LPM vs Vinton Cerf
La démarche est rare. Surtout, elle témoigne d’une vive inquiétude concernant un virage législatif que la France s’apprête à prendre dans les prochains mois. Une crainte qui implique tout à la fois la gestion d’Internet, la lutte contre les menaces informatiques, la défense nationale, et de nouvelles prérogatives en matière de cyber, confiées aux autorités.
C’est une lettre ouverte, publiée sur Medium le 25 juin et titrée « Inquiétudes concernant le blocage des DNS », qui a donné un coup de projecteur sur un débat en cours au Parlement. La future loi de programmation militaire de la France pour les années 2024 à 2030 est en effet en cours d’examen par les élus. Et c’est justement eux qui sont directement interpellés par ce courrier.
De nouveaux pouvoirs cyber au nom de la défense nationale
La raison ? Ce texte, présenté en Conseil des ministres en avril, et encore à l’état de projet de loi, promet de confier des capacités importantes en matière de cyber à une autorité administrative, sans passer par la case judiciaire. Sur les trente-cinq articles, quatre d’entre eux concernent la sécurité des systèmes d’information. Et trois sont dans le collimateur de la lettre ouverte :
- L’article 32 vise à des mesures de filtrage de noms de domaine (DNS) aux hébergeurs, fournisseurs d’accès à Internet (FAI) ou registrars en cas de menaces susceptibles de porter atteinte à la sécurité nationale ;
- L’article 34 entend obliger les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service à en informer l’Anssi et leurs clients français ;
- L’article 35 cherche à renforcer les capacités de détection des cyberattaques et d’information des victimes.
Ce courrier, justement, n’est pas signé par n’importe qui. On trouve des figures pionnières dans la conception moderne d’Internet, ainsi que des personnalités à la tête d’organismes qui jouent un rôle clé dans la gestion du réseau des réseaux. En tout, douze personnes, représentant des instances comme l’IAB et l’IETF, ainsi que des associations comme l’Internet Society et l’EFF, ont signé.
Un nom en particulier ressort : celui de Vinton Cerf, car il est considéré comme l’un des pères de l’Internet. Il a notamment participé à la mise au point du protocole TCP/IP (Transmission Control Protocol / Internet Protocol). Le nom d’Internet vient d’ailleurs d’un document de 1974 signé entre autres par Vinton Cerf — on parlait aussi d’Internetwork.
Les trois articles qui préoccupent ces spécialistes du réseau entendent donc offrir à l’Agence nationale de la sécurité des systèmes d’information (Anssi) de nouveaux pouvoirs. Et c’est ce nouveau régime que ces experts craignent, car ils anticipent des effets néfastes sur le système DNS, la navigation sur le web, la mise en place d’une surveillance sans mandat et des risques de sécurité.
Dans leur courrier, les douze signataires estiment même que ce que prévoit le projet de loi « pose de graves risques pour la sécurité d’Internet et la liberté d’expression au niveau mondial ». Or, estiment-ils, ces prérogatives « n’apporteront que peu de solutions aux cyber risques […], tout en créant ou en exacerbant par inadvertance d’autres sources de risque. »
L’Anssi est un service rattaché au Premier ministre, via le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN). Son but premier est d’assurer la cyberdéfense du pays. L’Anssi doit gérer la sécurité informatique de l’État contre les menaces cyber. Elle a aussi un rôle à jouer dans la protection des opérateurs d’importance vitale et des services essentiels.
Il existe déjà en France quelques cas de figure où le blocage administratif de sites est permis. Les autorités peuvent intervenir directement contre des plateformes diffusant de la pédopornographie, faisant l’apologie du terrorisme ou lorsqu’elles sont susceptibles de mettre en danger les consommateurs (à l’image de l’affaire Wish).
Des capacités nouvelles pour l’agence cyber de la France
De fait, la LPM entraîne l’élargissement du champ du blocage par une autorité administrative, en l’occurrence l’Anssi, en sautant la case du juge judiciaire. C’est l’un des griefs des signataires à l’égard de la LPM, soulignant la dérive, ne serait-ce que symbolique, que cela entraîne : si une démocratie se permet cela, alors pourquoi un régime autoritaire ne pourrait pas faire de même ?
C’est ce qu’écrivent texto Vinton Cerf et ses pairs : « Le fait qu’une démocratie comme la France ratifie des mesures aussi radicales pourrait créer un précédent troublant qui pourrait inspirer des mesures similaires dans des juridictions démocratiques et non démocratiques — avec des implications mondiales pour la sécurité et la liberté en ligne. »
Cette nouvelle capacité de censurer Internet sans juge — en l’occurrence dans le cas d’une cybermenace ayant des implications en matière de sécurité nationale — n’est en réalité pas totalement sans cadre. L’étude d’impact du texte relève que cela se fait sous le contrôle de l’Arcep, l’autorité administrative indépendante en charge des réseaux, et, donc, du juge administratif.
« Les nouvelles prérogatives accordées à l’Anssi sont assorties d’un contrôle a posteriori par une autorité administrative indépendante », l’Arcep, qui « apparaît la mieux à même de vérifier le respect de ses conditions d’application », développe l’étude d’impact. En outre, les injonctions de l’Anssi peuvent faire l’objet d’un recours devant le juge administratif.
Dans son avis, obligatoire lorsqu’il s’agit d’un projet de loi, le Conseil d’État juge que les dispositions relatives au volet cyber du texte entraînent certaines des atteintes à des droits et des libertés. Cependant, elles sont sont considérées comme adaptées, nécessaires et proportionnées vis-à-vis de l’objectif poursuivi et au nom de l’intérêt général — modulo des ajustements à la marge.
Mais au-delà des garde-fous censés accompagner le texte, les signataires alertent sur certaines orientations techniques qui pourraient, in fine, produire l’effet inverse de celui recherché. Les signataires évoquent en particulier évoquent le cas du filtrage par DNS, qui pourrait avec des effets contreproductifs, en poussant les internautes vers des acteurs malveillants.
Pression accrue sur les résolveurs DNS
Aujourd’hui, disent-ils, un internaute français sur cinq utilise un résolveur DNS ouvert — c’est-à-dire un résolveur DNS qui n’est pas opéré par le FAI auquel le public est abonné. La raison de cet exode ? Les abus et les excès dans la gestion des résolveurs DNS des FAI, et la censure par ce canal-là (on parle d’ailleurs d’une future censure DNS des sites pornographiques).
Le web fonctionne avec un mécanisme appelé DNS (Domain Name System). En bref, c’est un procédé faisant correspondre des adresses IP de serveur (là où sont hébergés les sites web) à des noms de domaine. Il est en effet plus facile de retenir et de mémoriser une adresse comme « numerama.com » qu’une adresse écrite avec des suites de chiffres séparés par des points.
Les FAI français sont évidemment obligés d’adapter leur registre DNS — c’est en somme une sorte d’annuaire — selon les injonctions qu’ils reçoivent des autorités judiciaires ou administratives. C’est la raison pour laquelle ce DNS sont parfois qualifiés de DNS menteurs, car ils peuvent ne pas donner la bonne réponse. On peut tomber sur une page blanche ou être re-routé.
« En réponse aux cas de censure étatique et aux abus généralisés des services DNS offerts par les FAI au cours des deux dernières décennies, un certain nombre d’entreprises ont lancé leurs propres résolveurs DNS ouverts à la disposition des utilisateurs du monde entier », pointe la lettre. On peut citer Google, Cloudflare, Verisign, Yandex, OpenNIC ou OpenDNS.
Pour éviter de subir la censure des résolveurs DNS des FAI, des internautes passent par des résolveurs DNS tiers. En principe, « en vertu de la législation proposée, ils seraient eux aussi contraints de se conformer au blocage des DNS ou de fermer leurs portes », notent les experts. Mais ce qui risque de se passer, c’est de pousser les internautes à aller encore plus loin « dans le maquis ».
Ce filtrage par DNS, facile à mettre en œuvre, a des effets néfastes. Cela a « créé un marché pour la prolifération de fournisseurs de DNS indépendants qui s’engagent à aider les utilisateurs à contourner les lois locales — beaucoup d’entre eux étaient gérés par des acteurs malveillants qui soumettaient les utilisateurs à des contenus préoccupants ou à de la surveillance. »
Appel à la concertation avec les experts
Les signataires rappellent qu’il est tout à fait légitime pour la France de prendre les mesures qu’elle pense convenables pour se préserver de menaces ou d’attaques d’un certain niveau. Cependant, ces experts estiment que cela ne peut se faire qu’en partant de la réalité technique d’Internet, et en travaillant justement avec celles et ceux qui connaissent les rouages du réseau.
Cela se reflète dans la missive, qui invite à « réfléchir à la manière dont les mesures proposées pourraient en fait nuire à la sécurité en éloignant les utilisateurs des infrastructures légitimes ». Le texte se termine avec un appel solennel : il faut « travailler avec des experts techniques pour atteindre ces objectifs sans mettre en péril l’écosystème et les libertés civiles. »
Il reste à savoir comment les élus accueilleront l’opinion de Vinton Cerf et ses pairs. Ces personnalités ne sont en tout cas pas les seules à se poser des questions sur les modalités de mise en œuvre de ce texte et le manque de concertation avec les experts du réseau. L’avis critique de l’Arcep l’illustre, comme ce fil sur Twitter de l’avocat Alexandre Archambault, spécialiste du sujet.
Le texte a été adopté d’ores et déjà par l’Assemblée nationale. Il est maintenant en examen à la Commission des affaires étrangères, de la défense et des forces armées du Sénat. Le gouvernement a engagé la procédure accélérée sur le texte, afin de réduire les travaux sur le texte à un seul passage par chambre au Parlement. Le but est de faire voter rapidement le texte.