Pilier du projet de loi « Sécuriser et réguler l'espace numérique », présenté la semaine dernière par le ministre délégué à la Transition numérique Jean-Noël Barrot, le filtre anti-arnaques attire déjà les critiques. Pourtant, sa mission a tout pour faire l'unanimité : il doit permettre de couper les phishings -des SMS ou emails frauduleux- avant qu'ils ne piègent leurs victimes pour leur voler de l'argent ou des données personnelles. Arnaque au CPF, à l'envoi de colis, aux impôts, à la vignette Crit'air... les campagnes malveillantes se suivent à un rythme effréné, et elles fonctionnent : d'après le ministère, 18 millions de Français en ont déjà été victimes.
Le problème ? Pour une partie des spécialistes français de la cybersécurité et des réseaux, la fin ne justifie pas les moyens. Dans leur viseur : le dispositif technique choisi pour le projet de loi, jugé trop risqué et ouvert aux débordements.
Les navigateurs en premières ligne du filtre
Concrètement, le filtre anti-arnaques, détaillé à l'article 6 du projet de loi, se présentera comme une liste noire de sites malveillants à bloquer, alimentée en permanence par différentes autorités habilitées (police, gendarmerie, Anssi, régulateurs...). Cette liste sera ensuite envoyée aux navigateurs (Google Chrome, Mozilla Firefox, Microsoft Edge...) et aux fournisseurs d'accès internet (Orange, Bouygues, SFR, Free...) qui auront à charge d'effectuer le blocage, qui se fera par conséquent sur deux niveaux. « Ce déploiement simultané est justifié par l'existence d'avantages et d'inconvénients liés à ces deux solutions techniques et à la nécessité de minimiser les risques de mise en œuvre en faisant levier sur leur complémentarité », précise le texte du projet de loi.
Au niveau des navigateurs, le blocage devrait être similaire à ce que font déjà tous les grands noms du secteur comme Chrome et Edge avec leurs propres outils (Safe Browsing et SmartScreening). Lors de la visite d'un site désigné comme malveillant, une page s'affiche pour avertir l'utilisateur, tout en lui laissant la possibilité de passer outre le blocage à ses risques et périls. Ainsi, le ministère rappelait lors d'une conférence de presse qu'il n'y aurait a priori pas besoin du développement d'une infrastructure spécifique.
Contactés par La Tribune, les deux géants n'ont pas souhaité commenter l'annonce. Mais de nombreuses questions se posent à eux : vont-ils intégrer le filtre directement dans leur produit ? Vont-ils laisser aux autorités la possibilité d'afficher des messages de service public plutôt que les leur ? Vont-ils contester certains blocages ?
Derrière la technique, une petite bataille politique semble se jouer. D'après une source proche du dossier, un des objectifs sous-jacents du filtre serait d'accélérer la prise en compte des signalements en forçant la main à des acteurs parfois trop lents. Cet accent mis sur la réactivité doit adresser la course contre la montre lancée par chaque phishing. Plus le site malveillant reste longtemps actif, plus le risque qu'un grand nombre de victimes soit touché augmente. Or, les malfaiteurs doivent atteindre un certain seuil de victimes pour que leur activité soit rentable.
L'usage du DNS menteur, déjà critiqué
C'est au niveau des FAI que l'équation se complique : ces derniers devront appliquer une méthode de censure notamment utilisée depuis 2014 contre les sites terroristes et pédopornographiques, connue sous le nom de « DNS menteur ». Son fonctionnement est relativement simple à condition de comprendre le rôle des résolveurs DNS. Souvent décrits comme des « annuaires du web », ils servent à associer l'adresse d'un site (par exemple, latribune.fr) avec l'adresse IP (une suite de chiffres) de la machine à laquelle il faut se connecter pour accéder au contenu. Autrement dit, le DNS indique au navigateur la direction à suivre. Le plus souvent, le DNS de l'opérateur de l'utilisateur est utilisé par défaut lorsqu'il navigue sur Internet.
