Nous republions ici le communiqué de presse de la Fédération FDN, que Franciliens a participé à rédiger: ainsi que la Fédération, nous appellons également au rejet de l’article 19 de la Loi de Programmation Militaire 2019-2025.

La Fédération FDN appelle au rejet de l’article 19 de la LPM

Dans le cadre du projet de Loi de Programmation Militaire portant sur la période 2019-2025 [1], l’article 19 élargit les pouvoirs donnés à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), modifie le cadre législatif concernant les opérateurs, les hébergeurs, et touche donc au domaine d’activité de la Fédération des fournisseurs d’accès à Internet associatifs (dite Fédération FDN, ou FFDN).
En invoquant des exigences de sécurité des systèmes d’information, le texte prévoit la possibilité pour les opérateurs d’installer des sondes pour l’analyse du trafic, et la possibilité pour l’ANSSI de les exploiter. Dans un deuxième temps, l’article octroie également à l’ANSSI le droit de procéder à l’installation et l’exploitation de matériel auprès des opérateurs et des hébergeurs.
Alors que la Loi de Programmation Militaire de 2013 [2] avait autorisé l’ANSSI à toute action nécessaire pour organiser la défense à une attaque informatique, le texte en projet, sous couvert de répondre à des besoins de sécurité, autorise une analyse approfondie des flux et permet à l’ANSSI de s’implanter, si elle le souhaite, au cœur de l’infrastructure des opérateurs.

Si nous sommes en faveur d’une meilleure sécurité des équipements connectés à l’Internet – en particulier des objets connectés ainsi que des infrastructures critiques – les mesures évoquées posent de nombreux problèmes que la Fédération souhaite pointer :

Le texte est contraire au cadre juridique actuel

Esquivant toute formulation claire et précise, l’article laisse une très grande marge de manoeuvre à l’ANSSI, dont le directeur général, Guillaume Poupard, avoue souhaiter pouvoir effectuer des analyses jusque dans les pièces jointes des courriers électroniques. L’entrée en vigueur du texte dans sa version actuelle signifierait donc la fin du secret des correspondances.
Ce même niveau d’imprécision pose un autre problème, car les opérations d’analyse et marquage des flux préconisées par l’article permettent la mise en œuvre de discriminations qui sont incompatibles avec le réglement européen sur l’Internet ouvert.
Une observation automatisée du réseau directement au niveau des opérateurs constitue une forme de surveillance généralisée de l’ensemble du trafic (et donc des utilisatrices et utilisateurs) et n’apparaît pas proportionnée à la menace concernée. A notre sens, un tel dispositif n’est admissible, comme outil de détection des attaques, que s’il est utilisé avec le consentement explicite et éclairé de chaque utilisateur final concerné.

Aucun réel contrôle n’est instauré

Equipée de nouvelles prérogatives lui permettant d’agir sans entraves et de porter de graves atteintes aux libertés, l’ANSSI ne sera pas pour autant soumise à un strict contrôle de son action. Tout d’abord, le détail de ce qu’elle met en œuvre restera inconnu du public, l’ANSSI craignant, comme l’a indiqué Guillaume Poupard, que la transparence affecte son efficacité. Il est par ailleurs à souligner que ces nouveaux pouvoirs ne sont assortis d’/aucun/ mécanisme de sanction en cas d’abus, que ce soit du fait de l’ANSSI ou de l’un de ses agents. Seule l’Autorité de Régulation des Communications Éléctroniques et Postales (ARCEP) est chargée de veiller aux conditions de mise en place de ces mesures et nous ne pouvons que souligner que les simples remontrances d’une autorité administrative sont insuffisantes. L’ARCEP s’en inquiète elle-même dans son avis 2018-0101 du 30 janvier 2018 [5], soulignant l’absence totale de cadre de gouvernance pour ce contrôle et, qui plus est, l’inadéquation de l’ARCEP face à cette mission en l’état actuel de ses ressources humaines et financières.

L’impact sur les petits opérateurs est disproportionné

Si la loi de programmation militaire est un texte consacré avant tout à un encadrement budgétaire, l’article 19 semble se concentrer sur l’introduction de nouvelles exceptions aux libertés fondamentales alors qu’il en oublie les implications financières.
Notamment, le texte accorde à l’ANSSI la possibilité d’imposer aux opérateurs des actions dont le coût serait à leur charge. « Le coût marginal très faible » – d’après les mots de son directeur général – des actions que l’ANSSI serait en mesure de faire peser sur un opérateur n’est cependant pas tel lorsqu’il ne touche pas les grands acteurs du marché mais les FAI associatifs qui, opérant dans une optique de bien commun, disposent de budgets de fonctionnement bien plus réduits.

Par ailleurs, des considérations analogues sont à soulever pour les atteintes à la vie privée causées par ce texte. En effet, chez un opérateur comptant plusieurs millions d’abonné·e·s, les données de ceux-ci peuvent ne pas être immédiatement rapportables aux individus. En revanche, ce n’est pas le cas chez les opérateurs de petite taille dont le petit nombre d’utilisatrices et utilisateurs concerné·e·s facilite grandement leur observation, fine ou globale.
La mise à mal de ces petits acteurs est particulièrement malvenue, car, comme le reconnaît l’UNESCO [8], les opérateurs associatifs représentent un indicateur important de l’universalité de l’Internet dans les différents pays.

Le texte prépare le terrain pour de nouvelles atteintes à la neutralité du net

Alors que le débat sur la neutralité du Net est au cœur de l’actualité numérique depuis plusieurs années, la loi de programmation militaire remet en cause ce principe fondamental pour le fonctionnement d’Internet et le respect des libertés fondamentales. En effet, comme le souligne l’ARCEP dans son avis sur le texte, « pour produire tous ses effets, le dispositif envisagé pourrait mener à terme à la mise en place de mesures de gestion de trafic pour bloquer des flux malveillants. »
Or, cette automatisation d’un traitement différencié des paquets constitue une atteinte à la neutralité du Net, atteinte aggravée par le caractère flou et opaque exposé plus haut et sans garde-fous permettant de s’assurer d’une limitation au strict nécessaire d’un tel dispositif. À tout cela s’ajoute enfin le risque de faux-positif, dont aucun système ne saurait être à l’abri et qui aboutirait à une sur-censure de trafic ainsi qu’à une atteinte disproportionnée à la neutralité du Net.

Aucun recours effectif n’est mis en place

Le texte ne prévoit aucun recours pour les opérateurs et hébergeurs qui auraient des sondes de l’ANSSI installées sur leurs infrastructures. D’autre part, il n’existe pas de recours effectif pour les abonnés qui voudraient vérifier la légalité des mesures de surveillance mises en œuvre à leur encontre, alors qu’il s’agit d’une obligation réaffirmée par la Cour Européenne des Drois de l’Homme (§ 287, affaire Roman Zakharov c. Russie [6]).

Les équipements de surveillance seront des cibles de choix pour des attaques informatiques

Si le projet de loi prévoit des fortes atteintes aux libertés fondamentales et fait peser des menaces disproportionnées sur les petits acteurs de l’internet, il introduit aussi un autre risque important. En effet les équipements dont il autorise le déploiement pourraient être détournés de leur finalité par des personnes ou organisations malveillantes, comme tout équipement informatique. De par leur position privilégiée dans les réseaux des opérateurs et des hébergeurs, leur compromission offrirait un accès direct aux données de tous les Français. La mesure s’oppose donc à une véritable politique de défense des systèmes informatiques qui voudrait, au contraire, que l’on minimise les risques en évitant les systèmes ayant un accès disproportionné aux données transitant sur les réseaux.

En conclusion, la Fédération des fournisseurs d’accès à Internet associatifs reprend les remarques faites par l’ARCEP et par La Quadrature du Net [7] et ainsi souligne que l’article 19 de la Loi de Programmation Militaire menace aussi bien les libertés fondamentales des citoyens (vie privée, secret des correspondances) que l’intégrité du réseau Internet telle que protégée par le règlement européen sur l’Internet ouvert. Le texte, ayant recours à des termes et définitions trop vagues pour encadrer ces menaces de manière appropriée, ne prévoit pas non plus les instruments de contrôle ou de recours requis et adéquats.
Par ailleurs cet article, dont les mesures risquent d’introduire de nouveaux risques de sécurité et vont donc à l’encontre de l’intention affichée, se révèle aussi particulièrement inique et pénalisant pour les  dizaines de petits FAI et pour les milliers d’adhérents de la Fédération.
C’est pour ces raisons que cette dernière appelle au rejet de ce texte sous sa forme actuelle.

Sources

[1] Le texte du projet de loi de programmation militaire : https://www.defense.gouv.fr/content/download/523151/8769287/file/LPM%202019-2025%20-%20Projet%20de%20loi.pdf
[2] Article de LPM 2013 : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000028342546
[3] https://www.nextinpact.com/news/106233-du-deep-packet-inspection-dans-projet-loi-programmation-militaire-2019-2025.htm
[4] https://www.nextinpact.com/news/106115-comment-lanssi-compte-detecter-cybermenaces-chez-operateurs.htm
[5] Avis de l’ARCEP : https://www.arcep.fr/uploads/tx_gsavis/18-0101.pdf
[6] Avis de la CEDH pour l’affaire Zakharov : https://hudoc.echr.coe.int/eng?i=001-160008
[7] Avis de La Quadrature du Net : https://www.laquadrature.net/fr/Detection_cyberattaques_nouvelle_loi_surveillance
[8] Sur le rôle des FAI associatifs dans les indicateurs de l’universalité de l’Internet: https://netcommons.eu/?q=news/netcommons-unesco