"Ainsi, quand le gouvernement nous « vend » un amendement protégeant les intérêts français contre les possibles backdoors chinoises, il en profite pour installer des œilletons pour ses services. Et sans cette passerelle d’écoute, nulle autorisation. L’amendement imposera donc une collaboration étroite des équipementiers avec les services concernés pour autoriser et donc permettre techniquement cette atteinte au secret des correspondances. "
Par Marc Rees
le lundi 28 janvier 2019 à 15:14
Le gouvernement a déposé un amendement au projet de loi PACTE afin de soumettre à autorisation l’exploitation des équipements de réseaux radioélectriques, en particulier ceux relatifs à la 5G. Une mesure qui frappe l’ensemble des opérateurs, notamment le chinois Huawei. Mais le texte offre aussi un pont d’or aux services de renseignement.
La France est « consciente des risques » quant aux équipements fournis par Huawei sur le marché la 5G. Cette déclaration a été faite mercredi dernier par Jean-Yves Le Drian, ministre des Affaires étrangères, comme le rapporte Reuters.
Plusieurs pays ont déjà annoncé qu’ils ne voulaient pas d’équipementiers chinois (Huawei et ZTE par exemple) : les États-Unis, l’Australie, la Nouvelle-Zélande et l’opérateur BT au Royaume-Uni pour ne citer qu’eux. Ils sont parfois accusés d’être à la botte de Pékin et d’installer des portes dérobées, impliquant donc un risque pour la sécurité des futurs réseaux 5G.
De son côté, Huawei a toujours nié en bloc ces accusations et son fondateur était récemment sorti de son silence pour défendre son groupe. Le discours est le même : Huawei serait « une entreprise indépendante […] engagée à être du côté de ses clients en matière de cybersécurité et de protection des données ».
Le même psychodrame s’était produit en juillet 2012 lorsque Jean-Marie Bockel, sénateur du Haut-Rhin, proposait d’interdire purement et simplement le déploiement et l’utilisation d’équipements de cœur de réseaux des Chinois Huawei et ZTE, au motif qu’ ils « présentent un risque pour la sécurité nationale ».
Aux assises de la sécurité à Monaco, la même année, François Quentin, président de Huawei France, nous indiquait au contraire mettre « tout sur la table vis-à-vis des instances gouvernementales ou des instances tierces pour obtenir les certifications dédiées, comme nous l’avons fait en Grande-Bretagne ». Il s’engageait à « ne pas mettre de backdoor » dans ses équipements.
Les objectifs de l’amendement gouvernemental
L’action promise par le gouvernement français la semaine dernière était une question de jours, déclarait Guillaume Poupard, numéro un de l’ANSSI, lors d’un échange presse auquel nous participions au FIC de Lille.
L’attente n’a plus lieu d’être. Dans un amendement au projet de loi Croissance et transformation des entreprises, déposé le 25 janvier, l’exécutif compte faire voter « une procédure d’autorisation préalable à l’exploitation des équipements de réseaux radioélectriques ».
Selon l’exposé des motifs, l’avènement de la 5G « permettra de développer de nombreux usages critiques où le doute sur la sécurité, la fiabilité ou l’intégrité des communications ne peut être permis ».
Le gouvernement cite les véhicules connectés, l’énergie, la santé. Dès lors, « il est nécessaire d’anticiper ces évolutions et les problématiques qu’elles soulèveront en veillant non seulement à la protection des entreprises stratégiques (OIV) du secteur des communications électroniques, mais également à la sauvegarde des intérêts publics ».
Un régime d’autorisation préalable
En substance, il instaure un dispositif d’autorisation préalable à l’exploitation des équipements de réseaux radioélectriques, aussi bien pour les logiciels que le matériel.
Concrètement, dès lors qu’un système, de par ses fonctions, présentera « un risque pour l’intégrité, la sécurité et la continuité de l’exploitation du réseau, il faudra passer par une autorisation du Premier ministre. Une autorisation destinée à assurer la préservation des « intérêts de la défense et de la sécurité nationale ».
Seuls seront exclus de ce périmètre les appareils installés par les opérateurs d’importance vitale chez leurs clients, tout simplement parce que ces acteurs sont déjà eux-mêmes soumis à des contrôles menés par l’ANSSI.
