En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 11/10/2017
    Les Assises de la sécurité et des systèmes d’information 2017

    La 17ème édition des Assises de l'événement incontournable en matière de cybersécurité aura lieu du 11…

    en détail En détail...
  • 04/10/2017
    Convention USF 2017

    L'événement annuel de référence de l’ensemble de l’écosystème SAP français aura lieu cette année les…

    en détail En détail...
kaspersky_attaques ciblees_leaderboard

Projet « Loi Renseignement »: la contre-proposition de NBS System

GlobalK_Nutanix_pavé

Rédigée par NBS System, voici une contre-proposition technique aux boîtes noires de la loi Renseignement. Le spécialiste de l’hébergement e-commerce souhaite, selon ses propres mots, « contribuer à la mise en place d’un nouveau système antiterroriste sans tomber dans les travers de la surveillance de masse. »

Le Web vibre ces derniers temps contre le projet de loi du gouvernement dont on peut suivre l’actualité sur Twitter via le hashtag #PJLRenseignement, qui imposerait aux hébergeurs et FAI de s’équiper d’une « boite noire » qui pourrait enregistrer toutes les communications numériques des citoyens, à tout instant. Ce projet sera inefficace, dangereux pour l’économie numérique et également très complexe à mettre en place. De surcroit, comme le disait Benjamin Franklin : « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. »

Cette atteinte massive à la liberté des communications et d’échanger sous seing privé rappelle par ailleurs ce qu’ont pu mettre en place de nombreux régimes politiques pour contrôler leurs populations, avec les conséquences qui s’en sont suivies. Par ailleurs, récemment encore, de nombreux faits d’écoute, à la légalité contestée, ont émaillé l’actualité et contribué à l’animation des cours de Justice. Il est bien entendu que personne ne soutient le terrorisme ici. Nous sommes enclins à aider la justice et souhaitons que les hébergeurs soient inclus dans ce processus. Mais à l’inverse, l’écoute systématique n’est pas une solution viable ou acceptable pour autant. Et l’installation d’équipement « sauvage », « fantôme », que l’hébergeur ne peut contrôler lui-même met en péril l’activité de ce dernier et la sécurité de ces clients.

Les principaux obstacles que nous identifions sont :

  • Le systématisme « sans tri » des opérations d’écoutes
  • L’absence des juges dans le processus d’autorisation ou non d’une écoute
  • La mise en place d’un dispositif et matériel non contrôlé, dont le niveau de sécurité est inconnu et dont l’installation est opérée par un tiers au sein d’un réseau de confiance
  • Le coût pharaonique de l’opération pour un résultat inutile

Par ailleurs, le secret des correspondances et le droit à la vie privée sont des articles de notre Code Civil (9 et 10) et sont défendus très clairement dans l’article 8 de la Convention européenne des droits de l’Homme. Le projet tel qu’il est présenté aujourd’hui est lui-même très proche de la violation de ces articles. Offrir une critique sans solution n’est pas dans nos habitudes, aussi aimerions-nous formuler une contre-proposition qui permette de résoudre ces points clefs.

Une solution technique plus réaliste, sécurisée et moins coûteuse

Chez les opérateurs téléphoniques, il existe déjà un processus rodé et non intrusif permettant, suite à la délivrance d’un mandat, de mettre sous écoute un numéro de téléphone. Les opérateurs téléphoniques ont installé eux-mêmes, sur leur infrastructure, des « équipements d’interception légale ». Ces équipements permettent, sur demande de la justice, de transmettre directement le flux de données téléphoniques ou bien de réaliser une copie à intervalles réguliers afin de les envoyer à l’entité en charge de l’analyse de ces données. Nous proposons ici d’adopter la même technique et le même type de processus, pour les hébergeurs, dans le cadre de la Loi Renseignement.

La mise en place d’une solution de ce type peut être réalisée en un temps record, tout en limitant les investissements matériels, humains et budgétaires.

  • Rediriger un flux de données ou à réaliser une copie de celles-ci afin de les retransmettre à une entité extérieure ne nécessite pas de nouveau matériel. Un paramétrage sur les pare-feu ou les routeurs suffirait. Pour la plupart, les hébergeurs possèdent déjà les équipements permettant ce paramétrage ; soit pas, ou très peu, d’investissement matériel.
  • Ce paramétrage peut se traduire en quelques lignes de code. Ainsi la R&D serait quasi nulle et le temps de test très court ; soit un investissement humain très limité.
  • Le déploiement technique, très rapide, peut se faire en quelques jours. Le matériel serait fourni, installé, contrôlé et entretenu par l’hébergeur ou le FAI ; soit aucun investissement financier de l’État.
  • L’accès au datacenter serait conservé exclusivement par l’hébergeur ou le FAI ; soit un maintien d’un niveau de sécurité élevé.
  • L’hébergeur peut ainsi se porter garant que seules les métadonnées seront transmises ; soit la préservation de la confiance des acteurs français et étranger.
  • Les normes de type PCI/DSS seraient conservées ; soit la sauvegarde de l’expertise française en matière de sécurité e-commerce.
  • L’intégrité des données et le niveau de sécurité pourra continuer à être géré et contrôlé par les acteurs numériques français sans envisager une délocalisation ; soit la garantie de l’expertise française en matière de sécurité et d’intégrité.

