Sénat

De la cyberdéfense

Cette semaine à Paris a connu deux événements qu’il est intéressant d’observer en parallèle:

Comment est définie la cyberdéfense ?

Comme souvent, lorsque l’on parle de défense nationale, il faut se rappeler qu’elle ne touche pas qu’aux missions militaires, mais bien à l’ensemble des mesures permettant de défendre l’intégrité physique autant qu’économique ou sociale de la nation. La cyberdéfense était définie dans un papier très attendu publié par l’ANSSI en février 2011:

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

et cela vise le cyberespace:

Espace de communication constitué par  l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

qui correspond très largement à l’Internet tel qu’on l’entend généralement, mais aussi à tous les réseaux qui y sont connectés.

… et vient s’inclure dans la notion plus globale de cybersécurité:

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Dans le rapport piloté par Jean-Marie Bockel La cyberdéfense: un enjeu mondial, une priorité nationale, son auteur s’était proposé de

se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s’en protéger.

En réalité, et on le voit dans les nombreuses affaires qui ont dû être traitées au cours des derniers mois, il y a une grande partie de la politique de cyberdéfense qui se doit d’utiliser les outils juridiques de la lutte contre la cybercriminalité, puisqu’on s’est souvent retrouvés dans une situation d’abord délictuelle – souvent vraisemblablement liée à des actions d’espionnage. A contrario, toutes les mesures de la cyberdéfense ne relèvent pas uniquement de la sécurité des systèmes d’information, parce que partie prenante de la politique de défense du pays et donc disposant d’autres modes d’action complémentaires (comme la diplomatie, la négociation de traités, l’action militaire éventuelle – notamment offensive).

Les composantes de la cybersécurité

Les composantes de la cybersécurité

Il faut donc comprendre la cyberdéfense comme une posture spécifique et renforcée de sécurisation (mesures de protection, détection des incidents et réaction) de systèmes d’information jugés essentiels et notamment ceux qui touchent aux intérêts fondamentaux de la nation. En pratique, cela concerne donc les systèmes d’information de l’Etat – et notamment ceux liés à la Défense nationale, des collectivités locales et autres acteurs qui traitent des systèmes d’information sensibles au profit de l’Etat, ainsi que les opérateurs d’importance vitale (ou OIV, définis à l’article R1332-1 du code de la défense).

L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2.

Un opérateur d’importance vitale :
– exerce des activités mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ;
– gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

Cela va donc des fonctions techniques et d’infrastructure (opérateurs, composantes essentielles des réseaux comme les plateformes d’échange de trafic, les serveurs DNS, etc.) à tous les systèmes d’information sensibles des secteurs clés (énergie, transport, alimentation, santé, etc.).

Cette posture particulière se traduit notamment en France par la désignation d’entités spécifiques au sein de l’administration chargées prioritairement de cette mission: l’Agence nationale de la sécurité des systèmes d’information et la chaîne de commandement Cyber du Ministère de la défense. Bien entendu, ces entités disposent de nombreux partenaires agissant à différents titres: citons police, gendarmerie et justice dans les domaines judiciaires, ou encore la direction générale de l’armement dans la dimension technico-opérationnelle.

Que retenir du colloque organisé au Sénat ?

Le colloque avait d’abord pour objet de prendre acte des progrès accomplis depuis la publication du livre blanc de la défense de 2008. La cyberdéfense n’était alors pas encore affichée sous cette terminologie:

(Extrait de la synthèse) La guerre informatique est une préoccupation majeure du Livre blanc qui développe deux axes stratégiques : d’une part, une conception nouvelle de la défense informatique, organisée « en profondeur » et coordonnée par une agence de la sécurité des systèmes d’information placée sous la tutelle du secrétaire général de la défense et de la sécurité nationale; d’autre part, la constitution de capacités de lutte informatique offensive qui seront développées, pour les armées, sous l’égide de l’état-major des armées, et en outre par des services spécialisés.

