Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Le décret sur la conservation des données est paru au journal officiel

Par Ludovic Blin, secuobs.com
Le 31/03/2006


Résumé : Le décret définissant les modalités de conservation des données de connexion est paru au journal officiel et est donc applicable. Il déclenche cependant des réactions d’opposition de la part des fournisseurs d’accès et des associations de défense des libertés.



Le décret définissant les modalités de conservation des données de connexion est paru au journal officiel et est donc applicable. Il déclenche cependant des réactions d’opposition de la part des fournisseurs d’accès et des associations de défense des libertés.

Avec la loi sur la sécurité quotidienne, adoptée après le 11 septembre 2001 et la loi sur la sécurité intérieure, votée en 2003 ainsi que la loi sur le terrorisme votée en 2006, des obligations étaient définies pour les fournisseurs d’accès internet concernant la conservation des données de connexion des internautes. Ces lois n’étaient jusqu’à présent pas appliquées, leur règlement d’application n’ayant pas été publié au journal officiel.

Celui-ci a finalement été publié le 26 mars. Il oblige les « opérateurs de communications électroniques » à conserver pendant un an les « informations permettant d’identifier l’utilisateur », les « données relatives aux équipements utilisés », ainsi que les « caractéristique techniques ainsi que la date, l’horaire et la durée de chaque communication ». Par ailleurs il est également obligatoire de conserver « les données permettant d’identifier le ou les destinataires », ainsi que les « données relatives aux services complémentaires demandés ou utilisés ainsi que leur fournisseur ».

Si on peut s’interroger sur la signification de cette dernière obligation et en particulier sur la définition de « services complémentaires », il est cependant clair que la Rédaction retenue entraîne la conservation d’un grand nombre de données. En effet, pour les applications utilisant le protocole TCP, il apparaît que ce décret pourrait obliger à conserver les dates, durée et adresses ip source et destination de toute connexion. En ce qui concerne les applications utilisant UDP, ce protocole n’entraînant pas l’établissement d’une connexion à l’instar de TCP, le décret semble obliger à conserver les données de connexion de chaque paquet.

En pratique, pour recueillir de telles données, l’installation d’un outil de type « sniffer » semble nécessaire. Précisons que celui-ci doit être configuré de manière à n’enregistrer que les données de connexion et non l’intégralité des communications. Il est possible sous Linux ou BSD d’utiliser l’outil tcpdump. Le volume des données à stocker paraît tout de même particulièrement important. La liberté des internautes paraît également mise à mal. En effet, les dispositions obligeant l’opérateur à conserver « chaque communication » pendant un an, il sera possible de déterminer par exemple tous les sites web consultés par un internaute pendant cette période. Ces données pouvant par ailleurs être mise à la disposition de certains services de police sans intervention du juge.

Il sera donc possible en dehors du cadre judiciaire de déterminer notamment les relations entre les différents internautes, ainsi que leurs habitudes. Une possibilité qui ne laisse pas de marbre l’association de défense des libertés IRIS, qui déclare même dans un communiqué que « Ce décret représente l'aboutissement d'une stratégie de contrôle toujours plus large de la population, dont la lutte contre le terrorisme ne constitue qu'un alibi ». En effet, pour reprendre les termes utilisés par IRIS, il y a de forte chance que ces mesures ne puissent servir qu’à lutter contre la petite délinquance.

Plusieurs techniques existent en effet pour dissimuler de manière efficace ses données de connexion et il est fort probable que les terroristes ainsi que les personnes rodées à la clandestinité les utilisent d'ores et déjà. Ces mesures devraient donc être peu utiles pour la lutte contre le terrorisme.

Un autre décret ou arrêté pourrait suivre pour préciser d’une manière technique quelles sont exactement les données qui doivent être conservées.


lien

lien