Mise à jour : le texte a été adopté.
Article du 25 novembre 2013 –
Présentée par le ministre de la Défense Jean-Yves Le Drian en pein coeur de l'été, et adoptée par le Sénat le 21 octobre dernier, la loi de programmation militaire pour les années 2014 à 2019 arrive en discussion ce mardi à l'Assemblée Nationale. Parmi les nombreuses dispositions du texte (dont une légalisation de la collecte de données en temps réel) figure tout un chapitre 3 consacré à "la protection des infrastructures vitales contre la cybermenace", destiné à donner une traduction juridique au livre blanc sur la sécurité nationale, qui fait de la cyberdéfense une priorité.
Ainsi, l'article 14 du projet de loi confie au Premier ministre le soin de conduire l'action du Gouvernement en matière de sécurité de l'information, en s'appuyant sur les services de l'ANSSI (autorité nationale de sécurité des systèmes d’information), et crée surtout un pouvoir de contre-attaque aussi étendu que flou, qui autorise l'Etat à pirater des serveurs ennemis lorsque "le potentiel de guerre ou économique, la sécurité, ou la capacité de survie de la Nation" sont attaqués :
Art. L. 2321-2. – Pour répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque
L'article 15 crée une obligation de mettre en place à leurs frais des outils de "détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information" pour les FAI, hébergeurs et autres opérateurs dont les infrastructures sont considérées d'importance vitale pour le pays ; ces outils étant exploités par des tiers certifiés ou par les services de l'Etat lui-même (ce qui veut dire que l'Etat obligerait à l'installation de sondes qu'il contrôlerait directement ou indirectement).
Telle une loi martiale numérique, l'article 15 ajoute que le Premier ministre peut ordonner toute mesure aux FAI et autres hébergeurs "pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information", sous peine de 150 000 euros d'amende pour les réfractaires. Le Premier ministre pourra ainsi exiger la coupure d'un serveur, le routage de données vers des routes spécifiques, ou même la participation à des contre-attaques. Cependant, seules les mesures liées spécifiquement à la sécurité des systèmes d'information pourront être ordonnées sans contrôle judiciaire.
Un accès aux fichiers d'abonnés par l'ANSSI
L'article 16 du projet de loi de programmation militaire renforce l'insécurité juridique de l'article 226-3 du code pénal, qui jusqu'à présent interdit les appareils ou dispositifs "conçus pour" intercepter des correspondances privées ou des données informatiques, et qui désormais interdira les dispositifs "de nature à" réaliser de telles infractions. L'intention ne sera plus à rechercher, seul le résultat comptera. De quoi faire peur à quelques auteurs de logiciels ou vendeurs de matériels, d'autant que la sanction est de cinq ans d'emprisonnement.
Plus polémique enfin, l'article 16 bis du projet de loi dispose que "les agents de l’autorité nationale de sécurité des systèmes d’information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d’État, peuvent obtenir des opérateurs de communications électroniques, en application du III de l’article L. 34-1 du code des postes et des communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués".
L'ANSSI pourra ainsi obtenir les coordonnées de tout abonné, hébergeur ou éditeur de site internet, si l'agence estime que son système informatique est ou peut être sujet à des attaques. Notez qu'à aucun moment l'article ne réserve cette faculté qu'aux seules fins d'information des personnes concernées. En théorie, l'ANSSI pourrait par exemple se faire communiquer les identités de tous les internautes dont les ordinateurs sont vulnérables, et identifier des cibles pour exploiter ces failles pour les propres besoins de la défense nationale.
Cet article 16 bis donne également à l'ANSSI la possibilité de se faire communiquer des données d'abonnés "pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé".
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
