Nathalie Kosciusko-Morizet en 2010 à Vilnius pour l'Internet Governance Forum (cc) V.Markovski

La loi contre la consultation des sites terroristes revient par la petite porte. Nathalie Kosciusko-Morizet (UMP) l’avait annoncé dans une tribune parue la semaine dernière dans Le Monde : elle propose de réintroduire ce délit par amendement.

En reprenant les dispositions suggérées par le précédent gouvernement : 2 ans d’emprisonnement et 30 000 euros d’amende en cas de consultation habituelle de sites terroristes, sans motif légitime (journalisme, recherche universitaire, travaux de police).

Flashback

Petit retour en arrière. L’assaut contre Mohamed Merah à peine terminé, Nicolas Sarkozy annonce depuis l’Elysée sa volonté de lutter contre “les sites Internet qui font l’apologie du terrorisme”. A deux mois de l’élection présidentielle, un projet de loi [PDF] est déposé au Sénat par le Garde des Sceaux d’alors, Michel Mercier.

La loi contre les web terroristes

Le projet de loi sanctionnant la simple lecture de sites Internet appelant au terrorisme devrait être présenté demain en ...

L’article 2 punit alors “de deux ans d’emprisonnement et 30 000 euros d’amende le fait de consulter de façon habituelle [un site internet] soit provoquant directement à des actes de terrorisme, soit faisant l’apologie de ces actes”. La sanction ne s’applique pas “lorsque la consultation résulte de l’exercice normal d’une profession ayant pour objet d’informer le public, intervient dans le cadre de recherches scientifiques ou est réalisée afin de servir de preuve en justice.”

Avec le changement de gouvernement et de majorité, le projet de loi prend la poussière au Sénat. Jusqu’en septembre, lorsque Manuel Valls, ministre de l’Intérieur frais émoulu, annonce une nouvelle batterie de mesures. Le projet de loi relatif à la sécurité et à la lutte contre le terrorisme est déposé au Sénat. Mais sans le délit de consultation.

Lors de son examen, le sénateur Hyest (UMP) propose de le réintroduire par amendement. Il reprend mot pour mot l’article rédigé quelques mois plus tôt par la majorité précédente. Contacté par Owni, il le justifie par l’existence de mesures équivalentes pour lutter contre les sites pédophiles.

Le cyberterrorisme par la petite porte au Sénat

Nicolas Sarkozy rêvait d'une loi sanctionnant la consultation de sites terroristes. L'actuel gouvernement n'a pas suivi. ...

L’amendement est rejeté, même si les sénateurs s’accordent sur l’importance de lutter contre le cyberterrorisme. Lors des débats, Michel Mercier le regrette, mais reconnait “que la réflexion n’était pas mûre.”

Antiterrorisme sur Internet

Nathalie Kosciusko-Morizet ne l’entend pas ainsi et le fait savoir : “le terrorisme doit être aussi pourchassé sur Internet” tonne-t-elle dans sa tribune. Dont acte. Deux amendements ont été déposés [PDF].

Outre les sanctions (deux ans de prison et 30 000 euros d’amendement), le texte proposé par l’ancienne secrétaire d’État à l’économie numérique “[permettra] la cyber-infiltration dans les enquêtes relatives à ce nouveau délit.” Depuis l’adoption de la loi dite LOPPSI en 2011, les autorités ont déjà la possibilité de participer “sous un pseudonyme” aux échanges sur des sites soupçonnés de provoquer des actes terrorisme ou d’en faire l’apologie.

Nathalie Kosciusko-Morizet semble donc décidée à entretenir sa flamme numérique. Chargée du dossier de 2009 à 2010, l’ancienne ministre entend réaffirmer et imposer son expertise sur le sujet. Dans la continuité des positions de Nicolas Sarkozy.

Interrogé par Owni, son entourage précise que l’amendement est de son fait, et non du groupe UMP. Elle fait d’ailleurs cavalier seul aux côtés d’autres députés de la même famille politique, dont Éric Ciotti, qui ont déposé un amendement similaire. Pas suffisamment encadré selon Nathalie Kosciusko-Morizet. Pour éviter une “censure” du Conseil Constitutionnel, elle préconise le “principe de proportionnalité”. L’exclusion de certaines profession et des mesures les plus liberticides de l’antiterrorisme, comme elle l’a détaillé cet après-midi en ces termes devant la commission des lois de l’Assemblée nationale :

organiser des dérogations pour les professions qui ont besoin d’aller sur ces sites (journalistes, chercheurs, services de police) ; écarter de la consultation l’application de certaines mesures pour les faits relevant du terrorisme (garde à vue supérieure à 48h, prescription de 20 ans, perquisition de nuit).

