En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
banniere_FIC2018_leaderboard

Projet « Loi Renseignement »: la contre-proposition de NBS System

Universign_maitrisez risques signature elec_pave

Rédigée par NBS System, voici une contre-proposition technique aux boîtes noires de la loi Renseignement. Le spécialiste de l’hébergement e-commerce souhaite, selon ses propres mots, « contribuer à la mise en place d’un nouveau système antiterroriste sans tomber dans les travers de la surveillance de masse. »

Le Web vibre ces derniers temps contre le projet de loi du gouvernement dont on peut suivre l’actualité sur Twitter via le hashtag #PJLRenseignement, qui imposerait aux hébergeurs et FAI de s’équiper d’une « boite noire » qui pourrait enregistrer toutes les communications numériques des citoyens, à tout instant. Ce projet sera inefficace, dangereux pour l’économie numérique et également très complexe à mettre en place. De surcroit, comme le disait Benjamin Franklin : « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »

Cette atteinte massive à la liberté des communications et d’échanger sous seing privé rappelle par ailleurs ce qu’ont pu mettre en place de nombreux régimes politiques pour contrôler leurs populations, avec les conséquences qui s’en sont suivies. Par ailleurs, récemment encore, de nombreux faits d’écoute, à la légalité contestée, ont émaillé l’actualité et contribué à l’animation des cours de Justice. Il est bien entendu que personne ne soutient le terrorisme ici. Nous sommes enclins à aider la justice et souhaitons que les hébergeurs soient inclus dans ce processus. Mais à l’inverse, l’écoute systématique n’est pas une solution viable ou acceptable pour autant. Et l’installation d’équipement « sauvage », « fantôme », que l’hébergeur ne peut contrôler lui-même met en péril l’activité de ce dernier et la sécurité de ces clients.

Les principaux obstacles que nous identifions sont :

  • Le systématisme « sans tri » des opérations d’écoutes
  • L’absence des juges dans le processus d’autorisation ou non d’une écoute
  • La mise en place d’un dispositif et matériel non contrôlé, dont le niveau de sécurité est inconnu et dont l’installation est opérée par un tiers au sein d’un réseau de confiance
  • Le coût pharaonique de l’opération pour un résultat inutile

Par ailleurs, le secret des correspondances et le droit à la vie privée sont des articles de notre Code Civil (9 et 10) et sont défendus très clairement dans l’article 8 de la Convention européenne des droits de l’Homme. Le projet tel qu’il est présenté aujourd’hui est lui-même très proche de la violation de ces articles. Offrir une critique sans solution n’est pas dans nos habitudes, aussi aimerions-nous formuler une contre-proposition qui permette de résoudre ces points clefs.

Une solution technique plus réaliste, sécurisée et moins coûteuse

Chez les opérateurs téléphoniques, il existe déjà un processus rodé et non intrusif permettant, suite à la délivrance d’un mandat, de mettre sous écoute un numéro de téléphone. Les opérateurs téléphoniques ont installé eux-mêmes, sur leur infrastructure, des « équipements d’interception légale ». Ces équipements permettent, sur demande de la justice, de transmettre directement le flux de données téléphoniques ou bien de réaliser une copie à intervalles réguliers afin de les envoyer à l’entité en charge de l’analyse de ces données. Nous proposons ici d’adopter la même technique et le même type de processus, pour les hébergeurs, dans le cadre de la Loi Renseignement.

La mise en place d’une solution de ce type peut être réalisée en un temps record, tout en limitant les investissements matériels, humains et budgétaires.

  • Rediriger un flux de données ou à réaliser une copie de celles-ci afin de les retransmettre à une entité extérieure ne nécessite pas de nouveau matériel. Un paramétrage sur les pare-feu ou les routeurs suffirait. Pour la plupart, les hébergeurs possèdent déjà les équipements permettant ce paramétrage ; soit pas, ou très peu, d’investissement matériel.
  • Ce paramétrage peut se traduire en quelques lignes de code. Ainsi la R&D serait quasi nulle et le temps de test très court ; soit un investissement humain très limité.
  • Le déploiement technique, très rapide, peut se faire en quelques jours. Le matériel serait fourni, installé, contrôlé et entretenu par l’hébergeur ou le FAI ; soit aucun investissement financier de l’État.
  • L’accès au datacenter serait conservé exclusivement par l’hébergeur ou le FAI ; soit un maintien d’un niveau de sécurité élevé.
  • L’hébergeur peut ainsi se porter garant que seules les métadonnées seront transmises ; soit la préservation de la confiance des acteurs français et étranger.
  • Les normes de type PCI/DSS seraient conservées ; soit la sauvegarde de l’expertise française en matière de sécurité e-commerce.
  • L’intégrité des données et le niveau de sécurité pourra continuer à être géré et contrôlé par les acteurs numériques français sans envisager une délocalisation ; soit la garantie de l’expertise française en matière de sécurité et d’intégrité.

