Pour lutter contre les cyber-menaces, les Etats ont compris qu’ils devaient s’appuyer sur les Fournisseurs d’Accès à Internet (FAI), en première ligne sur cette question. La France vient notamment de promulguer une loi renforçant cette coopération.
En cas de cyberattaques, les FAI sont souvent les premiers informés. Leur place dans une politique de lutte contre le cybercrime est donc centrale : doivent-ils abandonner leur neutralité pour prévenir en cas de situation dangereuse ? Si oui, quand doivent-ils le faire ? Et à partir de quel point cette interférence rentre-t-elle en contradiction avec les libertés individuelles ?
Nouvelle loi de programmation militaire en France : les FAI devront collaborer
Nos collègues de ZDNet ont enquêté sur ce sujet durant l’Internet Governance Forum, qui se tenait à Paris le 13 novembre. En France, cette question vient de prendre une nouvelle ampleur, avec la promulgation de la nouvelle loi de programmation militaire française pour la période 2019-2025.
Cette loi prévoit une collaboration accrue de l’Etat avec les FAI pour mieux lutter contre la cybercriminalité. Ce changement répond aux demandes de l’Agence Nationale de Sécurité des Systèmes d’Informations (Anssi), qui souhaitait ardemment « travailler avec les opérateurs télécoms » selon son directeur Guillaume Poupard.
Les FAI seront ainsi forcés de surveiller leur trafic et de signaler aux autorités toute menace potentielle – tout en détruisant systématiquement toutes les données personnelles collectées dans ce but et n’ayant pas donné lieu à des soupçons.
Comment l’Allemagne a chassé les botnet
En Allemagne, ce partenariat entre l’Etat et les acteurs privés du secteur est une vieille habitude : « nous avons mis en place un projet de partenariat public privé rassemblant les FAI. Celui-ci visait notamment à réduire le nombre de machines infectées par des logiciels malveillants » détaille Michael Rotert, ingénieur allemand membre fondateur de plusieurs organisations du numérique (DE-NIC ou l’Internet Society).
Lancé en 2012, ce partenariat s’appuyait sur le projet européen Botfree.eu : « L’initiative regroupe à la fois la presse, les éditeurs d’antivirus et les fournisseurs d’accès. À l’époque du lancement de l’initiative, l’Allemagne était 2e dans le classement des pays distributeurs de malware et grâce à nos efforts, le pays est repassé 18e du classement » précise Michael Rotert.
La place de l’autorité judiciaire
Un CERT (« Computer Emergency Response Team », un centre d’alerte et de réaction aux attaques informatiques) a été mis en place en Géorgie ou en Suisse : il réunit les autorités nationales et les acteurs privés du secteur, notamment les FAI.
Pour autant, l’autorité judiciaire garde la main dans ces pays, contrairement à l’Allemagne ou la France : « En Géorgie, le cadre légal prévoit que les fournisseurs d’accès puissent agir lorsqu’ils bénéficient de l’aval d’un juge. Mais nous ne considérons pas que cela soit une bonne pratique de permettre aux FAI d’agir avant cela » expose Nata Goderdzishvili, analyste au sein de la Data Exchange Agency du ministre de la Justice de Géorgie.
Cependant, attendre l’aval d’un tribunal peut retarder considérablement le temps de réaction face à la cyberattaque et ainsi en démultiplier les effets. Ne pas attendre cet aval présente un risque d’arbitraire ou d’actions contre les libertés individuelles.
Quelle interférence pour les FAI en matière de cybersécurité ?
« La question de la place des fournisseurs d’accès et de leur implication dans la cybersécurité est un sujet important. D’une part, on peut souhaiter que les fournisseurs d’accès se contentent de transporter les données sans interférer. Mais d’un autre coté, si mon ordinateur est infecté et que le fournisseur d’accès le sait, il pourrait également me prévenir » expose ainsi Adrian Koster, membre du CERT mis en place par la Suisse. Un pays plutôt prudent sur l’implication des FAI.
La France, par le biais de l’Anssi, sous la vigilance de la CNIL, vient donc de se ranger dans les Etat ayant une politique assez agressive, imposant aux FAI des actions régulières en la matière. Un choix fort, qui impose une gouvernance solide et bien encadrée, ce qui semble être actuellement le cas.