C’est une brève ligne qui figure dans le programme d’Emmanuel Macron. Mais une ligne qui concerne directement la manière dont les internautes naviguent sur le web. Le président-candidat propose, pour un éventuel second mandat, de déployer lors du prochain quinquennat un filtre destiné à maintenir à distance les internautes des arnaques en ligne.
« Un filtre anti-arnaques avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé », lit-on dans le document de 24 pages publié sur AvecVous.fr, le site d’Emmanuel Macron pour la campagne présidentielle. Et c’est tout. La figure est simplement mentionnée à la rubrique « La cybercriminalité, grande menace de notre temps ».
Les contours du dispositif imaginé par La République en marche restent en l’état flous, mais le député de la majorité présidentielle Éric Bothorel a apporté quelques précisions sur Twitter le 17 mars 2022. Le parlementaire, qui est l’un des élus du groupe les plus impliqués sur les problématiques liées au numérique et à la tech, a ainsi tenu à anticiper certaines critiques.
Ainsi, il n’est pas question aujourd’hui de rendre cet outil obligatoire : il doit être facultatif. C’est l’internaute qui décidera de l’activer (mais aussi de le désactiver, car il n’est pas prévu de rendre l’option irréversible). Dans ce cas, le filtre se déclenchera à chaque fois qu’il cherchera à accéder à un site web catalogué dans la liste noire ad hoc.
L’idée est d’avertir « en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site Internet déjà identifié comme potentiellement piégé », détaille l’élu des Côtes-d’Armor, qui voit là une extension du service public à destination des personnes pouvant justement tomber dans dans toutes sortes de pièges — virus, phishing, escroquerie, rançongiciel, etc.
Une liste noire basée sur de multiples signaux
La proposition soulève évidemment des interrogations légitimes, à commencer par la manière dont cette liste noire sera établie. Contacté par Numerama, Éric Bothorel s’est voulu rassurant : il n’est pas question d’établir un Index des sites d’arnaque sur un coin de table et marqué du sceau du secret, c’est-à-dire sans possibilité de savoir ce qu’il y a dedans.
Le parlementaire défend plutôt une approche de coconstruction. Il pourrait y avoir une autorité indépendante « qui fixera les règles » autour de cette liste noire. Cette instance pourrait par exemple déterminer les types de délits ou de menaces à cibler, même si on devine qu’elle recouvrira en grande partie les périls déjà décrits par le député (hameçonnage, logiciels malveillants…).
En revanche, le remplissage de cette liste pourrait bénéficier de toutes sortes de signaux : la plateforme Cybermalveillance, qui propose de mettre en relation des victimes d’incidents informatiques avec des professionnels, les campus cyber ou encore les équipes chargées de détecter et résoudre des incidents de sécurité (CERT).
La récupération des adresses malveillantes pourrait aussi profiter de signaux des internautes eux-mêmes ou bien d’acteurs étrangers. On pense évidemment à des organisations comme Google et Mozilla, dans la mesure où des filtres de ce type sont déjà proposés dans les navigateurs web comme Chrome et Firefox. La piste n’est pas à écarter, selon M. Bothorel.
Les FAI et le filtrage DNS à la rescousse
Quant à savoir à quel niveau le filtre anti-arnaques sera appliqué, la solution la plus évidente est de mobiliser les fournisseurs d’accès à Internet, avec une modification des règles dans les serveurs DNS qu’ils utilisent. C’est effectivement la trajectoire mentionnée par Éric Bothorel, d’autant que c’est une technique plutôt simple à mettre en œuvre et déjà utilisée.
Le filtrage par DNS est une solution permise sur décision judiciaire ou réglementaire pour empêcher l’accès à des sites de paris qui n’ont pas d’agrément pour opérer en France. On retrouve aussi cette approche pour bloquer la fréquentation de sites dédiés au piratage de contenus culturels ou de compétitions sportives, comme des matchs de football.
