Archives par mot-clé : LPM

LPM promulguée : la dérive du politique vers la surveillance généralisée

Le président la République a promulgué [1] la Loi de programmation militaire dont le texte est paru au Journal Officiel. L’adoption de son article 20 et l’absence de saisine du Conseil constitutionnel manifestent une profonde crise d’un pouvoir politique n’hésitant plus à porter massivement atteinte aux droits fondamentaux. La Quadrature du Net remercie tous ceux qui ont participé à la lutte contre ces dispositions et appelle à poursuivre le combat contre la surveillance des contenus et communications sur Internet par tous les moyens : législatifs, juridiques, technologiques et de choix d’usage.

Le texte de la Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale [2] a été publié cette nuit au journal officiel. Son article 20 (anciennement 13) ouvre la porte à une surveillance largement étendue des informations et documents sur Internet, y compris par la sollicitation du réseau en temps réel et avec la participation des opérateurs de télécommunication et de services Web, pour des finalités dépassant très largement les impératifs de la défense et la sécurité nationales.

L’adoption de ces dispositions à la rédaction ambiguë et n’ayant rien à faire dans une loi de programmation militaire, puis l’absence de saisine constitutionnelle, manifestent une très grave crise de la représentation démocratique et de son respect des droits fondamentaux. Cette loi a été adoptée unanimement par les élus socialistes, pourtant très largement divisés sur l’article 20 (à l’époque article 13), et alors qu’ils avaient voté en sens inverse sur des dispositions provisoires et moins dangereuses en 2006 et 2008. Ceux de l’UMP, du groupe écologiste et de la gauche GDR y ont rejeté la loi dans les 2 chambres [3].

Pourtant, une fois cette loi adoptée, les clivages politiques et la discipline de groupe ont été la principale cause de l’échec des tentatives pour réunir les 60 signatures nécessaires à la saisine du Conseil constitutionnel, malgré la mobilisation citoyenne et les nombreuses alertes [4] d’organisations diverses [5]. Le vote politicien d’un PS tenu en laisse, le sectarisme de l’UMP refusant de co-signer avec des députés verts ou communistes et l’intimidation brutale de ses membres par son chef de groupe Christian Jacob [6] resteront dans nos mémoires comme emblématiques de la dérive vers un régime post-démocratique.

De nombreuses étapes permettront aux citoyens de continuer la lutte contre le développement d’une surveillance généralisée devenue l’instrument de pouvoirs politiques incapables d’agir pour l’intérêt commun. Sur le plan juridique, la parution du décret en Conseil d’État prévu dans la loi et les lois annoncées sur le renseignement et les libertés numériques donneront de nouvelles occasions de débats, de décision et de recours. Mais c’est sur le plan politique et celui des usages que se joueront tout autant nos droits et nos libertés.

« Avec les autres associations de défense des droits et libertés qui se sont mobilisées contre l’article 20, nous allons mener campagne sans relâche contre la surveillance et ces violations de la séparation des pouvoirs. Nous demanderons une affirmation forte du rôle du judiciaire, du droit à la vie privée et des libertés individuelles dans les lois à venir et par toutes les voies de recours possibles » déclare Jérémie Zimmermann, co-fondateur et porte-parole de l’association La Quadrature du Net.

« L’équilibre des droits ne pourra être retrouvé que si les citoyens manifestent fortement qu’il n’y a pas de démocratie ni d’être humain libre de s’exprimer dans une société de surveillance diffuse et si chacun, dans ses choix de services, d’outils et d’usage se réapproprie ce que l’on a abandonné aux opérateurs centralisés » déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

* Autres références *
http://www.assemblee-nationale.fr/14/cri/2013-2014/20140093.asp#P123495
http://www.senat.fr/seances/s201312/s20131210/s20131210_mono.html#Niv1_SOM7
4. https://www.laquadrature.net/fr/loi-de-programmation-militaire-les-parlementaires-doivent-saisir-le-conseil-constitutionnel
5. https://www.laquadrature.net/fr/pcinpact-surveillance-du-net-deluge-de-contestations-contre-le-patriot-act-francais

Sécurité des Informations et nouvelle Loi de Programmation Militaire

Il y a quelques jours, lors d’un événement sur la sécurité Internet, un important opérateur télécom français, SFR pour le nommer, distribuait aux visiteurs de son stand un gadget publicitaire, des goodies comme on dit, un petit cadenas à code avec un mini logo, celui des douanes américaines. L’explication étant que ce cadenas est ouvrable par les autorités américaines qui possèdent la clé physique (les voyageurs à destination des USA reconnaîtront l’avantage de ce gadget : ne plus se faire casser les valises voyageant en soute lors des contrôles d’aéroport).

Ce petit gadget symbolise bien un aspect de ce que nous vivons actuellement dans la protection des informations, les vulnérabilités multiples auxquelles sont soumises nos informations personnelles mais surtout les données confidentielles de nos entreprises. Cela concerne le stockage des informations dans des datacenters couverts par le Patriot Act (datacenters sur le territoire américain mais aussi ailleurs dans le monde, du moment où ils sont exploités par du personnel de nationalité américaine) obligeant les entreprises à répondre aux requêtes des autorités US. Cela touche également les flux Internet (mails, applications métiers, web, etc.) transitant très souvent en clair, non-cryptés par des fibres optiques appartenant à des grands ISP internationaux (Level 3, Verizon, BT, notamment) potentiellement accessibles eux aux écoutes data (à travers notamment les fameuses sondes de DPI – Deep Packet Inspection, capables d’extraire à la volée puis de traduire, analyser, reconstituer, stocker des flux de trafic).

Il est bien sûr plus prudent pour une entreprise française ou européenne, à l’instar du petit gadget, d‘héberger ses données et applications en France et en Europe plutôt que dans un data-farm US, mais ce n’est pas tout, loin s’en faut. A l’heure où les entreprises doivent ouvrir leurs systèmes d’information à leurs clients et partenaires, à l’heure où l’Internet en mobilité est une obligation d’existence (voire de survie, La Redoute vient malheureusement de le démontrer…), la sécurité des informations et donc du patrimoine de l’entreprise, est crucial.

Nous sommes au coeur d’un paradoxe : d’un côté l’entreprise doit s’ouvrir « Internetement » parlant pour profiter de cette extraordinaire dimension, aspirée à vitesse grand V par les utilisateurs (générations Y, Z,…) et d’un autre côté, l’entreprise doit se protéger pour ne pas se faire totalement dépouiller et veiller à ce que ses clients ne le soient pas aussi. Ce que le grand public, non informaticien, à titre privé ou au sein des entreprises ne mesure pas totalement le haut degré de complexité des back-offices informatiques-télécoms ; accéder à son compte bancaire en ligne depuis son smartphone alors que l’on est dans le métro à Paris, paraît super normal mais est aussi super complexe ! Et complexité rime avec vulnérabilité !

La sécurité Internet ne se limite donc pas à l’hébergement des données et peut se comparer à une fleur dont chaque pétale comporte ses propres vulnérabilités, solutions et actions à mener : l’hébergement des données, le transport des informations, l’accès légitime aux données (en tant que simple utilisateur ou utilisateur privilégié comme les informaticiens), le monitoring des bases de données, la collecte et l’exploitation des logs pour prévenir et analyser les attaques, etc. Bien sûr des lois et procédures sont nécessaires pour lutter contre le terrorisme et le prévenir. Mais la sécurité des informations c’est aussi – et de plus en plus – une affaire de business, d’intelligence économique, d’espionnage ciblé et donc, de protection des données commerciales, métiers, financières, etc.

Ces enjeux tellement structurants pour les entreprises sont-ils compris par les Directions Générales à la hauteur des risques réels ? Pas par toutes et pas toujours.

Il est donc normal qu’enfin l’Etat Français, au travers notamment de l’ANSSI qui monte en puissance, propose une législation plus contraignante pour les entreprises  afin de les pousser à protéger leur patrimoine informationnel et à s’engager, à l’instar de ce qui existe déjà pour certains métiers tels que les données médicales ou les données de paiement par carte, à protéger les données de leurs clients, peu importe leur métier : e-commerçant, prestataire de services, banquier, etc. C’est entre autres l’objet de la LPM (proposition de Loi sur la Programmation Militaire) actuellement en discussion au Parlement. Elle couvre différents aspects, dont notamment la prise en compte et l’application par les entreprises, sous peine d’amendes, de la sécurité des informations.

Dans le projet de loi, le législateur a bien mesuré ce que nous constatons sur le terrain, auprès des grandes entreprises et administrations, comme l’indique M. Francis Delon, secrétaire général de la défense et de la sécurité nationale « la volonté du gouvernement est de ne pas rester passif face à des attaques informatiques qui portent aujourd’hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français ». La proposition de loi vise clairement « à augmenter le niveau de sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) », estimés à 200 opérateurs (EDF, les opérateurs télécoms, de distribution d’eau, les banques, La Poste, …).

Ce qui est sûr, c’est que grâce à la future loi combinée avec une maturité croissante des enjeux de la protection des données, la sécurité deviendra très vite un sujet grave de préoccupation pour les directions générales et pas seulement pour les DSI des entreprises, OIV ou pas. Par Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.