domaine, mais Internet est aussi un univers de libre-entreprise et n'a pas de frontières, y compris pour nos enfants). Prenez l'identité d'un adolescent anonyme. Et comptez le nombre de minutes qui passeront avant de vous faire aborder avec des propositions souvent peu appropriées à un tel public. C'est d'ailleurs ce phénomène qui a amené au vote d'une infraction nouvelle au début de l'année 2007 dans le cadre de la loi sur la protection de l'enfance (nouvel article 227-22-1 du code pénal sur les sollicitations sexuelles à un mineur de 15 ans).

Quel est l'état de la menace ?

Enfin, sur la réalité de la "menace" pédophile aujourd'hui en France... Nos enquêteurs spécialisés (les enquêteurs NTECH de la gendarmerie) sont aujourd'hui au nombre de 170 en poste. De leurs statistiques d'activité il nous remonte que 25% des dossiers qu'ils traitent sont relatifs à des atteintes aux mineurs. Et pour certains de ces enquêteurs, cela peut représenter jusqu'à 80% de leur activité. La division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) à Rosny-sous-Bois est chargée de la surveillance proactive d'Internet. A cette occasion, ils identifient chaque mois une soixantaine de diffuseurs de contenus pédophiles sur des réseaux pair à pair (P2P).

Dans les opérations, souvent médiatisées, où plusieurs dizaines de personnes suspectées d'être amateurs d'images pédophiles sont interpellés, trop d'entre eux malheureusement sont déjà passés à l'acte, sur le point de le faire selon leurs propres déclarations, et certains sont eux-mêmes producteurs de ces contenus. Et toutes les telles opérations ne sont pas médiatisées. Cette semaine encore, nos enquêteurs de Bretagne ont interpellé un suspect chez qui plus de 500.000 images et 1.800 vidéos pédophiles ont été retrouvées.

Mais ceux-là sont effectivement faciles à identifier, et bien évidemment nous n'en sommes pas dupes. Ainsi, à l'occasion d'interpellations effectuées ces dernières années, nous avons remarqué une hausse de l'utilisation de techniques de chiffrement pour camoufler aux yeux des enquêteurs des images et autres traces préjudiciables. De même, la pratique de réseaux d'échanges fermés et mieux sécurisés se développe. Mais nous sommes aussi présents progressivement sur ces créneaux. La loi sur la prévention de la délinquance de mars 2007 (loi n°2007-297 du 05 mars 2007) nous permet d'ailleurs de développer depuis peu les investigations sous pseudonyme sur Internet pour ce type d'infractions.

Que faut-il faire ?

Donc, oui il est important que des associations, les pouvoirs publics, informent les parents et les enfants de ces risques. Il est tout aussi important de développer de nouvelles mesures. Bien évidemment ce n'est pas le problème numéro un sur Internet, celui qui concerne le plus de victimes en quantité (ce serait plutôt du côté des escroqueries et autres copies de cartes bancaires  qu'il faut chercher le suspect principal). Mais la gravité de ce type d'infractions est tout de même tout autre et le nombre de personnes mises en cause et d'enfants victimes est loin d'être négligeable.

[youtube=http://fr.youtube.com/watch?v=cE6fQwWggVM]

La prévention doit-elle être alarmiste ? Eh bien, si cela peut frapper certains esprits, oui ! Seuls les messages les plus directs ont été réellement efficaces en matière de prévention de la sécurité routière. La prévention passe aussi par une présence accrue d'enquêteurs formés à ces problématiques, et correctement équipés. Il faut qu'ils puissent être présents partout où le risque existe. La peur du gendarme doit exister...

Le message est le même pour la plupart des risques de l'Internet : contre le phishing par exemple, ces courriers électroniques qui vous font croire que votre banque (ou tout autre service en ligne) a besoin de confirmer vos informations confidentielles et vous renvoient vers un site Web ressemblant au site de votre banque, rien ne vaut une prévention matraquée à destination des victimes potentielles, parce qu'il est tellement facile pour les escrocs de monter une telle arnaque en quelques heures.

