Sunday, 29. April 2007, 19:40:00
Le gouvernement a pris l'habitude de faire passer ses lois liberticides aux périodes où il se fera le moins remarquer, que ce soit
pendant les fêtes de fin d'année, durant les vacances ou, pour ce décret d'application de la LCEN, en pleine période électorale. Comme le faisait remarquer
Moustic c'est un coup à se retrouver sans le droit de vote le lendemain d'une victoire en coupe de monde de football.
Ce décret d'application sur la
loi sur la confiance dans l'économie numérique, dont j'ai d'abord eu vent
par Le Journal du Net, semble plus correspondre à une nouvelle réglementation anti-terrorisme plutôt qu'à un plan d'aide au commerce électronique tellement elle se concentre sur la surveillance généralisée des individus sur le réseau Internet.
Ce projet de décret rajoute une dimension Orwellienne à la loi actuelle en obligeant tout les systèmes informatiques ouverts à contribution à garder des informations sur les visiteurs. Pour cela le decret différencie 5 catégories de données à conserver.
La première catégorie concerne les fournisseurs d'accès à Internet (
et les opérateurs téléphoniques ?)
Ceux-ci devront conserver pour chacune des connexions établies par chaque abonné :
- l'identifiant de la connexion
- l'identifiant attribué par le système d’information à l’abonné
- les date et heure de début et de fin de la connexion
- les caractéristiques de la ligne de l’abonné
Ce qui fait beaucoup de mots pour dire qu'ils veulent absolument obtenir l'adresse IP attribuée à l'abonné à chacune de ses connexions, d'ailleurs, comme écrit noir sur blanc dans le decret, l'objectif est d'obtenir
"les données permettant d'identifier l'origine de la création des contenus".
Quand aux caractéristiques de la ligne, elles doivent correspondre à l'offre d'abonnement (cable ? téléphone ? satellite ? 56k ? ADSL ? dégroupé ?) et probablement aussi au numéro de téléphone de l'abonné et à l'identité de son opérateur.
Viennent ensuite les services offrant
"le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature" et autres
"services de communication au public en ligne". Cela touche aussi bien les sites Internet communautaires que les forums, les services comme ImageShack, les pastebins, les webmails ou les blogs permettant de poster des commentaires sans oublier les systèmes d'hébergement.
A noter tout de même la notion de
"prestataire technique" qui fait que seul le ou les responsables techniques du service sont tenus de conserver des logs. Cela signifie qu'une personne qui a un blog chez Blogger n'a pas à conserver de logs. En revanche Blogger qui fournit le service a pour obligations de les conserver (en supposant que Blogger soit français).
Tous ces services, qui correspondent à un nombre incalculable de sites ou de serveurs (les Usenet, eDonkey, Jabber, SMTP, FTP... sont à priori concernés) sont tenus de conserver :
- l'identifiant de la connexion à l'origine de la communication
- l'identifiant attribué par le système d'information au contenu, objet de l'opération
- l'identifiant attribué par le système d'information à la connexion
- le type de protocole ou de réseau utilisé
- la nature de l'opération
- les date et heure de l'opération
- les pseudonymes utilisés
Même si ça manque de clarté on peut facilement deviner à quoi peuvent correspondre ces éléments en fonction de la communication.
Ainsi dans le cas d'un téléchargement sur un réseau P2P, cela correspondrait respectivement à l'adresse IP, le nom ou le hash du fichier téléchargé ou envoyé, le nom de login de l'internaute sur le réseau P2P, la nature du réseau (eDonkey, BitTorrent, FTP...), l'opération effectuée (téléchargement, mise à disposition)...
Dans le cas d'un message posté sur un forum il s'agirait de l'adresse IP du visiteur, l'id du post/message/thread, l'id du visiteur, le protocole (HTTP, NNTP...), l'opération (envoi, lecture, modification), la date et l'heure et le pseudo de l'internaute.
Ensuite, l'ensemble des services précédemment cités sont tenus, dans le cas de souscription d'un contrat ou de la création d'un compte utilisateur, de demander et de conserver l'ensemble des données suivantes
dans le cas où ils les conservent habituellement :
- nom et prénom ou raison sociale
- adresses postales associées
- pseudonymes utilisés
- adresses de courrier électronique associées
- numéros de téléphone
- mot de passe et informations associées
Dans le cas où la souscription ou la création du compte est payante, doivent aussi être conservées :
- type de paiement utilisé
- montant
- numéro de référence du moyen de paiement
- date et heure de la transaction
L'article 1 se termine par la note suivante :
La contribution à une création de contenu comprend les opérations portant sur :
- des créations initiales de contenus
- des modifications des contenus eux-mêmes
- des modifications de données liées aux contenus
- des suppressions de contenus
L'ensemble de ces données doivent être conservées pour une période d'un an et pouvoir être mises à disposition
"des services de police et de gendarmerie nationales chargés des missions de prévention des actes de terrorisme" (d'où les termes
"économie numérique", c'est pourtant évident...)
Pour obtenir ces données la police doit, en dehors de prouver son identité, donner certains renseignements sur les données à récupérer à savoir :
- la nature des données
- la période concernée
- la motivation de la demande
Aucune information supplémentaire n'est donnée, notamment aucune limite n'est précisée rendant ainsi possible la récupération de la totalité des logs pour simple raison de
"lutte anti-terrorisme". Le principe de
"nature des données" est plus que flou mais pourra certainement correspondre à un nom de fichier dans le cas d'un téléchargement sur un réseau P2P.
Les services de police se réservent le droit de conserver ces données pour une période supplémentaire de trois ans. Alors que cela peut sembler trop important dans le cas d'une affaire de téléchargement ou de diffamation, ce laps de temps pourrait suffire à mettre en place une surveillance globale du réseau en croisant les données récupérées.
En dehors de la menace que représente ce décret pour la liberté d'expression et la vie privée de chacun, menace notamment
dénoncée par l'association IRIS, cela fait enrager les services Internet concernés tellement les dispositions à mettre en place sont techniquement ou économiquement intenables.
Le président du
Geste (
Groupement des Editeurs de Services en Ligne) a fait part de son mécontentement
dans un article du Monde. Pour lui ce décret met en danger l'Internet lui-même.
D'après le Geste, les coûts de stockage, s'il tant est qu'il est possible techniquement, entraîneraient entre plusieurs centaines de milliers et un million d'euros de perte nette à chaque éditeur.
Pour forcer les propriétaires des services à conserver les données, l'Etat promet des ammendes collosales dans le cas où les services refusent de coopérer : 375.000 euros d'amende pour l'entreprise, et un an d'emprisonnement et 75.000 d'amende pour les dirigeants.
Bref ce decret pourrait tuer tous les services de petite et moyenne taille qui sont dans l'incapacité technique ou économique de mettre en place un tel système de surveillance.
D'autres points posent problèmes, par exemple les mots des passes doivent pouvoir être restitués à la police au même titre que les autres données. L'explication officieuse est qu'avec le nom d'utilisateur et le mot de passe de l'internaute ils peuvent s'introduire sur son compte sans avoir à demander une nouvelle fois l'autorisation auprès du service pour récupérer des données supplémentaires.
De plus les utilsateurs, même les plus avertis, utilisent souvent un même mot de passe pour différents comptes, ainsi ils peuvent s'introduire sur d'autres services sans avoir à suivre les démarches administratives.
Pour revenir au principe de
"confiance dans l'économie numérique" (parce que c'est difficile de voir le lien), la conservation des données sur un temps aussi long et ce même après fermeture des comptes, est un vrai danger pour l'économie des entreprises et des individus.
Ce projet de décret est du pain béni pour les pirates qui pourront récupérer d'un simple coup autant de données confidentielles permetant le vol d'identité et les fraudes bancaires.
Et bien sûr, sil un beau jour il est jugé illégal de critiquer le gouvernement, alors ce système permettra d'arrêter très rapidement les cyber-dissidents, à l'instar de ce qui se fait actuellement en Chine.
Pour l'instant, la seule chose qu'à trouvé à dire la CNIL est que
le décret reste imprécis 
Références :
JDN : Un projet de décret pour surveiller le Web participatif et contributifJDN : Le projet de décret (accès direct)LegiFrance : LOI n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numériqueLe Monde : L'Etat veut-il tuer Internet en France ?Sur ce blog :
Big Brother StateInformatique en vrac : le gouvernement travaille à nous fournir un Internet censuré, commercial et sous surveillanceCréation d'un Echelon français ?Conservation des logs : décret du 24 mars 2006
Je me permets de relayer sur ce blog l'arrivée d'une vidéo baptisée Du bist terrorist (Tu es un terroriste) qui à l'instar de la vidéo Big Brother State dénonce les dérives sécuritaires.
) qui m'a un peu surpris... plutôt par sa tournure que par sa finalité (quoique on sait jamais...)
).
et a fait ses salutations.
ou une 
WIDGETIZE