La justice valide les sondes de l'Anssi placées chez les opérateurs pour détecter les cyberattaques

Le Conseil d'Etat a rejeté le recours introduit par la Quadrature du Net, Franciliens.net et la Fédération des fournisseurs d'accès à internet associatifs contre le décret du 13 décembre 2018. C'est ce texte qui définit les modalités de mise en oeuvre de dispositifs de détection sur le réseau d'un opérateur de communication électronique ou sur le système d'information d'un fournisseur de services de communication en ligne. La décision a été rendue le 30 décembre 2021 et repérée par ZDNet.

Placer des sondes pour détecter les menaces
C'est la loi de programmation militaire pour la période 2019-2025 qui permet aux opérateurs de communications électroniques (les fournisseurs d'accès internet ou les prestataires d'hébergement) de mettre en oeuvre "des marqueurs techniques", des sortes de sondes, dans le but de détecter des "événements susceptibles d'affecter la sécurité des systèmes d'informations" de leurs abonnés. Cela vise les adresses IP d'un serveur malveillant ou le nom d'un site internet piégé, détaillait Guillaume Poupard, le directeur général de l'Anssi, lors du Forum international de la cybersécurité (FIC) de Lille en 2018, cité par Next INpact.

L'Agence nationale de la sécurité des systèmes d'information (Anssi) peut également demander aux opérateurs de rechercher certains marqueurs en cas de menace visant les systèmes d'information. C'est l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) qui endosse le rôle de contrôleur de la régularité de ces procédures.

Un dispositif flou
La Quadrature du Net voit dans cette procédure un laissez-passer offert au gouvernement pour analyser "de façon automatisée le contenu de nos communications", peut-on lire dans un billet de blog publié en février 2019. Ces sondes sont "la suite directe des boîtes noires instituées par la loi renseignement de 2015 qui permettent aux services du gouvernement de surveiller les réseaux de télécommunication de façon automatique et parfaitement opaque afin de détecter des 'menaces terroristes'".

Dans les détails, l'association estime que les termes employés par la loi sont trop flous. En effet, il ne propose "aucune définition" limitant "la nature des données qui pourront être analysées par les sonde ni quelles seront les 'menaces' qui pourront être recherchées". "On ne sait pas non plus que seront ces 'marqueurs techniques' utilisés par ces sondes pour rechercher cette menace", ajoutait-elle.

De plus, la Quadrature du Net estime que l'Arcep ne dispose pas de réel pouvoir de contrôle or "le droit européen impose de soumettre n'importe quelle mesure de surveillance au contrôle d'une autorité indépendante". "Elle ne peut pas davantage sanctionner l'Anssi si elle constate que les sondes ont été dévoyées à des fins de surveillance politique", s'inquiétait-elle.

Le juge balaye les arguments
Ces arguments ont donc été rejetés par le juge administratif. Il déclare qu'au contraire, les termes sont bien définis. Ainsi, "la notion de 'menace' se définit comme tout événement susceptible de porter atteinte à la sécurité des systèmes d'information des abonnés c'est-à-dire toute occurrence identifiée de l'état d'un réseau indiquant une violation possible de la politique de sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité de l'information".

Le Conseil d'Etat ajoute que l'Arcep dispose bien d'un pouvoir de contrôle en disposant d'un "accès complet et permanent aux données recueillies par l'Anssi" et "exerce un pouvoir de recommandation et, le cas échéant, d'injonction" .

Sélectionné pour vous

Les données personnelles des employés de British Airways et de la BBC dérobées par des hackers russes

Accenture donne son indépendance à sa plateforme d'identity management

Elba lève 2,5 millions d'euros pour sa plateforme de cybersécurité centrée sur les employés