En conclusion, oui l'Internet est un outil formidable, mais il est à l'image de notre société, parfois de façon plus exacerbée, il ne connaît pas les frontières et il ne s'arrête évidemment pas à la porte des maisons, donc il faut être attentif à qui l'on laisse rentrer chez soi, enfants et adultes tout autant.

2

Cyberlex
Cyberlex

L'association Cyberlex organisait lundi 01 décembre 2008 après-midi, dans la salle Médicis du Sénat à Paris. Le thème retenu cette année s'intitulait : "Internet et l’Individu : des limites à poser, une harmonie à construire".

Après l'ouverture par la présidente de l'association Corinne Thiérache, le programme s'est déroulé selon quatre tables rondes :

  1. Données personnelles : des données personnelles à l’Identité Numérique
  2. E-Commerce : Le consommateur au cœur de l’Economie Numérique
  3. Propriété Intellectuelle : Création et Internet, une confiance virtuelle ?
  4. Responsabilité : Une (r)évolution annoncée ?

Parmi les points intéressants, j'ai noté les idées suivantes :

  • Gérard Haas (table ronde n°1) qui posait la question de l'applicabilité des articles 434-23 et 313-1 du code pénal à l'usurpation d'identité sur Internet et a montré l'intérêt de la création d'une nouvelle infraction ;
  • Isabelle Daviaud (table ronde n°1) en se basant sur l'exemple d'une société qui a intégré les fonctionnalités des réseaux sociaux dans son système d'information a souligné l'importance de réguler aujourd'hui les réseaux sociaux ; elle a plus tard évoqué la proposition de loi en cours de discussion au Parlement sur l'allongement de la prescription pour les infractions de presse sur Internet ;
  • En réponse, Gwendal Le Grand (table ronde n°1) a rappelé que le groupe de travail international sur la protection des données dans les télécommunications a publié en mars 2008 une recommandation sur les réseaux sociaux ;
  • Cyril Chabert (table ronde n°2) a mis en avant deux jurisprudences de la cour de cassation sur la vente liée et la vente avec prime, respectivement de mai 2008 et juillet 2008 ;
  • Les débats de la table ronde n°3 ont porté effectivement sur le projet de loi Création & Internet, au cours desquels j'ai noté une présentation très pédagogique de ce texte en cours de débat par Christophe Caron et l'intervention de Lionel Thoumyre sur l'action de sa société (Myspace) dans la lutte contre les atteintes à la propriété intellectuelle commises par ses utilisateurs, et notamment le principe du "Take down stay down" ;
  • Enfin, sur la dernière table ronde, Benoît Tabaka remplaçait au pied levé Alexandre Menais ;
  • Myriam Quéméner a discuté de l'application de la LCEN depuis son vote en 2004, notamment autour du rapport récent de l'assemblée nationale sur ce sujet ;
  • Yoram Elkaïm a fait une présentation exhaustive de la jurisprudence portant sur la distinction éditeur / hébergeur et montre surtout que cette distinction doit se faire au cas par cas, y compris au sein d'un même site Web ;
  • Enfin, Jean-Christophe Le Toquin a évoqué un certain nombre de projets passés et à venir, intéressants à suivre, nouvelle façon de travailler en commun et pour lesquels la France s'est montrée motrice :

Au total une après-midi fort intéressante.

1

Un petit post pour vous aider à utiliser correctement ce blog :

  • A gauche, vous retrouvez : les catégories, les derniers articles du net que j'ai pu lire (mes bookmarks), les archives et les étiquettes ;
  • A droite : mes différents liens, dont certains blogs que je consulte régulièrement et des liens pour vous abonner à mes articles dans votre lecteur RSS (c'est génial ce truc... vous retrouvez tous les sites d'actualité que vous lisez habituellement sous la même interface, plutôt que d'avoir à aller sur 36 sites différents).

Usez et abusez 🙂 Et n'hésitez pas à poster un commentaire sur mes articles, c'est fait pour ça !

ec-consultationDu 07 novembre 2008 au 09 janvier 2009, la commission Européenne mène une consultation en ligne , à destination du public le plus large, sur la politique à mener au niveau de l'Union Européenne pour la sécurité des réseaux et de l'information.

