Sécurité

Le ministère des Finances, à Bercy, a subi cette semaine une attaque informatique de grande ampleur (à tel point que le ministre du Budget s’est exprimé à ce propos à la radio). Il s’agit de la première attaque de cette importance contre le gouvernement français, bien qu’il y ait eu des précédents ailleurs dans le monde, notamment en Estonie en 2007 ou au Canada cette année. D’autres administrations auraient été touchées (notamment le ministère des Affaires étrangères), dans une moindre mesure, ou au moins prises pour cible par les attaquants.

L’attaque en elle-même est plutôt complexe. Les attaquants se sont d’abord introduits dans les serveurs de messagerie (e-mail) du ministère, afin d’envoyer des courriers électroniques vers certains postes de travail. Ces messages contenaient des fichiers PDF infectés par un cheval de Troie. L’ANSSI note plusieurs choses intéressantes à propos de cette attaque : 1) elle a été réalisée par des experts, avec des techniques et des moyens divers ; 2) elle a été bien préparée (le cheval de Troie a été spécifiquement élaboré pour cette attaque, il n’est pas détecté par les logiciels antivirus) ; 3) elle a visé très spécifiquement les postes de travail des personnes travaillant sur le sommet du G20, et a eu pour objet de copier leurs documents de travail.

Surveillance / LOPPSI 2

Le Conseil constitutionnel a rendu sa décision sur la loi LOPPSI2 (DCC n°2011-625). De nombreux articles ont été censurés, si bien que la décision a été présentée comme un désaveu pour la politique sécuritaire du gouvernement. Pour ce qui nous intéresse ici, c’est-à-dire les articles relatifs aux nouvelles technologies en général et à Internet en particulier, il y a une censure, une validation et un silence.

Article 53 (censure)

L’article 53 a été censuré. Cet article sanctionnait pénalement (15 000 euro d’amende) le fait de revendre plus cher que leur prix d’achat, des billets d’entrée à des manifestations sportives, culturelles ou commerciales. On a en effet pu voir, ces dernières années, des billets atteindre des prix exorbitants sur eBay ou d’autres sites de vente aux enchères. Mais le législateur ne visait pas vraiment ces pratiques : il entendait notamment empêcher certains supporters d’équipes sportives de contourner les mesures prises par les organisateurs des rencontres pour les séparer des supporters de l’équipe adverse. Le Conseil constitutionnel a estimé que les moyens (interdiction générale, pour l’ensemble des manifestations sportives, culturelles et commerciales) étaient disproportionnés par rapport à l’objectif poursuivi (entre autres, empêcher les “dérapages” lors de certaines manifestations à base de ballon rond), et a trouvé dans l’article 53 une violation du principe de nécessité des délits et des peines.

Article 4 (validation)

L’article 4, sur le filtrage d’Internet, en revanche, a été validé. Rappelons que l’article 4, plusieurs fois dénoncé ici, permet à l’administration, sans saisine de l’autorité judiciaire, d’ordonner aux intermédiaires techniques français de bloquer des sites diffusant des contenus pédopornographiques. Parmi les critiques formulées contre cette disposition, les deux principales étaient les suivantes : 1) le filtrage est inefficace (il risque de toucher des sites légitimes, il n’est utile que face aux néophytes et non face aux réseaux criminels organisés qui savent parfaitement le contourner) ; 2) le filtrage est une forme de censure, donc de restriction de la liberté d’expression, qui doit être assorti de garanties juridictionnelles. Le Conseil constitutionnel a rejeté ces deux critiques. À la première, il a répondu qu’étant juge du droit et non de l’opportunité, il “ne saurait rechercher si les objectifs que s’est assignés le législateur auraient pu être atteints par d’autres voies, dès lors que les modalités retenues par la loi ne sont pas manifestement inappropriées à l’objectif visé”. À la deuxième critique, le Conseil constitutionnel a opposé que la décision de blocage faisait grief et que par conséquent, elle “est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente [le juge administratif], le cas échéant en référé”. L’article 4 est donc déclaré conforme à la Constitution, malgré le caractère peu convaincant des arguments avancés par le gouvernement pour le défendre.

On se souviendra que dans sa décision relative à la loi Hadopi 1 (DCC n°2009-580 du 10 juin 2009), le Conseil constitutionnel avait exigé l’intervention de l’autorité judiciaire pour couper l’accès à Internet des personnes ayant téléchargé des fichiers contrefaisants. Cette intervention se manifestait par le caractère essentiel pour l’exercice de la liberté d’expression qu’a acquis, depuis quelques années, l’accès à Internet. Le même raisonnement aurait pu être suivi ici, puisque la coupure d’accès ou la censure d’un site poursuivent le même objectif (empêcher que telle ou telle information parvienne à l’internaute). Pourquoi, alors, ne l’a-t-il pas été ? Le site PCInpact a recherché, dans les cahiers de travail du Conseil constitutionnel, des explications plus détaillées (les motifs de la décision ne le sont pas vraiment) sur la validation de l’article 4. Il a ainsi trouvé que la lutte contre la pédopornographie peut, selon le Conseil constitutionnel, “justifier des mesures que la préservation de la propriété intellectuelle ne peut fonder”. Autrement dit, la censure du réseau serait justifiée, en l’espèce, par la gravité des comportements incriminés, mais elle ne saurait être étendue à n’importe quelle infraction. De manière détournée, le Conseil constitutionnel nous dit que si l’article 4 avait prévu le blocage des sites proposant des liens vers des contenus contrefaisants, il aurait certainement été déclaré contraire à la constitution (mais cela suffira-t-il à répondre aux craintes exprimées par l’AFNIC et par tant d’autres ?). La question est d’autant plus importante que les ayants droit tentent, comme l’atteste une récente condamnation de Google, de rendre les intermédiaires responsables du filtrage des contenus diffusés sur Internet (doctrine du “take down & stay down”).

Pendant que le ministre de la Culture parle d’un Internet civilisé aux États-Unis, les opposants au filtrage du réseau, déçus par la décision du Conseil constitutionnel, se préparent à saisir la Cour de justice de l’Union Européenne ou la Cour européenne des droits de l’homme, qui constitueraient le “dernier rempart au filtrage”.

Article 2 (silence)

Pour le reste, le Conseil constitutionnel ne s’est pas autosaisi de l’article 2 de la loi, qui incrimine notamment le fait de “faire usage d’une ou plusieurs données de toute nature permettant [d’identifier une personne] en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération”. Le problème avec l’article 2 n’est pas tant l’incrimination que la peine qui lui est associée. On comprend en effet parfaitement que le législateur réagisse aux nouvelles possibilités de nuire offertes par les nouvelles technologies (l’article vise en premier lieu l’usurpation d’identité), et notamment les réseaux sociaux. En revanche, la peine d’un an de prison et de 15 000 euro d’amende est beaucoup plus lourde que les peines destinées à sanctionner les délits de presse (pour lesquels il n’y a plus depuis longtemps de privation de liberté). Or, le fait de “faire usage d’une ou plusieurs données” peut parfaitement être compris comme incluant la publication d’informations. Comme le relève Numerama, le doute existe quant à la portée de cette disposition, notamment dans le cadre de l’utilisation des réseaux sociaux. Plusieurs scénarios sont envisageables : l’article pourrait faire l’objet d’une question prioritaire de constitutionnalité (la fameuse “QPC” dont on a parlé cette semaine à propos du procès de Jacques Chirac), ou être interprété par la jurisprudence judiciaire d’une manière qui exclut la peine de prison dans le cas d’un usage des données sur Internet. Cette dernière hypothèse est très probable : le juge pourrait décider que l’article 2 de la LOPPSI constitue le droit commun et en déduire, en application d’une jurisprudence constante selon laquelle l’application des dispositions spéciales relatives aux abus de la liberté d’expression est exclusive de l’application du droit commun, que les faits incriminés doivent recevoir la sanction du délit de diffamation.