L’autorisation du Premier ministre visera des modèles, des versions et une zone géographique déterminés, pour une durée de 8 ans.
L’existence de « risques sérieux »
Il pourra refuser, mais sa décision devra être motivée par l’existence d’un « risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale ». Le Premier ministre l’appréciera en tenant compte au besoin du contexte, spécialement si l’opérateur, ses prestataires voire ses sous-traitants sont (ou non) « sous le contrôle ou soumis à des actes d’ingérence d’un État non membre de l’Union européenne ».
Extrait de l’amendement gouvernemental
Ce « risque sérieux » sera constaté en appui d’un des seuils de qualité fixés aux a), b), et e) de l’article L33-1 du Code des postes et des télécommunications électroniques (CPTE). C’est là où la présentation de cet amendement « anti-équipementiers chinois » permet finalement de cacher de nouvelles opportunités au profit du renseignement français.
Explications. Ces seuils concernent… :
- a) « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services »
- b) « Les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications »
- e) « Les prescriptions exigées par l’ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique, ainsi que les garanties d’une juste rémunération des prestations assurées à ce titre et celles qui sont nécessaires pour répondre, conformément aux orientations fixées par l’autorité nationale de défense des systèmes d’informations, aux menaces et aux atteintes à la sécurité des systèmes d’information des autorités publiques et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense » (relatifs aux OIV)
Ce dernier cas (le point e) de l’article L33-1 du CPTE est important puisque si on développe, le Premier ministre pourra refuser l’exploitation de tel équipement ou logiciel vissé à une installation radioélectrique en France, s’il présente un risque sérieux d’atteinte aux intérêts fondamentaux.
Extrait de l’article L33-1 du Code des postes et des télécommunications
Ce risque sera en effet vérifié si l’équipement ne garantit pas le respect des prescriptions imposées par la défense nationale ou la sécurité publique, notamment celles nécessaires aux interceptions de correspondances (écoutes) par les services du renseignement.
Ainsi, quand le gouvernement nous « vend » un amendement protégeant les intérêts français contre les possibles backdoors chinoises, il en profite pour installer des œilletons pour ses services. Et sans cette passerelle d’écoute, nulle autorisation. L’amendement imposera donc une collaboration étroite des équipementiers avec les services concernés pour autoriser et donc permettre techniquement cette atteinte au secret des correspondances.
Cette collaboration étroite avait déjà été scellée par un arrêté publié en août 2016 avec lequel les stations de base des réseaux de téléphonie, « dès lors que leurs caractéristiques sont susceptibles de permettre des atteintes au secret des communications » dixit l’ANSSI, sont soumises à un régime d’autorisation.
Un an d’emprisonnement, 150 000 euros d’amende
Si des matériels et/ou logiciels sont exploités sans autorisation préalable, le Premier ministre pourra enjoindre l’opérateur de déposer une demande d’autorisation ou de rétablir à ses frais la situation antérieure.
Le régime est très vaste puisqu’il s’intéresse aussi aux contrats passés dans ce secteur. Ces contrats, clauses, ou conventions prévoyant une telle exploitation seront nulles « lorsque cette activité n’a pas fait l’objet de l’autorisation préalable »
À titre principal, le fait d’exploiter un tel équipement sans autorisation ou d’ignorer une injonction du Premier ministre sera puni d’un an d’emprisonnement et 150 000 euros d’amendes.
Comment va s’incruster une telle règlementation avec les installations en cours ? L’avant-dernier alinéa indique que le régime d’autorisation vaudra pour tous les équipements installés depuis le 1er février 2019. Les opérateurs exploitant déjà ces appareils devront alors déposer une demande d’autorisation dans les deux mois de l’entrée en vigueur de la future loi PACTE puis se mettre à jour au besoin.
« Ce dispositif, assure l’exécutif, doit conduire à mieux protéger nos entreprises stratégiques dans un secteur en constante mutation, et ce, dans l’intérêt de la Nation comme des entreprises ainsi protégées ». Un décret viendra préciser les modalités de ce régime d’autorisation.
Sauf surprise, le texte devra être notifié à la Commission européenne, comme toutes les normes venant réguler la société de l’information.