Interrogé sur les motivations de Nathalie Kosciusko-Morizet, son entourage indique encore qu’elle détaillera “sa philosophie sur le sujet” après la présentation des amendements à Manuel Valls, toujours en cours à l’Assemblée Nationale.

Car Trail Lights Art – photo CC by-nc-sa Theo van der Sluijs

Les États occidentaux s’agacent de l’emploi de technologies chinoises aux coeurs des réseaux. La France a ouvert le bal en juillet dernier. Le sénateur Jean-Marie Bockel y consacre une partie de son rapport sur la cyberdéfense.

Recommandation n°44, interdire sur le territoire nationale et européen le déploiement et l’utilisation de “routeurs” ou d’équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les “routeurs” ou d’autres équipements informatiques d’origine chinoise.

Washington chinoise sur le cyberespace

Seuls les services secrets des États-Unis, et un peu d'Europe, auraient le droit de fricoter avec les géants du numérique ...

Le discours est clair. Il lui a été soufflé Outre-Rhin par le ministère de l’intérieur allemand et le BSI, l’équivalent de l’ANSSI française (chargée de la cybersécurité et de la cyberdéfense). Deux constructeurs sont visés : Huawei et ZTE.

L’entremise parlementaire est habile, elle n’engage pas le gouvernement français. Les États-Unis ont rejoint le mouvement cette semaine. Avec la même malice, l’annonce émane de deux parlementaires. Quels sont donc ces grands méchants routeurs qui les effraient tant ?

Échangeur pour paquets

Tout simplement des boites posées à l’endroit où se rencontrent deux ou plusieurs lignes (les points d’interconnexion). Traduisez boîte en anglais (box) et une image apparaîtra tout de suite : celle des chères box internet de chez vous.

Comme pour les box à domicile, les opérateurs utilisent des routeurs, dont la taille diffère certes, mais dont le principe reste le même. “Les routeurs voient passer les paquets de connexion et les transmettent” explique l’ingénieur Stéphane Bortzmeyer de l’Afnic, l’association qui gère les noms de domaine dont le .fr. Un échangeur en quelque sorte. Les données arrivent et sont redistribuées vers différentes routes en fonction de l’encombrement du trafic sur chacune.

Comme sur le routeur mécanique ci-dessous :

Mechanical router – photo CC by Joi Ito

Des points clefs pour le bon fonctionnement d’Internet donc. En 2008, une erreur de routage de Pakistan Telecom avait tout simplement rendu YouTube inaccessible… dans le monde entier. Pour empêcher l’accès au site de partage de vidéos, les routeurs devaient renvoyer les connexions vers une destination inconnue, “un trou noir”. Les paquets (la bille sur la photo ci-dessus) n’étaient plus dirigés vers un tuyau, mais vers une impasse ou un trou. Problème : le fournisseur d’accès de Pakistan Telecom à Hong Kong a suivi la même règle de routage et ainsi de suite.

“Les routeurs sont un peu partout, dans les points d’interconnexion et dans les réseaux”, confirme Stéphane Bortzmeyer :

Il ressemble à des sortes de grands distributeurs de boissons (en fonction de leur importance).

Selon “la petite enquête informelle” de Jean-Marie Bockel, aucun opérateur français n’utilise d’équipements chinois pour les cœurs de réseau. A l’instar de France Telecom qui en a installé sur sa chaîne, mais qui préférerait des produits Alcatel-Lucent (le géant franco-américain) pour les points les plus sensibles.

Stéphane Bortzmeyer est sceptique. “Personne n’a intérêt à dire qu’il utilise les produits chinois, les moins chers du marché. Mieux vaut se prévaloir de Juniper ou Cisco”. Le hard discount contre l’épicerie fine en somme. Que se passe-t-il donc dans ses routeurs de coeurs de réseau qui affolent tant les autorités ?

Technologie duale

Le rapport Bockel pointe le risque “[qu’un] un dispositif de surveillance, d’interception, voire un système permettant d’interrompre à tout moment l’ensemble des flux de communication” soit discrètement placé à l’intérieur. Vu la quantité de données qui transitent par ces péages et la vitesse à la laquelle elles transitent, leur stockage paraît peu probable à Stéphane Bortzmeyer. “Il est possible de les dériver vers une autre ligne” explique-t-il. Avant de blâmer l’opacité qui entoure les routeurs, tant chinois que français et américains :

Aucun audit n’est possible. C’est l’archétype de la vieille informatique. Comme pour les serveurs, il faudrait utiliser uniquement du libre qu’on puisse “ouvrir”.

Que Huawei se vante de faire du Deep Packet Inspection – comme le note Jean-Marie Bockel dans son rapport (page 119) – cette technologie duale qui permet tant de mesurer la qualité du réseau que de l’interception, ne suffit pas à jeter opprobre sur le géant chinois. Stéphane Bortzmeyer rappelle au passage les performances françaises en la matière, qui portent entre autres les noms d’Amesys ou Qosmos.

