C’est une nouveauté qui pourrait provoquer quelques gros débats dans les semaines à venir : faire des opérateurs de télécommunications des postes avancés de la lutte contre les cyberattaques… en les autorisant à surveiller ce qui transite sur leurs réseaux. Adopté jeudi 8 février en Conseil des ministres et déposé dans la foulée à l’Assemblée, qui doit l’examiner en mars, le projet de loi de programmation militaire (LPM) pour la période 2019-2025 contient en effet un article qui autorise les opérateurs à mettre en place des «dispositifs de détection des attaques informatiques». Objectif affiché : pouvoir repérer au plus tôt des vagues de logiciels malveillants, tels WannaCry et NotPetya qui s’étaient répandus l’an dernier, ou encore des attaques massives par «déni de service distribué» (DDoS), c’est-à-dire par saturation de la cible sous un afflux de connexions, comme celles qui avaient frappé l’hébergeur français OVH ou la société américaine Dyn en 2016. «Le vrai sujet, c’est de voir arriver le "big one"», expliquait il y a dix jours à Libération une source proche du dossier.

A lire aussi : Nouveaux matériels, recrutement : à quoi servira l’augmentation du budget des armées ?

Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi) chargée de superviser la sécurité des réseaux de l’Etat et des entreprises stratégiques, balise d’ailleurs le terrain depuis plusieurs mois. En octobre, lors du grand rassemblement des entreprises du secteur à Monaco, il faisait déjà part de sa volonté de «travailler avec les opérateurs télécoms», qui «ont probablement la capacité d’agir» avant que des attaques informatiques ne fassent de gros dégâts. Des opérateurs qu’il s’agit de «rendre plus responsables», insistait-il en janvier lors du Forum international de la cybersécurité (FIC) à Lille, arguant qu’à l’heure actuelle «on leur demande de veiller scrupuleusement à ce que l’attaque soit transmise de l’attaquant à la victime». «Ça me fait mal que ce soient des partenaires étrangers qui nous préviennent [en cas d’attaque informatique, ndlr]», glissait aussi au passage le patron de l’Anssi…

Repérer les attaques

L’article 19 du projet de LPM met en musique cette volonté de renforcer les capacités de détection, également inscrite dans la Revue stratégique de cyberdéfense rendue publique la semaine dernière. Le texte prévoit que les «opérateurs de communications électroniques» – fournisseurs d’accès à Internet, de téléphonie… – puissent installer sur leurs réseaux des «dispositifs mettant en œuvre des marqueurs techniques à seule fin de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés». En clair : des sondes capables de repérer, dans les flux de données, des éléments caractéristiques d’une attaque informatique. Si elle a «connaissance d’une menace», l’Anssi pourra demander aux opérateurs d’utiliser ces sondes, le cas échéant en leur fournissant ses propres «marqueurs». L’agence devra être informée «sans délai» lorsque des attaques seront détectées et pourra demander aux opérateurs de prévenir leurs clients si ceux-ci sont vulnérables, touchés, ou participent à leur insu à une cyberattaque.

L’extension des prérogatives des «cyberpompiers» de l’Etat ne s’arrête pas là : en cas de menace informatique visant une administration ou une entreprise stratégique – un «opérateur d’importance vitale» ou OIV –, l’Anssi serait autorisée à installer temporairement ses propres sondes chez un opérateur télécom ou un hébergeur internet, et à «procéder au recueil et à l’analyse des seules données techniques pertinentes» pour la caractérisation d’une cyberattaque. Enfin, en cas d’«événement» affectant le réseau d’une autorité publique ou d’un OIV, l’agence pourrait obtenir des opérateurs et des hébergeurs les «données techniques strictement nécessaires à l’analyse de cet événement». Le tout sous contrôle de l’Autorité de régulation des communications électroniques et des postes (Arcep), l’autorité française de régulation des télécommunications.

«Boîte de Pandore»

Mais quels seront ces fameux «marqueurs techniques», et jusqu’où ira l’inspection des flux ? Du côté de l’Anssi et du Secrétariat général de la défense et de la sécurité nationale (SGDSN), on donne l’exemple de l’adresse IP d’un serveur appartenant à un attaquant, ou de l’adresse web d’un site internet piégé. Les autorités françaises insistent : il s’agit d’analyser le trafic en le comparant à ces «marqueurs», en temps réel, sans le conserver et «sans s’intéresser au contenu». Reste que cet objectif fait resurgir le spectre d’une technologie très intrusive, l’inspection en profondeur de paquets de données, ou Deep Packet Inspection (DPI). A Lille, le patron de l’Anssi en convenait : «Politiquement, ce n’est pas du DPI, mais techniquement, ça va y ressembler.»

A lire aussi «Nous avons détecté 700 attaques en 2017»

Pour Alexandre Archambault, avocat spécialiste du numérique et ancien de Free, l’article 19 du projet de loi «ouvre une boîte de Pandore». Certes, le texte limite les mesures à la cybersécurité et prévoit que les données recueillies par les sondes – celles des opérateurs télécoms comme celles de l’Anssi – seront «immédiatement détruites» si elles ne sont pas «directement utiles» à la prévention des menaces informatiques. Mais comment garantir que ces dispositifs ne seront pas utilisés à d’autres fins, avec d’autres types de «marqueurs» ? «Les gouvernements et les lois changent, relève l’avocat. On voit comment cela a dérivé pour le blocage de sites, le filtrage…» D’autant que le Code des postes et des communications électroniques impose déjà aux opérateurs télécoms de «répondre aux prescriptions» de l’Anssi en cas de «menaces» ou d’«atteintes» à la sécurité des réseaux des administrations et des OIV. Pour Me Archambault, il y a là une «institutionnalisation», avec le risque que la finalité soit un jour ou l’autre détournée.

Perspectives commerciales

D’autres y voient une opportunité, à commencer par l’opérateur historique et son entité dédiée à la sécurité informatique des entreprises et des administrations, Orange Cyberdefense. Laquelle est «déjà amenée à analyser des flux» pour ses clients, explique Nicolas Arpagian, son directeur de la stratégie et des affaires publiques. «L’augmentation du niveau de cybersécurité passe par une implication accrue des opérateurs télécoms», qui peuvent agir «avant l’infection, c’est-à-dire au moment où l’information circule», fait-il valoir. Lui aussi insiste : les «marqueurs» d’attaque informatique sont «des éléments strictement techniques, il n’y a aucune volonté d’accéder au contenu» – et les éléments fournis par l’Anssi viendront enrichir la «bibliothèque» d’Orange en la matière.

Surtout, le projet de loi offre aux opérateurs une nouvelle perspective commerciale : proposer à leurs abonnés un Internet «nettoyé»… L’étude d’impact le mentionne d’ailleurs explicitement : le texte leur donnerait «la capacité de fournir à leurs clients un flux sécurisé de données». Pour l’heure, indique Nicolas Arpagian, Orange «n’a pas d’offre commerciale dans le viseur». Mais comme le relève le site NextInpact, ce n’est qu’une question de temps : l’idée est bien, à terme, d’élargir le périmètre de ces sondes de détection pour en faire un nouveau service. De leur côté, les autorités comptent sur la bonne réputation de l’Anssi et sur les vertus du «modèle français» – qui confie la cyberprotection et le renseignement électronique à des entités distinctes, à la différence des Anglo-Saxons – pour faire passer cette (très) large extension du domaine de la cyberdéfense. Pas sûr que cela suffise à éteindre les craintes.