La mesure nécessitera sans doute un calibrage technique, avance le député, en évoquant le besoin de conduire une première phrase expérimentale, mais aussi une concertation avec les fournisseurs d’accès à Internet. Le calendrier également devra être éclairci, car on ne sait pas encore à que moment un tel chantier sera effectivement lancé.
Dans la boucle devraient aussi figurer certains DNS publics. Leur mobilisation a été esquissée par le député, notamment le DNS européen souverain qui est en projet. On y évoquait déjà le filtrage des adresses menant à des contenus illicites (comme l’apologie du terrorisme, la pédopornographie, les sites de paris sans agrément, des sites de piratage, etc.),
Ce filtrage se ferait « sur la base des exigences légales applicables dans l’UE ou dans les juridictions nationales (par exemple, sur la base de décisions de justice), dans le respect total des règles de l’UE », est-il exposé. En cas d’usage de ce DNS européen, ces filtres seront obligatoires. On devine que sera ajoutée aussi cette liste noire, d’autant que d’autres pays, comme la Belgique, font de même.
La proposition de La République en marche se fonde sur une problématique légitime, qui est la protection de la population face aux escroqueries et autres pièges du net. Mais la mise en musique soulève inévitablement des difficultés techniques, auxquelles s’ajoutent des réticences à se servir d’un maillon du net (le DNS) qui n’a pas été pensé pour cela au départ.
Comme le fait remarquer l’avocat Alexandre Archambault, qui suit de près les sujets relatifs aux télécommunications, le DNS sert à mettre en relation l’internaute et le serveur sur lequel se trouve le site web qu’il veut visiter. Son rôle premier n’est pas de dire là où on peut aller ou non. D’autant qu’avec la généralisation du chiffrement du web (HTTPS), l’approche pourrait s’avérer nocive.
Le trafic en ligne est devenu largement chiffré, y compris tout ce qui peut relever des arnaques. Or si la connexion sur un site de phishing est interceptée et redirigée sur une page d’information, même légitime, elle ne sera pas en mesure de présenter un certificat de sécurité valide. Le navigateur web verra alors un risque et bloquera à son tour la page d’information.
Une chose est sûre, il ne faut pas s’attendre à ce que ce filtre soit une solution miracle et Éric Bothorel l’admet : « il ne faut pas être naïf. Cela va sans doute réduire la masse d’incidents, cela protégera un peu plus, mais ça ne permettra pas de tout intercepter ». Les filtres visent à agir contre des menaces génériques. Leur efficacité sera nulle ou presque si quelqu’un se fait cibler spécifiquement.
Une solution qui s’ajoute à d’autres, et non pas l’alpha et l’oméga contre les arnaques
Le parlementaire fait d’ailleurs remarquer qu’il n’y a aucune méthode parfaite, en citant les efforts pourtant importants consentis par Google ou les éditeurs d’antivirus pour masquer tous les sites web suspects. Mais le député y voit un levier qui aura peut-être pour effet d’élever le coût des cybercriminels à faire campagne en France, au point d’en dissuader certains.
C’est ce qu’il dit d’ailleurs en conclusion de son fil Twitter : « Ce service doit nous permettre de mieux nous protéger des activités cyber-criminelles, dont on rappelle qu’elles rapportent à leurs auteurs près de 6 000 milliards par an, et qui n’épargnent en rien les particuliers. Il faut rendre les attaques plus compliquées en France ». Cela évidemment reste à voir.
Quant à savoir s’il s’agit d’une entorse à la neutralité du net, Éric Bothorel pense que c’est un faux problème : les sites de cybercriminalité devraient plutôt figurer parmi les exceptions à ce principe. L’État, ajoute-t-il, a par ailleurs une mission de service public et de protection envers les consommateurs. Ce ne serait rendre service à personne que de ne pas agir davantage contre ces sites.
(mise à jour avec des précisions de maître Alexandre Archambault)
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
