Interventions sur "attaque"

...sayons de faire en sorte que ce soit mieux que si c'était pire. Ainsi, nos camarades socialistes proposent un avis conforme, garantie supplémentaire. Mais, même cela, c'est trop pour vous ! Plus nous avançons dans l'examen de cet article, plus j'ai l'impression qu'il est urgent de ne pas donner de telles prérogatives à l'Anssi et d'en rester à l'état actuel du droit, qui permet de faire face aux attaques même si, déjà actuellement, nous ne les empêchons pas…

Je le répète, nous aimerions comprendre. En commission, nous avons évoqué des délais d'un an et demi, voire de deux ans, pour se prémunir de nouvelles attaques par les mêmes personnes ou organismes. Dont acte, car il s'agit là d'éléments objectifs, liés à ce qu'on sait de ces attaques du fait des retours d'expérience. A-t-on, aujourd'hui, affaire à des attaquants que nous connaîtrions depuis dix ans, sachant que les technologies d'attaque ont largement changé depuis dix ans ! Des données numériques, conservées pendant un tel délai, seront complètement...

...isations en matière de collecte de données, sans motif légitime apparent ; or l'alinéa 14 concerne les cas où des cyberattaquants ont sciemment exploité un nom de domaine aux fins de porter atteinte à la sécurité nationale. Il s'agit d'obtenir des éléments sur le comportement de l'attaquant, sur son mode opératoire, afin de neutraliser la menace, d'identifier les victimes et de mieux prévenir les attaques. L'alinéa prévoit des délais de conservation limités, sous le contrôle de l'Arcep. D'ailleurs, dans son avis sur le projet de loi, le Conseil d'État observe que le dispositif envisagé est justifié par la sauvegarde des intérêts fondamentaux de la nation et par la prévention des atteintes à l'ordre public. J'ai néanmoins souhaité une diminution de la durée de conservation de ces données, de dix...

...'atteinte à l'ordre public, car cette formule peut désigner tout et n'importe quoi. Certains pourraient ainsi considérer que nous porterions atteinte à l'ordre public macronien – ils n'auraient pas complètement tort. Selon eux, nous apporterions même le chaos. La question est de savoir quelles garanties on détermine. L'alinéa 14 prévoit la destruction immédiate des données personnelles. En cas d'attaque, si vous déroutez le flux de données vers un serveur sécurisé pour le circonscrire et l'analyser, afin d'empêcher l'attaque, vous saisissez tout : toutes les données relatives au nom de domaine concerné seront transférées au serveur sécurisé. S'il s'agit d'un site commercial ou d'un grand groupe, par exemple, les données personnelles des gens qui y travaillent, comme leurs identifiants et leurs m...

...s dites que dix ans de conservation des données, c'est trop. C'est pourtant le délai que prévoyait le projet de loi ; il a été réduit à cinq ans lors de l'examen en commission. Vous affirmez maintenant que la bonne durée serait cinq ans, que deux ans seraient insuffisants. Nous vous demandons pourquoi. Seul M. le ministre délégué a donné un élément de réponse, expliquant que les architectures des attaques pouvaient perdurer plus de cinq ans. Dans ce cas, il faut augmenter le délai ! Il faut le porter à cinq ans et demi, ou six, ou sept ans.

Pourquoi dix ans ? À l'origine du débat, l'intention était de fixer un délai habituel en matière de prescription dans ce domaine, en particulier pour les délits. Lors de l'examen du texte en commission, nous avons abouti à un compromis de cinq ans. Les auditions ont montré qu'il était inutile de conserver les données dix ans : si dans les cinq ans qui suivent une attaque, on n'a pas trouvé les personnes ou reçu de demande de coopération, il est trop tard pour identifier les auteurs. Un délai de deux ans serait trop court. La coopération internationale nous impose d'aller au-delà. D'autres pays demandent notre soutien, dans le cadre de leurs instructions sur WannaCry, qui a eu lieu en 2017.

Il est vrai que nous avons brièvement évoqué le juge administratif et le référé liberté lorsque nous avons proposé de porter à soixante-douze heures le délai prévu à l'alinéa 10. Vous nous avez répondu que c'était déjà satisfait en droit, qu'au pire les gens prendraient un avocat – bref, « débrouillez-vous » –, que, d'ailleurs, l'objectif n'était pas de faire valoir des droits, mais d'arrêter l'attaque et de pouvoir conserver les données afférentes pour analyser son architecture. En somme, vous avez brandi la sécurité nationale, un truc avec lequel on ne rigole pas : la saisine du juge administratif serait vraiment hors sujet. Nous entendons tout cela, mais nous ne comprenons toujours pas pourquoi le délai devrait être de cinq ans, ou de dix, ou de deux ; de quarante-huit heures plutôt que de ...

Vous citez des attaques qui se sont produites il y a plus de cinq ans, mais il n'est pas nécessaire de disposer des données exactes qui les concernent, que d'ailleurs nous n'avons plus. Lorsqu'une attaque survient, il est possible de reconstituer son architecture et de la conserver, sans stocker l'ensemble des données de l'attaquant. En cas de procédure judiciaire, les données seront conservées sous scellés le temps né...

Nous en avons discuté en commission des lois ; il vise à remplacer « surcoûts » par « coûts ». L'article 32 s'appliquera à quelque vingt attaques par an seulement, mais il s'agira d'attaques massives et coordonnées : les opérateurs devront consentir de lourds investissements pour appliquer le dispositif. Il ne s'agit pas des retraits de contenus, auxquels on peut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d'investir massivement pour effectuer des redirections...

