• # Rien à voir avec les écoutes

    Posté par  (site Web personnel) . Évalué à 2.

    Là on parle de systèmes de détection d’attaques informatiques qui remontent des infos à l’ANSSI et qui concernent les opérateurs d’importance vitale.

    • [^] # Re: Rien à voir avec les écoutes

      Posté par  (site Web personnel) . Évalué à 1.

      Oui, je suis d'accord sur le fait que mon titre sous-entend "écoutes téléphonique" et donc n'est pas approprié.

      Mais, attention, ce texte est sous double-signature ! Le premier signataire représente le monde de la défense alors que le second représente celui du business.

      Un rapide survol des textes en référence confirme cette double casquette. Mon sentiment (mais je ne suis pas qualifié en la matière) est que ce texte est d'une portée extrêmement générale (en matière de communication, les conversations téléphoniques sont intégrées dans les trames Ethernet) et vise tout autant à la lutte contre l'espionnage (militaire ou industriel) ou le sabotage que la lutte contre la contrefaçon.

      Ma première idée de titre était "1984, Big Brother is watching you." mais j'ai trouvé que ça faisait trop parano.

      • [^] # Re: Rien à voir avec les écoutes

        Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 07/03/20 à 21:24.

        C’est surtout que ça n’a rien à voir avec les écoutes administratives (autorisées dans le code de la sécurité intérieure) ou judiciaires (définies dans le code de procédure pénale).
        Là, les services de police ou de renseignement n’ont pas accès aux données, et les données ne sont pas celles du grand public (on parle des réseaux internes vitaux d’EDF, d’Airbus, etc. ), et seules quelques infos sont remontées à l’ANSSI (pas le contenu de toutes les pages web visitées, mails ou conversations téléphoniques).

        • [^] # Re: Rien à voir avec les écoutes

          Posté par  (site Web personnel) . Évalué à 2.

          La police judiciaire n'est pas la seule organisation policière. De même les services de renseignement ne sont pas uniques. Certains relèvent du gouvernement, d'autres des armées.

          Un opérateur d'importance vitale intéresse tout autant les autorités civiles que militaires. Et la frontière est vague entre ces deux autorités. La notion de réseau interne à de grands groupes (tel qu'EDF ou Airbus) est une vue de l'esprit à l'heure du Cloud. D'autant que leurs employés sont géographiquement dispersés à travers la planète sans parler de leur nationalité.

          Le tarif exposé par le texte me semble être une base de remboursement aux prestataires du Cloud qui assumeraient l'externalisation partielle des services informatiques des opérateurs d'importance vitale.

          Mais si quelqu'un d'autre, bien introduit dans ces milieux, a un autre avis, je suis preneur.

          • [^] # Re: Rien à voir avec les écoutes

            Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 07/03/20 à 22:30.

            C'est pour ça que j'ai parlé d'écoutes judiciaires (qui sont ordonnées par la justice, pas par un service de police judiciaire).

            Au passage, quand on parle de police judiciaire, on ne parle pas de « la » PJ (qui est l'une des directions de la direction générale de la police nationale), mais de la mission de police judiciaire, qui est remplie par des sous-entités de la DGPN, de la DGSI, de la préfecture de police, de la gendarmerie nationale, et, de mémoire, des douanes.

            Bien sûr, dans la mesure où on parle « des » services de renseignement, ils ne sont par uniques. Il y a même six services spécialisés de renseignement, dont la liste est donnée dans l'article R811-1 du code de la sécurité intérieure. Mais tous relèvent du gouvernement, vu que le ministre des armées relève du gouvernement. D'ailleurs, quand ils réalisent des écoutes sur le territoire nationale, ils ne le font qu'avec l'autorisation du Premier ministre (y compris les services de renseignement relevant du ministère des armées).

            Mais à nouveau,
            - les services de renseignement ne sont pas concernés par ces dispositions,
            - c'est l'ANSSI qui est la seule bénéficiaire de ces dispositions, à seule fin de cyberdéfense des opérateurs d'importance vitale,
            - ce ne sont pas les communications des employés qui intéressent l'ANSSI mais prévenir les attaques informatiques contre ces OIV, c'est pour ça que tout le flux ne remonte pas à l'ANSSI, qui n'a de toute façon pas la capacité de recevoir une copie de tous les flux réseaux de tous les OIV français…

            Ces OIV se retrouvent avec pas mal d'obligations pour garantir la sécurité de leurs infrastructures (c'est plutôt normal, d'ailleurs), l'une de ces obligations est d'installer des équipements pour détecter les attaques (je ne sais pas comment ça se matérialise, mais j'imagine que ça doit ressembler à du snort). Il y a une compensation pour cette obligation, compensation fixée par ce décret.

            Pas besoin d'être bien introduit dans le milieu, il y a pas mal de choses disponibles quand on accepte de lire un peu le journal officiel :)

            • [^] # Re: Rien à voir avec les écoutes

              Posté par  (site Web personnel) . Évalué à 2.

              Pas besoin d'être bien introduit dans le milieu, il y a pas mal de choses disponibles quand on accepte de lire un peu le journal officiel :)

              Ben oui, et comment ai-je eu connaissance de ce texte si je ne suis pas un lecteur du JO ? D'autre part dire que les armées relèvent du Gouvernement c'est ignorer que le Chef des armées n'est pas le Premier ministre mais le président de la république. Et même certains fonctionnaires, comme les préfets, ne sont pas sous l'autorité du Premier ministre ou d'un de ses ministres mais directement sous celle du Président (qui signe personnelle le décret de nomination desdits préfets.)

              En tant qu'ancien militaire (malgré moi, pour cause de Service nationale) et en tant que civil ayant été toute sa vie professionnelle sous tutelle militaire, je puis assurer qu'il y a loin, très loin, de la théorie du Journal officiel à la vraie vie. C'est pour ça que je suis preneur d'avis de personnes sachant réellement de quoi on parle ; ce qui ne me semble pas être la cas pour vous. Mais, je peux me tromper…

            • [^] # Re: Rien à voir avec les écoutes

              Posté par  . Évalué à 2.

              J'ai lu les textes, et je comprends pareil : lorsque l'ANSSI a des éléments laissant penser à u ne attaque sur un OIV ou un organisme d'état, l'ANSSI peut mettre en place des sondes pour caractériser et détecter la menace.

              Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 […] l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information […] des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information […] Ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace.

              Le texte mis en lien prévoit des compensations (qui me semblent faibles, mais ce n'est pas mon métier) pour les interventions techniques que l'OIV va devoir effectuer.

              Concernant les dispositifs en lui même, ça ne me choque pas tellement étant donné que c'est le rôle principal de l'ANSSI de veiller à la sécurité des OIV et organismes d'état. Et le texte spécifie bien que ces dispositifs sont temporaires et limités à la seule collecte des marqueurs d'attaques.

              Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information […] à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.
              […]
              Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.

              • [^] # Re: Rien à voir avec les écoutes

                Posté par  (site Web personnel) . Évalué à 1.

                Revenons à l'arrêté PRMD2004467A.

                a) Tableau de l'annexe 1, ligne EH1 : installation de matériel appartenant à l'ANSSI, tarif 100€ ;
                b) Tableau de l'annexe 1, ligne EH2 : Installation du matériel appartenant à l'opérateur de communications électroniques ou à la personne mentionnée aux 1. ou 2. du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 (…), tarif 150€ + 99€/mois;
                c) Tableau de l'annexe 3 : ligne EH3, enlèvement du matériel appartenant à l'ANSSI ou à la personne mentionnée (…)

                De ce qui précède, nous en sommes en face de deux "clients" à qui l'on va facturer une prestation de duplication d'un flux de réseau :

                1) L'ANSSI que l'on ne présente pas sur ce forum;
                2) La personne mentionnée aux " 1. ou 2. du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique";

                Autrement dit, une poignée de fonctionnaires relevant de l'ANSSI, la totalité des opérateurs FAI et la totalité des entreprises (ou des particuliers) diffusant du contenu numérique (donc potentiellement victime de contrefaçon ou de DOS) sont intéressé par cet arrêté.

                Au bas mot, des centaines de milliers de personnes concernées y compris : les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature.

                Mais bon, je le dis une fois encore, je peux me tromper… Toutefois, si un modérateur de ce site pouvait confirmer ou infirmer le précédent paragraphe, ce ne serait pas de refus.

                • [^] # Re: Rien à voir avec les écoutes

                  Posté par  . Évalué à 1.

                  Oui j'avais bien lu l'entrée EH02. Tu oublies un passage dans ta citation :

                  et nécessaire à la mise en œuvre d'un dispositif de détection ainsi que les abonnements mensuels pour la location du matériel et la fourniture de la connectivité à internet.