Entre autres, l’agence nationale de la sécurité des systèmes d’information, successeure de la direction centrale de la sécurité des systèmes d’information aux missions élargies, a bien été créée et a recruté assez largement. De même, le ministère de la défense a renforcé ses structures dédiées à la cyberdéfense, couronnées par la nomination d’un « officier général cyber » au sein de l’Etat major des armées.

Dans le Livre blanc 2013 de la défense et de la sécurité nationale, l’ambition est réaffirmée, ce à plusieurs reprises:

(page 90) Nos armées remplissent d’abord des missions permanentes. La dissuasion continuera de se fonder sur la posture permanente des deux composantes, océanique et aéroportée. Dans le cadre de la fonction stratégique de protection, les postures permanentes de sûreté terrestre, aérienne et maritime seront tenues dans les mêmes conditions qu’aujourd’hui. L’engagement des armées en renfort des forces de sécurité intérieure et de sécurité civile en cas de crise majeure pourra impliquer jusqu’à 10 000 hommes des forces terrestres, ainsi que les moyens adaptés des forces navales et aériennes. Pour remplir ces différentes missions de protection, il sera fait appel, lorsque c’est nécessaire, à des moyens prélevés ponctuellement sur nos forces d’intervention. Cette posture sera complétée par le dispositif de cyberdéfense, qui est appelé à s’amplifier dans les années qui viennent.

(page 94) Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement. La France développera sa posture sur la base d’une organisation de cyberdéfense étroitement intégrée aux forces, disposant de capacités défensives et offensives pour préparer ou accompagner les opérations militaires. L’organisation opérationnelle des armées intégrera ainsi une chaîne opérationnelle de cyberdéfense, cohérente avec l’organisation et la structure opérationnelles de nos armées, et adaptée aux caractéristiques propres à cet espace de confrontation : unifiée pour tenir compte de l’affaiblissement de la notion de frontière dans cet espace ; centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées, pour garantir une vision globale d’entrée et une mobilisation rapide des moyens nécessaires ; et spécialisée car demandant des compétences et des comportements adaptés. La composante technique confiée à la direction générale de l’armement aura pour mission de connaître et anticiper la menace, de développer la recherche amont, et d’apporter son expertise en cas de crise informatique touchant le ministère de la Défense.

(page 105) La lutte contre la cybermenace

Les suites données aux analyses et aux recommandations du Livre blanc de 2008 dans le domaine de la cyberdéfense ont permis à la France de franchir une étape décisive dans la prise en considération de cette menace et dans la mise en œuvre des réponses qu’elle requiert. Toutefois, la croissance continue de la menace, l’importance sans cesse accrue des systèmes d’information dans la vie de nos sociétés et l’évolution très rapide des technologies imposent de franchir une étape supplémentaire pour conserver des capacités de protection et de défense adaptées à ces évolutions. Elles nous imposent aujourd’hui d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France. Les moyens humains qui y sont consacrés seront donc sensiblement renforcés à la hauteur des efforts consentis par nos partenaires britannique et allemand.

La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’État doit soutenir des compétences scientifiques et technologiques performantes.

La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. Un effort budgétaire annuel en faveur de l’investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel.

Un renforcement de la sécurité des systèmes d’information de l’État est nécessaire. Une politique de sécurité ambitieuse sera mise en œuvre. Elle s’appuiera notamment sur le maintien de réseaux de haute sécurité irriguant les autorités de l’État, sur une politique appropriée d’achat public et sur une gestion adaptée des équipements de communications mobiles. Elle sera complétée par une politique de sensibilisation en direction des administrations déconcentrées de l’État, des collectivités territoriales, de leurs établissements publics et des principaux utilisateurs du cyberespace. La cybersécurité de l’État
dépend aussi de celle de ses fournisseurs de produits et de services, qui doit être renforcée. Des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu.

S’agissant des activités d’importance vitale pour le fonctionnement normal de la Nation, l’État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave.

La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires :

  • la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ;
  • une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.