Dans le cadre d'un blocage, les autorités ordonnent aux FAI de faire mentir leurs DNS, pour rediriger les visiteurs sur une page de prévention (ou d'erreur), plutôt que sur la vraie page. Ce genre de dispositif peut être contourné en optant pour un DNS public -une manipulation de quelques clics-, qui ne serait pas soumis à la loi. Le projet de loi prévoit que l'éditeur du site concerné soit immédiatement notifié du blocage, afin qu'il puisse s'expliquer dans un délai de cinq jours et que le blocage soit potentiellement levé.
Hasard de calendrier, le 13 mai, trois jours après la présentation du projet de loi, une procédure de blocage via DNS sans contrôle judiciaire -à l'instar de celle prévue dans le cadre de filtre- a dérapé. Comme l'a rapporté Le Monde, l'intégralité des pages du réseau social Telegram (t.me) ne fonctionnait plus. Pire, pour certains utilisateurs, un message s'affichait : « vous avez été redirigé vers cette page du ministère de l'Intérieur car vous avez tenté de vous connecter à un site comportant des images de pornographie enfantine. »
Grâce au cadre légal déjà existant, la police -et plus notamment les employés habilités de Pharos- peut demander aux FAI la redirection de certains sites vers une page d'avertissement. Le tout, en auto-saisine, sans que la décision soit validée par un contrôle judiciaire. Dans le cas de Telegram, un employé de Pharos voulait faire bloquer plusieurs liens du réseau social -2.000, selon nos sources- qui renvoyaient vers du contenu pédopornographique. Mais une faute de frappe a eu pour conséquence la demande du bannissement de l'ensemble des sites liés à Telegram, validée par les FAI... Cet exemple fortuit illustre un des risques du filtre anti-arnaques. Sans procédure de vérification avancée et sans décision de justice pour valider la manipulation, les autorités s'exposent à des phénomènes de « surblocage », aussi appelés « effets de bords. »
Quelques grands principes... et c'est tout
Pour l'instant, les craintes autour de l'usage des DNS s'appuient sur des positions de principe, puisque la création effective du dispositif ne démarrera qu'une fois la loi votée et publiée au Journal officiel. En attendant, deux acteurs essentiels au dispositif ne sont même pas encore connus. D'un côté, l'administration va devoir déterminer le porteur technique du projet, qui sera chargé de mettre en place l'infrastructure nécessaire. Les autorités concernées - gendarmerie (COMCyberGend), police (OCLCTIC), l'Anssi, la DGCCRF, l'AMF...- se sont accordées pour partager leurs signalements sous forme de liste, mais il n'existe toujours pas de plateforme pour regrouper le tout.
Il faudra donc la créer -avec des enjeux comme le regroupement et la standardisation des signalements- puis décider sous quelle forme ces marqueurs seront envoyés aux éditeurs de navigateurs et aux FAI. En parallèle, le pouvoir devra nommer une autorité administrative indépendante, chargée de contrôler le fonctionnement du dispositif et d'éviter les ratés. Interrogé à ce sujet par La Tribune, Bercy répond qu'elle n'est « pas encore officiellement définie » mais qu'elle « s'appuiera sur la Cnil [l'autorité française des données, ndlr] ».
Pour soutenir le développement du dispositif, le texte prévoit que l'autorité de pilotage soit « dotée de moyens humains nécessaires à la réalisation de ses missions ». Le groupe de travail mené en amont du projet de loi par le GIP Acyma a estimé à 1.115.000 euros le coût de développement du service par l'autorité administrative. Cette enveloppe ne comporte que l'investissement initial, sans inclure les frais de maintenance pour l'année 2023 et 2024.
Un filtre prêt pour 2025 ?
Le projet de loi précise que le filtre pourrait être déployé pour 2025, et le ministère précisait en début d'année qu'une version de test serait déployée dès cet été. Malgré les critiques, les auteurs du texte affichent des ambitions élevées. Ils espèrent que dans 95% des cas, les sites malveillants seront bloqués dans les quatre heures après le premier signalement, tout en ayant en parallèle un taux de faux positif [de sites bloqués alors qu'ils sont innocents, ndlr] inférieur à 1%.
Si le dispositif atteint ces performances, les auteurs anticipent sur une baisse de 15% du nombre de plaintes en ligne déposées sur Thésée [la plateforme de signalement des arnaques en ligne, ndlr], ainsi qu'une amélioration de 10 points de la confiance des utilisateurs dans l'e-commerce d'une part, et dans l'administration publique d'autre part.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés