Koter Info - La Gazette de LLN-WSL-UCL

France - Loi Renseignemet : même le CNNum

alerte le Conseil constitutionnel

Le projet de loi sur le renseignement ouvre décidément la porte à des pratiques jamais ou très rarement vues. Après avoir été l’un des très rares textes de la 5e République à avoir été présenté par le Premier ministre lui-même à l’Assemblée nationale, après avoir été sans doute le premier texte censé renforcer la lutte contre le terrorisme à avoir uni contre lui des magistrats antiterroristes et une association de victimes du terrorisme (renforçant le sentiment d’une rare unanimité de la société civile contre un projet de loi), après avoir été le premier texte de l’Histoire à faire l’objet d’une saisine du Conseil constitutionnel par le président de la République, voici que le projet de loi Renseignement fait même sortir de sa réserve une administration publique, qui tente jusqu’au bout de peser sur le sort du texte.

Ainsi NextInpact rapporte que le Conseil national du numérique (CNNum) présidé par Benoît Thieulin a envoyé une note de 20 pages (.pdf) au Conseil constitutionnel pour détailler les raisons pour lesquelles les sages devraient censurer certaines parties de la loi, notamment celles relatives aux boîtes noires que les services de renseignement veulent pouvoir installer chez les FAI et les hébergeurs pour détecter des comportements suspects chez les internautes.

Le geste est d’autant plus fort que Benoît Thieulin, que l’on a pu voir comme un candidat sérieux au poste de ministre du numérique, prend ici le risque de s’opposer à son propre camp politique.

Par Guillaume Champeau - numerama.com – le 10 juillet 2015.

France - Loi Renseignement : des sondes

directement chez  les FAI et hébergeurs

Par Guillaume Champeau

Dans son rapport remis au Sénat, Jean-Pierre Raffarin révèle que selon les services de renseignement eux-mêmes, c’est par le biais d’une « sonde placée sur le réseau » que les services pourront collecter en temps réel des métadonnées sur les réseaux des FAI, opérateurs télécoms et hébergeurs.

À notre connaissance ça n’avait jamais été dit explicitement, et ça vient même contredire tout le discours anti-paranoïaque qui avait été servi au moment de loi de programmation militaire (LPM) de décembre 2013. Le rapport Raffarin sur le projet de loi renseignement confirme que les services de renseignement installent ou installeront des sondes directement sur les réseaux des FAI et opérateurs mobiles, pour collecter toutes les métadonnées qu’ils souhaitent sans avoir de comptes à rendre à quiconque, si ce n’est secrètement aux contrôles institutionnels prévus (Premier ministre et CNCTR).

À l’époque de la LPM, le gouvernement et les parlementaires avaient introduit dans la loi la possibilité de collecter des données en temps réel sur les réseaux des opérateurs télécoms. L’article 246-3 du code de la sécurité intérieure dispose depuis que « les informations ou documents [relatifs aux métadonnées de connexion] peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents », mais il avait toujours été nié par le Gouvernement que la collecte se faisait par l’installation de sondes qui ne permettaient pas aux FAI et opérateurs mobiles de savoir ce qui était collecté.

C’est pourtant très exactement ce que confirme le rapport de Jean-Pierre Raffarin, au sujet du nouvel article 851-3 introduit par la loi Renseignement. Celui-ci dispose que « pour les seuls besoins de la prévention du terrorisme, peut être autorisé le recueil des informations et des documents (...) relatifs à des personnes préalablement identifiées comme présentant une menace opéré en temps réel sur les réseaux des opérateurs », FAI, opérateurs télécoms ou hébergeurs. 

Or comme l’indique le rapport Raffarin, « les opérateurs ne seront pas sollicités ».

« Selon les explications fournies par les responsables des services de renseignements, il s’agit de pouvoir vérifier qu’un groupe d’individus inscrits sur une liste et qui ont été, à un moment donné, impliqués dans les agissements d’un groupe terroriste ne sont pas à nouveau entrés en relation. Une sonde sera ainsi placée sur le réseau afin de pouvoir comparer les métadonnées relatives à ces individus avec les métadonnées circulant sur ce réseau ».

Au moins c’est désormais clair.

Par Guillaume Champeau - numerama.com – le 18 mai 2015

La conservation des données

de connexion invalidée en Belgique !

La cour constitutionnelle de Belgique a invalidé jeudi la loi qui faisait obligation aux FAI et opérateurs téléphoniques de conserver les données de connexion de leurs clients. La justice suprême rejoint ainsi un mouvement enclenché par la censure de la directive de 2006 par la Cour de justice de l’Union européenne.

La décision n’est pas encore disponible sur le site de la Cour constitutionnelle belge (mise à jour : elle l’est) mais la NURPA (Net Users' Rights Protection Association) affirme que le juge suprême belge a invalidé jeudi la législation qui obligeait les fournisseurs d’accès à internet et les opérateurs téléphoniques à conserver pendant de longs mois les données de connexion de leurs clients, pour permettre leur exploitation par les services de police ou les services administratifs.

La Cour constitutionnelle a ainsi invalidé la loi du 30 juillet 2013 qui modifiait une loi de 2005 relative aux communications électroniques, et visait à transposer la directive de 2006 sur la conservation des données. Elle a logiquement pris acte du fait que la directive a été annulée par la Cour de justice de l’Union européenne (CJUE) dans son arrêt Digital Rights Ireland d’avril 2014, au motif que la conservation imposée aux FAI et aux opérateurs téléphoniques était disproportionnée.

Pour introduire un recours, la NURPA, datapanik.org, la Liga voor Mensenrechten et la Ligue des droits de l’Homme avaient réussi à lever 5700 euros auprès des internautes, soit plus que les 5000 euros demandés pour la participation aux frais judiciaires.

« La décision de la Cour constitutionnelle apporte un peu d’air frais dans un contexte nauséabond où les actes meurtriers de quelques terroristes suffisent à anéantir les principes fondamentaux de droits et de libertés de nos démocraties. Cela doit rappeler à chacun que les droits et libertés sont un combat de tous les instants, plus encore quand la tendance en Europe est à l’empilement de mesures sécuritaires, comme le démontre tristement le cas français », se félicite André Loconte, porte-parole de la NURPA.

La Belgique vient ainsi compléter une carte désormais bien remplie qui ont pris toute la mesure de l’arrêt Digital Rights Ireland, et invalidé ou suspendu leur législation : Slovaquie, Irlande, Autriche, Roumanie, Slovénie, Pays-Bas et Bulgarie.

La France, pour sa part, continue d’ignorer royalement la jurisprudence. La situation pourrait toutefois changer grâce à l’action entreprise par La Quadrature du Net et FFDN, qui ont obtenu un renvoi très prometteur en QPC.

Par Guillaume Champeau - numerama.com – le 11 juin 2015.

France - Les FAI devront livrer à l’État toutes

les infos sur leurs réseaux

En vertu d’un décret du 27 mars 2015, les fournisseurs d’accès à internet et hébergeurs déclarés « d’importance vitale » auront l’obligation de fournir à l’État toutes les documentations techniques sur les matériels et logiciels utilisés dans leurs réseaux, ainsi que les codes sources.

Outre l’installation obligatoire de produits de sécurité qualifiés par l’État ou par des prestataires agréés, les fournisseurs d’accès à internet (FAI) et les hébergeurs considérés comme « d’importance vitale » par la France auront aussi l’obligation de donner accès à toutes les informations techniques sur leur réseau, qui relèvent en principe du secret industriel. 

Dans son décret n° 2015-351 du 27 mars 2015 publié dimanche, le Gouvernement se fonde sur l’article L1332-6-3 du code de la défense créé par la loi de programmation militaire de fin 2013, pour exiger que les opérateurs d’importance vitale « soumettent leurs systèmes d’information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité prévues ».

Dans le cadre de ce contrôle, qui pourra avoir lieu une fois par an (ou plus souvent en cas de défaillances), les FAI et hébergeurs concernés devront fournir à l’ANSSI ou au prestataire privé agréé « notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels », ainsi que « les moyens nécessaires pour accéder à ses systèmes d’information et à l’ensemble de leurs composants afin de permettre au service de l’État ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d’informations techniques ».

Un rapport classé secret défense désignera alors « les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle », ainsi que les recommandations pour y remédier.

RESONSABILITÉ PERSONNELLE DES DIRIGEANTS

En premier lieu, il s’agit pour l’État de s’assurer que les systèmes d’information des FAI et des hébergeurs français soient résistants et résilients, en cas de cyberattaque de la part d’une puissance étrangère ou d’un groupe privé.

Mais il est difficile de ne pas imaginer que les informations glanées puissent aussi bénéficier à d’autres services, en particulier ceux de la Direction générale de la sécurité intérieure (DGSI), pour faciliter l’espionnage de cibles devant faire l’objet de surveillances. Même si elle ne participe pas directement aux opérations, le décret prévoit que l’ANSSI « communique aux ministres coordonnateurs des secteurs d’activités d’importance vitale concernés les conclusions du contrôle ». Or parmi ces ministres figure bien sûr le ministre de l’Intérieur et le ministre de la Défense, qui supervisent les services de renseignement.

L’article R1332-41-23 du décret précise que si un opérateur refuse de se plier aux contrôles ou aux obligations d’installer les « produits de sécurité » imposés par l’État, l’ANSSI pourra saisir l’autorité judiciaire et demander la condamnation personnelle des dirigeants à 150 000 euros d’amende.

Par Guillaume Champeau - numerama.com – le 31 mars 2015.