Découvrez ce que tous les entrepreneurs devraient savoir sur leur responsabilité juridique et cliquez ici !

Les 3 merveilles de la LPM…

business man with laptop over head - mad Je discutais vendredi dernier avec un journaliste du Monde qui m’avait appelé pour des éclaircissements sur certains aspects de la LPM suite au moratoire demandé par l’ASIC ; l’association  (qui regroupe notamment AOL, Dailymotion, Google, Deezer, PriceMinister, Facebook, Yahoo…) fustigeait en effet l’extension substantielle de l’accès administratif des données de connexion conservées par les FAI et les hébergeurs de contenu sur Internet.

La raison de sa colère, plus précisément, tient à ce que la LPM (et son futur article 246-1) prévoit une double extension de la possibilité de récupérer des données de connexion :

  • d’abord le texte va ouvrir un accès très large aux agents de plusieurs ministères (v. futur art. 246-1), en particulier ceux chargés “de la sécurité intérieure, de la défense, de l’économie et du budget” ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ?
  • ensuite les motifs pour lesquels ces agents auront accès à ces informations seront étendus substantiellement eux aussi, à : “la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisée (…)” ; actuellement l’article L. 34-1 du CPCE est beaucoup plus strict et prévoit que cet accès ne peut se faire que “dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire (…)“. On voit donc bien le changement de perspective !
  • Enfin, il faut noter que ces agents auront accès à ces informations en temps réel (futur art. L. 246-3).

L’ASIC souhaitait en particulier que les demandes des agents administratifs soient  « placées sous la direction ou la surveillance de l’autorité judiciaire » ce qui semble assez raisonnable considérant l’ampleur du nouveau système, particulièrement à l’heure où PRISM occupe les esprits…

Toute cette réflexion a été pour moi l’occasion de me plonger dans la LPM et d’y découvrir également une série de perles cachées… Voilà en quelques mots ce que cette loi nous prévoit :

1)  La France pourra légalement attaquer les pirates informatiques

Imprimante 3D armesA la question de savoir si on peut attaquer un pirate informatique, le Gouvernement ne se perdra plus dans les méandres juridiques de la légitime défense qui est tout sauf permissive (pour être légale, il faudrait qu’une contre-attaque soit déjà strictement nécessaire  – qu’il n’y ait pas d’autre moyen – autant que proportionnée. Autant dire que ce n’est jamais possible en informatique).

La LPM prévoit – et cela sans aucun contrôle  – que les services du Premier Ministre pourront librement “répondre à une attaque informatique“, si celle-ci porte atteinte :

  • au potentiel de guerre ;
  • au potentiel économique ;
  • à la sécurité ou la capacité de survie de la Nation.

Une fois l’attaque identifiée, l’ANSSI pourra mettre en oeuvre les moyens “nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine” (c’est-à-dire notamment détruire l’ordinateur ou l’ensemble des ordinateurs qui en sont à l’origine, ou les pirater simplement).

Il est probable qu’une partie de ces dispositions soit censuré par le Conseil Constitutionnel, mais qu’importe. Sur le fond, la question est de savoir si l’idée est vraiment bonne. D’un côté il est parfaitement compréhensible d’avoir envie de riposter à une attaque menée contre des intérêts militaires ou diplomatiques français. De l’autre, on se demande un peu qu’est-ce qui va déraper, et comment (ex : mettre hors service un ordinateur critique d’un hôpital servant de relai à une attaque ?). Difficile aussi de ne pas y voir une belle opportunité également pour de véritables pirates de s’amuser : par exemple, pirater un ordinateur israélien, et utiliser ce système pour mener une attaque contre un système français, puis laisser la France riposter officiellement… contre l’Etat d’Israël. Belles perspectives d’incidents diplomatiques !

« Art. L. 2321-2. – Pour répondre à une attaque informatique de systèmes d’information portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine.

« Afin d’être en mesure de répondre aux attaques informatiques mentionnées au premier alinéa, les services de l’État déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toute donnée susceptibles de permettre la réalisation d’une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du code pénal en vue d’analyser leur conception et d’observer leur fonctionnement. »

Note : il y a une énorme bourde de rédaction dans ces articles, je vous laisse la chercher, on verra si ses rédacteurs la trouveront (sinon je l’expliquerai lorsque la loi sera entrée en vigueur ;)

2)  L’ANSSI pourra identifier tout détenteur de systèmes “vulnérables, menacés ou attaqués”

Droit à l'oubliSecond point intéressant, l’ANSSI pourra demander (encore une fois sans aucun contrôle) “l’identité, l’adresse postale et l’adresse électronique” de tout utilisateur détenant :

  • un système qui est “vulnérable” (ex: quand Adobe Acrobat n’est pas à jour) ;
  • un système “menacé” ;
  • un système qui a été “attaqué”.

Ses agents n’auront pas vraiment à justifier leur demande autrement qu’en invoquant “les besoins de la sécurité des systèmes d’information de l’Etat“, ce qui est… très large.

« Art. L. 2321-3. – Pour les besoins de la sécurité des systèmes d’information de l’État et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2, les agents de l’autorité nationale de sécurité des systèmes d’information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d’État, peuvent obtenir des opérateurs de communications électroniques, en application du III de l’article L. 34-1 du code des postes et des communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués. »

3) La recherche et la sécurité deviennent des motifs légitimes de posséder des outils d’attaques

En 2004, la loi pour la Confiance dans l’Economie Numérique avait créé une infraction spécifique relative à la détention d’armes informatiques. Le Parlement (en fait Alex Türk, ancien Président de la CNIL) avait jugé intelligent de ne pas sanctionner cette détention si on avait un motif légitime. 10 ans après, on ne sait toujours pas ce qu’est un motif légitime… lacune que la LPM vient combler justement, puisqu’elle change l’article 323-3-1 du Code pénal en ajoutant deux exceptions légales. Deviennent alors motifs légitimes la recherche (scientifique, faut-il lire même si ce n’est pas précisé) et la sécurité informatique.

I. – À l’article 323-3-1 du code pénal, après les mots : « sans motif légitime », sont insérés les mots : « , notamment de recherche ou de sécurité informatique ».

Cela apportera un peu plus de sérénité aux administrateurs systèmes et aux RSSI, mais cela remet aussi fondamentalement en cause l’utilité de ces dispositions. On ne voit pas trop quel pirate ne dira pas qu’il a développé ses armes informatiques pour… faire de la recherche…

Affaire à suivre !

22 comments… add one

  • Les articles 323-1 à 323-3 définissent des délits et non des infractions ? (je n’ai que quelques notions de droit, donc je ne pense pas que ce soit ça)

    Reply
    • De quelle infraction exactement parlez vous ?
      Mais sinon oui les art 323-1 et s. sont les dispositions relatives à la fraude informatique, donc oui vous êtes sur le bon chemin ;-)

      Reply
      • Hmm… à part le fait que 323-1 et suivantes parlent de STAD et non de “systèmes d’information”, je ne vois pas…

        Reply
  • “Art. L. 2321-2. [...] permettre la réalisation d’une ou plusieurs des infractions prévues par les articles [...]” permettre une infraction, c’est bizarre comme tournure, c’est pas plutôt les actions ?
    C’est pas çà la bourde ?

    Reply
    • Haha, bien tenté mais non, c’est une formule assez classique en droit (ce qui ne veut pas dire que ça soit pas bizarre, mais c’est juste du jargon juridique en fait ;)

      Reply
  • Que la loi permettre la réalisation d’une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du code pénal … ???

    Reply
  • Juste une petite remarque en ce qui concerne le point n°1, notamment de possibles attaques dirigées contre des Etats n’étant pas les véritables “attaquants”.
    L’un dans l’autre, ce risque restera permanent dans le cyberespace, avec ou sans loi. Pouvoir faire quelque chose, ce n’est pas toujours le faire. Si la loi empêche une action, les marges de manoeuvre sont nulles. A contrario, avoir des options sans pour autant les utiliser bêtement est quand même nécessaire.
    En somme, je pense que le point n°1 est plus que nécessaire, bien qu’il soit dangereux. Ma réflexion doit vous paraître un peu légère, car je ne suis pas juriste, mais de ce que j’ai pu comprendre de votre article, c’est le sentiment que j’en ai.

