Le projet proposé par le gouvernement de « Boite noire » va, par certain aspects, plus loin que ce que l’on a pu reprocher aux États-Unis avec le Patriot Act. Cette mesure permettant l’écoute à tout instant de tout le trafic d’un hébergeur ou d’un fournisseur d’accès à Internet dans le but de rechercher de potentiels terroristes semble relativement vaine, très peu ciblée et contre-productive économiquement.
En effet, le but semble vain car les personnes visées savent déjà utiliser les réseaux anonymes comme Tor et les VPN (Par exemples avec Vyprvn ; HMA ; …) pour chiffrer leurs connexions et les faire aboutir ailleurs. D’autre part, ils utilisent déjà des algorithmes de chiffrement (comme PGP) dont nombreux sont considérés comme sécurisés à ce jour, ce qui reviendra à intercepter de la soupe numérique illisible, et non des informations utiles.
De plus, les récentes attaques perpétrées l’ont été par des individus déjà connus du ministère de l’intérieur, celui-ci n’a pas eu besoin d’écouter tout Internet pour les identifier jusqu’ici.
Vouloir identifier des individus déjà connus, qui communiquent de manière chiffrée en analysant des Téraoctets de données par jour à la recherche d’un signal qui n’y sera probablement pas ou sera tout le moins noyé dans l’immensité de l’information semble totalement inutile. Ceci est d’autant plus vrai que la Loi étant publique, les utilisations des réseaux potentiellement à but d’attentats passeront par ailleurs, un autre pays ou un autre réseau et encore une fois, de manière chiffrée.
En contrepartie, les contraintes imposées aux hébergeurs semblent bien démesurées quant aux violations des normes de sécurité internationales comme PCI/DSS ou ISO 2700x qui ne permettent pas l’inclusion d’un matériel externe, non contrôlé par l’hébergeur. Cette Loi ferait donc perdre à nos hébergeurs la plupart de leurs certifications, leur imposerait d’ouvrir leurs réseaux à des tiers, qui ne sont bien souvent pas les plus sécurisés. Il semble inutile de préciser ici que de nombreux sites étatiques se sont déjà fait compromettre, ce qui induirait donc encore plus de danger pour l’hébergeur et ses clients, des risques que par ailleurs il ne maîtrisera pas.
Par ailleurs, et c’est là le plus grave, les clients partiront simplement se faire héberger ailleurs. Dans un pays ayant un respect de la communication et de la vie privée, à nos frontières. C’est déjà l’effet qu’a eu le Patriot Act aux US à l’époque, et dont la portée était moindre. À n’en pas douter, cela détruira un pan de notre économie, un des rares à être encore en croissance, ce qui semble disproportionné pour finalement ne rien trouver.
D’autant plus que la Loi ne semble pas mettre de périmètre à cette écoute systématique. Si l’on n’héberge aucun forum, aucun lieu d’échange, aucune VoIP et aucun blog, ce dispositif sera quand même imposé. Cela semble inutile puisque les personnes recherchées ne pourraient pas utiliser un quelconque service d’un hébergeur de ce type, mais pourtant, celui-ci aurait à installer la Boite noire… A l’inverse, l’usage de Skype ou d’autres réseaux d’échanges non contrôlés par ces dispositifs semble courant chez les personnes visées par ces mesures, et ces moyens de communications sont hébergés à l’étranger (et, là encore, chiffrés).
Beaucoup de questions subsistent, qui seraient réglées par des juristes et des parlementaires dont la spécialité ne semble pas nécessairement liée à l’architecture de réseaux de communications. Il reste par exemple à définir les frontières de cette écoute. Les VPN avec nos clients devront-ils aussi tous être écoutés, chacun avec une boite noire séparée ? Ou devrons-nous rejoindre tous ces VPN au même endroit, leur faisant peser un risque de sécurité colossal pour faire des économies et n’avoir à déployer qu’une seule boite noire ? La téléphonie sur IP est-elle un service concerné ? Nos conversations téléphoniques sont-elles donc aussi visées ?
Au final, quelle garanties seront données contre l’abus de ce pouvoir ? Et pourquoi ne pas laisser les juges, comme c’est le cas actuellement, arbitrer du bien-fondé ou non d’une écoute et la commanditer au besoin, comme la Loi le permet déjà aujourd’hui ? Pourquoi serait-ce aux juristes, Parlementaires et Sénateurs de décider qui, quand et comment ? Quelle garantie que le pouvoir politique en place à un moment donné ne l’utilisera pas comme une arme contre ses opposants ?
M. le Premier Ministre, Mesdames et Messieurs les Députés et Sénateurs, nous ne saurions souligner assez que tout ceci, au-delà d’être bien inutile en termes de résultats, semble être une très mauvaise direction à adopter, tant pour la confidentialité à laquelle chacun n’aurait plus jamais droit que pour le fait que cela tuera net un pan de notre économie, un des seuls encore en croissance.
Nous nous joignons à ce titre à nos confrères iKoula, Gandi, Lomaco, AFHADS, Online et OVH pour vous demander solennellement de reconsidérer ce projet.