Les questions portent sur trois thèmes :

  • défis : "quels sont les défis principaux pour la sécurité des réseaux et de l'information à considérer aux niveaux national, de l'UE et international, notamment en ce qui concerne la résilience des réseaux de télécommunications et des infrastructures électroniques d'information ?",
  • priorités : "quelles seraient les trois priorités-clés qu'une politique devrait aborder pour relever les défis dus à l'évolution de la sécurité des réseaux et de l'information aux niveaux de l'UE et international ?"
  • et moyens : "Quels instruments sont nécessaires au niveau de l'UE pour aborder les défis et pour soutenir les priorités politiques dans le domaine de la sécurité des réseaux et de l'information? En particulier, quels instruments ou mécanismes sont-ils nécessaires pour améliorer la préparation pour traiter les cyber-disruptions à grande échelle et pour assurer des niveaux élevés de sécurité et de résilience des réseaux et infrastructures électroniques ?".

Personnellement, parmi les défis, je citerais : le manque d'information sur les phénomènes, le temps de réaction disponible qui se restreint (attaques 0-day, haut débit...), les paradis numériques, la compétence des utilisateurs, l'avènement de l'identité numérique partout et de la démocratie électronique.

Mes trois priorités seraient : l'amélioration de la circulation de l'information par la confiance, la formation et le développement de capacités de réaction coordonnées (au plan national, européen ou international).

L'exemple de l'affaire McColo récente est exemplaire à ce sujet, qui a montré que finalement les acteurs techniques pouvaient agir efficacement pour lutter contre les sources de problèmes (et donc ne sont pas toujours neutres sur le réseau) et la suite nous montrera que l'absence d'action policière et judiciaire coordonnée (supposée) risque de voir rebondir les mêmes acteurs avec les mêmes compétences ailleurs... Dans d'autre cas, les services d'enquête ou les organismes officiels chargés de la sécurité informatique dans les Etats ont dû agir par leurs seuls moyens judiciaires ou administratifs, sans aucun soutien des opérateurs.

Enfin, en termes de moyens : ils doivent être juridiques (la création d'un Espace Schengen du numérique), un rôle peut-être plus opérationnel de l'agence européenne ENISA (ou une coordination ENISA/Eurojust/Europol/OLAF sur ces sujets), et une implication préventive des acteurs techniques.

A vos clavier pour contribuer vous aussi !

1

img_colloque_131108
Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l'INHES à la Plaine Saint Denis (93), un colloque sur la "Cyberdéfense". Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d'information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d'information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

  • Typologie des menaces ;
  • Cartographie, enjeux et complexités ;
  • Cibles et impacts ;
  • Réponses et solutions.

Des différentes présentations on retiendra que :

  • il est encore difficile aujourd'hui d'évaluer l'impact des différentes attaques contre les systèmes d'information en France et dans le Monde ;
  • la future agence nationale de la sécurité des systèmes d'information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l'information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
  • des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
  • le constat est maintenant tangible d'une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l'ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l'Europe, doivent s'y préparer ;
  • les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l'intérêt d'associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d'information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J'en retire aussi qu'il subsiste un grand flou autour des évolutions à venir de l'Internet et de la démarche de cyberdéfense :

  • quel avenir pour la gouvernance de l'Internet (rôle de l'ICANN, rôle que veut se donner l'Union Européenne, rôle des nouvelles puissances extrême-orientales,...) ?
  • quel va être l'impact d'IP v6 sur la sécurité des systèmes d'information et la cybercriminalité en général ?
  • quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?

1

FDI
FDI

Le Forum des droits sur l'Internet (FDI) publiait ce matin le rapport d'un groupe de travail sur le filtrage des sites pédopornographiques. Il s'agissait d'étudier les modalités techniques et juridiques d'une telle mesure en France. Le FDI a entamé ces travaux suite à des demandes exprimées par le ministre de l'intérieur (Michèle ALLIOT-MARIE) et la secrétaire d'Etat chargée de la famille (Nadine MORANO).

