Blogue

Loi sur le renseignement : la peur des boîtes noires

Cogeco Peer 1

juin 02, 2015

Share:    

Le 5 mai, les députés ont adopté par 438 voix contre 86 et 42 abstentions, le projet de loi sur le renseignement. Ce texte, bientôt examiné par le Sénat, puis par le Conseil constitutionnel, à la demande du Président de la République et de 75 députés, est controversé, y compris chez des professionnels de l’hébergement informatique qui le jugent techniquement coûteux et commercialement contre productif.

Ce texte sur le renseignement électronique suscite beaucoup de critiques qui cependant peinent à contrer le seul argument de la nécessité exigée par la sécurité nationale.

Un des points qui pose problème est l’énoncé des domaines que peuvent invoquer les services pour justifier la surveillance électronique. Les formulations sont assez larges et peuvent donc, selon les opposants, concerner de simples activistes ou manifestants. Pour contenir d’éventuelles dérives, la loi crée une Commission de contrôle des techniques de renseignement (CNCTR), autorité administrative indépendante composée de six magistrats du Conseil d’Etat et de la Cour de cassation, de trois députés et trois sénateurs de la majorité et de l’opposition, et d’un expert technique. Elle remplacera l’actuelle Commission nationale de contrôle des interceptions de sécurité (CNCIS). Cette nouvelle instance délivrera son avis, sauf cas d’urgence « absolue ou opérationnelle », avant toute opération de surveillance ciblée.

Les « boîtes noires »

Le texte adopté prévoit de contraindre les fournisseurs d’accès à Internet (FAI) à installer des dispositifs techniques pour « détecter une menace terroriste sur la base d’un traitement automatisé » des communications de personnes ayant une activité en ligne typique de terroristes. Cette surveillance de trafic ne porterait pas sur les contenus mais sur les métadonnées et aurait lieu sur une base très large. L’analyse des métadonnées sera également utilisée pour détecter des terroristes potentiels dans l’environnement des suspects, de même que sera autorisé l’usage d’équipements d’écoute plus classiques (micro) ou de stations de télécommunications mobiles d’interception dites IMSI-catchers (International Mobile Subscriber Identity). Parmi les garde-fous institués par le texte figure une forme de protection pour les agents qui dénonceraient une surveillance illégale auprès de la CNCTR ou des services du premier ministre.

Une volumétrie importante

Au delà des critiques sur les aspects liberticides de la loi, certains avancent des arguments techniques pour dénoncer un projet jugé irréaliste. Un hébergeur – NBS System – a fait quelques calculs qui font réfléchir sur la faisabilité d’un système d’interception globale. Premier problème : le stockage des données qui ne peuvent être toutes « écoutées » en temps réel. Pour un opérateur mobile ayant environ 10 millions d’abonnés, la conservation d’1Go de données par mois et par abonné (sans le trafic voix) représenterait une capacité de près de 10 000 Téraoctets. Même divisé par 100 pour tenir compte de la conservation des seules métadonnées, cela représente une capacité de stockage assez onéreuse que l’auteur estime à un investissement de 600 000 €/mois toujours pour un opérateur. Un calcul similaire pour les données transitant par les hébergeurs donnerait assurément des résultats aussi importants.

Un coût technique exorbitant ?

L’installation de boîtes noires chez les hébergeurs risque aussi d’être coûteuse puisqu’il faut « traiter » plusieurs centaines de Gigaoctets par seconde, notamment en amont de serveurs supportant des services accessibles au grand public. Ces débits importants ne peuvent être analysés que par des équipements de haute performance dont les prix se comptent en centaines de milliers d’euros chacun, selon les auteurs du document. La capture des données chez les hébergeurs n’est pas le tout puisqu’il faut ensuite les centraliser c’est à dire d’abord les récupérer, puis les transmettre, enfin les stocker – même provisoirement – à nouveau. Cela implique encore la mise en œuvre d’infrastructures de transport puis d’équipements de stockage dans les services gouvernementaux. A titre d’exemple, les auteurs n’hésitent pas à évoquer le datacenter de la NSA situé dans l’Utah, ses 9 km2 de baies, son coût de 1,5 milliard de dollars, ses 2 milliards d’équipement et de maintenance, et ses 40 millions de facture électrique. Même réduite à l’échelle française, la facture estimée laisse rêveur. Sur ce dernier point, les auteurs posent d’ailleurs la question de la part supportée chez nous par les hébergeurs qui impactera nécessairement sur leur compétitivité.

La sécurité menacée ?

Autre problème : pour les auteurs du document, de nombreuses normes de sécurité ne seront plus viables. Prenant l’exemple de la certification PCI-DSS qui permet de conserver de façon sécure des données clients et notamment celles de leurs cartes bancaires, ils affirment que les futures exigences de la loi seront en contradiction avec les règles de conformités qui régissent les transferts et accès protégés à ces données. Autre argument sécuritaire, celui touchant à la protection des envois d’informations depuis les hébergeurs jusqu’aux services gouvernementaux, à la responsabilité du chiffrement et de sa mise en œuvre. De même, l’intégrité des fameuses « boîtes noires » – a priori sous contrôle gouvernemental – ne peut-elle pas affecter l’infrastructure des hébergeurs en cas de compromission, scénario dont nul ne peut affirmer qu’il est improbable. Pour terminer leur démonstration, les auteurs du document évoquent l’expansion – inéluctable selon eux – du big brother étatique, son intrusion dans tous les réseaux optiques, xdsl, Mpls, VPN et autres. Un cauchemar assurément.

 La fuite des clients ?

On peut penser que cette démonstration est exagérée, que l’enjeu sécuritaire est un impératif national qui doit surpasser le reste. Toujours est-il que cet argumentaire technico-financier pèse un certain poids par rapport au seul discours sur les droits démocratiques. Il a l’avantage d’exister, de poser quelques bonnes questions auxquelles il faudrait répondre bien que ce soit difficile pour le moment et même pour plus tard car le secret est quand même la règle d’or du renseignement. Reste un aspect du débat qu’il ne faut pas occulter. La crainte d’un décalage entre la situation française et celle de ses voisins européens fait craindre à certains hébergeurs de perdre des clients dont certains avaient déjà délaissé les Etats-Unis et les outrances de leurs agences de sécurité sous couvert du Patriot Act. Reçus par Axelle Lemaire, secrétaire d’état en charge du numérique, les professionnels semblent avoir été entendus : un amendement prévoit la délimitation par le premier ministre du champ technique d’application de la mesure, « aux éléments strictement nécessaires à la détection d’une menace terroriste », la mise en place du dispositif par les hébergeurs eux-mêmes et la promesse qu’ils pourront s’assurer de l’exclusion des données de contenu du domaine d’investigation.

Pour autant, les débats ne sont pas clos et il faudra attendre le vote final puis l’avis du Conseil d’Etat pour savoir ce qu’il adviendra vraiment de ce projet.

 


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis