« Nous sommes inquiets par ce projet de loi. Nous redoutons une utilisation excessive de ce système d’espionnage par la police, qui pourrait mettre en danger la protection des sources journalistiques. Le cadre de mise en œuvre de la captation des données informatiques doit être plus clairement défini. Nous demandons aux parlementaires de présenter des amendements pour mieux encadrer ce projet » a fait savoir RSF dans un communiqué. Le projet de loi doit être débattu à l’Assemblée nationale à la fin de cette année.

« Tant les ordinateurs privés que les cybercafés sont concernés par ce projet » prévient RSF. « La CNIL s’est tout particulièrement inquiétée de la collecte de données venant de cabinets d’avocats, d’huissier, de médecin et de journaux. Des garanties solides doivent être mises en place afin d’éviter ces dérives ».

Présenté en conseil des ministres le 27 mai dernier, le projet de loi Loppsi (Loi d’Orientation et de Programmation pour la Performance pour la sécurité intérieur) comporte de nouvelles dispositions en matière de sécurité et de contrôle sur Internet. Le texte introduit notamment la captation de données à distance.

Plusieurs articles de Lopssi 2 suscitent l’inquiétude des internautes qui craignent de voir se mettre en place un système de filtrage d’Internet. Une crainte déjà bien attisée par l’acharnement du gouvernement autour de la loi Hadopi prévoyant la surveillance des réseaux afin d’identifier les téléchargements illégaux.

Loppsi 2, qui sera examinée par les députés à la rentrée parlementaire, risque bien de verser de l’huile sur le feu, d’autant que l’avis de la CNIL sur le projet de loi souligne des risques de dérive. Dans ses délibérations datées du 16 avril, désormais librement consultables, la CNIL rappelle que la Cour constitutionnelle allemande a fixé une limite précise à la captation de données :

« L’introduction clandestine dans des systèmes informatiques de logiciels espions ne peut être autorisée que s’il existe réellement des éléments présentant une menace concrète sur l’intégrité corporelle, la vie, la liberté des personnes, ou une atteinte aux intérêts fondamentaux de la nation. »

Seules les données utiles à la manifestation de la vérité doivent être conservées

Par cette référence à une décision juridique allemande, la CNIL rappelle au gouvernement français la nécessité de définir clairement le cadre de mise en oeuvre de la captation de données. La Commission relève à ce titre plusieurs flous, imprécisions et même erreurs de nature à autoriser des dérives.

Les informations saisies seront par exemple intégralement placées sous scellés, et non pas uniquement les éléments « utiles à la manifestation de la vérité ». Or une décision du Conseil constitutionnel en matière de sonorisation (sur lequel s’appuie Loppsi) impose en principe de ne pas conserver les « séquences de la vie privée étrangères aux infractions en cause ». La CNIL appelle par conséquent le législateur à respecter ce principe dans son projet de loi pour la captation numérique.

Dans son avis, la Commission relève également un « risque d’insécurité juridique disproportionnés au regard des finalités poursuivies » dans le dernier alinéa de l’article 706-102-6 portant sur les professions protégées (avocats, médecin, notaire, entreprise de presse…).

La CNIL critique ici l’emploie de l’adverbe habituellement dans la rédaction du texte de loi, et qui pourrait permettre « de collecter des données transitant sur des systèmes utilisés par des personnes protégées par le législateur en raison de secrets particuliers liés à l’exercice de leur profession, ou de les collecter dans les lieux de travail ou domiciles de ces dernières. »

Pas d’outils de surveillance sans traçabilité de leur usage

Un autre point du projet de loi interpelle la CNIL, celui relatif à la surveillance des points publics d’accès à Internet (cybercafés et bornes d’accès publiques). Selon le texte, cette disposition permettrait d’enregistrer durant au plus huit mois, « tous les caractères saisis au clavier et de toutes les images affichées sur l’écran de tous les ordinateurs d’un point d’accès public à Internet, et ce à l’insu des utilisateurs. »

En conséquence, la CNIL juge nécessaire que l’utilisation « de ces dispositifs particulièrement intrusifs, fasse l’objet d’une vigilance particulière, afin de garantir la proportionnalité de la mesure de surveillance aux objectifs poursuivis. ».

En termes de garanties, la Commission attend donc que des mécanismes soient définis pour rendre impossible l’exploitation des matériels et logiciels de captation de données à des fins détournées. Selon la CNIL, des mesures de traçabilité devraient encadrer l’utilisation de ces outils afin que ceux-ci ne puissent être employés que sous le contrôle d’un juge d’instruction.

Néanmoins, l’avis de la CNIL n’est que consultatif et le gouvernement n’est donc pas tenu d’en tenir compte. A noter ainsi que la Commission avait rendu un avis très défavorable concernant le projet Création et Internet du ministère de la culture, sans que celui-ci ne soit véritablement suivi d’effets.

A l’instar d’autres pays comme les Etats-Unis ou l’Australie, le gouvernement français prévoit de recourir à des systèmes de captation de données numériques. En clair, le projet de loi d’orientation pour la programmation et la performance de la sécurité intérieure (Loppsi) autoriserait l’exploitation de logiciels espions. Selon l’article 23 de ce projet de loi, cette procédure serait limitée aux crimes et délits les plus graves (art. 706-73 du Code de procédure pénale) et serait fortement encadrée.

La forme définitive de ces « mouchards », – ne serait-ce que le choix d’une solution matérielle ou logicielle – n’est pas encore connue. Dans tous les cas, ils pourraient largement compliquer la tâche des différents acteurs de la sécurité : des DSI aux RSSI, en passant par les éditeurs d’antivirus et de systèmes d’exploitation.

Car l’installation de ces dispositifs sur un réseau d’entreprise sera délicate. Ils devront en effet résoudre un dilemme : être à la fois discrets – pour ne pas être repérés par les logiciels de sécurité – et assez efficaces pour récupérer des données susceptibles de constituer des preuves dans le cadre d’une enquête judiciaire.

Une contrainte supplémentaire pour l’entreprise…

« Cette orientation devrait conduire les RSSI à une nécessaire restructuration de leur démarche et de leurs actions de prévention et de protection : l’appréciation des risques induits doit être différenciée selon que l’information réside au sein du système ou qu’elle transite sur la station de l’usager », précise Thierry Durand, PDG de Phorcys, une société de conseil en sécurité de l’information.

« Sur les actions à prendre, les DSI et RSSI doivent déjà gérer un certain nombre de contraintes réglementaires : Cnil, conservation des logs, réponses à des enquêtes, protection des données financières… Il faudra bientôt composer avec une de plus. A nous de voir comment utiliser les solutions techniques existantes et à venir et, surtout, comment gérer les hommes : information, sensibilisation, chartes, responsabilisation, formation, actions correctives…», constate Eric Wiatrowski, chief security officer d’Orange Business Services.

Nicolas Ruff, expert en sécurité au centre de recherche d’EADS, affirme pour sa part : « La partie “mouchard” de la Loppsi ne me semble pas impacter les DSI. Si le suspect se trouve dans une entreprise, il suffit de demander à l’administrateur de domaine pour savoir tout ce qu’il fait sur son poste, de manière légitime et indétectable par l’utilisateur. Ou de revenir la nuit accompagné du responsable de la sécurité. »

… et des incertitudes du côté des éditeurs

Autre question : comment ce dispositif va-t-il se comporter face aux antivirus et pare-feu ? Sera-t-il furtif et indétectable, comme un rootkit, ou bloquera-t-il certaines fonctions des logiciels de sécurité ? « S’il s’agit d’un logiciel installé à l’insu des utilisateurs,dans un premier temps les antivirus seront obligés de le signaler. Dans ce cas, nous aurons des retours de nos clients et nous serons conduits à exclure ce logiciel d’“espionnage officiel” de nos bases virales », indique Boris Sharov, PDG de l’éditeur russe Doctor Web. Autre sujet d’interrogation : ce logiciel sera-t-il compatible avec les environnements Linux et MAC OS ?

Autant de questions sans réponse pour l’instant. Peut-être en saurons-nous davantage à l’automne prochain, période à laquelle le projet de loi devrait être discuté au Parlement. A moins que le tumulte législatif engendré par la loi Hadopi ne dissuade le gouvernement de poursuivre le vote de ce texte, lui aussi potentiellement sujet de belles polémiques…