Contexte international

Ce projet s'inscrit dans un projet suivi au niveau Européen, visant à harmoniser les politiques des Etats dans ce domaine. Ainsi, le groupe de coordination des chefs de police européens (COSPOL - Comprehensive Operational Strategic Planning for the Police) a engagé un projet dénommé CIRCAMP (COSPOL Internet related child abusive material project), dont une des missions identifiées a été de développer de bonnes pratiques dans le domaine du blocage : le "child sexual abuse anti distribution filter".

En effet, il subsiste des paradis virtuels pour les diffuseurs de contenus illicites, hors de portée des décisions judiciaires et de la coopération policière.

Ainsi, les expériences menées en Norvège et au Royaume-Uni ont-elles pu montrer un intérêt à mettre en œuvre ce type de mesures préventives. Dans ces deux pays, il s'agit d'accords volontaires entre les pouvoirs publics et les opérateurs Internet. Les autres pays européens étudient donc des propositions similaires.

Résumé des conclusions du groupe de travail du FDI

Le FDI définit d'abord l'objectif possible d'une telle mesure:

"Dès lors, et s’agissant des sites hébergés à l’étranger, le filtrage des sites contenant des images ou représentations d’abus sexuels sur mineurs apparaît comme un levier supplémentaire permettant de lutter contre ce type de contenu. Une telle mesure permettrait également d’éviter leur banalisation. Par ailleurs, ces sites étant souvent de nature commerciale, cela limiterait leur accès à un potentiel marché français."

Ensuite, le FDI procède à une étude juridique de la possibilité d'implémenter ce dispositif en France, qui se heurte à la fois aux dispositions des textes européens (neutralité des opérateurs définie notamment dans la directive 2000/31/CE du 08 juin 2000, mais qui prévoit aussi la possibilité pour une autorité officielle d'ordonner des mesures permettant de mettre un terme ou prévenir des violations) et aux dispositions de la loi pour la confiance dans l'économie numérique (article 6, I, 8 de la LCEN 2004-575 du 21 juin 2004, qui prévoit l'intervention d'un juge pour ordonner un blocage, comme cela fut le cas dans l'affaire AAARGH).

Partant de ce constat, le FDI propose qu'une disposition législative nouvelle vienne encadrer le dispositif, avec la création ou la désignation d'une autorité administrative qui aura pour mission de valider et de transmettre aux opérateurs une liste des sites situés à l'étranger et diffusant des images ou représentations de mineurs à caractère pornographique. Cette liste devrait être mise à jour régulièrement. L'internaute visitant volontairement ou involontairement un tel site serait redirigé vers une page d'information sur le dispositif et aucune trace de sa connexion ne sera conservée.

Cette autorité serait garante de la stricte conformité des sites bloqués aux critères définis par la loi, à savoir la diffusion de contenus rendus illicites par l'article 227-23 du code pénal et situés en dehors de l'Union Européenne.

Enfin, il est souligné que les solutions techniques ne devraient pas être imposées aux opérateurs qui resteraient ainsi maîtres de la qualité de service offerte aux Internautes pour la fourniture des services légitimes.

Le texte du rapport peut être consulté sur le site du Forum des droits sur l'Internet en suivant ce lien.

Que disent les opposants à un tel projet ?

Bien entendu, il n'y a pas de consensus général sur un tel projet. Ainsi sont évoquées la volonté de censurer l'Internet, comme cela est le cas dans des contrées moins démocratiques, la possibilité que ce dispositif soit étendu progressivement ou brutalement à des infractions dont la répression semble moins justifier des mesures aussi fortes ou surtout présente des risques techniques dans son implémentation, comme ce qui est arrivé en début d'année à l'opérateur national du Pakistan. On retrouve ces différents points dans le rapport cité supra, ainsi que sur différentes contributions publiées sur Internet comme celle de l'association "La Quadrature du Net".

Que va-t-il se passer maintenant ?

Le débat n'est donc pas encore conclu sur ce sujet. La recommandation du FDI viendra certainement alimenter des débats à venir au Parlement, dans le cadre d'un futur projet de loi encadrant ce dispositif. Les différents acteurs sont en tous cas d'accord pour souligner qu'il s'agit avant tout d'un objectif de blocage (empêcher l'accès) plutôt que d'un objectif de filtrage (terme pouvant laisser supposer qu'on surveille les connexions de chacun des internautes français).

1

France 2025

Pour ce premier article, je vais reproduire ici ce que j'ai écrit en contribution à France 2025 :

http://www.france2025.fr/xwiki/bin/view/France2025/Fairefaceauxnouveauxdefisdeladelinquancenumerique

La délinquance liée aux technologies numériques est d'ores et déjà reconnue comme un domaine à part entière parmi les phénomènes criminels contre lequel il convient d'avoir une action efficace. En 2025, cette forme de délinquance fera pleinement partie du quotidien, comme la délinquance routière aujourd'hui ou l'utilisation des moyens de transport par les délinquants.

Les technologies numériques seront ainsi pleinement intégrées dans les usages des citoyens et dans le fonctionnement intime des institutions et des entreprises françaises. Ils en seront d'autant plus vulnérables à toutes les atteintes ciblant spécifiquement ces outils, mais ils y seront évidemment beaucoup mieux préparés.

Les délinquants seront aussi beaucoup plus à l'aise dans l'utilisation des moyens numériques. Là où en 2008, seuls certains d'entre eux les utilisent pleinement ou ont les compétences techniques pour les détourner finement, en 2025 cette forme de délinquance sera généralisée :

  • les moyens de communication numérique seront pleinement maîtrisés par les délinquants, y compris les façons de rendre ces communications plus discrètes comme le chiffrement, l'utilisation de canaux cachés ou l'exploitation des failles dans les produits commercialisés et notamment leur difficile traçabilité ;
  • des équipes très organisées de hackers malhonnêtes seront ainsi facilement constituées, elles s'affranchiront des frontières géographiques et linguistiques, et s'échangeront leurs compétences pour trouver rapidement les défauts des systèmes, mettre en place des flux de blanchiment encore plus efficaces, abuser d'un maximum de systèmes inter-connectés - ce que préfigurent les botnets rencontrés aujourd'hui ;
  • les techniques « anti-forensiques », permettant aux délinquants de se protéger des investigations seront beaucoup plus largement répandues, que ce soit des techniques de chiffrement une fois encore, d'effacement de traces sur les systèmes et les réseaux et l'exploitation des possibilités de rebonds sur les systèmes mal sécurisés qui seront toujours très nombreux.

Avec les nouveaux usages et les nouveaux outils numériques apparaîtront à chaque fois de nouvelles formes de délinquance.

Ainsi, la généralisation de l'usage d'une forme d'identité numérique entraînera des tentatives multiples d'abus de cette identité. Si on peut imaginer que les supports officiels de l'identité seront fortement sécurisés et très certainement l'objet d'attaques, ils ne seront pas les seuls. Que ce soient les supports mis en place par les commerçants et les fournisseurs de services en ligne, liés à une identité réelle ou à une identité virtuelle (pseudonymat) ou totalement anonyme, tous n'auront pas forcément les mêmes niveaux de protection. Ainsi, le format des moyens de paiement sera démultiplié, et le niveau de sécurisation des identifiants numériques utilisés sur différents sites communautaires ne sera pas égal.

A contrario, on peut imaginer qu'un lien plus fort à l'identité sera recherché par l'utilisateur et que l'internaute sera plus familier avec les moyens permettant de vérifier l'identité de ses interlocuteurs : non seulement la véracité de la signature (SSL aujourd'hui) du certificat d'un site de commerce en ligne, mais aussi des personnes avec lesquelles il sera en contact (signature électronique, présentation de certificats d'identité reconnus). Toutefois, il n'est pas certain que la course entre les utilisations bien cadrées et les utilisations plus libres soit gagnée par les premières, notamment sur les sites communautaires de nature ludique.

