La sécurité des réseaux

Publié le 01/01/2002 -

L’état de guerre dans lequel l’année 2001 s’est achevée a mis en lumière, si besoin était, l’utilisation des réseaux de télécommunications dans l’organisation d’un terrorisme devenu, par essence, international. Dans le sillon des autres pays occidentaux, la France s’apprêtait à libéraliser totalement l’usage de la cryptologie dans les communications électroniques, avec le dépôt à l’Assemblée Nationale, le 14 juin 2001, du projet de loi sur la société de l’information (« LSI »). Réagissant dans l’urgence aux attentats du 11 septembre dernier, le législateur opéra cependant une volte-face en ne retenant de ce projet, dans la loi sur la sécurité quotidienne (« LSQ ») du 15 novembre 2001 (publiée au JO n°266 du 16 novembre 2001), que les dispositions tendant à un renforcement du contrôle des pouvoirs publics sur les communications. Dans le même temps, les pays occidentaux adoptaient, sous l’égide du Conseil de l’Europe, la première convention internationale incriminant de façon uniforme les atteintes aux systèmes d’information et aux réseaux (Convention sur la cybercriminalité du 23 novembre 2001).

Pour paradoxal qu’il y paraisse, la sécurité juridique des réseaux semble ainsi se développer de pair avec la lutte contre une criminalité via les réseaux. Pourtant, les objectifs des parties prenantes restent contradictoires. L’Etat entend en effet pouvoir contrôler les communications, et donc la cryptologie. Or, les entreprises souhaitent, quant à elles, assurer la confidentialité de leurs échanges. Enfin, les particuliers défendent leur droit au respect de leur vie privée.

Ces divergences d’intérêts condamnent ainsi notre droit à une perpétuelle recherche d’équilibre. Pour l’heure, l’utilisation de moyens de cryptage reste sous le contrôle des pouvoirs publics (I) et les communications électroniques se trouvent ainsi soumises à un régime équivalent au régime d’interception des écoutes téléphoniques (II). Le maintien de ce contrôle sur les réseaux s’accompagne toutefois d’une amélioration de leur propre sécurité juridique (III).

I. UNE LIBERALISATION TOUJOURS LIMITEE DES MOYENS DE CRYPTAGE.

L’utilisation par les entreprises de la messagerie électronique comme moyen principal de communication a fait basculer sur les réseaux une quantité inattendue de documents confidentiels. Les entreprises ont de ce fait, exercé des pressions en faveur d’une libéralisation des moyens de cryptologie, laquelle a été mise en œuvre dans la plupart des pays, en particulier aux Etats-Unis en 1999.

En France, l’utilisation de moyens de chiffrement est en principe libre depuis la loi du 26 juillet 1996 (modifiant la loi du 29 déc. 1990 sur la réglementation des télécommunications). Mais cette liberté reste conditionnée, entre autres, par la conservation des conventions de cryptage par des « tiers de confiance » – organismes placés sous le contrôle des pouvoirs publics -, lorsque ces clés emploient des algorithmes excédant 128 bits et qu’elles assurent une fonction de confidentialité. Par ailleurs, la fourniture, l’importation depuis un pays situé hors de la Communauté européenne et l’exportation de moyens et prestations de cryptologie sont soumises à autorisation de l’administration, ou à déclaration si ces moyens et prestations n’assurent pas la confidentialité.

Notre régime actuel, précisé par deux décrets d’application du 24 février 1998, prévoit des sanctions pénales en cas de non respect des obligations ainsi définies. Or, en 1999, seuls des pays comme la République Populaire de Chine, la Russie, Cuba, Israël ou encore le Kazakhstan, maintenaient un contrôle légal comparable sur l’utilisation, l’importation ou la fourniture de moyens et prestations cryptologiques.

Conscient du décalage de son régime légal, le gouvernement français décidait en janvier 1999, de rendre totalement libre l’utilisation des moyens de cryptologie. Pour la fourniture et l’importation de ces moyens, la simple déclaration devait se substituer à l’autorisation. Cette orientation fut retenue dans le projet de la LSI mais les attentats du 11 septembre dernier ont finalement conduit à ne retenir de ce projet, par le vote de la LSQ, que les dispositions renforçant les obligations des tiers de confiance de collaborer avec l’Etat pour faciliter le contrôle des communications chiffrées.

II. UN CONTROLE INTERNATIONALISE DES COMMUNICATIONS.

Le renforcement du contrôle des pouvoirs publics sur la cryptologie s’inscrit pleinement dans la mouvance de la Convention du 23 novembre 2001 sur la cybercriminalité. La Convention engage en effet les Etats signataires à préserver les données concernant le trafic sur les réseaux (1) et à coopérer entre eux dans l’échange de ces données (2).

1. La conservation des données.

La Convention et la LSQ établissent un régime de conservation des données relatives au trafic sur les réseaux, qui permet désormais la traçabilité de la correspondance privée et qui complète ainsi la loi du 1er août 2000 modifiant la loi du 30 septembre 1986 relative à la liberté de communication, qui avait instauré une obligation d’identification des auteurs sur l’internet.

Selon la Convention, les autorités doivent pouvoir ordonner la conservation des éléments tels que ceux permettant d’identifier les personnes qui ont communiqué entre elles, les sites consultés, le moment et la durée de la communication, les volumes d’informations échangés, etc. Cette obligation de conservation est également reprise par la LSQ, laquelle précise toutefois que ces données « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées ».

La LSQ, reprenant en cela le projet de la LSI, a fixé à un an la durée maximale de conservation de ces données. Les négociateurs de la Convention, en revanche, n’ont pas pu dégager un consensus pour fixer une durée uniforme. Par conséquent, la Convention demande aux Etats signataires qu’ils puissent ordonner la conservation rapide de données électroniques spécifiées, y compris les données de trafic, en particulier lorsqu’il y a risque de les voir perdues ou modifiées. Les données doivent alors être conservées pendant 90 jours, éventuellement renouvelables. Il y a là une légère perte en efficacité de la Convention par rapport à la LSQ, puisque la conservation des données dans les autres Etats signataires sera suspendue à une décision spécifique de leurs autorités.

2. L’échange des données.

Malgré cette différenciation, la Convention uniformise les procédures de collecte de la preuve entre les Etats signataires et facilite la coopération interétatique dans la recherche de la criminalité.

La Convention prévoit notamment la possibilité de perquisitions et de saisies de données informatiques et demande que les fournisseurs de services puissent collecter les données de trafic en temps réel. De même, la Convention permet aux autorités de demander l’interception de données relatives au contenu pour des communications spécifiques, en cas d’infractions graves selon le droit de l’Etat concerné.

La Convention met également en place des obligations de coopération entre Etats dans la collecte de preuves, que seule l’invocation du caractère politique de la demande pourra permettre de refuser. Par ailleurs, l’exigence nationale d’une double incrimination est écartée lorsqu’il s’agit de demandes de conservation rapide de données informatiques, ou encore de communication de données de trafic.

Le régime des écoutes et interceptions qui, en France, se fonde sur la loi du 10 juillet 1991 relative au secret des télécommunications, trouve ainsi un prolongement international. Rappelons à cet égard que les écoutes judiciaires ne peuvent être ordonnées que dans le cadre d’une information, lorsque la peine encourue s’élève à deux ans d’emprisonnement ou plus. Quant aux interceptions de sécurité, qui ne doivent avoir pour objet que la prévention du terrorisme, de la criminalité et de la délinquance organisées, la recherche de renseignements intéressant la sécurité nationale, la sauvegarde du potentiel scientifique et économique de la France, elles se déroulent sous le seul  contrôle du pouvoir exécutif.

La LSQ adapte également la loi de 1991 et facilite la mise en œuvre de la Convention en renforçant les obligations de collaboration des tiers de confiance avec les agents de l’Etat. Les premiers doivent en effet remettre les conventions de chiffrement lorsqu’elles sont demandées dans le cadre d’une interception de sécurité.

Pour les interceptions judiciaires, le tribunal ou le procureur de la République peut s’adresser à toute personne qualifiée, y compris les agents de l’Etat, pour mettre au clair les données chiffrées. Les sanctions pénales peuvent aller jusqu’à cinq ans de prison et 75.000 Euros, lorsque le refus de remettre les clés de chiffrement a permis la commission d’un crime ou d’un délit.