Les barrières de mise en place

Les seuls éléments qui seront « problématiques » et plus longs à mettre en place concernant la partie « administrative » et « accréditation » sont :

  • Un choix de l’entité réceptrice des données

Des débats s’ouvriront et de grands organismes et sociétés, aujourd’hui multinationaux, vont certainement s’affronter pour obtenir cette accréditation et reconnaissance officielle. Ce choix principalement politique appartient entièrement au gouvernement.

  • Un protocole bien ficelé et sécurisé.

Il est important, dans ce projet de loi antiterroriste, de prévoir des transmissions sécurisées ne laissant aucune brèche et faille exploitables par les pirates internationaux.

La France a l’avantage de détenir sur son territoire des spécialistes en sécurité (whiteHats), comme les experts présents au sein des sociétés NBS System, HSC ou encore Intrinsec (sans dresser de liste exhaustive). Le gouvernement pourrait consulter ces experts et utiliser leurs compétences pour élaborer un protocole viable et sécurisé.ww.nbs-system.com

  • Une procédure impliquant les juges

Comme le mentionne Marc Trévidic (juge antiterroriste) dans l’article de L’express du 19/03/2015 :

« Ne mentons pas aux Français en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judiciaires, pourtant garants des libertés individuelles dans notre pays. » Il est en effet important que les juges interviennent dans le processus d’autorisation ou non d’une écoute. Un nouveau protocole pourrait être créé permettant de simplifier la procédure et habilitant les juges à délivrer un mandat de manière accélérée (en quelques heures) impliquant une mise sous écoute numérique d’une IP source ou destination.

  • Un mandat précisant bien les conditions & obligations des hébergeurs ou FAI

Ce mandat devra imposer à l’hébergeur ou au FAI concerné des termes bien définis : la ou les adresse(s) IP émettrice(s) ou réceptrice(s) à surveiller, le délai légal de réponse de l’hébergeur (pouvant être réduit à quelques heures), la fréquence d’envoi des données ou la copie constante du flux réseau de l’IP surveillée, la période d’implication, l’entité officielle vers qui rediriger ces éléments, etc.

  • Un processus d’homologation assurant la bonne foi des hébergeurs et FAI

Afin de pouvoir être certain que les hébergeurs et FAI n’envoient pas de fausses informations ou ne fassent pas de la rétention de données, le gouvernement peut s’inspirer du fonctionnement de l’ARJEL (autorité de régulation des jeux en ligne). L’État devra ainsi reconnaître et qualifier quelques sociétés en qui il a confiance, afin que celles-ci servent d’intermédiaire et certifient la bonne volonté des hébergeurs et FAI devant fournir les données demandées. Elles s’assureront que l’hébergeur ou FAI a les compétences et outils nécessaires pour fournir les données et qu’il a mis les processus adéquats en interne afin que rien ne soit laissé au hasard. Cela permettra à l’État d’être certain de la véracité et de l’exhaustivité des informations fournies. En plus de cela, le gouvernement peut se réserver le droit de réaliser des « contrôles surprises », dans la limite du raisonnable, chez les hébergeurs ou les FAI, ainsi qu’un contrôle sur le travail des entreprises certificatrices.

En conclusion

Cette solution permet d’atteindre l’objectif de surveillance, tout en filtrant uniquement ce qui est nécessaire. Réintégrer systématiquement les juges dans les demandes conserverait l’intégrité des acteurs numériques et du système judiciaire français. Cette solution n’impacterait pas les environnements de production des acteurs numériques, et éviterait de nombreux investissements financiers, humains et matériels non nécessaires pour atteindre l’objectif premier de la Loi Renseignement.

 

 

Auteur : Juliette Paoli

Projet « Loi Renseignement »: la contre-proposition de NBS System
Notez cet article

Laisser un commentaire

Formations Cloud Computing

Les services IT ont plus que jamais besoin de formations pour soutenir leurs processus d’amélioration continue et de performance. Global Knowledge offre un vaste catalogue de formations Cloud.

Plus d’info

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Apple attaque Qualcomm l'accusant de surfacturer des milliards de dollars sur des licences de brevets

    Apple a porté de nouvelles attaques contre le fournisseur informatique Qualcomm, l'accusant de faire payer…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • RGPD et Cloud : 3 étapes essentielles pour les entreprises

    Bien que le RGPD évoque le partage de responsabilité entre les utilisateurs et les fournisseurs…

    > En savoir plus...
Etudes/Enquêtes
  • Les attaques par "destruction of service" vont se multiplier selon Cisco

    DeOS, pour "Destruction Of Service" : ce nouveau type d'attaque va se multiplier, affirme Cisco. L'attaque de Petya…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Salon Solutions_Septembre17_skycraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper