L'Internet reste stupide, et c'est très bien comme ça

Internet en fusion

En lançant une réflexion sur le "rapprochement" de l'Arcep et du CSA, le gouvernement ressuscite un serpent de mer qui ...

Mise à jour (19/09/2012) : le cabinet de Fleur Pellerin, ministre en charge de l’économie numérique, a indiqué hier à Libération qu’il n’y avait “pas d’urgence à légiférer”, ajoutant que “s’il y a des atteintes à la neutralité, l’Arcep peut être saisie. “ Le régulateur a en effet la possibilité d’être saisi par les acteurs du Net en cas de différend. Les internautes néanmoins, restent sans aucune possibilité de recours.

En matière de neutralité du Net, Bercy préfère donc s’attacher à l’avis du régulateur des télécoms, qui n’est pas favorable à l’idée d’une loi sur le sujet, plutôt que de soutenir une initiative de l’opposition. Un rapport reprenant sa position est d’ailleurs attendu les tout prochains jours au Parlement.

L’alliance du ministère avec l’Arcep a de quoi surprendre, à l’heure d’un éventuel rapprochement de cette autorité avec le Conseil supérieur de l’audiovisuel (CSA), qui est perçu comme un véritable coup de boutoir politique en direction du régulateur des télécoms. Bercy a d’ailleurs tenu à préciser que “la question de la neutralité du Net pourrait rentrer dans les discussions à venir sur la fusion entre le Conseil supérieur de l’audiovisuel (CSA) et l’Arcep.” Histoire de complexifier un peu plus une affaire déjà foutraque et mal engagée.

“Créer certaines règles pour préserver l’Internet.” C’est l’objectif de la proposition “relative à la neutralité de l’Internet” que vient de déposer Laure de la Raudière (UMP) à l’Assemblée nationale. L’élue est une habituée du sujet, puisqu’en 2011, elle remettait déjà au Parlement, accompagnée de Corinne Erhel (PS), un rapport sur la neutralité du Net. Interrogée par OWNI, elle déclare souhaiter “faire de ce texte un marqueur important de ce qu’est la neutralité du Net dans le droit”.

En inscrivant ce principe dans la loi, cette proposition vise à protéger le réseau, “immense bien collectif”, “des intérêts de ses différents acteurs”. Le tout décliné assez brièvement, en à peine 9 articles. Outre la définition de la neutralité du Net, les obligations fixées notamment aux fournisseurs d’accès à Internet (FAI), le texte aborde aussi l’épineuse question du “blocage de l’accès à Internet”. Rassemblée en une “procédure unique”, elle est ici remise entre les mains de la seule autorité judiciaire.

Blocage : juge à tous les étages

Pour un Internet “neutre et universel”

Contre le blocage et en faveur d'une neutralité des réseaux préservée et contraignante, le rapport de Laure de la ...

C’est d’ailleurs la disposition qui a été la plus commentée. Certains se sont étonnés de retrouver le scénario du blocage de sites Internet au sein d’une proposition protégeant la neutralité. “L’article 4 n’est pas mal” commente quant à lui Benjamin Bayart, le président du FAI associatif FDN, également bien au fait du sujet, contacté ce matin par OWNI. “Il modifie très en profondeur ce qui existe déjà et remet le juge partout !”, poursuit-il.

L’article 4 propose en effet de réunir l’ensemble des procédures permettant en droit français d’imposer aux FAI de bloquer l’accès à certains contenus, en y faisant systématiquement intervenir l’autorité judiciaire. Une rupture avec les mauvais souvenirs laissés en 2010 par la LOPPSI (loi d’orientation et de programmation pour la performance de la sécurité intérieure).

Pour rassembler les “cinq bases légales différentes” en la matière, l’article 4 modifie donc l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) -un passage casse-tête qui détaille (entre autres) la responsabilité des hébergeurs sur Internet

Si le texte est adopté, il y aura donc une procédure unique. Les scénarios visés sont ceux que l’on retrouve habituellement en cas de serrage de vis sur le Net : jeux en ligne non autorisés, pédopornographie et bien sûr, la sacro-sainte atteinte “à un droit d’auteur ou à un droit voisin”.

Difficile en l’état de savoir quelles implications auront les modifications souhaitées par la députée UMP. “Pour comprendre l’article 6 de la LCEN, il faudrait 2 mémoires de thèse !” commente Benjamin Bayart. Et de conclure :

Difficile de dire en l’état si l’article 4 aura des effets de bord.

Du vrai Internet, une qualité minimale

Outre la question du blocage, la proposition de loi entend aussi régler les comptes des FAI. Certaines obligations leur sont imposées afin d’éviter qu’ils façonnent le réseau, et la manière dont les internautes peuvent en disposer, au gré de leur objectifs commerciaux.

Ainsi, seuls les services “respectant le principe de neutralité” pourront être vendus sous l’étiquette offre “d’accès à Internet”, indique l’article 5. Les suivants (articles 6, 7 et 8) imposent quant à eux aux opérateurs “une qualité de service minimale”. C’est l’Arcep, le gendarme des télécoms, qui est présenté comme le bras armé de la neutralité : il lui revient la responsabilité de mettre sur pied “un observatoire de la qualité de l’Internet” (art.6), ainsi que d’imposer aux FAI les “exigences minimales en terme de qualité de service” dès que la situation concurrentielle ne le permet pas. “Afin, poursuit le texte, de garantir aux consommateurs la capacité de choisir une offre d’accès à Internet respectant le principe de neutralité”.

Manière comme une autre d’apporter son soutien à l’Arcep, qui en a bien besoin. Empêtrée dès la rentrée dans un projet du gouvernement qui vise à rapprocher cette autorité du Conseil Supérieur de l’Audiovisuel (CSA), l’Arcep retrouverait ici un nouveau souffle. Les différents chantiers qu’elle mène depuis plusieurs mois au sujet de la neutralité du Net, que nous suivons attentivement ici à OWNI, sont en effet directement concernés par la proposition de loi.

Internet bat la mesure

Le gendarme des télécoms redresse la barre, mais peut-être trop tard. Pour mesurer la qualité de l'accès à Internet en ...

Ainsi le projet de mise en place d’un suivi de la qualité de service de l’accès à l’Internet fixe. Rappelez-vous : les garanties apportées par ce groupe de travail ne permettaient pas de croire en la validité des mesures à venir. Avec un observatoire indépendant, placé au cœur du régulateur, difficile pour les FAI de truquer les mesures. De même pour la question des offres commerciales estampillées “Internet”, très âprement discutée au sein d’un autre groupe de travail.

Même si l’Arcep ne se montre pas favorable à une loi pro-neutralité, comme elle devrait le réaffirmer dans les prochains jours dans un rapport qu’elle remettra au Parlement (l’analyse du pré-rapport à lire ici), l’initiative de Laure de la Raudière ne devrait donc pas la laisser insensible.

Mort-né ?

Reste bien sûr la question de l’adoption de cette proposition. Rien n’est gagné, tant du côté de l’opposition que du côté de la majorité. “Là tout de suite, l’UMP a des priorités sur la productivité et l’emploi”, concède Laure de la Raudière. Avant d’ajouter :

Déposer ce texte, c’est aussi une manière de questionner le gouvernement. J’ai du mal à savoir leur position sur le sujet.

Pour le moment, les intéressés gardent le silence : après l’avoir joint plus tôt dans la journée, nous restons en attente d’une réaction officielle du cabinet de Fleur Pellerin, la ministre en charge de l’économie numérique. Ministre qui s’était illustrée cet été par une bourde au sujet de la neutralité, affirmant qu’elle était “un concept américain qui a tendance à favoriser les intérêts économiques de Google, Apple et consorts.”

C’en était suivi un tollé, qui a fait place à une rectification de la part de l’intéressée, sur Twitter comme lors du Club parlementaire du numérique. Elle avait alors déclaré soutenir “la liberté et l’universalité d’internet”.

Pas sûr néanmoins qu’elle profite de l’ébauche déposée par Laure de la Raudière, une élue de l’opposition. Histoire de territoires politiques bien sûr, mais aussi, peut-être, de venger une autre proposition de loi : celle de Christian Paul, élu PS, qui avait déposé sans succès, en février 2011, un texte visant à protéger la neutralité du Net.

hacker : pirate informatique.

Avec l’essor de l’internet s’est développée une nouvelle catégorie de pirates (hackers) agissant en groupes et essentiellement motivés par l’appât du gain. Ces groupes mettent au point des outils qu’ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d’espionnage économique, des entreprises ou des services de renseignement.

En 2008 comme en 2012, le rapport du Sénat sur la cyberdéfense, dont la dernière mouture vient d’être remise par Jean-Marie Bockel, témoigne que le milieu des hackers semble toujours un peu mystérieux à nos parlementaires. Pourtant, en fouillant dans le détail de ses 158 pages, on constate enfin une nette évolution positive dans la façon dont les hackers sont perçus, alors qu’ils font bénéficier de leurs talents nos réseaux depuis plus d’un quart de siècle. On note aussi au passage que le copié-collé si critiqué quand il s’agit d’élèves pompant Wikipedia semble ici une pratique tolérée.

Le point vocabulaire

En 2008, c’est bien simple, les rares occurrences du terme hacker sont synonymes de pirate informatique mercenaire. Quatre ans plus tard, si la définition dans le glossaire est la même, les occurrences sont plus nombreuses et nuancées, quitte à contre-employer le terme hacker.

Premier grand pas en avant, la sémantique s’étoffe, même si sa précision reste relative :

On peut distinguer trois catégories de « hackers » selon leurs motivations :
- Les « chapeaux blancs » (« white hats ») : Il s’agit souvent de consultants en sécurité informatique, d’administrateurs réseaux ou de cyberpoliciers, qui se caractérisent par leur sens de l’éthique et de la déontologie ;
- Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l’organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles ;
- Enfin, les « chapeaux noirs » (« black hats ») regroupent les cybercriminels, les cyberespions ou les cyberterroristes. [...]

Ce qui n’empêche pas le rapport de dire qu’“il existe d’autres groupes de « pirates informatiques », comme « telecomix.com » qui défend la liberté d’expression sur Internet” Telecomix.org a dû bien s’amuser de découvrir que leur cluster était en fait une société commerciale. Le texte évoque aussi des “attaques informatiques ont été ouvertement revendiquées par des groupes de « hackers » patriotiques turcs, à l’image des groupes « GrayHatz » et « Millikuvvetler », et par d’autres « hackers » indépendants.” On n’abandonne pas facilement vingt ans de clichés.

Retard français

Ce soin nouveau apporté à la définition témoigne d’un changement net de regard sur la communauté des hackers. “L’État doit s’appuyer sur les hackers” : le credo d’Éric Filiol est enfin arrivé aux oreilles du Sénat. Si le directeur du laboratoire de sécurité informatique de l’École Supérieure d’Informatique Electronique Automatique (ESIEA) n’a pas été auditionné directement, il est cité à plusieurs reprises :

Il faut chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès.

Plus loin, ses propos sont encore repris pour souligner le paradoxe juridique français. La loi Godfrain de 1988 puis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 ont en effet mis de gros bâtons législatifs dans les roues des hackers :

Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d’intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d’autres pays, notamment aux États-Unis, ou lors de conférences de « hackers ».

Depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». [Aux yeux d'Éric Filiol], il existe une véritable fracture en France entre « un monde d’anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ».

Cruel miroir que tend cette dernière phrase au Sénat, entre autres… Mieux vaux tard que jamais, la main est tendue envers cette communauté avec qui une collaboration officielle serait fructueuse :

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Dangereux hackers d’intérêt public

Depuis jeudi et jusqu'à samedi soir, en plein Paris, le festival Hackito Ergo Sum réunit la crème des hackers sur les ...

Une communauté fournie et patriote

Le rapport se montre optimiste sur l’avenir de cette collaboration, en s’appuyant sur des données au doigt mouillé, dont la source n’est pas précisée. Le texte dessine une communauté fournie et patriote, sans qu’on en sache plus sur ce qui leur permet d’affirmer cela  :

D’après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d’entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.

Les États-Unis sont cités comme un exemple d’écosystème favorable à l’émergence de “sociétés privées de conseil et d’assistance en matière de sécurité informatique”. Où la présence de guillemets autour de certains termes montre que la maitrise du sujet peut encore être améliorée :

D’ailleurs, certaines entreprises américaines, à l’image de Microsoft ou de Facebook, ne s’y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l’échelle mondiale un audit de leur sécurité informatique. [...]

Aux États-Unis, les « communautés de hackers » sont d’ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d’information. On peut ainsi mentionner la communauté de « hackers » « Defcon », qui compte plus de 12 000 membres aux États-Unis et qui entretient des relations avec le département de la défense et l’agence de sécurité nationale (NSA).

Pourtant l’évolution législative européenne va à l’encontre de ces recommandations de bon sens. Un projet de directive prévoit de pénaliser la possession et la distribution d’outils de hacking pour lutter contre la cybercriminalité, dans la lignée de la LCEN.

À lire aussi sur Reflets.info :

Rapport Bockel : un point sur la cyberdéfense française

Tu t’es vu quand tu parles des pirates chinois ?

Et à revoir sur Owni, l’interview de Stéphane Bortzmeyer, ingénieur à l’Afnic (l’association en charge d’attribuer les noms de domaine en .fr), engagé dans l’équipe de campagne du Front de gauche. Il avait donné lors du festival de hackers Pas sage en Seine une conférence intitulée “Le technocrate, le geek et le politique ignorant”.

Cliquer ici pour voir la vidéo.

Visuel du site voteinutile.fr. Balkany est présenté avec un bonnet d'âne, un clin d'oeil à son taux d'abentéisme record.

Patrick Balkany découvre l’open data. À ses dépens. Ce qui n’a pas l’air de lui plaire. Le député-maire de Levallois-Perret, candidat à sa réélection, vient de porter plainte pour diffamation contre Vincent, un électeur de la circonscription de l’élu UMP, auteur de Voteinutile.fr. Ce site mis en ligne le 19 mai utilise en effet les données de l’Assemblée nationale, mises en scène par Regards Citoyens, pour souligner avec humour l’absentéisme record du député sortant. Il est accompagné d’un guide pour “hacker la campagne de Patrick Balkany”.

L’Internet, c’est le mal

À côté d’un Patrick Balkany affublé du bonnet d’âne des mauvais élèves, on trouve cette citation du proche de Nicolas Sarkozy, tirée de l’une de ses rares interventions dans l’hémicycle :

Je trouve parfaitement inacceptable que nous soyons soumis à une évaluation comme si nous étions à l’école.

Interrogé par L’Express.fr, le député UMP a lancé l’habituelle diatribe anti-Internet :

Je n’accepte pas ce côté Internet où tout le monde peut dire n’importe quoi et s’essuyer les chaussures sur les hommes politiques.

La pression a d’abord été mise sur l’hébergeur du site, Gandi.net. Dans une lettre adressée à la direction de l’entreprise, le cabinet du maire, représentant Patrick Balkany, affirme : “l’hébergement et la mise à disposition des services précédemment cités doit immédiatement cesser dès lors qu’il est particulièrement clair que son existence même porte atteinte à mon honneur et à ma considération, ce qui rend évidemment son contenu illicite”. Avant de sommer l’hébergeur de “de faire le nécessaire pour mettre un terme sans délai à ces agissements”.

Nulle précision sur les éléments constitutifs de la diffamation n’est apportée. Au passage, Vincent n’a pas reçu de lettre avec accusé de réception, comme la procédure l’exige. Ce qui n’empêche pas l’hébergeur du site de réagir promptement.

Seul le juge peut juger

Le service juridique de Gandi adresse en effet rapidement une mise en demeure à Vincent. “Conformément aux textes en vigueur”, en l’occurrence la loi pour la confiance en l’économie numérique (LCEN) de 2004, l’hébergeur conseille à son client de “prendre promptement et sans délai, toutes mesures utiles afin de satisfaire pleinement aux demandes du plaignant de façon à ce que GANDI ne soit aucunement inquiétée du fait de vos agissements” :

Si nous étions contraints de nous substituer à vous faute pour vous d’intervenir dans les délias requis, sur demande expresse de Monsieur Patrick Balkany (…) notre intervention ne pourra, techniquement, s’effectuer qu’au niveau de votre serveur dans son intégralité (son accès pourrait être rendu impossible).

Sauf qu’en pratique, les hébergeurs relayent la notification reçue à leur client, sans pour autant prendre position sur la validité de la plainte, sauf si le délit est patent. En cas de diffamation, seul un juge est à même de pouvoir apporter une réponse à la question. Gandi a donc fait preuve de beaucoup de zèle.

Une diligence qui surprend d’autant plus que la culture d’entreprise de l’hébergeur français prône la défense de la liberté d’expression de ses clients, ainsi que l’honnêteté et la transparence. Un positionnement résumé en un slogan : “No Bullshit” (“pas de conneries”, Gandi affirmant “ne pas raconter n’importe quoi” à ses clients ). Interrogé par nos soins, le service juridique affirme n’avoir que “répercuté au propriétaire du serveur concerné les termes de cette mise en demeure pour qu’il puisse y donner la suite qu’il estimerait nécessaire”.

Patrick Streisand

Des suites, il y en aura. Mais pas forcément celles espérées par Gandi. L’éditeur du site a en effet décidé de ne pas céder aux pressions. Et a répondu à son hébergeur qu’il “assum[ait] la totale responsabilité des contenus”. Selon le bon vieux principe de l’arroseur arrosé, Vincent entend même aller plus loin, en se réservant la possibilité “d’attaquer Monsieur Patrick Balkany et les services de la ville de Levallois-Perret pour tentative d’atteinte à [sa] liberté d’expression”.

Une illustration franco-française de l’effet Streisand, selon lequel dès qu’un contenu fait l’objet d’une tentative de retrait ou de censure sur Internet, il est copié, et massivement diffusé. Depuis l’annonce de la plainte de Patrick Balkany, les articles de presse se sont multipliés et le nombre de “fans” de la page Facebook du site voteinutile.fr ne cesse d’augmenter.
Plus encore, Vincent étudie la possibilité de poursuivre Patrick Balkany pour l’avoir accusé à tort de diffamation,  comme l’article 6, I, 4° de la LCEN le permet. Ce qui pourrait coûter cher à l’élu :

Le fait, pour toute personne, de présenter aux[hébergeurs du site] un contenu ou une activité comme étant illicite dans le but d’en obtenir le retrait ou d’en faire cesser la diffusion, alors qu’elle sait cette information inexacte, est puni d’une peine d’un an d’emprisonnement et de 15 000 EUR d’amende.

Les documents cités dans cet article sont consultables chez nos confrères de PC Inpact

Un projet de décret venant préciser les modalités d’application d’un article de la loi pour la confiance dans l’économie numérique, dite LCEN, préconise de bloquer ou de filtrer certains sites, le tout en oubliant de mentionner la figure du juge. OWNI publie ce document (voir ci-dessous) qui signe le retour du gros bouton rouge de l’Internet, ainsi que des vieilles habitudes manifestées -et contrées de justesse- lors de l’adoption d’Hadopi ou de la Loppsi -sans qu’ici, toutefois, le juge refasse son apparition.

L’article 18 de la LCEN

La LCEN est déjà une vieille histoire : son adoption remonte à juin 2004. Ce qui ne veut pas dire que tous ses articles ont fait l’objet d’un décret encadrant leur application. C’est le cas de l’article 18, qui prévoit:

Dans les conditions prévues par décret en Conseil d’Etat, des mesures restreignant, au cas par cas, le libre exercice de leur activité par les personnes mentionnées aux articles 14 et 16 peuvent être prises par l’autorité administrative lorsqu’il est porté atteinte ou qu’il existe un risque sérieux et grave d’atteinte au maintien de l’ordre et de la sécurité publics, à la protection des mineurs, à la protection de la santé publique, à la préservation des intérêts de la défense nationale ou à la protection des personnes physiques qui sont des consommateurs ou des investisseurs autres que les investisseurs appartenant à un cercle restreint définis à l’article L. 411-2 du code monétaire et financier.

Quelles sont ces ” personnes mentionnées aux articles 14 et 16″ de ladite loi ? Tout l’Internet. Bien entendu, le législateur n’y fait pas clairement référence ; la lettre du texte renvoyant au “commerce électronique”. Néanmoins, ce commerce là ne concerne pas uniquement le “boutiquier en ligne qui vendrait des pilules Viagra contrefaites”, comme le formule justement Marc Rees de PCINpact, premier à avoir révélé l’affaire. Mais tous les acteurs d’Internet. Ou, comme l’indique l’article 14 :

Le commerce électronique est l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services.
Entrent également dans le champ du commerce électronique les services tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d’accès et de récupération de données, d’accès à un réseau de communication ou d’hébergement d’informations, y compris lorsqu’ils ne sont pas rémunérés par ceux qui les reçoivent.

Décret: qui, que, quoi, comment?

Concrètement, qu’apporte le décret ? Nous connaissons déjà le champ d’application de l’article 18 : une “atteinte” ou un “risque sérieux et grave d’atteinte au maintien de l’ordre et de la sécurité publics, à la protection des mineurs, à la protection de la santé publique, à la préservation des intérêts de la défense nationale ou à la protection des personnes physiques.”. Vaste panel qui va de l’incontournable “ordre public” à l’industrie pharmaceutique, en passant par le risque pédopornographique déjà évoqué au sein de la Loppsi. Reste à savoir qui va agir.

L’article premier du décret désigne un magistère à huit têtes : ministre de la défense, ministre de la justice, ministre de l’intérieur, ministre de l’économie, ministre chargé de la communication, ministre chargé de la santé, ministre en charge de l’économie numérique et enfin, l’ANSSI, l’autorité nationale de défense des systèmes d’information. Pléthore d’intervenants peu coutumiers de la régulation sur la réseau, ou à la marge.

Plus intéressant, quelles sont ces fameuses mesures restreignantes prévues par l’article 18 ? Dans une lettre d’Eric Besson au Conseil National du Numérique, saisi sur la question -nous y reviendrons-, le ministre précise que la prérogative est réservée aux “situations extrêmes” et qu’elle s’appliquera selon “une logique de subsidiarité”:

les mesures viseront prioritairement l’éditeur de site responsable, puis à défaut, l’hébergeur de données concerné, et enfin, si la démarche reste infructueuse, le fournisseur d’accès à Internet.

L’article 2 du projet de décret détaille ces trois étapes. Une fois mis en demeure, si les éditeurs de contenu n’agissent pas dans un délai “qui ne peut être inférieur à soxiante-douze heures”, l’autorité compétente a cinq possibilités:

• avertir les consommateurs des risques que présentent certains produits commercialisés
• cesser la vente de tout ou partie des produits proposés par le site
• mettre fin aux pratiques commerciales en cause
• interdire l’accès de tout ou partie du site aux mineurs
• retirer ou faire cesser la diffusion du contenu en cause

Blocage, filtrage. Le tout sans qu’il soit fait mention du juge. Et si les éditeurs de contenu ne régissent pas, alors, comme l’indique le ministre, ce sont les hébergeurs qui seront sollicités (art.3 du projet de décret : “personnes mentionnés au 2. du I de l’article 6 de la loi du 21 juin 2004“), suivis des FAI (article 4 du projet de décret: “personnes mentionnées au 1. du I de l’article 6 de la loi du 21 juin 2004″). Opérateurs qui pourront également être sollicités “directement”, précise encore l’article 4, “en cas d’atteinte ou de risque sérieux et grave d’atteinte”. Évidemment, reste à déterminer ce qu’on met sous cette appellation.

Cheval de Troie et peau de banane

Un nouveau cheval de Troie semble avoir été mis sur pied. Et il soulève de nombreuses interrogations.

La première étant celle du calendrier: pourquoi sortir un tel projet maintenant ? Sur une loi datant de 2004 et peu de temps après les velléités, plus que manifestes, de Nicolas Sarkozy à prouver que oui, il s’était réconcilié avec le monde merveilleux d’Internet. Un “je vous ai compris” qui reste ambigu sur de nombreux points, comme nous le rappellent les dominantes de l’e-G8, mais qui était accompagné de la volonté explicite de ne pas refaire les erreurs de l’Hadopi et même, de la Loppsi. Quand bien même il ne s’agit là que d’une campagne de séduction, pourquoi aller à contre-courant en préconisant, comme le soulevait Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free, sur Twitter,  une mesure qui reviendrait à revenir “techniquement dix ans en arrière” ?

Pour beaucoup, ce projet est un fond de tiroir, à bazarder au plus vite. Marque de l’action de quelques lobbyistes, d’inquiétudes persistantes quant aux effets potentiellement néfastes du réseau. Voire un projet d’emblée agonisant, qu’il est urgent d’achever en raison de son applicabilité plus que réduite. Éventuelle inconstitutionnalité, qui se justifierait par l’absence du juge au sein du dispositif; champ d’action étendu à tous les membres de l’Union Européenne, donc disparate et peu flexible; sans compter la difficulté de mise en œuvre des mesures de filtrage et de blocage par les FAI. Car si la prise en charge des frais relatifs à toute intervention de leur part est effectivement prévue dans le projet de décret (article 6), cela ne veut pas dire que les opérateurs seront prêts à se plier sans sourciller à ces injonctions ou qu’ils y accorderont plus de crédit.

Le caractère amateur voire provocateur du texte renforce l’incompréhension. De même que son urgence. Saisi par Eric Besson, le Conseil National Numérique aurait ainsi été avisé du texte sans autres explications, et sommé de rendre un avis en quelques jours, avant vendredi prochain. Certains y voient clairement une manœuvre de déstabilisation du CNN qui, s’il demeure sans budget ni permanents chargés de coordonner son action, en est encore à l’heure des premières (é)preuves. D’autres s’interrogent sur une potentielle instrumentalisation du comité consultatif: le projet de décret, rédigé par les services du ministère de l’Intérieur, aurait été déterré par le cabinet du ministre de l’Industrie. Véritable enjeu numérique ou simple guéguerre de cabinets ?

Si le texte fait l’effet d’un lapin mal fagoté sorti du chapeau, il n’empêche que le CNN doit produire un avis, vraisemblablement amer. Sur le fond, le fait de ne pas y avoir associé les institutions européennes et, sans surprise, l’oubli du juge pourtant présenté comme indispensable dès qu’une mesure de filtrage se présente, devraient être pointés du doigt. Sur la forme, la précipitation accompagnant le projet devrait aussi coincer. François Momboisse, vice-président du CNN en charge de la commission Croissance, déclare:

S’il est nécessaire de clarifier les moyens selon lesquels la police et la justice peuvent intervenir sur Internet, ce projet a quelques orientations aberrantes. Certains points sont contraires au droit européen, Bruxelles n’a pas été notifiée; d’autres position vont contre des principes constitutionnels… Le Conseil a ainsi répété qu’on ne peut pas couper comme ça l’accès à Internet sans juge ! S’il est nécessaire d’encadrer l’article 18 de la LCEN, on ne peut pas le faire comme ça, à la sauvette.

Et en cette fin d’année parlementaire, les délais de réflexion risquent de se réduire comme neige au soleil: Paquet Telecom, taxe Google et désormais ce décret -en attendant d’autres amuse-gueules-, le CNN, comme d’autres, auront fort à faire pour scruter ces projets de régulation du réseau qui foisonnent. Et ce pas toujours pour le mieux.

Illustrations CC FlickR: El Bibliomata, jontintinjordan

Vous imaginez une démocratie où la loi oblige les opérateurs de transport en commun et sociétés autoroutières à installer mouchards et caméras pour garder la trace, pendant un an, des endroits que les gens ont visités, de comment ils y sont allés, des personnes qu’ils ont rencontrées, et de ce qu’ils ont pu échanger ou partager ? Ce pays, c’est la France de 2011.

Un décret publié au JO le 1er mars contraint les fournisseurs d’accès à l’internet, les hébergeurs et prestataires de services web et de réseaux sociaux à conserver les données permettant d’identifier qui sont les gens qui vont sur l’internet, ce qu’ils y font, quand, et comment.

Ce décret Big Brother “relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne“, est la conclusion somme toute logique d’une histoire commencée il y a près de 20 ans et qui s’est formidablement accélérée au lendemain des attentats du 11 septembre 2001.

Une demande pressante du FBI

L’histoire de la surveillance des internautes commence en 1993, alors que le web est en train d’exploser. En juin de cette année, on dénombrait 130 sites Web, et 623 en décembre. Les premiers navigateurs, Lynx, puis NCSA Mosaic, font exploser les usages, qui croissent à un rythme annuel de 341 634 %.

Cette même année, les autorités américaines commencent à mener une intense activité diplomatique afin de persuader les pays européens et l’OCDE de déployer des mesures de surveillance et d’interception des télécommunications, sous les auspices d’une organisation d’experts européens et américains, ILETS (pour Interception Law Enforcement Telecommunication Seminar).

Fondée par le FBI, son existence fut révélée par Duncan Campbell, dans le rapport que le parlement européen lui avait demandé de consacrer, en 1999, au réseau Echelon anglo-saxon d’interception des télécommunications.

Ses travaux débouchèrent, en 1995, sur l’adoption d’une résolution européenne relative à l’interception légale des télécommunications, largement inspirée du Communications Assistance to Law Enforcement Act (CALEA) américain, adopté en 1994, là aussi à l’initiative du FBI, afin d’imposer aux compagnies téléphoniques et aux fournisseurs d’accès internet de modifier leurs infrastructures pour faciliter la surveillance des réseaux.

Dans la foulée, ENFOPOL (pour “ENFOrcement POlice“), groupe de travail réunissant les ministères de l’intérieur des pays membres de l’Union considéré par certains comme la réponse européenne à l’organisation anglo-saxonne ECHELON, tente de définir les modalités techniques et standards de cette surveillance préventive des télécommunications.

Après avoir notamment proposé d’imposer la communication aux autorités des mots de passe des internautes, ou encore la présences de “backdoors” (portes dérobées) dans les logiciels et systèmes de cryptographie, le Parlement européen décida finalement de s’opposer à la conservation des traces de connexion, en juillet 2001, au motif que cela reviendrait à “donner carte blanche dans l’intrusion dans la vie privée des citoyens, en dérogation des droits de l’homme et des libertés fondamentales“, comme le rapporta alors ZDNet :

Le comité du Parlement européen a notamment précisé que des mesures de surveillance électronique doivent être «entièrement exceptionnelles, basées sur une loi spécifique et autorisées par une autorité judiciaire compétente dans le cas de personnes individuelles». Toute forme de surveillance électronique sur une large échelle devrait être interdite, tranche le comité.

“Légalité républicaine” vs “ère du soupçon”

Deux mois plus tard, les attentats du 11 septembre 2001 allaient tout changer, dans le monde entier, entraînant nombre de pays à renforcer leurs boîtes à outils sécuritaires, au nom de l’anti-terrorisme.

En France, le gouvernement socialiste qui, depuis 1997, cherchait à border la droite sur le terrain de la lutte contre l’”insécurité“, modifiait ainsi dans l’urgence son projet de loi relative à la sécurité quotidienne (LSQ), pour notamment contraindre les fournisseurs d’accès à l’internet à stocker, pendant un an, les traces (“logs“) de ce que font les internautes sur les réseaux, et ce quand bien même il n’a jamais été formellement prouvé que les terroristes avaient utilisés le Net pour communiquer (voir Terrorisme : les dessous de la filière porno).

De nombreuses associations avaient alors dénoncé des “mesures d’exception” instaurant une ère du soupçon faisant de tout citoyen un “présumé suspect” qu’il convenait de placer, par principe, sous surveillance.

Signe de la fébrilité des parlementaires, le sénateur socialiste Michel Dreyfus-Schmidt avait d’ailleurs vendu la mèche, avec un lapsus lourd de sous-entendus admettant que la France sortait du cadre de la “légalité républicaine” :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

Conscient du fait que les législations anti-terroristes se doivent d’être sévèrement encadrées, l’article 22 de la LSQ précisait en effet que les mesures anti-terroristes rajoutées en urgence dans la foulée des attentats, et donc ce placement sous surveillance des internautes, ne devaient courir que jusqu’au 31 décembre 2003, date à laquelle un “rapport d’évaluation sur l’application de l’ensemble de ces mesures devait permettre au Parlement de statuer sur leur prorogation, ou non.

Quand l’exception devient la norme

Le Parlement n’eut pas le temps de demander ni d’examiner quelque rapport d’évaluation que ce soit. Le 21 janvier 2003, un amendement déposé par Christian Estrosi, après avis favorable de Nicolas Sarkozy, à son projet de Loi sur la sécurité intérieure (LSI, ou “Loi Sarkozy II“), dont il était le rapporteur, grave dans le marbre, sans aucun débat et en moins d’une minute, le principe de surveillance préventive des internautes. Verbatim :

M. Christian Estrosi, rapporteur. Prorogation ou pérennisation ? Dans l’article 17 du projet du Gouvernement, il n’est question que de proroger. Dans mon amendement, par contre, je propose de pérenniser certaines des dispositions visées, celles qui touchent à la conservation et au déchiffrement des données informatiques, c’est-à-dire à l’utilisation des nouvelles technologies de l’information et de la communication par la cybercriminalité.

Je vous ai soumis précédemment un amendement tendant à instituer de nouveaux délits pour donner à la police des moyens d’action dans la lutte contre la cybercriminalité et les réseaux qui s’y rattachent.

Il me paraît justifié de profiter de l’examen de cet article pour pérenniser des dispositions qui seront de plus en plus utiles à l’avenir, aux forces de l’ordre pour mener à bien leurs investigations en matière de lutte contre toutes les formes de trafics : drogue, armes, pédophilie, prostitution, blanchiment d’argent.

M. le président. Quel est l’avis du Gouvernement ?
M. le ministre de l’intérieur, de la sécurité intérieure et des libertés locales. Favorable.
M. le président. Je mets aux voix l’amendement n° 86.
(L’amendement est adopté.) “

Avec l’adoption de l’amendement Estrosi, soulignait ainsi la Ligue Odebi dans ses Logs pour les nuls, “la mesure d’exception consistant initialement à enregistrer tous les faits et gestes des internautes à des fins de lutte anti-terroriste, pour les mettre à disposition de l’autorité judiciaire, est devenue une mesure définitive, donc totalement séparée de l’existence ou non d’une menace terroriste“.

Extension du domaine des écoutes

En 2004, la loi pour la confiance dans l’économie numérique LCEN) étend l’obligation de conservation des données de connexion aux hébergeurs et responsables des sites et services web, qui doivent détenir et conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“.

En janvier 2006, la loi relative à la lutte contre le terrorisme (LCT), présentée par le ministre de l’intérieur, Nicolas Sarkozy, élargit l’obligation de conservation des “données de trafic” aux cybercafés, et prévoit de permettre aux services anti-terroristes de pouvoir y accéder en dehors de tout contrôle de l’autorité judiciaire, mais après avis d’une personnalité qualifiée placée auprès (et dépendant) du ministre de l’intérieur.

Le 15 mars 2006, une directive européenne sur la conservation des données définit la liste de ce que les fournisseurs de services de communications électroniques doivent logguer, suivie, en France, le 24 mars 2006 d’un décret “relatif à la conservation des données des communications électroniques“. Les FAI et les opérateurs de téléphonie sont désormais tenus de pouvoir tracer et identifier :

• la source et l’utilisateur de chaque communication
• son ou ses destinataires
• la machine utilisée pour communiquer
• le type, la date, l’heure et la durée de la communication
• les “données relatives aux équipements terminaux de communication utilisés (et) aux services complémentaires demandés ou utilisés et leurs fournisseurs“
• la géolocalisation des équipements de communication mobile utilisés.

En 2007, le ministère de l’intérieur mettait en place, en toute discrétion (dixit Le Figaro) et entre les deux tours des présidentielles, une nouvelle plate-forme d’interception, en temps réel, des données de connexion des mails et des textos, à l’intention des services de renseignement :

Qu’il s’agisse d’un appel sur mobile, d’un courriel envoyé par Internet ou d’un simple texto, les « grandes oreilles » de la République peuvent désormais savoir qui a contacté qui, où et quand.

“L’internet est un moyen de se cacher”

Problème : de plus en plus de connexions sont chiffrées, empêchant les grandes oreilles de savoir qui fait quoi sur les réseaux, comme l’expliquait l’an passé Bernard Barbier, “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE).

A son arrivée dans les services spéciaux en 1989, “l’objectif, c’était le téléphone” : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (”un million de communications simultanées, c’est pas beaucoup pour nous”), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte, car seuls les diplomates, les militaires ou les services secrets chiffraient leurs communications, “et notre job était de les casser, et on devait traiter entre 100 et 1000 documents par jour”.

Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale, le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Dans le même temps, souligne Bernard Barbier, “même les méchants se mettent à communiquer” : souvent jeunes, instruits, “tous les apprentis terroristes utilisent la crypto : pour eux, l’internet est un moyen de se cacher : ils savent qu’ils peuvent être écoutés, et donc se cachent dans la masse des utilisateurs de l’internet”, ce qui fait que “les cibles ont changé” :

“Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme. Aujourd’hui, nos cibles sont les réseaux du grand public, parce qu’utilisés par les terroristes.”

Parallèlement, et au vu de l’explosion du volume des télécommunications, les services de renseignement et de police judiciaire s’intéressent plus au contenant qu’au contenu, afin de savoir qui communique avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée :

“Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau.”

“Nous stockons tous les mots de passe”

“La mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe“, expliquait également Bernard Barbier, ce qui peut s’avérer très pratique pour identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms, sur les réseaux sociaux :

Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.

On comprend mieux pourquoi le décret sur la conservation des données “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne“, publié 6 ans après l’adoption de la LCEN auquel il se réfère explicitement, prévoit précisément la conservation, non seulement des noms, prénoms, pseudos, identifiants, n° de téléphone, adresses postales et électroniques de ceux qui s’expriment sur le Net, mais également de leurs “mots de passe ainsi que des données permettant de les vérifier ou de les modifier“.

Les services de police et de gendarmerie ont en effet de plus en plus recours à des logiciels d’analyse criminelle (ANACRIM) afin, “par exemple, de rattacher les appels téléphoniques à des abonnés, les abonnés à leurs correspondants, les correspondants à leurs autres relations et ainsi de suite“.

C’est ainsi que les statisticiens, spécialistes du datamining, sont parvenus à exploiter des centaines de milliers de CDR (Call Data Recording), les fiches contenant toutes les données relatives à un appel téléphonique, afin d’identifier le café où se réunissaient les terroristes de l’attentat de Madrid en 2004.

C’est également ce pour quoi les mots de passe pourront donc aussi servir à identifier des internautes, comme le souligne Guillaume Champeau sur Numerama :

Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.

Les services anti-terroristes, qui ont le droit d’accéder aux données sans contrôle judiciaire, pourront ainsi plus facilement s’infiltrer sur les réseaux. Encore que : les terroristes n’utilisent guère les sites et réseaux sociaux hébergés en France, de même qu’ils passent rarement par des fournisseurs d’accès français, et l’obligation de conservation, et de transmission, des données de connexions prévus dans le décret ne s’applique pas aux forums et réseaux sociaux étrangers.

Il n’est, par contre, qu’à se souvenir de l’affaire Tarnac pour imaginer sans trop de difficulté les problèmes que cela pourrait engendrer dès lors que des policiers s’en serviraient pour infiltrer des “organisations de nature subversive susceptibles de se livrer à des actes de terrorisme ou d’atteinte à l’autorité de l’Etat“, notion pour le moins floue mais dont la surveillance fait explicitement partie des missions de la Direction Centrale du Renseignement Intérieur (DCRI), le service de contre-espionnage français qui a fusionné les RG et la DST.

En attendant de tels éventuels dérives et dommages collatéraux, on aurait tort de verser dans la paranoïa, ne serait-ce que parce que conservation des données de connexion date donc de 10 ans maintenant et, comme le souligne Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie, “d’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur“.

A contrario, il n’est pas vain de rappeler pour autant que normalement, dans un État de droit, on ne place sous surveillance que les individus soupçonnés d’avoir commis un crime ou un délit. Dans nos démocraties sécuritaires, tout citoyen est a contrario un suspect en puissance, qu’il convient de surveiller, de manière préventive, “au cas où“. Le problème est politique. Il en va de la “légalité républicaine“.

Photographies CC leg0fenris.

La Commission a “rejeté sans discussion” l’amendement visant à réintroduire l’obligation de passer par l’autorité judiciaire pour ordonner aux fournisseurs d’accès Internet (FAI) le blocage d’un contenu présentant un “caractère manifestement pédo-pornographique”.  En janvier dernier, lors du premier passage du texte devant cette même Commission, un amendement similaire est adopté malgré l’avis défavorable du rapporteur Eric Ciotti selon qui “le caractère odieux et scandaleux des images diffusées exige que l’on soit très réactif”. Mais il y a quelques semaines, cette obligation est supprimée par le Sénat.

La disposition oblige les opérateurs à “empêcher l’accès sans délai” aux internautes français aux contenus “présentant un caractère manifestement pornographique”. Cet article de la Loppsi est inséré dans l’article 6 de la loi pour la confiance en l’économie numérique (LCEN), article qui permet déjà de faire retirer ou de rendre inaccessible l’accès à des contenus illicites en posant le principe dit de subsidiarité. Cela implique de s’adresser d’abord à l’éditeur, puis à l’hébergeur du contenu, avant de se tourner vers les FAI en cas d’échec des demandes précédentes. Un principe conservé dans la loi sur les jeux en ligne (même si malmené dans l’affaire Stanjames) mais supprimé dans la Loppsi.

Ce qui est critiqué par beaucoup comme étant un simple “masquage” qui ne permet ni de supprimer les contenus, ni de lutter activement contre la pédo-pornographie et la pédophilie.

“Le dispositif prévu (…) ne permet nullement de réduire la pédo-pornographie en elle même, soutiennent des députés (pdf) en janvier dernier. Tout au plus permettra-t-il de cacher aux internautes le phénomène”. Cela est aussi contesté par des associations d’hébergeurs et d’opérateurs (GESTE, ASIC, AFA, FFT, etc.) “Nous sommes pour le retrait à la source (…) non pour un masquage” déclare ainsi l’Association des Fournisseurs d’Accès (AFA). Alors que la FFT (Fédération Française des télécoms) juge la remise en cause de la subsidiarité “inacceptable”. En Allemagne, sous le slogan “Supprimez, le bloquez pas — Agissez, ne fermez pas les yeux!“, MOGiS e.V., une association de victimes d’abus sexuels sur mineurs, s’oppose au blocage des sites “comme moyen de lutte contre la circulation des images à caractère pédopornographique sur Internet”.

Récemment, eco, association allemande des industriels d’Internet a révélé que “des 197 sites qui ont été signalés au cours du premier semestre 2010 au bureau des plaintes d’eco, 194 ont pu être supprimés dans le délai d’une semaine“. Et que les contenus hébergés sur des serveurs allemands “étaient hors ligne en une journée“.

Hier, AK Zensur, un groupe de travail qui regroupe plusieurs associations allemandes de défense des droits et libertés des citoyens, a publié la première version d’une analyse (pdf) sur le blocage par liste noire au Danemark et en Suède. Ceci alors, qu’outre-Rhin comme en France, les pays scandinaves sont souvent cités en exemples pour affirmer que de tels dispositifs sont possibles et efficaces. Leur analyse d’“un échantillon représentatif de 167 sites actuellement bloqués au Danemark” montre que la majorité des domaines bloqués “ne sont plus actifs”.

Pour les trois encore actifs, et contenant de la pédo-pornographie, ils ont contacté via une notification par mail l’hébergeur américain et le registrar indien. Et rapportent que le premier est intervenu en moins de 30 minutes, et le second au bout de trois heures. Également bloqués en Norvège, Suède et Finlande, deux des noms de domaines concernés sont présents sur la liste noire au Danemark depuis 2008. “Cela signifie que la police n’a rien fait depuis deux ans pour faire fermer ces sites“, critique AK Zensur.

Dans une brochure (pdf) publiée il y a quelques jours, l’organisation européenne EDRI (European Digital Rights) explique également pourquoi, selon elle, le blocage de sites ne fait que masquer les crimes que sont la pédo-pornographie et la pédophilie. “Bloquer implique de laisser les sites illégaux en ligne, et de simplement rendre leur accès plus difficile. L’accès est cependant toujours possible, quelque soit la technologie utilisée”, écrit l’EDRI. “En revanche, la suppression d’un site illégal entraîne son retrait d’Internet, et rend son accès impossible“.

L’étude cite Björn Sellström, officier de police, et chef du groupe d’enquête contre la pédopornographie et la maltraitance des enfants en Suède, où un dispositif de blocage par les FAI a été mis en place en 2005 . Il y a un an, Björn Sellström déclarait : “nos mesures de blocage ne conduisent malheureusement pas à réduire la production de pédopornographie sur Internet.”

–

Image : CC RIUM+
Image article : AK Zensur