Vers un blocage administratif des sites utilisés pour des cyberattaques

Le gouvernement a proposé, mardi 4 avril, la création de nouveaux outils dans l’arsenal législatif visant à réagir aux attaques informatiques. Le nouveau projet de loi de programmation militaire, présenté en conseil des ministres, contient plusieurs mesures, parmi lesquelles un blocage administratif des noms de domaine utilisés par certains acteurs malveillants.

L’article 32 du texte, plus précisément, semble conçu pour permettre à l’Agence nationale de sécurité des systèmes d’information (Anssi) de bloquer une partie de l’infrastructure technique utilisée lors d’une cyberattaque. Les groupes cybercriminels et étatiques utilisent généralement un grand nombre de serveurs et de noms de domaine pour leurs opérations : ces outils peuvent aussi bien être utilisés pour héberger des liens de téléchargement vers des virus que pour communiquer avec des logiciels malveillants ou des botnets (un réseau d’ordinateurs infectés par un virus), et envoyer des instructions ou recevoir des informations volées. Lorsqu’une opération ou un nouveau virus est découvert, les spécialistes s’attellent à identifier et lister les noms de domaine et adresses IP associés.

Nouveau cas de blocage administratif

Il existe cependant une difficulté majeure : les infrastructures des groupes cybercriminels et étatiques s’appuient souvent sur un mélange d’outils en intégrant aussi bien du code sur un site dont ils ne sont pas propriétaires qu’en enregistrant eux-mêmes des noms de domaine.

Le texte de loi prévoit donc ces deux cas de figure. Dans le premier, « lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire », l’Anssi pourra contacter le propriétaire du nom de domaine pour demander la suppression des pages ou éléments incriminés. Si elle n’obtient pas de réponse dans un délai imparti, l’Agence pourra alors intimer aux fournisseurs d’accès Internet (FAI) de bloquer le nom de domaine concerné, voire demander sa suspension auprès des bureaux d’enregistrement.

Lire : Projet de loi antiterroriste : le gouvernement veut bloquer les sites Internet djihadistes

Dans le deuxième cas, quand il est constaté que des noms de domaine ont été directement enregistrés par un acteur en vue de mener une cyberattaque, alors l’Anssi pourra directement demander leur blocage par les FAI.

Quels seront les garde-fous ? L’étude d’impact explique que ces « nouvelles prérogatives accordées à l’Anssi » seront contrôlées a posteriori par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) et que les décisions de blocage pourront être contestées – toujours a posteriori – devant un tribunal administratif.

La loi française prévoyait déjà plusieurs cas de figure permettant aux autorités de requérir directement auprès des FAI le blocage de pages ou de sites sans passer par une décision de justice. C’est notamment le cas pour les sites considérés comme faisant l’apologie du terrorisme ou appelant à des actions terroristes, ainsi que les sites liés à l’exploitation sexuelle de mineurs. Là aussi, ce type de blocage ne peut être contesté qu’a posteriori par les personnes ou organisations affectées.

Lire aussi : Article réservé à nos abonnés La guerre en Ukraine fait basculer le monde dans l’ère des cyberattaques

Des obligations pour les éditeurs de logiciels

La loi de programmation militaire contient par ailleurs d’autres mesures visant à se protéger des cyberattaques. L’article 33 du texte, par exemple, doit permettre à l’Anssi d’obtenir les données enregistrées par les serveurs DNS – le protocole qui permet de faire le lien entre un nom de domaine et l’adresse IP du serveur qui contient les données ou le service – d’un opérateur. Cette disposition doit permettre à l’agence de détecter plus facilement les serveurs utilisés par des attaquants.

Un autre pan du texte entend obliger les éditeurs logiciels victimes d’un incident informatique ou exposés à une vulnérabilité importante d’informer l’Anssi et leurs utilisateurs du problème rencontré. Les éditeurs concernés par cette mesure seront définis par décret, mais le texte de loi précise déjà que cette obligation s’appliquera à des organisations françaises ou fournissant leurs services sur le territoire français.

Lire aussi : Cyberattaques dans les hôpitaux : « Le paiement de rançon n’est pas une solution, sinon, ça devient le Far West »

Enfin, l’article 35 du projet de loi vise à étendre les dispositions introduites dans la dernière loi de programmation militaire de 2019 : ce texte permettait aux FAI qui le souhaitent de déployer des outils de détection des menaces sur leur réseau, et à l’Anssi d’installer ses propres outils de détection chez un hébergeur en cas d’attaque grave visant « un acteur stratégique ». Soit une administration française ou un « opérateur d’importance vitale », terme qui désigne les entités (entreprises ou acteurs publics) critiques en matière de sécurité nationale ou assurant un service essentiel pour le fonctionnement du pays, comme la distribution de l’eau, de l’électricité.

Le Monde

Offre spéciale étudiants et enseignants

Accédez à tous nos contenus en illimité à partir de 8,99 euros par mois au lieu de 10,99 euros

S’abonner

Avec la nouvelle loi de programmation militaire ces capacités seraient étendues à de nouveaux acteurs : les centres de données utilisés par les hébergeurs ainsi que les « sous-traitants » des organisations régulées par l’Anssi. L’article 35 entend même obliger les « opérateurs d’importance vitale » à mettre en place des solutions de détection, pour mieux repérer les marqueurs techniques d’une possible cyberattaque.

Louis Adam et Florian Reynaud