Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot

La France innove avec le Deep Packet Protection©

LPM 2.0 : du DPI technique, pas du DPI politique

Le projet de loi de programmation militaire, dans sa nouvelle mouture pour la période 2019 à 2025, aka LPM v2.0, prévoit, outre les habituelles questions de budget, d'effectifs, de moyens, "le développement de la résilience « cyber »" de la fière startup-nation.

George Hodan - CC0 1.0

Concrètement, l'article 19 du projet de loi prévoit l'ajout de nouveaux versets au sacro-saint Code de postes et des communications électroniques, texte qui réglemente en particulier l'activité des opérateurs de télécommunications.

Le Code des postes et communications électroniques, CPCE pour les intimes, pose comme principe la protection de la vie privée des usagers des réseaux. En théorie, un opérateur ne peut exploiter que les informations pertinentes pour la réalisation de sa mission — acheminer les communications d'un point A à un point B — ou celles nécessaires à la facturation de ses abonnés.

Dans sa grande sagesse le législateur a prévu (what did you expect?) des exceptions, telles la mise à contribution des opérateurs pour la mise en œuvre d'interceptions judiciaires ou, bien plus controversée, celle des interceptions de sécurité commandées par les services de renseignement, donc sans intervention de l'autorité judiciaire.

Au principe, le projet de loi de programmation militaire ajoute une nouvelle dérogation, et de taille. En effet, le texte prévoit que « pour les besoins de la sécurité et de la défense des systèmes d’information, les opérateurs de communications électroniques peuvent recourir, sur les réseaux de communications électroniques qu’ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ». Le projet débouche également les esgourdes de l'ANSSI, en proposant que lorsque celle-ci « a connaissance d’une menace », elle puisse « exploiter ces dispositifs, en recourant, le cas échéant, à des marqueurs techniques qu’elle leur fournit. » Notons que le projet prévoit une variante à destination des acteurs visés par la loi de confiance dans l'économie numérique, à savoir les hébergeurs.

Au premier abord, ces dispositions peuvent apparaître comme tenant du bon sens. Après tout, comme l'expliquait Guillaume Poupard (le patron de l'ANSSI) à nos confrères de NextInpact, on pourrait trouver surprenant qu'un opérateur soit « quelqu’un à qui on demande scrupuleusement de transmettre une attaque de l’attaquant à la victime. » En pratique, tout cela risque au contraire de tourner vinaigre. Et sur le fond comme sur la forme, ces dispositions posent question.

Cyber is the new…

La nature de ces « marqueurs techniques » n'est ainsi pas précisée dans le projet de loi. L'étude d'impact donne comme exemples — sans que la liste soit exhaustive, donc — les « adresses IP source et destination, type de protocole utilisés, métadonnées de sessions de navigation, nombre et taille des paquets échangés. » ou encore « l'adresse IP d'un serveur malveillant ou le nom d'un site Internet piégé ». Or, en dehors de celles utilisées pour le routage, comme l'adresse IP, ces informations ne sont pas des données pertinentes du point de vue du réseau. Une « session de navigation » ou le « nom d'un site Internet » ne concernent pas davantage les opérateurs qu'un URL ou le contenu d'un email, ils ne sont pas censés les traiter. Du point de vue du réseau, ce ne sont pas des « métadonnées », mais des contenus. Dès lors, on comprend mieux les propos de Guillaume Poupard rapportés par Libération, à propos du Deep Packet Inspection, l'inspection en profondeur des paquets, une pratique très intrusive : « Politiquement, ce n’est pas du DPI, mais techniquement, ça va y ressembler. » Tu m'étonnes.

Ainsi, pour être un tant soit peu efficace, le système se devra d'être intrusif. Limité dans un premier temps au motif, sans doute légitime, de la lutte contre les attaques informatiques, rien ne permet d'affirmer qu'il ne sera pas, de manière ponctuelle ou par le biais d'une nouvelle tambouille législative, détourné de ses finalités premières. On peut soupçonner que la lutte contre des menaces « cyber » — très médiatisées — soit devenue un prétexte tout aussi valable pour empiler des mesures douteuses que la lutte contre le « piratage » de biens culturels, la pédopornographie ou le terrorisme.

Des mesures intrusives, pour quelle efficacité ?

Un flou tout aussi artistique voile les contours de ces fameuses « menaces » que les sondes magiques des opérateurs vont devoir détecter pour le compte de l'ANSSI. S'agit-il de déceler la diffusion de logiciels malveillants, de surveiller les serveurs utilisés par les attaquants pour contrôler à distance les machines compromises, d'identifier les équipements d'abonnés participant à leur insu à une attaque par déni de service ? Sans doute un peu de tout cela, le législateur ne faisant par essence pas dans le détail. Et dans la majorité des cas, vu les pratiques utilisées aujourd'hui par les attaquants, des adresses IP ne seront sans doute pas des « marqueurs » très utiles…

Toujours selon l'étude d'impact du projet de loi, les opérateurs « voient passer par leurs réseaux l’ensemble des flux. » Il serait donc logique qu'ils aient « un rôle clé à jouer dans la détection de ces attaques ». Là encore, on peut en douter. Lors d'une attaque, l'emplacement le plus adapté à la détection et à la remédiation est le réseau de la victime. C'est le seul point du réseau où les défenseurs disposent d'une vision plus ou moins cohérente du trafic, complexe, qui entre et qui sort.

Sans doute motivé par des intentions fort louables, le législateur impose derechef des mesures à l'efficacité hasardeuse et potentiellement très intrusives, au moins sur le long terme. Une fois le pied dans la porte, bon courage pour la refermer. On commence à avoir l'habitude, vous nous direz.

Sollicité par Reflets.info, l'ANSSI n'a pour l'instant pas donné suite.

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée