Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



#LPM2013: Un nouvel espoir ?

Par Ludovic Blin, secuobs.com
Le 20/01/2014


Résumé : Destinée à s'appliquer jusqu'en 2019, la LPM pourrait introduire un régime juridique innovant, autorisant l'administration à cybersurveiller la population, et la population à "pentester" l'ensemble du territoire (dont l'administration).



La loi de programmation militaire, promulguée le 17 décembre 2013, est destinée à s'appliquer, comme son nom l'indique, du 1er janvier 2014 au 31 décembre 2019. Elle introduit un nouveau régime en ce qui concerne la sécurité informatique, qui n'a finalement été que peu débattu lors des travaux préparatoires.

Deux nouvelles dispositions introduisent un mécanisme juridique de type "check & balance" qui pourrait avoir pour effet d'augmenter la sécurité informatique, ainsi que la vie privée.

En premier lieu, le très controversé article 20 introduit une collecte en temps réel des données de communication de la population, pouvant être utilisées par l'administration sans le contrôle du juge.

Cette disposition conduira très probablement les utilisateurs à adopter des technologies offrant une confidentialité en adéquation avec une menace désormais manifeste. D'ailleurs de nombreux projets voient le jour en ce moment, comme par exemple Silent Circle, Blackphone, Twister ou encore Bitcloud. La mode du "nsa-proof", dans une industrie du logiciel friande de "buzzwords", n'est pas prête à s'arrêter, d'autant plus qu'elle vient de commencer.

En second lieu, comme le fait remarquer l'avocat spécialiste des données personnelles Thiébaut Devergranne sur son site donneespersonnelles.fr, l'article 25, en modifiant le code pénal et le code de la propriété intellectuelle, autorise tout utilisateur légitime à tester le fonctionnement d'un logiciel pour "observer, étudier, ou tester le fonctionnement ou la sécurité de ce logiciel". Les dispositions limitant la circulation et la détention de certains outils sont quant à elles limitées par la notion de "motif légitime, notamment de recherche ou de sécurité informatique".

Ce deuxième mécanisme juridique semble avoir pour conséquence inattendue de donner au juge une latitude beaucoup plus importante dans son interprétation des textes . En effet, la persistance ou l'existence de dommages pourrait devenir un critère essentiel pour différencier un simple "test de sécurité" d'une réelle intrusion informatique. Cela permet cependant de contrebalancer la perte de pouvoir du juge dans la "cybersurveillance en temps réel". La notion juridique de "logiciel" porte également à débat, à l'heure ou de nombreux logiciels sont proposés en version "cloud" uniquement.

Il est également naturel de penser que ces dispositions puissent être de nature à pousser les responsables à renforcer la sécurité applicative web, qui est l'un des maillons faibles de la sécurité informatique et la source principale des fuites de données personnelles d'internautes.

En ajoutant des systèmes simples d'authentification "blockchain-based" couplés avec des outils d'authentification hardware "non implantables" tels que le trezor (portefeuille hardware pour bitcoin), la sécurité informatique de l'ensemble du territoire peut être améliorée sur les plans de la confidentialité, de la sécurité applicative, et de l'authentification. Cela bénéficie bien sur également à la protection des données personnelles.

Donc par un enchaînement de dispositions hasardeuses et peu débattues, le législateur français vient d'inventer un régime juridique innovant qui pourrait contribuer à ce que la sécurité ne soit plus un échec.

La phrase "la sécurité est un échec" semble de toute façon dorénavant interdite d'utilisation commerciale, la marque étant déposée, une source non vérifiable ayant même affirmé s'attendre "à ce qu'une redevance conséquente soit exigée pour toute utilisation, cette redevance pouvant même potentiellement être demandée dans une monnaie virtuelle bien connue ayant une fâcheuse tendance à voir son cours multiplié par 42 tous les ans, ce qui risque de rendre cette phrase complètement inutilisable a partir de 2015".


La LPM: lien

L'article sur donneespersonnelles.fr: lien

Silent Circle: lien

Blackphone: lien

Bitmessage: lien

Twister: lien

Bitcloud: lien

La présentation de Trezor lors du 30C3: lien

"La sécurité est un échec", marque déposée: lien

ITEANU Blog: lien

La révolte de Zataz et de la "direction de l'espace numérique" (et ses "partenaires") contre les "audits sauvages": lien