Au sein de cette doctrine nationale, la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité. Elle contribue à la caractérisation de la menace et à l’identification de son origine. Elle permet en outre d’anticiper certaines attaques et de configurer les moyens de défense en conséquence. La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques.

De manière plus générale, la sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques. Il importe également d’accroître le volume d’experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique.

Toute politique ambitieuse de cyberdéfense passe par le développement de relations étroites entre partenaires internationaux de confiance. Les relations seront approfondies avec nos partenaires privilégiés, au premier rang desquels se placent le Royaume-Uni et l’Allemagne. Au niveau européen, la France soutient la mise en place d’une politique européenne de renforcement de la protection contre le risque cyber des infrastructures vitales et des réseaux de communications électroniques.

(page 120) Il faudra en outre organiser la montée en puissance de nouvelles composantes de la réserve opérationnelle, spécialisées dans des domaines dans lesquelles les forces de défense et de sécurité sont déficitaires. C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.

[…] Compte tenu des enjeux multiples et croissants dans ce domaine, une réserve citoyenne sera particulièrement organisée et développée pour la cyberdéfense, mobilisant en particulier les jeunes techniciens et informaticiens intéressés par les enjeux de sécurité.

Les présentations de la première partie de la journée ont donc développé autour des idées détaillées dans le livre blanc. Je résumerais en trois points les idées principales que j’en retiens:

  • Un acquis important tant sur le plan organisationnel que des moyens mis à disposition;
  • Une véritable prise de conscience politique de l’enjeu de la cybersécurité et plus particulièrement de la nécessité de renforcer notre cyberdéfense – dans le précédent livre blanc, le sujet était bien présent, mais diffus ;
  • Une ambition réaffirmée, qui même si elle n’est pas chiffrée précisément, se positionne à la hauteur de ce qui est pratiqué par nos partenaires les plus proches – Royaume-Uni et Allemagne (l’Allemagne a annoncé un programme de financement de la recherche en cybersécurité à hauteur de 30 M€).

L’après-midi a été consacrée au rôle des industries spécialisées françaises, qui nous ont expliqué – et l’évolution de leur organisation et de leurs offres le démontre – qu’elles sont en ordre de bataille pour répondre aux enjeux proposés par le livre blanc ou le rapport Bockel. Le sujet des petites et moyennes entreprises œuvrant dans ce domaine a été abordé, notamment au travers de l’intervention de Jérôme Notin, l’un des responsables du projet d’antivirus français DAVFI. Et on touche là à un sujet essentiel et ce pour plusieurs raisons:

  • l’innovation se développe très souvent dans de petites structures (VUPEN est souvent cité comme acteur majeur de la connaissance des menaces, mais beaucoup d’autres sont à l’oeuvre comme PicViz, ArxSys, Quarkslab, Lexfo, Tetrane, Amossys, 6cure ou certains des membres du pôle Systematic, puis dans les toutes petites Agarrin’hésitez pas à me signaler d’autres petites entreprises en pointe);
  • l’offre de sécurité à taille humaine, c’est-à-dire à la taille des PME ou des collectivités locales doit se développer, elle existe en France de façon encore insuffisante (l’offre peine à atteindre ou à convaincre tout le public qu’il faudrait toucher) et fragile (les difficultés financières d’HSC annoncées récemment en sont une illustration criante).

Enfin, la recherche et la formation sont deux composantes essentielles de la politique à développer. Tous partagent le constat qu’un gros effort reste à réaliser dans le domaine de la formation, qu’il s’agisse de sensibilisation de tous les français, des responsables d’entreprises, d’initiation à la sécurité des informaticiens, de formation de spécialistes en sécurité des systèmes d’information et plus spécifiquement en cyberdéfense ou de la formation continue des acteurs complémentaires (comme les magistrats, gendarmes ou policiers par exemple). Les besoins sont clairement détaillés dans le rapport Bockel.

Vous retrouverez des extraits en vidéo de la journée sur le site du Sénat. Pour ceux qui seraient intéressés enfin, une fiche sur la réserve citoyenne cyberdéfense.

Autres articles sur ce colloque:

Sujet très complémentaire de nos préoccupations en matière de cybercriminalité !…

Les conférences en sécurité

Revenons sur le deuxième événement de cette semaine avec NoSuchCon. Les conférences de sécurité informatique se multiplient en France et dans les pays voisins et c’est une bonne chose. Rien qu’entre mai et juin on peut citer:

… puis à l’automne:

Autant d’occasions pour rencontrer non seulement des français qui travaillent sur des questions de sécurité, mais des spécialistes venus du monde entier. Témoignage d’une vivacité grandissante de cette communauté en France. NoSuchCon était l’occasion, à l’image de Hackito Ergo Sum quelques jours plus tôt, d’assister à des présentations qui auparavant ne parvenaient pas jusque chez nous.

Pour finir, quelques articles en ligne sur la NoSuchCon pour vous en faire votre propre idée:

J’ai eu un faible pour la toute dernière présentation, par deux français, Robinson Delaugerre & Adrien Chevalier, Killing RATs, the Arsenic Framework, qui ont pour ambition de mettre à disposition une plateforme d’analyse de certains types d’attaques en profondeur. A suivre donc !

Du statut juridique des traitements de l’adresse IP

(suite à mon billet précédent sur l’obligation de notification d’incidents de sécurité)

Le texte issu de la commission des lois

La proposition de loi Détraigne/Escoffier aborde aussi le statut de l’adresse IP dans les traitements de données et propose un article 2 finalement assez simple :

Le deuxième alinéa de l’article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée :

« Tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne est visé par le présent alinéa. »

Et l’alinéa 2 de cet article 2 de la loi informatique et libertés dit aujourd’hui :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Donc tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne serait réaffirmé comme étant une donnée à caractère personnel.

Le débat sur l’adresse IP

Le débat qui amène à cette rédaction est très bien résumé dans le rapport de la commission des lois du Sénat. Un des éléments clés de celui-ci est que seul l’opérateur qui attribue les adresses IP pour les connexions de ses abonnés et éventuellement la justice qui requerrait l’identification de l’adresse IP peut connaître l’identité de son titulaire. Et donc la collecte d’adresses IP pourrait ne pas être considérée comme une collecte de données personnelles, puisque seul un tiers peut faire cette relation.

Mais, cela se heurte à plusieurs réalités:

  • beaucoup de fournisseurs d’accès offrent des adresses IP « statiques » à leurs abonnés, et il suffit d’avoir un échange sur Internet avec une personne, ou chercher des traces de l’activité de cette adresse IP sur Wikipédia pour essayer de l’identifier ;
  • toute personne qui présente un préjudice par la publication d’un contenu sur Internet peut obtenir l’identification de l’adresse IP à l’origine de cette publication, en faisant appel à la justice, en vertu de l’article 6 de la loi pour la confiance dans l’économie numérique.

Est-ce que la loi proposée répond au problème technique ?

En préambule, il est très difficile de trouver des formulations légales qui décrivent complètement un problème technique donné et qui soient insensibles aux évolutions technologiques. Donc l’exercice auquel se livre ici le législateur est évidemment délicat.

Ainsi, avant l’intervention de la commission des lois, le texte de la proposition de loi visait :

toute adresse ou tout numéro identifiant l’équipement terminal de connexion à un réseau de communication

En termes techniques, cela recouvre une adresse MAC, une adresse IP ou même le numéro IMEI d’un téléphone mobile, donc à la fois des adresses et des identifiants. Le texte de la commission des lois est plus restrictif en ce qu’il ramène à l’adresse IP attribuée par un fournisseur d’accès à son abonné. Au passage, je ne suis pas tout à fait d’accord avec la commission des lois qui déclare dans son rapport :

En effet, son attention a été attirée sur le fait que la rédaction retenue visait l’adresse MAC de l’ordinateur, et non l’adresse IP attribuée par le fournisseur d’accès.

puisque, le texte faisait référence à « toute adresse ou tout numéro identifiant », l’interprétation aurait pu être plus large et bien inclure l’adresse IP.

Cela étant dit, est-ce que la rédaction proposée est satisfaisante ? Très modestement, je dirais que ce n’est pas encore le cas. En effet, « tout numéro identifiant le titulaire d’un accès à des services de communication au public en ligne » recouvre plusieurs situations.

1. Pour commencer cela recouvre tout numéro d’abonné qu’aurait attribué le fournisseur d’accès, y compris une donnée qui n’est pas utilisée sur Internet (le numéro « client »)

Pour répondre à cette difficulté, il suffirait d’écrire: « tout numéro identifiant, sur un réseau de communications électroniques, le titulaire d’un accès à des services de communication au public en ligne » pour bien signifier qu’on parle d’un identifiant technique sur Internet.

2. Ensuite, cela ne recouvre pas forcément les adresses publiques que verront les serveurs ou les autres machines sur Internet.

En effet, l’adresse attribuée à un abonné peut très bien être une adresse sur un réseau local ou privé, comme c’est le cas pour les abonnés se connectant via les services des opérateurs de téléphonie mobile qui attribuent des adresses IP privées et ne transparaissent pour les interlocuteurs sur Internet que les adresse IP des serveurs « proxy » de l’opérateur. Ainsi, plusieurs centaines ou plusieurs milliers d’abonnés utilisent l’adresse IP de ce proxy au même moment, cette adresse ne les identifie donc pas individuellement.

A un instant donné, ce sont par exemple l’adresse IP de ce proxy et le port utilisé pour sa communication qui identifient de façon unique un abonné vis à vis de l’Internet.

Selon la définition de la proposition de loi, l’adresse IP du proxy ne constitue pas une donnée à caractère personnel. Or il suffit de l’associer au numéro de port évoqué ci-dessus ou à un intervalle de temps suffisamment précis pour qu’on identifie bien une personne ou un nombre très restreint de personnes.

3. Écueil beaucoup plus important: la notion d’adresse sur Internet ne se limite pas à des numéros

En effet, une adresse IP est identifiée plus classiquement par un nom plus facile à manipuler par l’être humain, le nom d’hôte et le nom de domaine (ou nom d’hôte plus simplement). C’est le système des serveurs DNS qui fournit la correspondance entre les adresses IP et ces noms d’hôte. Tel que proposé par la commission des lois, le texte ne fait pas du nom d’hôte des abonnés à Internet une donnée à caractère personnel, puisqu’il ne renvoie qu’aux numéros.

Par exemple, un abonné de l’opérateur Free aura pour nom d’hôte déclaré une adresse de la forme « XXX.fbx.proxad.net » ou XXX est une série de lettres et de chiffres qui contiennent d’ailleurs dans ce cas l’adresse IP. Et il pourra tout aussi bien se faire attribuer des noms d’hôtes plus personnels comme sur dyndns.fr ou no-ip.com.

Pour répondre aux problèmes posés par les points 2. et 3. ci-dessus, on pourrait reprendre partiellement les termes proposés dans la rédaction initiale et écrire : « Tout numéro, toute adresse ou toute combinaison de ces informations identifiant, sur un réseau de communications électroniques, le titulaire de l’accès à des services de communication au public en ligne ».

4. Mais en fait, avec l’adresse IP, on n’identifie pas réellement le titulaire de l’accès

En effet, le titulaire de l’accès à Internet est une personne, physique ou morale, titulaire d’un abonnement. Au titre de cet abonnement, elle se voit attribuer temporairement (adresses IP dynamiques) ou pour toute la durée de son abonnement (adresses IP statiques) une adresse IP lui permettant de communiquer sur Internet. Sur Internet, cette adresse IP n’identifie pas le titulaire de l’abonnement mais une machine (la plupart du temps aujourd’hui sa box ADSL).