Les barrières de mise en place

Les seuls éléments qui seront « problématiques » et plus longs à mettre en place concernant la partie « administrative » et « accréditation » sont :

  • Un choix de l’entité réceptrice des données

Des débats s’ouvriront et de grands organismes et sociétés, aujourd’hui multinationaux, vont certainement s’affronter pour obtenir cette accréditation et reconnaissance officielle. Ce choix principalement politique appartient entièrement au gouvernement.

  • Un protocole bien ficelé et sécurisé.

Il est important, dans ce projet de loi antiterroriste, de prévoir des transmissions sécurisées ne laissant aucune brèche et faille exploitables par les pirates internationaux.

La France a l’avantage de détenir sur son territoire des spécialistes en sécurité (whiteHats), comme les experts présents au sein des sociétés NBS System, HSC ou encore Intrinsec (sans dresser de liste exhaustive). Le gouvernement pourrait consulter ces experts et utiliser leurs compétences pour élaborer un protocole viable et sécurisé.ww.nbs-system.com

  • Une procédure impliquant les juges

Comme le mentionne Marc Trévidic (juge antiterroriste) dans l’article de L’express du 19/03/2015 :

« Ne mentons pas aux Français en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judiciaires, pourtant garants des libertés individuelles dans notre pays. » Il est en effet important que les juges interviennent dans le processus d’autorisation ou non d’une écoute. Un nouveau protocole pourrait être créé permettant de simplifier la procédure et habilitant les juges à délivrer un mandat de manière accélérée (en quelques heures) impliquant une mise sous écoute numérique d’une IP source ou destination.

  • Un mandat précisant bien les conditions & obligations des hébergeurs ou FAI

Ce mandat devra imposer à l’hébergeur ou au FAI concerné des termes bien définis : la ou les adresse(s) IP émettrice(s) ou réceptrice(s) à surveiller, le délai légal de réponse de l’hébergeur (pouvant être réduit à quelques heures), la fréquence d’envoi des données ou la copie constante du flux réseau de l’IP surveillée, la période d’implication, l’entité officielle vers qui rediriger ces éléments, etc.

  • Un processus d’homologation assurant la bonne foi des hébergeurs et FAI

Afin de pouvoir être certain que les hébergeurs et FAI n’envoient pas de fausses informations ou ne fassent pas de la rétention de données, le gouvernement peut s’inspirer du fonctionnement de l’ARJEL (autorité de régulation des jeux en ligne). L’État devra ainsi reconnaître et qualifier quelques sociétés en qui il a confiance, afin que celles-ci servent d’intermédiaire et certifient la bonne volonté des hébergeurs et FAI devant fournir les données demandées. Elles s’assureront que l’hébergeur ou FAI a les compétences et outils nécessaires pour fournir les données et qu’il a mis les processus adéquats en interne afin que rien ne soit laissé au hasard. Cela permettra à l’État d’être certain de la véracité et de l’exhaustivité des informations fournies. En plus de cela, le gouvernement peut se réserver le droit de réaliser des « contrôles surprises », dans la limite du raisonnable, chez les hébergeurs ou les FAI, ainsi qu’un contrôle sur le travail des entreprises certificatrices.

En conclusion

Cette solution permet d’atteindre l’objectif de surveillance, tout en filtrant uniquement ce qui est nécessaire. Réintégrer systématiquement les juges dans les demandes conserverait l’intégrité des acteurs numériques et du système judiciaire français. Cette solution n’impacterait pas les environnements de production des acteurs numériques, et éviterait de nombreux investissements financiers, humains et matériels non nécessaires pour atteindre l’objectif premier de la Loi Renseignement.

 

 

Auteur : Juliette Paoli

Projet « Loi Renseignement »: la contre-proposition de NBS System
Notez cet article

Laisser un commentaire

Signature électronique: webinaire 30 novembre

Au travers d’un parcours utilisateurs simple, la solution de signature électronique Universign est ergonomique et apporte les meilleures garanties légales.

Info er inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Nouvelles règles européennes sur les données non personnelles : un élan majeur pour réaliser le marché unique numérique

    La Commission européenne a proposé mardi 19 septembre de nouvelles règles du jeu pour lever…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - Entreprise : comment trouver un business Angel

    Jérôme Tarting, PDG de Clic Formalités, spécialiste en ligne du formalisme pour professionnels et particuliers,…

    > En savoir plus...
Etudes/Enquêtes
  • Pays connectés : la France en 15e position dans le monde, c'est mieux qu'en 2016

    La France au 15e rang mondial des pays connectés aux technologies de l'information et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper