Les intriguantes déclarations de Bernard Cazeneuve sur le Deep Packet Inspection

A part les deux têtes à gauche et à droite du président de séance, la discussion sur l'article neuf du projet de loi pour le renforcement de la lutte contre le terrorisme à donné lieu à quelques incongruités. Notamment en ce qui concerne les explications techniques du ministre de l'Intérieur, Bernard Cazeneuve, à propos des techniques de blocage des sites envisagées. Retenons principalement que le deep packet inspection est cher, intrusif, qu'il perturbe le trafic et qu'il ne sera pas utilisé.

Isabelle Attard et Laure de La Raudière ont demandé à Bernard Cazeneuve d'expliquer les méthodes retenues pour bloquer l'accès aux sites faisant l'apologie du terrorisme (par exemple). Visiblement incapable de répondre sur les aspects techniques, le ministre s'est probablement fait préparer une fiche par ses services. Et ce n'est pas terrible non plus. Verbatim...

Isabelle Attard : Tous ceux qui connaissent l’inefficacité de  ce blocage administratif – juges antiterroristes, directeur de l’Agence  nationale des systèmes d’information, journalistes, internautes,  notamment – vont sourire. Et je ne veux pas, monsieur le ministre, que  la représentation nationale se ridiculise par méconnaissance technique.

Il est vrai que sur le plan technique et sur celui de l'efficacité, nous sourions. Mais sur le plan des libertés individuelles, sur celui du recul du rôle du juge, nous ne sourions pas. Le gouvernement socialiste fait pire que les gouvernements du quinquennat Sarkozy. Il demande aux députés de voter un article visant à faire ce que les députés socialistes combattaient pendant l'ère Sarkozy. Dans leur saisine du Conseil constitutionnel, les députés socialistes estimaient qu'« Il n’est bien évidemment pas dans l’intention des requérants de prétendre que l’accès à des sites pédopornographiques relèverait de ladite liberté de communication. En revanche, ils ne sauraient admettre que, faute de garanties suffisantes prévues par le législateur, la liberté de communication via internet subisse des immixtions arbitraires de la part des autorités administratives sous couvert de lutte conte la pédopornographie ».

_ M. Bernard Cazeneuve , ministre. En effet, madame la députée, nous sommes intervenus concernant le site  Copwatch parce que nous étions fondés en droit à le faire. Il  s’agissait d’un site qui s’était attaqué à la police et concernant  lequel la règle de droit en vigueur nous a permis d’agir comme nous  l’avons fait. Une autre configuration nous en aurait empêché. Ainsi, vos  propos corroborent parfaitement ce que j’indiquais tout à l’heure  concernant la difficulté que nous avons d’accéder à la plainte,  puisqu’il faut pour cela avoir toute légitimité à porter plainte en  raison d’un intérêt à agir. Pour conclure, je reprendrai les  propos de M. Pascal Cherki et répondrai à Mme Laure de La Raudière, en  tâchant de synthétiser nos échanges. M. Cherki a eu raison de rappeler –  comme je le fais depuis trois jours à chaque alinéa de ce texte – la  nécessité de protéger nos ressortissants et celle de préserver les  libertés. Si, tel que nous l’avons conçu, le texte commence par demander  le retrait aux hébergeurs, c’est précisément parce que nous pensons  qu’ils peuvent, comme nous les y appelons, exercer leur responsabilité  après que nous leur avons signalé le risque, afin que nous n’ayons pas à  intervenir par la suite. S’agissant d’une intervention au moyen  d’une mesure de police administrative, là encore M. Cherki a rappelé à  juste titre – et j’y tenais, car c’est important – qu’elle ne se fait qu’au terme de l’intervention d’une personnalité qualifiée et sous le  contrôle du juge administratif capable d’intervenir à tout moment en  référé, ce juge étant le juge des libertés, comme cela a justement été  précisé. Voilà le cadre de notre action, que je souhaite rappeler alors  que nous nous apprêtons à délibérer sur le contenu de l’article. Mme de La Raudière  m’a demandé quels sont les dispositifs de blocage. Comme vous le savez  très bien, il existe trois techniques de blocage. La première consiste à  bloquer non pas un site, mais un serveur identifié par son adresse IP,  qui est en quelque sorte la plaque d’immatriculation de chaque terminal  physique. Ce type de blocage est en effet très simple à mettre en œuvre mais, à défaut de difficulté, il est susceptible de produire des effets  collatéraux : il présente en effet l’inconvénient d’entraîner le risque  de surblocage, comme vous l’avez signalé, car un même serveur héberge fréquemment plusieurs dizaines, voire plusieurs centaines de sites. La  deuxième technique consiste à intervenir sur le nom d’hôte ou le nom de  domaine : c’est la technique dite DNS. Elle est la moins susceptible  d’entraîner un risque de surblocage et a l’avantage de ne pas imposer  d’investissement lourd aux fournisseurs d’accès. Elle n’oblige pas non  plus a recourir à des moyens d’inspection des contenus. C’est donc cette  méthode qui doit être privilégiée ; elle a d’ailleurs la préférence des  fournisseurs d’accès._

Le ministère souhaite donc bloquer des sites sur la base des DNS. Pas de risque de surblocage, pas d'investissement pour les FAI et pas de deep packet inspection. En d'autres termes, une panacée.

Oui, mais non.

Une mesure administrative est tout sauf publique. Impossible de savoir qui est bloqué ou pas, sur quels critères. Nombre d'organisations, et pas des moindres se sont violemment opposées à cette démarche, comme le Barreau de Paris, le CNDH... Le blocage DNS touchera tout le site visé et pas seulement les propos incriminés. Surblocage ? Les FAI devront assigner du personnel pour la mise en application de ces listes de sites bloqués. Investissement ? Pas de deep packet inspection. On est rassurés.

Enfin il existe une troisième technique dont je dis très clairement à  la représentation nationale que je ne souhaite pas qu’on l’utilise. Elle  consiste à bloquer l’adresse universelle dite URL.

Tiens... Là on se dit que Bernard Cazeneuve va nous parler de proxies comme les solutions BlueCoat qui ont fait merveille en Syrie ou en Iran. D'autant qu'il existe des solutions françaises dans ce domaine. Mais pas du tout.

C’est un dispositif  très précis, avec un niveau de blocage extrêmement fin, mais il impose  un filtrage préalable du contenu des communications. Il est connu sous  le nom de deep packet inspection.

On apprend donc par les services de Bernard Cazeneuve que le DPI ne fait que filtrer les URLs.

En outre, cette technique est très onéreuse – son coût pour les  fournisseurs d’accès serait de l’ordre de 140 millions d’euros – et peut  considérablement perturber le trafic. Très intrusive, elle peut  présenter des risques importants ; nous ne souhaitons donc pas  l’utiliser.

On se demande pourquoi les FAI français ont tant investi dans le DPI. Si la technologie est évidemment "intrusive", ce n'est rien de le dire, il est plus étonnant d'apprendre qu'elle peut "considérablement perturber le trafic". Ce n'est pas ce que disent des gens comme Qosmos.

 Vous m’avez interrogé sur la nature des techniques de blocage ; je vous  ai présenté les trois techniques qui existent et indiqué celle que nous  préférons, car elle est la moins intrusive. _Cela étant, nous  avons pleinement conscience qu’aucune de ces méthodes n’est tout à fait  satisfaisante mais, encore une fois, nous ne souhaitons pas avoir  recours à des techniques de blocage intrusives, ni altérer à aucun  moment la fluidité des réseaux. Nous devons conserver une flexibilité  technique afin d’adapter chaque décision de blocage aux différents  sites, dont les caractéristiques varient de l’un à l’autre. Là encore, il s’agit d’une demande des fournisseurs d’accès à internet.__ Nous  ne souhaitons donc pas figer dans la loi telle ou telle méthode de blocage, même si je vous ai clairement indiqué celles auxquelles nous n’entendions pas avoir recours, en raison de notre volonté absolue  d’éviter toute intrusion qui pourrait porter atteinte aux libertés ou à  la vie privée._

LA GUERRE C'EST LA PAIX LA LIBERTÉ C'EST L'ESCLAVAGE L'IGNORANCE C'EST LA FORCE

Pour nous adapter à l’évolution très rapide des  technologies, nous avons, au cours de l’été, soumis un projet de décret aux fournisseurs d’accès à internet avec qui nous sommes en discussion. Nous attendons naturellement la finalisation du texte de loi pour  achever ces discussions, ainsi que pour introduire des éléments  concernant la subsidiarité et pour finaliser le décret concernant les sites pédopornographiques, de manière à disposer de l’ensemble des  textes réglementaires – y compris pour les lois précédentes – et d’un  dispositif maîtrisé au plan technologique, qui correspond à l’équilibre  que nous voulons faire prévaloir.

Les décrets d'application du texte sur le blocage des sites pédopornographiques n'ont jamais été publiés. Il y a sans doute une raison à cela...

En somme, les libertés  publiques sont notre objectif

LA GUERRE C'EST LA PAIX LA LIBERTÉ C'EST L'ESCLAVAGE L'IGNORANCE C'EST LA FORCE

et l’équilibre du texte y répond ; par  ailleurs, connaissant les avantages et les inconvénients de chacune des techniques de blocage, nous privilégions les dispositifs les moins  intrusifs ; enfin, puisque nous voulons travailler en lien avec les  fournisseurs d’accès à internet parce que ce projet de loi vise à les  responsabiliser, nous préparons avec eux le texte des dispositions  réglementaires pour aboutir à un dispositif équilibré qui tienne compte  de nombreuses préoccupations exprimées sur ces bancs.

Notez toutefois, même si cela n'est pas dit clairement, que les préoccupations exprimées à l'Assemblée, celles de du CNDH et celles de l'Ordre des avocats, toutes couchées sur papier, seront très utiles pour que les ministres puissent faire des origamis pendant les prochains séminaires gouvernementaux.