N’insistez pas, les États-Unis ne lâcheront pas le contrôle du Net. Ou plus précisément, la gestion de quelques-unes de ses fonctions essentielles, comme la gestion du fichier racine, coordonnée au sein d’institutions made in USA comme l’ICANN ou Verisign, qui (en gros) créent ou suppriment de nouveaux “.quelquechose”.

Pas faute d’avoir essayé de changer les choses depuis de nombreuses années. La dernière tentative en date, toujours en cours, s’appuie sur la prochaine Conférence mondiale des télécommunications internationales (WCIT-12). Attendu à Dubai en décembre prochain, cet évènement placé sous la coupe des Nations Unies et de l’une de ses agences, l’Union internationale des télécommunications (UIT), sera en effet l’occasion de réviser le “Règlement des télécommunications internationales” (RTI ou ITRs en anglais), qui “régit la façon dont les pays relient entre eux toutes sortes de réseaux d’information et de communication”, et dont la dernière version remonte à… 1988. Une éternité à l’échelle du Net.

Internet par la racine

Racine d'Internet par-ci, racine d'Internet par-là : mais c'est quoi ce bulbe magique générateur de réseau ?! Et pourquoi ...

Certains pays voient en cet amendement l’occasion idéale pour bousculer les règles du jeu sur Internet. Et souhaitent en profiter pour confier à l’ONU et son UIT de nouvelles compétences en matière de gouvernance du réseau. Une organisation aujourd’hui en charge de “l’interconnexion harmonieuse des réseaux et des technologies” ou bien encore d’un meilleur “accès des communautés défavorisées aux TIC”. Mais en rien de dossiers plus sensibles comme la régulation du Net.

Pas question d’une telle révolution, ont d’ores et déjà répliqué les États-Unis, prétextant qu’elle serait l’occasion “de placer des contraintes réglementaires plus fortes dans le secteur des télécommunications mondiales, voire dans le secteur d’Internet.”

Nettoyer, balayer, contrôler

Il faut dire que les porte-étendards de la réforme sont la Chine et la Russie, peu réputées pour leur permissivité sur Internet. Et à voir le contenu de leurs premières propositions, difficile de croire en de saintes intentions. Outre la remise en question de la gouvernance du réseau, ces pays militent également pour une prise en compte des questions de cyber-sécurité au sein du Règlement des télécommunications internationales, jusque-là tenu à l’écart de ces problématiques traditionnellement souveraines.

Pour la Russie, “l’introduction de mesures spéciales portant sur la sécurité des services de télécommunications internationales” est nécessaire, dans la mesure où le développement du secteur est plus rapide que celui des lois et de la régulation, peut-on lire à la page 25 d’une compilation des propositions rendue publique fin juin. Une divulgation allant à l’encontre de la politique de confidentialité de l’UIT et rompue par un site, http://wcitleaks.org/, qui a organisé la fuite de nombreuses contributions au nom d’une plus grande “transparence”.

L’idée est donc d’ajouter un nouveau volet au RTI, intitulé “Confiance et Sécurité des Télécommunications et TIC” (voir page 181), qui couvre en vrac :

Sécurité physique et opérationnelle, cyber-sécurité, cybercriminalité et cyber-attaques, attaques de déni de service, autre criminalité en ligne, contrôle et riposte contre des communications électroniques indésirables (ie spam), et protection des informations et données personnelles (ie phishing).

Soutenue par Cuba, le Qatar, les Émirats arabes unis ou encore l’Égypte, cette éventualité est rejetée en bloc par le Royaume-Uni, le Canada ou bien encore la France, qui estiment que ces questions doivent rester dans le scope national.

Fer de lance de cette bataille aux cyber-intérêts, les États-Unis ne se sont pas contentés d’une simple opposition de principe. Le 2 août, la Chambre des Représentants a adopté une résolution pressant la Maison-Blanche à agir pour mettre un coup d’arrêt à ces velléités de changement sur Internet :

[...] Les propositions, au sein d’institutions internationales telles que l’Assemblée Générale des Nations Unies [...] et l’Union internationale des télécommunications, justifieraient par une législation internationale un contrôle renforcé d’Internet par les gouvernements et rejetteraient le modèle actuel multipartite qui a rendu possible le développement d’Internet et grâce auquel le secteur privé, la société civile, les chercheurs et les utilisateurs jouent un rôle important dans la définition de sa direction.

Danger imminent

Si le texte n’a pas valeur de loi, il n’en a pas moins été disséqué et commenté par de nombreux observateurs. Beaucoup sont sur la même ligne que les autorités officielles : mettre la gouvernance et la sécurité du réseau entre les mains des Nations Unies est synonyme d’un danger imminent. “Donner carte blanche aux pays qui s’efforcent aujourd’hui de construire leur propre Internet 3.0 national, fermé et contrôlé serait un coup de tonnerre dévastateur pour Internet”, annonce sur son blog un chercheur canadien, Dwayne Winseck, spécialiste des médias et des télécommunications.

L’acte d’accusation contre un Internet libre

Acta dans l'Union européenne et Sopa aux États-Unis. Ces deux textes, en cours d'adoption, autorisent l'administration et ...

D’autres se veulent moins radicaux. Rappelant que le modèle actuel n’est pas si multipartite que cela. Ainsi, si l’Icann s’ouvre à des horizons divers, vantant ses qualités d’organisation indépendante constituée de FAI, “d’intérêts commerciaux et à but non lucratif” ou bien encore de“représentants de plus de 100 gouvernements”, elle n’en reste pas moins rattachée au Département du Commerce américain. En outre, “même si la participation [à des institutions telles que l'ICANN] est en théorie ouverte à tout le monde, en pratique seul un nombre limité de groupes ne provenant pas du monde occidental développé a le temps, l’expertise technique, les compétences en anglais, et les fonds pour envoyer des gens autour du monde pour participer à [leurs] réunions régulières”, souligne Foreign Policy.

D’autres encore se montrent plus corrosifs, et invitent les États-Unis à balayer devant leur porte avant d’ouvrir une chasse aux sorcières onusiennes. “Note au Congrès : les Nations Unies ne forment pas une sérieuse menace pour la liberté sur Internet – mais vous, si”, ont lancé deux chercheurs de Washington dans une tribune sur The Atlantic. Selon Jerry Brito and Adam Thierer, les élus américains “se trompent de cible”. Et de rappeler les délires sécuritaires de l’année passée, l’essai Sopa, le blocage de WikiLeaks, révélateurs d’une tendance au flicage du Net outre-Atlantique bien plus forte, et surtout bien plus réelle, que celle projetée sur l’ONU :

La menace la plus sérieuse pour la liberté sur Internet n’est pas l’hypothétique spectre d’un contrôle des Nations Unies, mais le cyber-étatisme rampant bien réel à l’œuvre dans les législatures des États-Unis et d’autres nations.

Même son de cloche du côté de Milton Mueller, spécialiste américain des questions de gouvernance, que nous avions interrogé à l’occasion d’un article expliquant la fameuse racine d’Internet :

Les menaces les plus grandes se situent à l’échelon national. Les États (pas simplement l’Inde, la Chine et la Russie, mais aussi les États-Unis, la Grande-Bretagne et d’autres démocraties occidentales) imposent toujours plus de régulations et de contrôles sur Internet dans la mesure où ils le peuvent au sein de leur juridiction nationale.

Les États-Unis, la pire des solutions (à l’exception de toutes les autres)

Le chercheur affirme néanmoins qu’un contrôle onusien ne serait pas moins nocif :

Si les gouvernements du monde verrouillaient Internet au niveau de chaque nation pour ensuite s’accorder sur la façon de le contrôler de manière globale, cela serait également dangereux.

Or à en croire Milton Mueller, c’est précisément ce que cherchent à faire des États comme la Chine ou la Russie, qui entendent peser dans la cyber-balance. Le lobbying pro-ONU sert moins les intérêts d’une gouvernance réellement multiple et équilibrée, que ceux de nations cherchant à assurer leurs arrières sur les réseaux, face au titan américain. “Depuis 1998, la Russie a soutenu -et les États-Unis s’y sont opposés- le développement d’un traité qui interdirait l’utilisation du cyberespace à des fins militaires, explique encore le professeur de l’université de Syracuse. [...] Les Russes se voient encore comme le plus faible dans le jeu de la cyber-lutte et aimerait un traité similaire aux accords sur les armes chimiques, interdisant l’utilisation de certains technologies comme armes”. Et Mueller de conclure :

Les récentes fuites concernant le rôle des États-Unis dans le développement de Flame et Stuxnet [NDLA : deux virus informatiques] ont dû rendre claires les raisons pour lesquelles les États-Unis ne semblent pas vouloir être tenus par de telles limitations.

Face au scénario des Nations Unies phagocytées par des intérêts nationaux, beaucoup optent donc pour le statu quo : une mainmise des États-Unis sur quelques-unes des fonctions fondamentales d’Internet. Faute de mieux. Parce qu’en l’état, cette situation est la moins pire des solutions. “Jusqu’à présent, les États-Unis n’ont pas eu de gestion scandaleuse de la racine”, nous expliquait ainsi début juillet l’ingénieur français Stéphane Bortzmeyer. Avant de concéder :

Sur Internet, c’est un peu l’équilibre de la terreur.

Illustration CC FlickR : heretakis (CC by-nc)