Il peut y avoir derrière cette adresse plusieurs équipements, dont des ordinateurs, des appareils mobiles connectés, des lecteurs DVD ou des téléviseurs (certains de ces appareils intègrent aujourd’hui des applications de navigation sur Internet). Rien ne dit qu’à un quelconque moment l’utilisateur de cet abonnement soit le titulaire de l’accès. Pourtant c’est bien la seule personne que le fournisseur d’accès est en mesure d’identifier.

Donc le technicien, arguera que l’adresse IP que l’on cherche ici à protéger n’identifie pas réellement le titulaire de l’abonnement, mais simplement un équipement connecté au réseau à un instant donné. L’enquêteur acquiescera volontiers, mais soulignera que la seule façon d’attribuer une action relative à cette connexion c’est d’abord d’identifier le titulaire de l’abonnement (qui dans une large partie des cas sera aussi l’utilisateur de cette connexion, ou le chef de famille).

Au passage, l’adressage de la norme future de l’Internet (IP v6), permettra d’attribuer des blocs entiers d’adresses IP à un même titulaire.

Donc, oui, au sens de la loi informatique et libertés, l’adresse IP ou le nom d’hôte, même s’ils correspondent sur le plan technique à des équipements, identifient bien à un instant donné un titulaire d’un accès au réseau. La rédaction proposée semble donc bien la seule possible pour répondre à cette problématique.

5. Quel sort donne-t-on aux autres adresses sur Internet ?

En effet, lorsqu’on est amené à collecter des adresses IP (ou des noms d’hôte), par exemple en vue d’identifier les sources des attaques contre ses équipements, est-ce que l’on est en mesure de faire la différence entre celles qui correspondent à des titulaires d’un accès à des services de communication au public en ligne (des abonnements Internet) et celles qui correspondent à des serveurs, des routeurs ou d’autres équipements sur Internet ?

Si l’on prend le cas des serveurs, mis à disposition dans le cadre d’un contrat d’hébergement, ils peuvent tout aussi bien permettre d’identifier leur titulaire et la fonction d’un serveur est aussi variée qu’on peut l’imaginer. Et pourtant les adresses de ces serveurs ne seraient pas concernés par une telle définition.

Si l’on veut être aussi large que possible, tout en excluant les équipements réellement « neutres » de l’Internet tels que les équipements de routage des opérateurs, on pourrait proposer la rédaction suivante : « […] identifiant le titulaire d’un service offert par une personne visée au 1 ou au 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. »

(Le I de l’article 6 de la LCEN est en effet le lieu de la définition en creux des FAI (1°) et des hébergeurs (2°))

Conclusion

Il est donc effectivement indispensable de clarifier la nature juridique de l’adresse IP ou de ses équivalents, pour éviter les fluctuations jurisprudentielles et donc les incertitudes juridiques pour les responsables de traitement et les correspondants informatique et libertés.

On ne peut pas imposer que tous les traitements d’adresses IP ou de noms d’hôte soient considérés par défaut comme des traitements de données à caractère personnel. Ainsi, le gestionnaire des adresses internes des équipements d’une salle machine dans une entreprise serait inutilement embarrassé, tout comme l’opérateur de communications électroniques qui gère un grand nombre d’identifiants purement techniques.

La proposition que je me permets modestement d’apporter aujourd’hui paraît donc au final complexe, mais semble répondre aux écueils que j’ai pu identifier jusqu’à présent, tout en respectant les définitions juridiques couramment employées :

« Tout numéro, toute adresse ou toute combinaison de ces informations identifiant, sur un réseau de communications électroniques, le titulaire d’un service offert par une personne visée au 1 ou au 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est visé par le présent alinéa. »

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

Vote d’une proposition de loi d’allongement de la prescription sur Internet

Le Sénat a voté en première lecture la proposition de loi présentée par Marcel-Pierre CLEACH visant à allonger le délai de la prescription des délits de presse (diffamations, injures ou provocations) commis sur Internet. Cette durée serait ainsi portée de trois mois à un an.

Le texte voté ce soir est le suivant:

Article unique

Le dernier alinéa de l’article 65 de la loi du 29 juillet 1881 sur la liberté de la presse est ainsi rédigé :

« Le délai de prescription prévu au premier alinéa est porté à un an si les infractions ont été commises par l’intermédiaire d’un service de communication au public en ligne. Ces dispositions ne sont toutefois pas applicables en cas de reproduction du contenu d’un message diffusé par une publication de presse ou par un service de communication audiovisuelle régulièrement déclaré ou autorisé lorsque cette reproduction est mise en ligne sous la responsabilité de leur directeur de publication. ». »

Le dossier de cette proposition de loi est accessible ici sur le site du Sénat. Bien entendu, ce texte passera encore devant l’Assemblée Nationale, et si nécessaire en seconde lecture.

Vote en première lecture au Sénat du projet de loi création et Internet

Réseaux P2P

Réseaux P2P

Le sénat a donc voté hier le projet de loi favorisant la diffusion et la protection de la création sur Internet.

Le texte adopté le 30 octobre est disponible en suivant ce lien.

Les débats se poursuivront en première et dernière lecture à l’assemblée nationale en début d’année prochaine, pour cause de calendrier parlementaire chargé. Ce texte passera ensuite en commission mixte paritaire, l’Assemblée nationale étant certainement amenée à voter de nouveaux amendements.

Premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet

Palais du Luxembourg

Palais du Luxembourg

Les premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet se tiennent au Sénat depuis mercredi 29 octobre au soir, avec le débat préliminaire et depuis ce matin jeudi 30 octobre le début des discussions sur les articles du projet de loi.

Le site du projet de loi sur le site du Sénat est accessible en suivant ce lien.

Parmi les amendements adoptés, on pourra noter :

  • la haute autorité (HADOPI) est dotée de la personnalité morale ;
  • la haute autorité sera saisie des faits constituant le manquement à l’obligation de surveillance de sa connexion Internet et non plus seulement « susceptibles de constituer » ce manquement ;
  • les recommandations adressées aux internautes dont la connexion a été détectée comme ayant une utilisation abusive comprendront des informations sur les moyens de contacter l’HADOPI pour compléter leur information ;
  • ces recommandations et les courriers recommandés ne contiendront pas d’information sur les contenus piratés ;
  • les recommandations et courriers recommandés sont toutefois motivés.

Reprise des débats cet après-midi à 16 heures :

  • débat sur le changement proposé par la commission des affaires économiques de la coupure de l’accès Internet par le paiement d’une amende (amendement n°75 rectifié de M. RETAILLEAU), rejeté ;
  • diminution de la durée minimum de la coupure de l’accès Internet de trois mois à un mois ;
  • notification à l’abonné de la prise de sanction par la haute autorité ;
  • labellisation précédée d’une évaluation certifiée pour les moyens de sécurisation préconisés par la haute autorité ;
  • il est demandé aux opérateurs de vérifier si « le contractant » est dans la base de données des personnes dont la connexion Internet est suspendue et non plus simplement son « nom » et ils n’auront accès qu’aux données strictement nécessaires à leur rôle ;
  • les opérateurs ne pourront conserver les données qu’ils auront obtenues depuis cette base de données ;
  • les modalités des compensations financières des prestations assurées par les opérateurs seront assurées dans les conditions du code des postes et communications électroniques (donc pas de changement sur ce point par rapport au texte du gouvernement), mais le rapporteur du projet de loi précise qu’il pourrait être envisagé de prendre en compte que dans ce cas les opérateurs ont un intérêt à ce dispositif et accepteraient de ne pas être remboursés ;
  • création d’un label délivré par l’HADOPI pour identifier les prestataires offrant des contenus protégés par les droits d’auteurs et les droits voisins dans des conditions conformes à la loi – dans le même amendement, la haute autorité sera chargée d’évaluer les expérimentations en matière de technologies de reconnaissance des contenus et de filtrage.

Ces discussions ont permis de conclure par un vote l’adoption de l’article 2 du projet de loi à 18:13.

Les articles suivants ont été discutés sans grands changements sur le fond du texte. La séance est levée à 20h56.