Le FRench Network Operators Group (FRnOG), se définit lui même comme un « groupe d’échange d’informations qui rassemble des personnes intéressées par les domaines de la sécurité, la recherche et le fonctionnement d’Internet en France. » Réunissant les principaux acteurs qui s’impliquent dans l’écosystème Internet en France, c’est évidemment avec une grande attention qu’il faut suivre les échanges sur ses mailing listes.
La nouvelle loi sur le renseignement a évidemment préoccupé les acteurs chez qui le gouvernement voulait placer ses « boites noires ». Et à en croire un mail posté sur FRNog, nous l’avons échappé belle, avec une mention spéciale pour OVH qui a mené de front son opposition au placement de sondes en coeur de réseau chez les opérateurs, ce qui représentait le dispositif le plus intrusif que l’on puisse imaginer. Et ce mail tranche très sérieusement avec la communication gouvernementale puisque le ministre qui insistait sur le caractère non massif, non intrusif, non attentatoire aux libertés publiques, était en train de défendre dans les faits le placement du pire dispositif imaginable, un peu sur les modèles syriens et libyens, Un dispositif qui dans sa version la plus extrême aurait non seulement pu intercepter à volonté le contenu de toutes communications, mais également les altérer en modifiant ces mêmes contenus, sans que les opérateurs n’en soient eux mêmes informés… comme ça, depuis leur infrastructure… le concept des « boites noires ».
En coulisses, loin de l’intérêt des médias, il s’est joué une très importante bataille qui a été partiellement relatée sur FRNog par Philippe Bourcier. Une pétition réunissant 60 opérateurs signataires faisant part des vives inquiétudes d’un dispositif gouvernemental d’interception sur leurs infrastructures a conduit à une négociation avec le gouvernement pour que ce dernier abandonne l’idée de sondes capables d’intercepter le contenu des communications. Et les opérateurs ont été entendus (mieux vaut tard que jamais), puisque ces négociations ont conduit à l’adoption d’un amendement à l’article L.851-4.
L’article L. 851-4 prévoit que le Premier ministre peut ordonner aux opérateurs de communications électroniques et aux fournisseurs de services de détecter, par un traitement automatique, une succession suspecte de données de connexion, dont l’anonymat ne sera levé qu’en cas de révélation d’une menace terroriste.
Nous vous relatons ici directement les propos de Philippe Bourcier pour bien comprendre la subtilité de ce à quoi nous avons échappé in extremis.
Le but de la pétition a été atteint !
Le projet de loi n’instaure plus une vague idée de surveillance
permanente en mode sniffer directement en coupure (passive (quoi que…
la suite logique c’était la possibilité de modifier les paquets…)) sur
vos réseaux. Un retour en arrière à l’époque de la Stasi ou encore
actuelle du Patriot Act…Les modalités ont été précisées et le système doit :
– être alimenté par l’hébergeur ou l’opérateur (donc c’est vous qui
faites un port-mirroring du port d’un ou plusieurs serveurs/IPs), ce
n’est plus une sonde qui capture tout, tout le temps, sans que vous le
sachiez…
– ne plus être alimenté en permanence (type DPI/sniffer « black box »),
mais n’est alimenté que durant 4 mois pour chaque demande précise.*** En gros, le texte n’apporte pas de nouveautés par rapport à ce qui
se faisait déjà (officieusement), là où le risque était d’avoir un
équipement en coupure sur les réseaux et sur lequel personne n’avait de
visibilité ! ***
La différence est même que désormais les limites et le cadre légal
seront clairement établis !
Et effectivement, nous pouvons tous remercier OVH et tous les opérateurs signataires qui ont empêché ce vers quoi le gouvernement s’orientait, c’est à dire un dispositif qui aurait fait passer Orwell pour un « bisounours hémiplégique ».