Le déploiement du nouveau système d'adresses Internet IP v6 va rendre la traçabilité des connexions et des échanges plus riche. Ainsi chaque objet connecté à Internet sera clairement identifié et éventuellement associé fortement à son propriétaire. Toutefois le volume d'informations à conserver et à échanger va croître de façon exponentielle : un même utilisateur qui en 2008 utilise une adresse IP à son domicile, une autre à son travail et éventuellement une autre de façon nomade, sera associé en 2025 à plusieurs centaines d'adresses différentes qui ne lui seront pas forcément toutes directement reliées. Certaines seront même anonymes, reliées à des objets numériques achetés dans des distributeurs automatiques ou la grande distribution, comme la montre qu'il porte à son poignet (qui pourra l'avertir des courriers électroniques qui lui sont destinés) ou ses lunettes de vision (qui lui permettront d'accéder à des canaux d'information divers). Et les délinquants sauront abuser de toutes ces possibilités.

Le très haut débit, enfin, sera généralisé et s'il permettra en 2025 une richesse d'accès à une information en temps réel, avec des images animées en haute définition et en relief, des bases de données multiples accessibles instantanément, il autorisera aussi de camoufler très facilement et plus discrètement à cause de la vitesse de transmission, les communications des délinquants au milieu de cette masse phénoménale d'informations en circulation.

Serons-nous préparés à ces défis ?

Tout d'abord un constat : la France, ses chercheurs et ses ingénieurs sont très dynamiques dans le domaine des technologies numériques et notamment en ce qui concerne la cryptologie ou la sécurité des systèmes d'information. Ainsi, on peut citer l'invention de la carte à puce ou des équipes de chercheurs mondialement reconnus dans le domaine de la cryptanalyse.

Mais contrairement à beaucoup de nos partenaires, notamment anglo-saxons, la recherche et l'innovation dans les domaines plus spécifiques de la lutte contre la délinquance numérique, se concentrant sur une posture préventive. Ainsi, en 2025, il est essentiel que la France et ses partenaires européens disposent de pôles de compétence expérimentés dédiés à la lutte contre la criminalité liée aux technologies numériques, afin de développer :

  • des outils innovants en matière d'analyse forensique des traces sur les systèmes et les réseaux numériques ;
  • la recherche sur les techniques anti-forensiques et les moyens de les prévenir ;
  • les moyens concrets d'une traçabilité sûre des échanges sur les réseaux, qui garantisse encore mieux la vie privée des internautes tout en permettant les investigations judiciaires et surtout réponde efficacement au défi des volumes d'information à traiter ;
  • et évidemment contribuer à la veille sur les risques sur la sécurité des systèmes d'information par des échanges efficaces avec la communauté des chercheurs travaillant sur ces domaines.

Ces pôles de compétence, à construire dès aujourd'hui, devront associer des universitaires, des compétences industrielles (notamment opérateurs et sociétés développant des logiciels et des matériels) et le soutien des services chargés des investigations.

Trop souvent aujourd'hui, ainsi que le montrent par exemple les études successives présentées par le Clusif (Club français de la sécurité des systèmes d'information), les dépôts de plainte et les signalements aux autorités compétentes des incidents rencontrés sont très rares. il est donc indispensable qu'en 2025 soient en place des espaces d'échange entre les différentes parties prenantes : pouvoirs publics, industriels et éventuellement chercheurs pour pouvoir dialoguer en toute confiance sur les incidents graves ou moins graves, les risques envisagés. Ces espaces pourront être organisés par branches professionnelles (banque, opérateurs de communications électroniques, développeurs de logiciels,...) et selon les sujets abordés (sécurité des systèmes, fraudes), plus ou moins restreints et surtout devront reposer sur des chartes couvrant la confidentialité des débats, l'engagement à la transparence entre les partenaires et surtout à agir promptement en fonction des mesures arrêtées ensemble.

L'ensemble de ces dispositifs s'inscrivent évidemment dans un contexte de coopération internationale qui devra se poursuivre et être renforcée en 2025, mais il est indispensable que la France soit dotée d'outils et de compétences adaptés à la lutte contre les phénomènes de délinquance numérique.