Guillaume Lovet, Fortinet : "les arguments en faveur de la Loppsi sont fallacieux"
Les dispositions prévues par le projet Loppsi commencent à faire grincer de nombreuses dents. Guillaume Lovet, responsable de l’équipe de lutte contre les menaces informatiques de Fortinet pour la région EMEA, a tenu à exprimer ses réserves, sinon ses critiques, à l’égard d'un projet de loi dont il pointe les potentiels effets indésirables pour la démocratie. Tout en s'interrogeant sur son efficacité.
LeMagIT : L’objectif affiché par le projet de loi Lopssi (le filtrage des sites Web pédopornographiques) vous paraît-il atteignable ?
Guillaume Lovet : Le filtrage, au niveau des fournisseurs d’accès à Internet, n’empêche pas un utilisateur avisé d’aller consulter les sites Web qui l’intéressent. Avec une telle mesure, on risque surtout de durcir le comportement de certaines catégories de personnes. Tout le monde en est conscient. Le forum « Les enfants du Net 3 » reconnaissait, dans ses conclusions, que le contournement du filtrage est possible. Et d’argumenter pourtant en sa faveur, au motif qu'il empêcherait un internaute de tomber par hasard ou par curiosité sur des images pédopornographiques. Objectivement, de tels arguments ont de quoi paraître très fallacieux. C’en est à se demander si le projet Loppsi 2 n’est pas un peu un comme un pied dans la porte : une fois que les dispositifs de filtrage ont été mis en place pour la pédopornographie, on peut passer aisément à d’autres contenus. Surtout, la cible énoncée dans le cadre du projet de loi interdit tout débat moral. Le débat est d’ailleurs tout autant fermé sur un second volet du projet, celui qui touche à la captation des données dans le cadre de la lutte contre le terrorisme… Mais là, avec Internet, ça n’a rien de comparable avec les écoutes traditionnelles : contrairement à ces dernières, un cheval de Troie ne coûte rien à installer ou à dupliquer.
LeMagIT : Cette idée de malware pour espionner les ordinateurs de terroristes présumés vous semble-t-elle réaliste ? G.L. : Pour que ce malware officiel atteigne son but, il faut que les éditeurs de logiciels antivirus, notoirement ceux qui implémentent de l’analyse comportementale (c’est-à-dire ceux qui observent ce que font les processus dans le système et signalent les comportements suspects style capture d’écran, exfiltration de données ou
keylogging, ndlr) acceptent de le mettre sur liste blanche (donc de ne pas le détecter, sciemment, ndlr). Or, il n’y a pas de raison pour qu’un éditeur de logiciels antivirus basé en Chine ou en Russie fasse cette faveur au gouvernement français. Se pose enfin la question de l’utilisation des preuves collectées : comme pour Hadopi, le projet de loi semble considérer qu’une adresse IP correspond à un individu, ce qui n’est évidemment pas le cas.
LeMagIT : Cette question renvoie à celle de l’usurpation d’identité, contre laquelle le gouvernement affirme vouloir s’engager... G.L. : Le problème est effectivement le même. Les plus dangereux, ceux qui contrôlent les
botnets par exemple, ont largement les moyens de passer aux travers des mailles, ne serait-ce qu’en utilisant leurs
bots comme proxy socks (serveur relais, ndlr)… La partie sur l’usurpation d’identité comble, en effet, un vide juridique mais attention à ne pas considérer, dans son application, qu’une adresse IP correspond à un individu. Car, une fois de plus, c’est notoirement faux. Un très grand nombre de virus et de chevaux de Troie ont des composants permettant le relais de connexion ; les cybercriminels s’en servent alors comme d’un proxy, afin de masquer leur adresse IP. Si votre machine est infectée et utilisée de cette manière, tout ce que fera le cybercriminel portera votre adresse IP comme signature. Idem si quelqu’un pirate votre réseau WiFi. D’où l’absolue nécessité de ne jamais considérer, devant la loi, qu’une adresse IP correspond à un individu (ou même à un abonnement).
LeMagIT : Lors des débats sur le projet de loi Création et Internet, il s’est avéré
particulièrement difficile de faire intervenir, sur le sujet, des acteurs de la société civile. Pourquoi décidez-vous de parler ?
G.L. : Je m'exprime en tant que professionnel qui connaît les problématiques liées à la cybercriminalité en particulier et à la sécurité informatique en général ; mais egalement en tant que citoyen français, voire en tant que citoyen du monde. Car, si en France, le pays des droits de l'homme, on commence à soumettre l'Internet à la censure gouvernementale, et, dans le cas d'Hadopi, à supprimer la présomption d'innocence et à forcer les gens à installer des chevaux de Troie (payants, ce qui est un comble) pour prouver leur bonne foi, qu'est-ce qui va empêcher les autres pays d'emboîter le pas, voire de faire pire ? L'effet boule de neige, sur ces problématiques, doit être considéré. La preuve, dans le dossier de presse du projet de loi Loppsi, on trouve des justifications du type "d'autres démocraties telles que le Danemark ou la Grande Bretagne l'ont déjà fait". Mais sans citer les conséquences, qui furent nulles sur les réseaux pédophiles, et néfastes pour les internautes. En Grande-Bretagne, des pages de Wikipedia et des forums de discussion généralistes furent censurés. Ce fut pire en Thaïlande (censure des sites critiquant la famille royale) ou en Australie (censure de sites pornographiques traditionnels, gay, sur l'euthanasie, satanistes, contre l'avortement, de videos Youtube, de pages Wikipedia, etc.). Dans ce pays, le projet rencontre d'ailleurs une très forte opposition et va sans doute être abandonné. Un système de censure secret n'est jamais bon pour la démocratie, l'Histoire le prouve. Quant à la problématique de la liberté de consultation des informations en elle-même, je pense qu'elle est liée à la problématique de la liberté d'expression. Dans une société, on peut penser qu'elle ne doit pas être totalement illimitée, notamment lorsqu'elle met en danger son intégrité. Mais cela, autant que je sache, c'est à un juge d'en decider, pas au pouvoir exécutif au travers d'un système préventif et secret. Pour donner un exemple simple, ce n'est pas la même chose de faire l'apologie publique d'un bouquin comme Mein Kampf (ce que la société n'accepte pas, et ce qu'on peut concevoir) et de le consulter parce qu'on fait une thèse sur la montée du nazisme au debut du XXe siecle en Allemagne. Le filtrage préventif de l'information ne permet déjà pas cette distinction toute simple. Et ce n'est qu'un exemple.