Sécurité

Le ministère des Finances, à Bercy, a subi cette semaine une attaque informatique de grande ampleur (à tel point que le ministre du Budget s’est exprimé à ce propos à la radio). Il s’agit de la première attaque de cette importance contre le gouvernement français, bien qu’il y ait eu des précédents ailleurs dans le monde, notamment en Estonie en 2007 ou au Canada cette année. D’autres administrations auraient été touchées (notamment le ministère des Affaires étrangères), dans une moindre mesure, ou au moins prises pour cible par les attaquants.

L’attaque en elle-même est plutôt complexe. Les attaquants se sont d’abord introduits dans les serveurs de messagerie (e-mail) du ministère, afin d’envoyer des courriers électroniques vers certains postes de travail. Ces messages contenaient des fichiers PDF infectés par un cheval de Troie. L’ANSSI note plusieurs choses intéressantes à propos de cette attaque : 1) elle a été réalisée par des experts, avec des techniques et des moyens divers ; 2) elle a été bien préparée (le cheval de Troie a été spécifiquement élaboré pour cette attaque, il n’est pas détecté par les logiciels antivirus) ; 3) elle a visé très spécifiquement les postes de travail des personnes travaillant sur le sommet du G20, et a eu pour objet de copier leurs documents de travail.

Surveillance / LOPPSI 2

Le Conseil constitutionnel a rendu sa décision sur la loi LOPPSI2 (DCC n°2011-625). De nombreux articles ont été censurés, si bien que la décision a été présentée comme un désaveu pour la politique sécuritaire du gouvernement. Pour ce qui nous intéresse ici, c’est-à-dire les articles relatifs aux nouvelles technologies en général et à Internet en particulier, il y a une censure, une validation et un silence.

Article 53 (censure)

L’article 53 a été censuré. Cet article sanctionnait pénalement (15 000 euro d’amende) le fait de revendre plus cher que leur prix d’achat, des billets d’entrée à des manifestations sportives, culturelles ou commerciales. On a en effet pu voir, ces dernières années, des billets atteindre des prix exorbitants sur eBay ou d’autres sites de vente aux enchères. Mais le législateur ne visait pas vraiment ces pratiques : il entendait notamment empêcher certains supporters d’équipes sportives de contourner les mesures prises par les organisateurs des rencontres pour les séparer des supporters de l’équipe adverse. Le Conseil constitutionnel a estimé que les moyens (interdiction générale, pour l’ensemble des manifestations sportives, culturelles et commerciales) étaient disproportionnés par rapport à l’objectif poursuivi (entre autres, empêcher les “dérapages” lors de certaines manifestations à base de ballon rond), et a trouvé dans l’article 53 une violation du principe de nécessité des délits et des peines.

Article 4 (validation)

L’article 4, sur le filtrage d’Internet, en revanche, a été validé. Rappelons que l’article 4, plusieurs fois dénoncé ici, permet à l’administration, sans saisine de l’autorité judiciaire, d’ordonner aux intermédiaires techniques français de bloquer des sites diffusant des contenus pédopornographiques. Parmi les critiques formulées contre cette disposition, les deux principales étaient les suivantes : 1) le filtrage est inefficace (il risque de toucher des sites légitimes, il n’est utile que face aux néophytes et non face aux réseaux criminels organisés qui savent parfaitement le contourner) ; 2) le filtrage est une forme de censure, donc de restriction de la liberté d’expression, qui doit être assorti de garanties juridictionnelles. Le Conseil constitutionnel a rejeté ces deux critiques. À la première, il a répondu qu’étant juge du droit et non de l’opportunité, il “ne saurait rechercher si les objectifs que s’est assignés le législateur auraient pu être atteints par d’autres voies, dès lors que les modalités retenues par la loi ne sont pas manifestement inappropriées à l’objectif visé”. À la deuxième critique, le Conseil constitutionnel a opposé que la décision de blocage faisait grief et que par conséquent, elle “est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente [le juge administratif], le cas échéant en référé”. L’article 4 est donc déclaré conforme à la Constitution, malgré le caractère peu convaincant des arguments avancés par le gouvernement pour le défendre.

