Intervention de Guillaume Poupard

En l'occurrence, cette image a trouvé ses limites… Les adresses IP sont des données personnelles, mais l'ANSSI perdrait sa raison d'être si elle s'interdisait de les traiter. Elles constituent en effet le fonds de commerce du centre opérationnel. Selon la jurisprudence de la DGSE et, surtout, de la Commission nationale de contrôle des techniques de renseignement (CNCTR), une URL – une adresse de site internet – est une donnée signifiante, et non une métadonnée. Parmi les marqueurs techniques que nous utilisons se trouvent donc des URL : lorsque nous identifions un site Internet clairement malveillant, son adresse internet est l'un de ses marqueurs les plus triviaux, que nous souhaitons pouvoir partager avec les opérateurs de communications électroniques.

Il va donc de soi que nous traitons des données, y compris des données personnelles. C'est pourquoi le texte ne loi ne saurait comprendre une disposition visant à rassurer qui interdirait de toucher aux données personnelles : nous y touchons de fait. L'essentiel est que la finalité reste la détection et que l'on s'en tienne aux données strictement nécessaires et signifiantes. Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché. Le virus en question n'est pas une donnée signifiante pour l'utilisateur, qui ne le voit pas ; l'ANSSI, quant à elle, entre dans la pièce jointe pour trouver le virus mais n'affiche à aucun moment le contenu de la pièce qui, pour elle, n'a aucun sens.

Ce débat peut être complexe. Disons qu'il est hors de question de cibler la donnée signifiante pour la victime, mais plutôt la donnée signifiante pour l'attaquant, c'est-à-dire les pièges et virus parfois dissimulés dans les plus lointains recoins d'une pièce jointe. Or, pour être efficace, il faut souvent se rendre jusque dans ces recoins et, pour ce faire, être capable de reconstituer les pièces jointes concernées – d'où les discussions sur l'inspection des paquets en profondeur, deep packet inspection (DPI), qui inquiète légitimement. Sur le plan technique, comme je l'ai indiqué peut-être trop franchement aux journalistes qui maîtrisent ces questions, cette méthode ressemble à la DPI même si sa finalité diffère et que les produits de DPI à des fins de renseignement ne fonctionnent pas de la même manière. En tout état de cause, il faut bien, à un moment ou à un autre, aller voir de quoi il s'agit car les attaquants, eux, iront là où ils se savent indétectables, de même qu'ils utilisent aujourd'hui des hébergeurs français, conscients que la France ne sait pas vérifier si un serveur a été infecté ou non. Nos partenaires étrangers nous alertent d'ailleurs sur la recrudescence incroyable d'infections de serveurs en France, qui est liée au fait que les attaquants suivent de près l'évolution de la réglementation des différents pays – ce qui n'est guère difficile.

L'article 19 n'aborde pas la question du lien offensif-défensif et de l'attribution car ce n'est pas son objet. Cela ne veut pas dire que nous ne faisons rien, loin s'en faut. La question de l'attribution – identifier qui attaque – relève clairement des services de renseignement, même si le pouvoir judiciaire peut jouer un rôle. En pratique, il est extrêmement difficile d'établir avec certitude l'identité de l'attaquant. L'ANSSI, en revanche, peut déterminer techniquement si deux attaques sont conduites par la même personne ou par le même groupe, car les mêmes méthodes et outils seraient utilisés. En revanche, elle ne peut pas établir si le groupe en question est russe, chinois, américain ou autre. Des indices peuvent exister – un code d'attaque comportant des caractères cyrilliques utilisé par un attaquant travaillant aux heures de Moscou, par exemple. Ce ne sont pourtant que des indices, et non des preuves : il est très simple pour un attaquant non russe d'insérer du cyrillique – certains le font très bien – dans ses codes d'attaque et de se lever en pleine nuit pour travailler aux heures de Moscou. Seuls les services de renseignement peuvent apporter à un tel faisceau d'indices des éléments vraiment crédible – ce qu'ils commencent à faire plutôt bien, même s'il s'agit d'un axe de progrès majeur. Les moyens consacrés à la cyberdéfense dans la LPM vont précisément dans cette direction.

La France a fait le choix de dissocier les missions offensives et les missions défensives. Il est clair pour tous – les agents, Patrick Pailloux, moi-même – que chacun a sa mission à l'abri de tout conflit. Que les missions soient dissociées, cependant, ne signifie pas que nous n'avons pas le droit de nous parler, notamment de l'articulation qui existe entre la détection, l'aide aux victimes, l'attribution voire, à l'avenir, la contre-offensive – par laquelle on ne saurait pas commencer car, avant de contre-attaquer, il faut connaître l'attaquant. Il va de soi qu'il faut trouver cette articulation et, de ce point de vue, le système français me semble bien conçu : les missions sont séparées mais la proximité entre les services est assez grande, ne serait-ce qu'en raison du chapeau du Premier ministre, pour que nous travaillions tous ensemble, chacun dans son domaine de compétence.

Il me reste à répondre au sujet des sondes...