Le Conseil d’Etat valide la mise en place de sondes chez Orange,Free, SFR et Bouygues Telecom pour détecter les cyberattaques

Le Conseil d’Etat valide la mise en place de sondes chez Orange,Free, SFR et Bouygues Telecom pour détecter les cyberattaques

Après une opposition de la part d’opérateurs associatifs et d’associations, la mise en place de sondes de l’Anssi placées chez les opérateurs dans le but de détecter les cyberattaques a été validée par la justice.

Plus de sécurité chez les opérateurs, assurée par l’Agence nationale de la sécurité des systèmes d’information (Anssi). La loi de programmation militaire a en effet instauré un mécanisme de surveillance des réseaux dans le but de détecter toute menace informatique chez les opérateurs, de leur plein gré ou sur demande de l’agence. Une mesure qui ne faisait pas l’unanimité lors de son annonce, puisque la Quadrature du Net, Franciliens.net, mais aussi la Fédération des fournisseurs d’accès à internet associatifs avaient contesté cette disposition auprès du Conseil d’Etat. Le recours a finalement été rejeté le 30 décembre dernier.

Le décret du 13 décembre 2018 visait en effet à permettre aux opérateurs de mettre en oeuvre “des marqueurs techniques” dans le but de détecter “des événements susceptibles d’affecter la sécurité des systèmes d’informations” des abonnés. Guillaume Poupard, le directeur général de l’Anssi, indiquait en 2018 à ce propos que les opérateurs pouvaient “procéder sur leurs flux à un traçage des attaques, à leur signalement” et dans les cas les plus graves l’Anssi aura la possibilité d’intervenir directement sur les réseaux des opérateurs. Le tout sous la surveillance du gendarme des télécoms, l’Arcep.

Les craintes des opposants balayées par le Conseil d’Etat

La Quadrature du net, spécialisée dans la sécurité des données et de la politique numérique considère que cette procédure représente une possibilité pour le gouvernement d’analyser “de façon automatisée le contenu de nos communications“. La faute notamment à des termes employés jugés trop flous, sans définition de la nature des données analysées ou des menaces qui pourront être recherchées. L’association estime également que l’Arcep ne dispose pas de réel pouvoir de contrôle sur cet aspect et ne pouvait pas sanctionner l’Anssi en cas d’utilisation des données à des fins politiques, contrairement à ce qu’exige le droit européen.

Des arguments qui n’ont pas fait mouche devant la justice. Le juge administratif pour sa part estime en effet que les termes sont clairs, en jugeant que par menace s’entend tout événement susceptible de porter atteinte à la sécurité des systèmes d’information des abonnés. Soit tout occurence identifiée de l’état d’un réseau qui pourrait indiquer une situation dangereuse pour les informations d’abonnés, qu’elle soit clairement identifiée (violation de la politique de sécurité, échec des mesures) ou non. Quant à l’Arcep, le Conseil d’état affirme que l’autorité a “un accès complet et permanent aux données recueillies par l’Anssi” et dispose notamment d’un pouvoir de recommandation “et, le cas échéant, d’injonction“. Le Conseil d’Etat rappelle également que la CNIL dispose d’un pouvoir de contrôle sur les dispositifs de détection mis en œuvre en vertu de ce texte. Enfin, il estime que « les dispositions contestées ne font nullement obstacle à l’exercice par les personnes concernées ou les opérateurs des voies de recours de droit commun ».

Les opérateurs pourront donc continuer de déployer des sondes de détection sans crainte d’être arrêtés par une décision de justice. Le directeur de l’agence expliquait en 2020 que ces dispositifs avaient été déployés en phase expérimentale en 2019 et annonçait une collaboration sereine avec les opérateurs. Cependant, depuis, silence radio concernant la collaboration ou les résultats.

Source : Zdnet