Loi Renseignement : faisons le vrai/faux d'OVH
jeudi 7 mai 2015 à 18:45CAFAI Liens en Vrac 07/05/2015
Octave Klaba, le président-fondateur d'OVH qui a renoncé à quitter la France, a pris la plume pour tenter de rassurer ses clients sur la portée du projet de loi Renseignement et de ses fameuses boîtes noires. Mais dit-il vrai ? Nous avons vérifié.
(Permalink)
GuiGui's Show - Liens 08/05/2015
Excellente analyse, à lire.
Les principales "faux" viennent de la différence entre ce qui est écrit dans la loi même après le passage de l'amendement bidon du gouvernement et ce qui a été promis aux hébergeurs, ce qui sera précisé dans les décrets d'application auxquels ne croit pas, à juste titre, Numerama : un décret ça dépend (encore une fois dans ce projet de loi) de l'exécutif donc ça se change sans passage par le pouvoir législatif. ;)
« 1. "La loi (au sujet des boîtes noires) s’applique uniquement dans le cadre de la lutte antiterroriste. Elle ne peut pas être appliquée pour d’autres cas, par exemple l’activisme politique"
Le texte du projet de loi adopté par les députés dit effectivement que les boîtes noires ne peuvent être ordonnées que "pour les seuls besoins de la prévention du terrorisme". Les six autres critères permettant aux services de renseignement de glaner des informations sont exclus du dispositif. Mais encore faut-il savoir ce qu'est la "prévention du terrorisme".
[...]
"Les demandes doivent être ciblées et précises. (...) Par exemple, on doit nous préciser l'IP ou l'e-mail qui doit être écouté"
Absolument rien dans le texte de la loi ne dit que les demandes doivent être "ciblées et précises". L'article 2 de la loi dispose que le Premier ministre peut imposer aux FAI et hébergeurs "la mise en oeuvre sur leurs réseaux d'un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés". Il précise que l'ordre doit préciser "le champ technique de la mise en oeuvre" de l'algorithme, et respecter le "principe de proportionnalité", mais ce n'est pas là un langage suffisant pour dire que la collecte sera "ciblée et précise". En tout état de cause, absolument rien ne permet de dire que l'Etat devra préciser par exemple l'adresse IP d'un serveur sous surveillance, ou une adresse e-mail. Ce sont là des explications fournies lors d'une réunion avec les services de l'Etat, mais ce ne sont pas des promesses retranscrites dans la loi.
[...]
"la demande ne peut pas porter sur le contenu des communications elles-mêmes. Si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées sur l’IP écoutée. Si la demande est une boîte d’e-mail, les métadonnées sont une liste des adresses e-mails qui ont communiqué avec la boîte e-mail écoutée"
Là, c'est à la fois vrai et faux. C'est vrai que les boîtes noires n'auront en principe accès qu'aux données de connexion et autres métadonnées, et pas au contenu lui-même. Est-ce rassurant ? Absolument pas, tant les métadonnées peuvent être plus intéressantes que le contenu d'une communication. Par ailleurs, c'est un grand "si", lorsque OVH dit que "si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées". Ce n'est pas du tout ce que dit la loi, et ce n'est pas non plus ce qu'a expliqué le gouvernement lors des débats. Il s'agit de croiser différentes informations pour dégager ceux dont le comportement général a des caractéristiques identiques à celles identifiées chez des terroristes en puissance. "On sait quels sont leurs comportements et on sait, par conséquent que, par la mobilisation de techniques ciblées, il est possible de prévenir leurs actes en regardant sur internet la manière dont ils se comportent", avait expliqué Bernard Cazeneuve.
[...]
"la récupération des métadonnées doit être assurée par l’hébergeur lui-même. Il n’y a donc ni intervention d’une personne extérieure ni installation de boîtes noires au sein de datacentres"
Là encore il s'agit de promesses du gouvernement, mais pas exactement de ce que dit la loi. OVH fait référence implicitement à la disposition ajoutée au cours des débats, qui prévoit que les boîtes noires devront être installées par eux. Mais l'article précise qu'elles doivent l'être dans les conditions fixées par l'actuel article L242-9 du code de la sécurité intérieure, lequel dit que les opérations ne peuvent être effectuées "que sur ordre du ministre chargé des communications électroniques". Rien ne dit que les hébergeurs sont maîtres des flux entrants et sortants. En tout état de cause, l'hébergeur doit suivre les instructions qui lui sont données sous le sceau du secret défense.
[...]
"L’exécution de la demande ne relève plus du cadre de l’urgence, c’est-à-dire qu’elle doit passer par une commission de contrôle qui doit donner son avis au préalable"
C'est effectivement une précision ajoutée lors des débats. Aucune boîte noire ne pourra être installée sans l'avis préalable (consultatif et non impératif) de la Commission nationale de contrôle des techniques de renseignement. Celle-ci aura-t-elle la pleine compréhension de ce que feront les algorithmes censés détecter les suspects ? Un des membres de la CNCTR sera désigné par l'Arcep, et il a été promis que des ingénieurs télécoms seraient recrutés pour l'épauler dans cette difficile mission de contrôle.
[...]
"Pour nos clients hébergement français et étrangers, il n’y a pas de changements, sauf si le client a une activité terroriste"
OVH part du principe que les boîtes noires seront filtrées en amont pour ne collecter que les communications à destination de clients déjà connus des services de renseignement, qui hébergent leur site terroriste ou leur adresse e-mail chez OVH. On ne reviendra pas sur le fait que la loi ne dit pas cela. Partons juste du principe que ce soit effectivement le cas. Est-ce que Islamic News, qui était hébergé chez OVH et a été bloqué pour "apologie du terrorisme" (mais en réalité pour ses opinions politiques dérangeantes), avait une "activité terroriste" ? Certainement pas. Et pourtant c'est bien l'intention du gouvernement, explicitée comme telle lors des débats parlementaires, que de regarder qui regarde et diffuse quelles propagandes sur internet.
Enfin il est intéressant d'apprendre à cette occasion qu'OVH laissera des clients avoir une "activité terroriste" sur ses services, en toute connaissance de cause, pour permettre aux services de renseignement de les espionner. OVH devra-t-il demander l'autorisation à la DGSI avant de fermer un site qui ferait explicitement l'apologie d'attentats ? »
(Permalink)
Octave Klaba, le président-fondateur d'OVH qui a renoncé à quitter la France, a pris la plume pour tenter de rassurer ses clients sur la portée du projet de loi Renseignement et de ses fameuses boîtes noires. Mais dit-il vrai ? Nous avons vérifié.
(Permalink)
GuiGui's Show - Liens 08/05/2015
Excellente analyse, à lire.
Les principales "faux" viennent de la différence entre ce qui est écrit dans la loi même après le passage de l'amendement bidon du gouvernement et ce qui a été promis aux hébergeurs, ce qui sera précisé dans les décrets d'application auxquels ne croit pas, à juste titre, Numerama : un décret ça dépend (encore une fois dans ce projet de loi) de l'exécutif donc ça se change sans passage par le pouvoir législatif. ;)
« 1. "La loi (au sujet des boîtes noires) s’applique uniquement dans le cadre de la lutte antiterroriste. Elle ne peut pas être appliquée pour d’autres cas, par exemple l’activisme politique"
Le texte du projet de loi adopté par les députés dit effectivement que les boîtes noires ne peuvent être ordonnées que "pour les seuls besoins de la prévention du terrorisme". Les six autres critères permettant aux services de renseignement de glaner des informations sont exclus du dispositif. Mais encore faut-il savoir ce qu'est la "prévention du terrorisme".
[...]
"Les demandes doivent être ciblées et précises. (...) Par exemple, on doit nous préciser l'IP ou l'e-mail qui doit être écouté"
Absolument rien dans le texte de la loi ne dit que les demandes doivent être "ciblées et précises". L'article 2 de la loi dispose que le Premier ministre peut imposer aux FAI et hébergeurs "la mise en oeuvre sur leurs réseaux d'un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés". Il précise que l'ordre doit préciser "le champ technique de la mise en oeuvre" de l'algorithme, et respecter le "principe de proportionnalité", mais ce n'est pas là un langage suffisant pour dire que la collecte sera "ciblée et précise". En tout état de cause, absolument rien ne permet de dire que l'Etat devra préciser par exemple l'adresse IP d'un serveur sous surveillance, ou une adresse e-mail. Ce sont là des explications fournies lors d'une réunion avec les services de l'Etat, mais ce ne sont pas des promesses retranscrites dans la loi.
