Loi sur le renseignement : si elle passe, qu’est-ce-qui change ?

Je me concentrerai ici sur les aspects concernant l’hébergement d’applications, le domaine que je connais. Attention, je ne suis pas juriste, donc ce qui suit est ma lecture de technicien ; si un juriste passe par ici et m’explique en quoi je me tromperais éventuellement, je lui en serais reconnaissant.

Tout d’abord, la référence, c’est-à-dire la loi adoptée par l’Assemblée Nationale et qui repart maintenant au Sénat : http://www.assemblee-nationale.fr/14/ta/ta0511.asp. Pour ce qui est de l’hébergement, une des subtilités de la loi est qu’elle enrobe plusieurs textes existants, dont la loi pour la confiance dans l’économie numérique – qui n’a jamais aussi mal porté son nom – avec de nouveaux éléments déclencheurs (en particulier cet article : fourniture des clés de décryptage).

Les boîtes noires

On a beaucoup glosé sur les « boîtes noires » que les services de renseignement pourraient installer un peu partout sur internet pour suivre le trafic ; telles que décrites dans la loi, ces « boîtes noires » – le terme n’apparaît pas ainsi dans le texte – peuvent être installées chez les opérateurs faisant transiter des données dans le réseau, donc pour simplifier chez les FAI et les routeurs, ainsi que directement chez les hébergeurs puisque ceux-ci sont visés par l’article L246-1 du code de la sécurité intérieure (renommé en L851-1, voir ici) via l’alinéa 2 de l’article 6 de la loi pour la confiance dans l’économie numérique (voir ici). Ces dispositifs sont sensés analyser les données uniquement dans le but de rechercher des activités terroristes, et ce de façon anonyme. Si quelque chose est détecté, l’anonymat est levé.

En tant qu’hébergeur, nous devons donc laisser installer sur nos machines des dispositifs fournis par les services de renseignement, si ceux-ci peuvent nous fournir l’autorisation du Premier Ministre ou des personnalités qualifiées par lui. Nous pouvons éventuellement nous plaindre au Conseil d’Etat si nous considérons que la demande est injustifiée ; il doit se prononcer dans un délai d’un mois. Suite à la rencontre avec des représentants du collectif ni pigeon ni espion le gouvernement avait indiqué que nous pourrions demander quels étaient les algorithmes internes de ces dispositifs, mais je n’en vois pas trace dans la loi et de toutes façons cela me semblerait assez surprenant pour l’efficacité supposée de ces écoutes numériques.

Le décryptage des données

Dans le cas où les communications seraient cryptées, nous devons mettre à disposition des mêmes personnes les moyens de les décrypter (voir ici pour l’article initial, qui devient applicable aux demandes des services de renseignement en vertu de l’article 6 de la loi). Imaginons que l’Etat mette en oeuvre des dispositifs d’interception chez les principaux FAI français ; quand vous accédez à un site en SSL, une écoute numérique, même chez le FAI, ne suffit pas à lire en clair les communications, et même pas les URL que vous consultez. Pour cela, il vous faut la clé privée du site. Cet article indique donc que si vous hébergez des sites en SSL, vous devez fournir sur demande administrative vos clés privées. Je ne sais pas pour vous, mais une fois que ma clé privée est compromise, je la change – et ça me coûte, en temps et en régénération de certificats.

Là où ça devient compliqué à gérer pour nous hébergeurs, c’est que les données collectées ont bien un délai de conservation, mais celui-ci court à partir de la date de décryptage (article L822-2 du nouveau code de la sécurité intérieure). Ce qui veut dire qu’on peut tout à fait venir vous demander de fournir sans délai (article 6 de la loi) vos clés privées d’il y a 20 ans ! Nous allons donc devoir stocker nos clés privées ad vitam aeternam.

Que penser de ces mesures ?

Je ne me prononcerai que sur les écoutes numériques en masse, les écoutes ciblées de personnes connues n’étant pas de ma compétence. Le principe est d’analyser l’historique de navigation et les textes échangés pour tenter de déterminer un comportement potentiel voire des idées partagées. Dans ce type de traitement, vous avez deux risques : rater un positif (risque alpha) et détecter un négatif (risque bêta). Si vous ratez trop de positif, votre système ne sert à rien ; et de manière un peu moins évidente, si vous détectez trop de négatifs, votre système ne sert à rien non plus, puisque vous perdez votre temps à courir après des chimères. De plus, dans le cas présent, les faux négatifs ont des conséquences très graves pour les personnes concernées.

Ce type de systèmes peut analyser soit des données fortement structurées, par exemple une saisie parmi une liste de valeurs possibles, soit des données faiblement structurées, par exemple de l’analyse de langage naturel. Evidemment, lorsque des données structurées sont disponibles, cela simplifie le travail de classement ; malheureusement, il est peu probable que des sites hébergés en France se caractérisent de façon univoque comme terroristes. Plus probablement, le travail se fera sur du langage naturel, et là les faux positifs seront nombreux.

Nous pourrons compter également comme faux positifs des personnes recherchant ou enquêtant sur ces sujets et qui ne consulteront les sites que pour s’informer et pas pour militer.

Enfin, les faux positifs, ça se fabrique, ça s’appelle du bombing : on crée une page web tout à fait inoffensive à l’écran mais contenant textuellement des éléments qu’on sait être détectés par les systèmes automatiques de façon à écraser le système par un trop plein de données.

Au final, il me semble que le risque important de faux positifs combiné à la gravité d’une erreur justifie les peurs que de nombreux hébergeurs, dont nous, ont exprimées. On m’objectera qu’aujourd’hui cette mesure est limitée à l’antiterrorisme, mais d’une part, la définition française du terrorisme est assez large, et donc justifie d’ores et déjà beaucoup d’écoutes, et d’autre part, le législateur malin connait bien la fable de la grenouille : on commence doucement, dans l’eau froide, et on chauffe petit à petit. Vous souvenez-vous que la CRDS devait s’arrêter en 2014 ? Que la CSG a commencé à 1,1 % pour en être maintenant à 7,5 % ? Parier qu’une loi d’exception finira par être supprimée ou qu’elle ne sera jamais étendue est bien risqué, surtout quand elle touche aux libertés les plus fondamentales.