    Sinon, pas trouvé pour la bourde de rédaction :(

    Reply
    • Je comprends votre raisonnement. Ce qui suscite la méfiance sont les énormes dérapages qui sont susceptibles d’en résulter. Il n’est pas très sage que cette liberté d’attaque soit laissée à un petit groupe de personnes, sans aucun contrôle externe quel qu’il soit. Après je ne doute pas de la bonne foi qui a pu conduire l’Etat a rédiger ces dispositions (ex : il est utile de pouvoir supprimer des botnets).

      Reply
    • D’accord sur ce commentaire. D’autant que l’article Art. L. 2321-2 parle de neutralisation” des effets de l’attaque, ce qui peut se faire de mille manières, et non d’agression contre les attaquants.

      Reply
  • Bonjour,

    je suis heureux qu’enfin quelqu’un s’intéresse à ce projet de loi, dont les dispositions m’ont toujours paru quelquepeu disproportionnées. Outre les questions de protection de la vie privée, je m’interroge sur le bien fondé des clauses qui imposent à des entreprises du secteur privé (les OIV) l’achat et la mise en place de moyens de protection informatique agréés par l’ANSSI, et obligatoirement sur le territoire national. Choc de simplification ? Compétitivité ? Vraiment ? Ces entreprises sont en concurrence avec des entreprises étrangères agissant sur le territoire français, et ces concurrents ne seront pas contraints par la LPM. Derrière des motifs de sécurité informatique, c’est une certaine vision de l’économie qui est poussée (vive les gros industriels de l’armement… français). Je ne pense pas qu’un texte sur les moyens de l’armée soit le bon véhicule pour cela.

    Censuré par le CC ? Oui, s’il se trouve des députés pour en faire la demande. Mais hormis une douzaine de personnes, je n’ai pas l’impression que ce texte ait réellement été revu dans le détails par les assemblées.

    Pour répondre à votre interrogation “on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ?”, ce sont les services de rens. du ministère du budget qui expliquent cela. Tracfin. DNRED

    Reply
    • Merci pour votre commentaire, très intéressant.
      Concernant le CC il faut également prendre en compte la QPC qui permet, pendant un contentieux, de déférer une loi au CC avec argumentation à l’appui, cela facilite énormément les choses.

      Reply
    • Faut-il laisser les opérateurs d’importance vitale se faire piller ce qui fait leur compétitivité via les réseaux de communications électroniques? Faut-il faciliter la tâche de ceux qui souhaitent toucher des intérêts français en laissant certaines de nos infrastructures industrielles mal protégées sur internet?
      Je ne le crois pas.
      D’ailleurs, à écouter certaines grandes entreprises, vraisemblablement OIV, elles ne semblent pas être contre cette loi…

      Reply
  • Bonjour,

    Merci pour votre article.

    Petite remarque: comment peut-on considérer un seul instant que les intérêts des internautes français sont mieux défendus par une association qui réunit Microsoft, Google et comparses que par nos deux assemblées élues?

    Tout le monde semble emboiter le pas derrière l’ASIC sans même réfléchir un seul instant à ce que cela signifie: le pire ennemi de la vie privée sur le net entre l’ANSSI et Google, à votre avis, c’est… ?

    Ah, ils sont forts en relations publiques …

    Reply
    • Bonjour Michel,

      Je ne suis pas du tout d’accord avec vous. Vous stigmatisez les personnes (ANSSI, GOOGLE, etc.) et non leurs actions. Vous avez une vision beaucoup trop binaire du bien et du mal. En particulier comme tout ce qui venait des Etats-Unis était nécessairement mal et tout ce qui est français nécessairement emprunt d’une noblesse inhérente à la nationalité.