III. UNE CRIMINALISATION SPECIFIQUE.

La prise en compte de la dimension internationale de la sécurité sur les réseaux, qu’illustre la coopération interétatique mise en place par la Convention sur la cybercriminalité, profite aussi à la sécurité des réseaux eux-mêmes. Les atteintes aux réseaux font en effet l’objet d’une criminalisation plus spécifique (1). La simplification en cours de la procédure d’extradition pour les « cybercrimes » illustre de façon encore plus frappante cette adaptation du droit (2).

1. Des infractions de mieux en mieux ciblées.

En France, le phénomène de numérisation et d’électronisation des informations a été suivi relativement tôt par notre droit pénal. L’atteinte aux données nominatives, par exemple par divulgation illicite, se trouve incriminée depuis la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les atteintes aux systèmes informatiques figurent également dans notre code pénal depuis la loi Godfrain du 5 janvier 1988 : accès ou maintien frauduleux dans un système, atteinte volontaire à son fonctionnement, par exemple avec l’introduction d’un virus.

L’élargissement de la notion de « système » à celle de « réseau » est, en revanche, l’œuvre de la jurisprudence. Ainsi, une décision récente du tribunal correctionnel de Paris a considéré le réseau téléphonique public comme constitutif d’un tel système, pour réprimer comme frauduleux le déploiement d’un dispositif identifiant l’algorithme de cryptage du système de cartes bancaires (Trib. corr. Paris, 25 fév. 2000, D. 2000, CDA, Act. p. 219, obs. Delpech).

La Convention sur la cybercriminalité reprend cette approche, en définissant le système informatique comme « tout dispositif isolé ou ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données ». Cette définition recouvre aussi bien le réseau internet que le réseau informatique fermé d’une entreprise. Intégrant par ailleurs comme « cybercrimes » les infractions connues en droit national comme des atteintes aux systèmes d’information, la Convention leur donne ainsi un champ d’application élargi. Mais elle appréhende aussi plus précisément le phénomène de mise en réseau des informations avec, notamment, l’incrimination de l’interception illégale de données informatiques lors de transmissions non publiques à destination, en provenance, ou à l’intérieur d’un système informatique.

2. Une extradition simplifiée des « cybercriminels ».

La traque des pirates de l’informatique et des réseaux connaît également une avancée spectaculaire avec les mesures prises en Europe pour faciliter leur extradition.

La Convention sur la cybercriminalité demande à ses Etats signataires de considérer les « cybercrimes » comme justifiant l’extradition, que ce soit dans le cadre des conventions qu’ils ont déjà signées à cet effet, ou, à défaut, dans celui de la Convention elle-même. L’extradition est toutefois conditionnée par l’incrimination de l’infraction considérée, dans le droit de l’Etat requérant comme dans celui de l’Etat requis, avec une peine privative de liberté d’au moins un an.

Surtout, l’accord sur le mandat d’arrêt européen du 11 décembre 2001, qui entrera en vigueur en 2004, ouvre la voie à des procédures d’extradition automatique. En effet, les infractions, y compris les « cybercrimes », punies d’un maximum de trois ans d’emprisonnement ou plus dans l’Etat requérant, donneront lieu à remise immédiate de l’auteur présumé, même ressortissant national, sans contrôle de la double incrimination. Les infractions passibles d’une peine d’une durée inférieure dans l’Etat requérant mais supérieure à trois ans dans l’Etat sollicité, obligeront les juges du dernier Etat à vérifier les faits avant de procéder au transfert de la personne. Dans tous les cas, le juge saisi devra vérifier que l’exposé des faits incriminés correspond bien au motif de la poursuite.

*
* *

Avec l’inertie relative que son adaptation à la société demande, le droit intègre ainsi la dimension internationale des réseaux, pour leur apporter la sécurité que les textes nationaux ne suffisent plus à fournir. Il faudra cependant attendre quelques temps avant que le balancier du droit ne se rapproche de cet idéal de liberté qui, lui aussi, conditionne le développement des communications.

Autres publications