...maine et l'adresse IP – internet protocol – d'un utilisateur qui souhaite y accéder. Afin de répondre rapidement à l'utilisateur, ces serveurs conservent des données qui sont dites de cache. Or celles-ci ne peuvent être transmises à l'Anssi, alors qu'elles l'éclaireraient sur les infrastructures informatiques utilisées par les cyberattaquants. L'Anssi aurait ainsi accès aux causes des cyberattaques et non seulement à leurs effets. Cet article prévoit l'obtention de la copie des données de cache des serveurs DNS : les noms de domaine, les adresses IP des machines utilisées et l'horodatage des demandes. Il sera ainsi possible de connaître avec précision les modes opératoires des cyberattaquants. Ces données sont stratégiques pour perfectionner nos dispositifs de détection des menaces et de ...

L'article 33 permet aux agents de l'Anssi d'être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques. Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées en commission : sur le cadre des pouvoirs conférés à l'Anssi, sur les délais de conservation des données ou encore sur les avis des autorités indépendantes. La suppression des opérateurs de communication électronique du champ de cet article nous semble également être une bo...

Il vise à préciser que les données transmises à l'Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine, sans mentionner l'adresse IP source, afin de préserver l'anonymat de l'utilisateur du nom de domaine et de cibler seulement les données qui permettront de reconstituer un type d'attaque. Il s'agit donc de sécuriser l'anonymat des données recueillies par l'Anssi. J'en profite pour remercier la rapporteure pour avis, le Gouvernement et l'Anssi pour leur collaboration entre la commission et la séance. À l'issue de ces discussions, il est apparu que l'inscription d'une liste de données techniques ne garantirait pas réellement l'anonymat de ces données car elles peuvent évoluer et d...

Si ces données sont certes non identifiantes, elles peuvent se révéler importantes, du point de vue de la sécurité nationale, pour retracer une attaque. La durée de deux ans est raisonnable. On doit pouvoir reconstituer sur papier l'architecture de l'attaque qui serait lancée, il est nul besoin de disposer de données à chaque étape, d'autant qu'elles ne sont pas identifiantes. Dès lors, je ne vois aucune raison de les conserver aussi longtemps. Une fois de plus, ces dispositions sont nébuleuses et donnent l'impression qu'elles ont été rédigées ...

C'est un amendement de repli par rapport à l'amendement n° 1275 que j'ai défendu sans prendre le temps de le présenter. Celui-ci visait à limiter l'obligation de transmission des données au seul cas où elle serait demandée par l'Anssi, étant donné que leur volume est très important et que les données de tous seront transmises, même si aucune attaque n'est commise. Nous avons débattu de cet amendement en commission, donc je connais votre avis sur cette question. L'amendement n° 1272 vise à préciser par décret la fréquence et les conditions de transmission des données, transmission qui fait peser une charge sur les acteurs concernés. Il ressort des auditions menées que cette transmission doit être précisée par décret.

...indisponibilité risquerait de diminuer d'une façon importante – et il en vient ici à la définition de la sécurité nationale – le potentiel de guerre de la nation, son potentiel économique, sa sécurité ou sa capacité de survie et qui, de ce fait, sont tenues de coopérer à la protection de ces installations contre toute menace ». Cette définition est donc suffisamment large pour englober les cas d'attaques cyber tout en étant très précise, davantage en tout cas que celle du code pénal que vous proposiez de retenir, monsieur Iordanoff. Il n'est pas question ici des installations culturelles, par exemple.

...blème pour la sécurité nationale, c'est n'est pas sur la base d'un dogme mais de faits avérés. Je vous ai rappelé que des entreprises capitalistiques mues par des logiques de rentabilité avaient déjà posé des problèmes à la sécurité nationale, et nous pouvons d'ailleurs remercier chaleureusement MM. Assange et Snowden qui, pour avoir révélé un certain nombre de ces problèmes, ont ensuite subi des attaques d'une extrême violence. Vous me reprochez de proposer des sanctions financières tout en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsi...

...r un traitement plus favorable, chose que nous cherchons donc à éviter par ces amendements. L'impératif est de nous assurer de l'applicabilité de la loi pour que les correctifs puissent être effectivement apportés. Il ne faudrait pas que des failles de vulnérabilité soient publiées dans un délai fixe, sans que les correctifs aient été apportés, car, le cas échéant, ce serait ouvrir la porte à des attaques coordonnées et massives que nous aurions pu éviter.

L'article 34 vise à permettre à l'Anssi de publier les vulnérabilités d'une entreprise. Il s'agit non seulement d'une méthode contestable, mais qui est, en outre, de nature à mettre en danger une entreprise en l'exposant potentiellement à d'autres attaques. En effet, ce serait une occasion en or pour les hackers : on leur offrirait sur un plateau d'argent une voie d'entrée dans les systèmes d'information. Ils s'en donneraient à cœur joie, puisqu'il leur suffirait de consulter les publications de l'Anssi pour disposer d'une liste d'entreprises vulnérables sur lesquelles concentrer leurs attaques. Si je comprends votre volonté d'inciter les entrepr...

…dont l'objectif est d'informer les utilisateurs de la présence d'une faille dans le logiciel afin d'en limiter les victimes. Il est bien entendu que, parallèlement à cette publication, l'Anssi, en lien avec l'éditeur victime de l'attaque, travaille à combler la faille. Votre amendement conduisant à affaiblir le dispositif, j'émettrai un avis défavorable.

L'article 35 prévoit de renforcer les capacités de détection des cyberattaques et l'information des victimes par divers moyens : recueil de données sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un fournisseur d'accès, d'un hébergeur, d'un centre de données ; obligation pour les OIV de disposer d'un système de détection des attaques informatiques ; obligation pour les hébergeurs de données de communiquer à l'Anssi certaines infor...