Un projet de loi autorise l’ANSSI à effectuer des analyses auprès des hébergeurs en cas de risque d’attaque informatique majeure. Par ailleurs, les opérateurs télécoms pourront utiliser des sondes de détection d’attaques dont les signatures seront fournies par l’ANSSI.
Le projet de loi relatif aux opérateurs télécoms dont parlait l’ANSSI depuis plusieurs semaines est désormais finalisé. Il a été présenté hier, jeudi 8 février, en Conseil des ministres avant d’être dévoilé à la presse (voir document ci-dessous). Comme prévu, les opérateurs de télécommunications vont bientôt pouvoir rechercher, dans le flux massif de trafic passant par leurs serveurs, les signaux ou marqueurs indiquant des attaques ou des piratages informatiques, a annoncé Louis Gautier, le secrétaire général de la défense et de la sécurité nationale (SGDSN), au cours d’une conférence de presse.
Cette possibilité, nouvelle pour les opérateurs télécom, fait partie de la Revue stratégique cyberdéfense qui doit être publiée en début de semaine prochaine et qui a nécessité plus de six mois de travaux. « C’est un système collaboratif, avec les opérateurs, qui leur proposera, à partir de marqueurs ou de signatures d’attaques donnés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) de pouvoir procéder sur leurs flux à un traçage des attaques, à leur signalement. Et quand les menaces sont particulièrement graves, l’ANSSI aura la possibilité d’intervenir », a expliqué Louis Gautier.
Une cybersurveillance basée sur le volontariat
Jusqu’à présent, a précisé Guillaume Poupard, directeur général de l’ANSSI, « les opérateurs n’ont pas le droit de fouiller dans leurs flux pour détecter des attaques. Ils ont le droit de protéger leurs systèmes, mais dans les flux qu’ils transportent, ils n’ont pas le droit d’aller voir s’il y a des attaques ou pas. Ils transportent l’eau, qu’elle soit potable ou pas potable, pour prendre cette analogie. »
Ce projet de loi permet donc aux opérateurs d’installer des systèmes de détection sur leurs réseaux. L’ANSSI, pour sa part, communiquera aux opérateurs les marqueurs et les métadonnées permettant de rechercher les attaques (comme le numéro IP d’un ordinateur infecté, par exemple). « La loi n’est pas impérative, a précisé Louis Gautier. Mais je suis persuadé que les opérateurs qui n’offriront pas ce service seront immédiatement discriminés. Si je dois choisir un abonnement entre quelqu’un qui me propose une solution de sécurité et quelqu’un qui n’en propose pas, je serai conduit à aller vers celui qui la propose. Les opérateurs comprennent que c’est leur intérêt de contribuer à la fabrication de la sécurité. Mais ils n’y sont pas obligés. »
L’ANSSI devient un cyber-inspecteur
Le second volet du projet de loi, par contre, ne relève pas du libre arbitre des acteurs économiques. Il donne à l’ANSSI l’équivalent du rôle et du pouvoir d’un enquêteur de police. Ainsi, elle pourra aller inspecter, en cas de menace grave, les serveurs d’un hébergeur « pour aller voir au microscope si un attaquant n’est pas en train de faire des choses négatives », a expliqué Guillaume Poupard. Un système de détection temporaire est alors installé. « Il nous arrive malheureusement souvent que des partenaires étrangers nous signalent la présence de tel attaquant à telle adresse IP et sur tel serveur (…) Mais aujourd’hui, si nous allons voir un hébergeur, il nous dit à raison que nous n’avons pas le droit d’analyser ses serveurs », précise le directeur général. A noter que cette inspection ponctuelle peut également concerner n’importe quel équipement d’un opérateur télécoms.
Cette procédure est purement administrative et n’est pas soumise à la décision d’un juge. La voie judiciaire a été volontairement écartée car le serveur malveillant peut être loué directement ou indirectement par les pirates et « on ne veut surtout pas prévenir l’attaquant que nous allons regarder sur son serveur car il va tout enlever immédiatement », souligne Guillaume Poupard. Toutefois, le gouvernement a prévu quelques garde-fous. Les dispositions de la Revue stratégique prévoient que l’ARCEP sera chargée du contrôle de l’application de ces nouvelles dispositions, et notamment que les données privées des utilisateurs ne seront pas conservées.