Cette loi à venir envisage l’exploitation d’un dispositif, matériel ou logiciel, permettant des « captations numériques ». Elle suscite bien des questions chez les professionnels du secteur des TIC.
A l’instar d’autres pays comme les Etats-Unis ou l’Australie, le gouvernement français prévoit de recourir à des systèmes de captation de données numériques. En clair, le projet de loi d’orientation pour la programmation et la performance de la sécurité intérieure (Loppsi) autoriserait l’exploitation de logiciels espions. Selon l’article 23 de ce projet de loi, cette procédure serait limitée aux crimes et délits les plus graves (art. 706-73 du Code de procédure pénale) et serait fortement encadrée.
La forme définitive de ces « mouchards », – ne serait-ce que le choix d’une solution matérielle ou logicielle – n’est pas encore connue. Dans tous les cas, ils pourraient largement compliquer la tâche des différents acteurs de la sécurité : des DSI aux RSSI, en passant par les éditeurs d’antivirus et de systèmes d’exploitation.
Car l’installation de ces dispositifs sur un réseau d’entreprise sera délicate. Ils devront en effet résoudre un dilemme : être à la fois discrets – pour ne pas être repérés par les logiciels de sécurité – et assez efficaces pour récupérer des données susceptibles de constituer des preuves dans le cadre d’une enquête judiciaire.
Une contrainte supplémentaire pour l’entreprise...
« Cette orientation devrait conduire les RSSI à une nécessaire restructuration de leur démarche et de leurs actions de prévention et de protection : l’appréciation des risques induits doit être différenciée selon que l’information réside au sein du système ou qu’elle transite sur la station de l’usager », précise Thierry Durand, PDG de Phorcys, une société de conseil en sécurité de l’information.
« Sur les actions à prendre, les DSI et RSSI doivent déjà gérer un certain nombre de contraintes réglementaires : Cnil, conservation des logs, réponses à des enquêtes, protection des données financières… Il faudra bientôt composer avec une de plus. A nous de voir comment utiliser les solutions techniques existantes et à venir et, surtout, comment gérer les hommes : information, sensibilisation, chartes, responsabilisation, formation, actions correctives… », constate Eric Wiatrowski, chief security officer d’Orange Business Services.
Nicolas Ruff, expert en sécurité au centre de recherche d’EADS, affirme pour sa aprt : « La partie “mouchard” de la Loppsi ne me semble pas impacter les DSI. Si le suspect se trouve dans une entreprise, il suffit de demander à l’administrateur de domaine pour savoir tout ce qu’il fait sur son poste, de manière légitime et indétectable par l’utilisateur. Ou de revenir la nuit accompagné du responsable de la sécurité. »
... et des incertitudes du côté des éditeurs
Autre question : comment ce dispositif va-t-il se comporter face aux antivirus et pare-feu ? Sera-t-il furtif et indétectable, comme un rootkit, ou bloquera-t-il certaines fonctions des logiciels de sécurité ? « S’il s’agit d’un logiciel installé à l’insu des utilisateurs,dans un premier temps les antivirus seront obligés de le signaler. Dans ce cas, nous aurons des retours de nos clients et nous serons conduits à exclure ce logiciel d’“espionnage officiel” de nos bases virales », indique Boris Sharov, PDG de l’éditeur russe Doctor Web. Autre sujet d’interrogation : ce logiciel sera-t-il compatible avec les environnements Linux et MAC OS ?
Autant de questions sans réponse pour l’instant. Peut-être en saurons-nous davantage à l’automne prochain, période à laquelle le projet de loi devrait être discuté au Parlement. A moins que le tumulte législatif engendré par la loi Hadopi ne dissuade le gouvernement de poursuivre le vote de ce texte, lui aussi potentiellement sujet de belles polémiques…
.
Philippe Richard