[...]
"la demande ne peut pas porter sur le contenu des communications elles-mêmes. Si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées sur l’IP écoutée. Si la demande est une boîte d’e-mail, les métadonnées sont une liste des adresses e-mails qui ont communiqué avec la boîte e-mail écoutée"
Là, c'est à la fois vrai et faux. C'est vrai que les boîtes noires n'auront en principe accès qu'aux données de connexion et autres métadonnées, et pas au contenu lui-même. Est-ce rassurant ? Absolument pas, tant les métadonnées peuvent être plus intéressantes que le contenu d'une communication. Par ailleurs, c'est un grand "si", lorsque OVH dit que "si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées". Ce n'est pas du tout ce que dit la loi, et ce n'est pas non plus ce qu'a expliqué le gouvernement lors des débats. Il s'agit de croiser différentes informations pour dégager ceux dont le comportement général a des caractéristiques identiques à celles identifiées chez des terroristes en puissance. "On sait quels sont leurs comportements et on sait, par conséquent que, par la mobilisation de techniques ciblées, il est possible de prévenir leurs actes en regardant sur internet la manière dont ils se comportent", avait expliqué Bernard Cazeneuve.
[...]
"la récupération des métadonnées doit être assurée par l’hébergeur lui-même. Il n’y a donc ni intervention d’une personne extérieure ni installation de boîtes noires au sein de datacentres"
Là encore il s'agit de promesses du gouvernement, mais pas exactement de ce que dit la loi. OVH fait référence implicitement à la disposition ajoutée au cours des débats, qui prévoit que les boîtes noires devront être installées par eux. Mais l'article précise qu'elles doivent l'être dans les conditions fixées par l'actuel article L242-9 du code de la sécurité intérieure, lequel dit que les opérations ne peuvent être effectuées "que sur ordre du ministre chargé des communications électroniques". Rien ne dit que les hébergeurs sont maîtres des flux entrants et sortants. En tout état de cause, l'hébergeur doit suivre les instructions qui lui sont données sous le sceau du secret défense.
[...]
"L’exécution de la demande ne relève plus du cadre de l’urgence, c’est-à-dire qu’elle doit passer par une commission de contrôle qui doit donner son avis au préalable"
C'est effectivement une précision ajoutée lors des débats. Aucune boîte noire ne pourra être installée sans l'avis préalable (consultatif et non impératif) de la Commission nationale de contrôle des techniques de renseignement. Celle-ci aura-t-elle la pleine compréhension de ce que feront les algorithmes censés détecter les suspects ? Un des membres de la CNCTR sera désigné par l'Arcep, et il a été promis que des ingénieurs télécoms seraient recrutés pour l'épauler dans cette difficile mission de contrôle.
[...]
"Pour nos clients hébergement français et étrangers, il n’y a pas de changements, sauf si le client a une activité terroriste"
OVH part du principe que les boîtes noires seront filtrées en amont pour ne collecter que les communications à destination de clients déjà connus des services de renseignement, qui hébergent leur site terroriste ou leur adresse e-mail chez OVH. On ne reviendra pas sur le fait que la loi ne dit pas cela. Partons juste du principe que ce soit effectivement le cas. Est-ce que Islamic News, qui était hébergé chez OVH et a été bloqué pour "apologie du terrorisme" (mais en réalité pour ses opinions politiques dérangeantes), avait une "activité terroriste" ? Certainement pas. Et pourtant c'est bien l'intention du gouvernement, explicitée comme telle lors des débats parlementaires, que de regarder qui regarde et diffuse quelles propagandes sur internet.
Enfin il est intéressant d'apprendre à cette occasion qu'OVH laissera des clients avoir une "activité terroriste" sur ses services, en toute connaissance de cause, pour permettre aux services de renseignement de les espionner. OVH devra-t-il demander l'autorisation à la DGSI avant de fermer un site qui ferait explicitement l'apologie d'attentats ? »
(Permalink)