On se souviendra que dans sa décision relative à la loi Hadopi 1 (DCC n°2009-580 du 10 juin 2009), le Conseil constitutionnel avait exigé l’intervention de l’autorité judiciaire pour couper l’accès à Internet des personnes ayant téléchargé des fichiers contrefaisants. Cette intervention se manifestait par le caractère essentiel pour l’exercice de la liberté d’expression qu’a acquis, depuis quelques années, l’accès à Internet. Le même raisonnement aurait pu être suivi ici, puisque la coupure d’accès ou la censure d’un site poursuivent le même objectif (empêcher que telle ou telle information parvienne à l’internaute). Pourquoi, alors, ne l’a-t-il pas été ? Le site PCInpact a recherché, dans les cahiers de travail du Conseil constitutionnel, des explications plus détaillées (les motifs de la décision ne le sont pas vraiment) sur la validation de l’article 4. Il a ainsi trouvé que la lutte contre la pédopornographie peut, selon le Conseil constitutionnel, “justifier des mesures que la préservation de la propriété intellectuelle ne peut fonder”. Autrement dit, la censure du réseau serait justifiée, en l’espèce, par la gravité des comportements incriminés, mais elle ne saurait être étendue à n’importe quelle infraction. De manière détournée, le Conseil constitutionnel nous dit que si l’article 4 avait prévu le blocage des sites proposant des liens vers des contenus contrefaisants, il aurait certainement été déclaré contraire à la constitution (mais cela suffira-t-il à répondre aux craintes exprimées par l’AFNIC et par tant d’autres ?). La question est d’autant plus importante que les ayants droit tentent, comme l’atteste une récente condamnation de Google, de rendre les intermédiaires responsables du filtrage des contenus diffusés sur Internet (doctrine du “take down & stay down”).

Pendant que le ministre de la Culture parle d’un Internet civilisé aux États-Unis, les opposants au filtrage du réseau, déçus par la décision du Conseil constitutionnel, se préparent à saisir la Cour de justice de l’Union Européenne ou la Cour européenne des droits de l’homme, qui constitueraient le “dernier rempart au filtrage”.

Article 2 (silence)

Pour le reste, le Conseil constitutionnel ne s’est pas autosaisi de l’article 2 de la loi, qui incrimine notamment le fait de “faire usage d’une ou plusieurs données de toute nature permettant [d’identifier une personne] en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération”. Le problème avec l’article 2 n’est pas tant l’incrimination que la peine qui lui est associée. On comprend en effet parfaitement que le législateur réagisse aux nouvelles possibilités de nuire offertes par les nouvelles technologies (l’article vise en premier lieu l’usurpation d’identité), et notamment les réseaux sociaux. En revanche, la peine d’un an de prison et de 15 000 euro d’amende est beaucoup plus lourde que les peines destinées à sanctionner les délits de presse (pour lesquels il n’y a plus depuis longtemps de privation de liberté). Or, le fait de “faire usage d’une ou plusieurs données” peut parfaitement être compris comme incluant la publication d’informations. Comme le relève Numerama, le doute existe quant à la portée de cette disposition, notamment dans le cadre de l’utilisation des réseaux sociaux. Plusieurs scénarios sont envisageables : l’article pourrait faire l’objet d’une question prioritaire de constitutionnalité (la fameuse “QPC” dont on a parlé cette semaine à propos du procès de Jacques Chirac), ou être interprété par la jurisprudence judiciaire d’une manière qui exclut la peine de prison dans le cas d’un usage des données sur Internet. Cette dernière hypothèse est très probable : le juge pourrait décider que l’article 2 de la LOPPSI constitue le droit commun et en déduire, en application d’une jurisprudence constante selon laquelle l’application des dispositions spéciales relatives aux abus de la liberté d’expression est exclusive de l’application du droit commun, que les faits incriminés doivent recevoir la sanction du délit de diffamation.