                  Pour moi il s'agit des équipements de routage que le FAI (ou du cloud provider) de l'OIV ou de l'organisme d'état vont devoir mettre en place. Notamment pour pouvoir ségréguer les flux de l'OIV ou de l'organisme du reste du trafic. De même pour ET01 et ET02 : on ne parle pas d'une duplication de tout le flux réseau du FAI vers l'ANSSI, mais du flux nécessaire vers le dispositif de détection (sur le réseau de l'OIV ou de son FAI).

                  Encore une fois, à mon avis, tu passes sur le plus important : l'Article L2321-2-1 qui fixe les modalités d'installation dudit système de détection. Et celui-ci signifie clairement (le gras est de moi) :

                  Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.

                  Tout le reste est hors la loi (ce qui ne veut pas dire qu'il n'existe pas) ; qu'est-ce qui est facturé à qui dans ce cadre est une question annexe.

                • [^] # Re: Rien à voir avec les écoutes

                  Posté par  . Évalué à 1.

                  Et je viens de tilter sur ce passage :

                  De ce qui précède, nous en sommes en face de deux "clients" à qui l'on va facturer une prestation de duplication d'un flux de réseau :

                  1) L'ANSSI que l'on ne présente pas sur ce forum;
                  2) La personne mentionnée aux " 1. ou 2. du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique";

                  Non, pour moi, tu mésinterprètes : on ne facture pas des "prestations de duplications d'un flux réseau". C'est l'OIV et/ou son FAI/cloud provider qui facture l'ANSSI pour les prestations nécessaires à la mise en place de ces dispositifs. Ils vont devoir mettre en place tout un tas de truc pour que l'ANSSI puisse faire son taf, ils sont dédommagés pour ça. En gros, ils y a potentiellement deux prestataires : l'OIV et son FAI ; le client c'est l'ANSSI

                  • [^] # Re: Rien à voir avec les écoutes

                    Posté par  (site Web personnel) . Évalué à 1.

                    Désolé, je reste sur ma position. Cet arrêté est signé par deux personnes : C. Landais, secrétaire générale de la défense et de la sécurité nationale pour le Premier ministre et T. Courbe, directeur général des entreprises, pour le ministre de l'économie et des finances.

                    Il me semble que s'il n'y avait que l'ANSSI intéressée, seule la signature de C. Landais aurait été requise. Il me semble que la définition les personnes relevant du 1. du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sont ce qu'on appelle des "hébergeurs".

                    Je cite le I-1 :
                    1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens.
                    Les personnes visées à l'alinéa précédent les informent également de l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle et leur proposent au moins un des moyens figurant sur la liste prévue au deuxième alinéa de l'article L. 331-26 du même code.

                    Mais en lisant l'article L. 321-26 du Code de la propriété intellectuelle :

                    Après consultation des concepteurs de moyens de sécurisation destinés à prévenir l'utilisation illicite de l'accès à un service de communication au public en ligne, des personnes dont l'activité est d'offrir l'accès à un tel service ainsi que des organismes de gestion collective régis par le titre II du présent livre et des organismes de défense professionnelle régulièrement constitués, la Haute Autorité rend publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter.
                    Au terme d'une procédure d'évaluation certifiée prenant en compte leur conformité aux spécifications visées au premier alinéa et leur efficacité, la Haute Autorité établit une liste labellisant les moyens de sécurisation. Cette labellisation est périodiquement revue.
                    Un décret en Conseil d'Etat précise la procédure d'évaluation et de labellisation de ces moyens de sécurisation.

                    les personnes intéressées me semble être alors aussi les organismes de gestion collective des droits et les organismes de défense professionnels !

                    Les I-2 et I-3 exonèrent l'hébergeur civilement et pénalement en cas d'ignorance d'hébergement de contenus illicite et sa promptitude à faire cesser le trouble.

                    À ce qu'il me semble, l'hébergeur n'est pas tenu d'inspecter les contenus de ses abonnés. Mais l'hébergeur peut être saisi par toute personne, disons pour des affaires de mœurs, mais aussi en matière de propriété intellectuelle. Dans ce dernier cas, ce n'est pas l'ANSSI qui est compétente mais la Haute autorité au sens du Code de la propriété intellectuelle.

                    Ce qui explique la double signature de l'arrêté. Quant à savoir le périmètre des organismes de gestion collective, je ne suis pas du tout versé en la matière… Et pour les organismes de défense professionnels, la définition est pour le moins vague et semble laisser un large champ à tous les porte-drapeaux.

                    Je suppose que si on se fait se fait voler des images mises en ligne depuis son site Internet, le recours devrait se faire auprès desdits organismes de gestion collective et non pas l'ANSSI. OK, et après qui va payer pour faire établir la preuve du piratage ? Je suppose qu'il sera demandé au piraté de donner quelque argent tout comme il le ferait pour un constat d'huissier. Sauf qu'au lieu de s'adresser à l'huissier il devra le faire auprès de la Haute autorité.

                    De ce qui précède, je persiste à dire que de très nombreuses personnes sont concernées par le tarif de cet arrêté ; à tout le moins, tout titulaire d'un site Web.

                    • [^] # Re: Rien à voir avec les écoutes

                      Posté par  (site Web personnel) . Évalué à 2.

                      Au final, tu ne prends en compte que ce que tu veux comprendre…
                      On parle depuis le début de « menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques [ou des OIV]».
                      Le vol d'images ou le téléchargement sauvage de films est complètement hors-sujet.

                      • [^] # Re: Rien à voir avec les écoutes

                        Posté par  (site Web personnel) . Évalué à 1.

                        On parle depuis le début de « menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques [ou des OIV]».

                        À la fin du troisième paragraphe de ma première réponse (le 07/03/20 à 21:17) :

                        Un rapide survol des textes en référence confirme cette double casquette. Mon sentiment (mais je ne suis pas qualifié en la matière) est que ce texte est d'une portée extrêmement générale (en matière de communication, les conversations téléphoniques sont intégrées dans les trames Ethernet) et vise tout autant à la lutte contre l'espionnage (militaire ou industriel) ou le sabotage que la lutte contre la contrefaçon.

                        il y a "la lutte contre la contrefaçon".

                        Le vol d'image ou le téléchargement sauvage de film ne relève-t-il pas du Code de la propriété intellectuelle tout comme la contrefaçon à l'ancienne ? Et n'est pas une forme moderne de contrefaçon ?
                        On peut ergoter indéfiniment sur la propriété intellectuelle et tout cela a été largement discuté lors de la loi dite "Hadopi".

                        Je n'ai pas varié dans mon affirmation qu'il n'y avait pas seulement que l'ANSSI impliqué dans cet arrêté. Dans des temps plus lointains, il y aurait eu deux arrêtés pris chacun par le ministre concerné. Un pour la Défense, l'autre pour le business. C'est le coup de la double signature qui m'a interpellé. Autrefois, un arrêté était propre à une administration. Aujourd'hui, la tendance est à produire moins de textes mais à les allonger considérablement. Ils sont devenus des fourre-tout et la veille juridique particulièrement pénible à assumer.

                        • [^] # Re: Rien à voir avec les écoutes

                          Posté par  (site Web personnel) . Évalué à 2.

                          À nouveau, le texte initial parle uniquement d'atteinte à la sécurité des systèmes d'information vitaux (État et OIV). C'est même la première phrase.
                          Les opérateurs du numérique qui peuvent être concernés par cette loi sont les mêmes opérateurs du numérique que ceux de la loi sur l'économie numérique (étrange ! ) et donc on cite la loi d'origine pour ne pas avoir à dupliquer l'énumération. Pour autant, les dispositions du texte cité ne s'appliquent que pour les atteintes à la sécurité des SI critiques.

                    • [^] # Re: Rien à voir avec les écoutes

                      Posté par  . Évalué à 1.

                      Bon, une dernière tentative et après j'abandonne. Tu as décidé d'interpréter la loi comme bon te semble, et rien ne semble vouloir te faire changer d'avis.

                      Cet arrêté est signé par deux personnes : C. Landais, secrétaire générale de la défense et de la sécurité nationale pour le Premier ministre et T. Courbe, directeur général des entreprises, pour le ministre de l'économie et des finances.

                      Oui, on parle de dédommager les industriels pour les exigences de l'ANSSI ; de plus, les OIV relèvent du ministère de l'industrie.

                      Rien ne dit dans le code de la propriété intellectuelle qu'on doit déployer les outils d'analyse de l'ANSSI (par contre, ces mêmes outils peuvent être labellisé par l'ANSSI, comme par exemple les outils d'analyse de risque EBIOS 2, des messageries sécurisées,etc.). On est sur deux choses différentes. Et, encore une fois, le périmètre de l'action de l'ANSSI concernée par le texte que tu met en lien est très bien défini dans https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000037196293&dateTexte=&categorieLien=cid

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.