      La critique de l’ASIC est tout à fait fondée légalement. Cela ne nous empêche pas (moi le premier) de critiquer les écarts des sociétés qui en sont membres lorsqu’il faut les soulever et les critiquer. Ni l’ASIC, ni Google ne sont ennemis de la vie privé. Il n’y a que des textes mal pensés et insuffisamment réfléchis.

      Il y a un équilibre naturel entre toutes choses.

      Reply
  • J’ai une vision moins indulgente que la vôtre en ce qui concerne GOOGLE et la vie privée. Certes, GOOGLE “is’nt evil” et nous procure des outils dont l’efficacité est indéniable.

    Mais il convient tout de même ne pas oublier ça : http://www.cnil.fr/linstitution/actualite/article/article/regles-de-confidentialite-de-google-le-g29-sengage-dans-une-action-repressive-et-coordonne/et ça : http://www.cnil.fr/linstitution/actualite/article/article/google-absence-de-mise-en-conformite-a-lexpiration-du-delai-de-la-mise-en-demeure/

    On attend toujours la réelle volonté de GOOGLE de se mettre en conformité de la directive de 95 même si, il faut le reconnaître, les textes sont désormais inadaptés.

    Reply
    • Alors là tout d’accord avec vous ! Google a, de par sa taille, une réelle responsabilité en termes de vie privée et a été, dans le passé, loin des standards en la matière.

      Il faut aussi dire clairement que la mise en place de réelles sanction est une chose très positive surtout eu égard la taille de ces entreprises (les 100.000 € de sanctions que la CNIL a infligé à Google est l’équivalent de 2 jours de budget café de ses employés, soyons réalistes…).

      Reply
      • Double ping.
        1) Je partage inconditionnellement l’avis d’Alix et Michel. Dur à croire que Microsoft/Google/Facebook (donc les chantres de l’Asic) montent au créneau pour des raisons suprêmement morales! De la même façon, la lettre incendiaire que l’Asic avait publié sur le “droit à l’oubli de la CNIL” démontre bien qu’il y a conflit entre une évolution d’Internet qui serait plus “régalienne” en France et les orientations stratégiques des grands groupes.
        Au milieu de tout cela, les internautes.
        2) J’ai écrit sur la LPM. Je suis plutôt de ceux qui la défendent que de ceux qui la condamnent en réalité, même si elle pose de vrais problèmes éthiques et qu’il faut la développer et mieux la lier au ministère de la Justice.
        Je suis particulièrement partisan du fait que l’on étende aux Finances et à l’Economie les pouvoirs en question. Dans un monde où l’évasion fiscale des GAFA ou encore l’espionnage industriel coûtent plus aux contribuables que les petits délits d’une population en manque de repères, j’ai encore du mal à croire qu’on n’ait pas renforcé les moyens de ces 2 ministères et que l’on ait encore recours à la vieille antienne terroriste…

        A mon sens, la loi sera plus utile à TRACFIN qu’à l'”espionnage” de nos concitoyens.

        Reply
  • Bonjour !
    Merci pour ce très bon post, un éclairage interessant concernant des dispositions qui n’ont pas été relevées.

    “« Art. L. 2321-2. – Pour répondre à une attaque informatique de systèmes d’information portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine.”.

    Ce n’est pas plutôt “nécessaires à l’identification de l’attaque” ? Je ne m’y connais pas en droit, mais la caracterisation ça me semble un peu different.

    Reply
  • Merci pour cet article.
    Je reste curieux concernant la bourde rédactionnelle désormais en vigueur. Je serai tenté de dire que l’invocation des articles 323-1 et s. du code pénal aurait dû concerner les deux paragraphes et non pas seulement le deuxième car l’infraction se loge dans chacun d’eux.

    Reply
  • “d’abord le texte va ouvrir un accès très large aux agents de plusieurs ministères (v. futur art. 246-1), en particulier ceux chargés “de la sécurité intérieure, de la défense, de l’économie et du budget” ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ?”

    Cela inclue la Douane, qui enquête en permanence sur des traffics d’armes.

    Reply

Leave a Comment