bulletin lambda 2.08
RAPPELS : Se reporter aux bulletins suivants pour les affaires de censure antérieures (2.01, 2.04, 2.05, 2.06, ainsi que l'affaire de Compuserve en Allemagne.
Le vote de la loi sur les nouvelles règles des télécoms s'est conclu, pour les usagers de l'Internet, dans la précipitation. L'amendement instituant un contrôle "déontologique" des sites par le Conseil supérieur de la télématique, s'est fait sans consultation préalable. Et c'est l'occasion de revenir sur la surveillance des services, mission prise en charge depuis 3 ans par le CST dans la télématique française. Quant au volet "crypto" Résumé : les tiers de confiance sont dans la loi, mais même avant son vote et avant les décrets d'application, les barbouzes auraient déjà fait leur choix sur l'une des sociétés qui garderont vos clés de chiffrement à la disposition de la justice. Aux States, Clinton va devoir enterrer le projet Clipper pour la 3ème fois.
Le Conseil supérieur de la télématique monte en grade. C'est donc la substance de l'amendement déposé et voté par le Sénat vers 3 heures du matin le vendredi 7 juin. Amendement à la loi sur la règlementation des télécoms. A noter que le CST créé en 1993 se nomme bien "Conseil" mais que dans la nouvelle loi, il devient "Comité supérieur ...".
Déposé par le sénateur Larcher, repris par le ministre, il est censé dépénaliser les fournisseurs d'accès s'ils se conforment aux règles déontologiques et aux listes noires des sites interdits (établis donc par le CST nouvelle formule). Signalons d'abord le cafouillage du vote de cette disposition:
Un comité interministériel devait rendre un rapport le 15 juin, dans lequel on s'attendait qu'il soit fait mention de solutions sur le problème du contrôle des contenus; curieux de connaître le point de vue d'Isabelle Falque-Perrotin, à la tête de ce comité et conseiller d'Etat (beau respect pour l'institution...)
L'ISOC-France et l'AUI, les deux seuls garde-fous sur lesquels les utilisateurs peuvent s'appuyer pour intervenir dans le débat, avaient eux-même lancé les débats. L'ISOC a organisé une consultation. Et l'AUI a sorti un rapport sur leur position; malgré les promesses faites par Fillon devant des journalistes et des observateurs, l'AUI n'a toujours pas été reçu par le ministre, ni même contacté par le comité en question. Beau dialogue consensuel.
La présidente de l'AUI, Meryem Marzouki, s'étonne que le texte de l'amendement ait été soumis à l'AFPI (groupe de fournisseurs qui est loin de les représenter tous), alors que l'AUI (ainsi que l'ISOC‹à confirmer) a une nouvelle fois été ignorée. Beau cafouillage.
Il n'est pas inutile de revenir sur ce mystérieux CST, créé en 1993, sous tutelle du ministre des télécoms, et qui doit donc passer sous la coupe du CSA.
PROLOGUE
Le CST, c'est à la fois le
grand régulateur, le grand nettoyeur des services télétel
et audiotel, mais aussi le "mateur en chef" : il se charge,
en théorie, de la surveillance des services. Tache qu'il devra
donc poursuivre sur l'Internet -- bon courage. En juillet 1995, le
président du CST De Bresson s'était déjà
déclaré "compétent" pour réguler
les sites Internet en France.
Le CST nouvelle formule devra intégrer d'autres membres (dont dépendra entre autres sa "crédibilité"). Présidé par un conseiller d'Etat : présidé par un conseiller d'État, il compte 20 membres : un juge pour enfants, un magistrat (Cour de Cassation), représentants des ministères (communication + télécom), d'éditeurs et fournisseurs (5), de syndicats de presse (3), de France Télécom (1), d'associations familiales (2) et de consommateurs (3). Il dresse les "règles déontologiques" établis dans les contrats. Et son bureau exécutif, le CTA (Comité de la télématique anonyme, 7 membres piochés du CST - France Télécom est absent).
Mais lorsqu'on interroge le CST/CTA (le secrétariat est installé dans un bureau du ministère des PME...) sur le pourquoi du comment de la surveillance, on nous renvoie chez FT. Là, on apprend que c'est une "cellule de contrôle télématique" du SNAT (service des annuaires de FT) à Bordeaux qui scrute les dizaines (centaines?) de milliers de services. Ces agents des télécoms sont parait-il assermentés par la justice pour regarder ou écouter les services (copie ou capture d'écran), ce qui sert de base à un procès verbal de constat versée pour examen devant le CTA. Bien-sûr, gage de transparence, impossible pour les journalistes de pénétrer dans l'immeuble du SNAT rue Lecocq à Bordeaux.
ENQUETE
Après plusieurs mois de
farfouillements au sein de ce petit monde (jusqu'en février
1996), voici quelques points qui éclairent le caractère
arbitraire de la mission de surveillance du CST (merci à
Libération, qui m'a encouragé à enquêté,
mais sans publier.)
Les agents, lors des PV, ne signent plus par leur nom, mais par des numéros d'immatriculation, a remarqué la revue Chroniques Télématiques, entièrement dédiée à fouiner dans la loi pour dénoncer les pratiques des grands régulateurs. Ce qui ne me semble pas très légal...
Comment est fait le choix de la surveillance? La cellule de Bordeaux compte une armée de... 5 à 8 agents maximum. Le choix des services surveillés est donc capital. Qui fait ce choix? La direction générale de France Télécom (parfois à la demande du CTA). On a pu apprendre ce détail de la bouche de Fanny Pelletier, chef de cette cellule de surveillance qui était attaquée en correctionnelle (!) au TGI de Bordeaux (audience du 27/9/95). Elle a été acquitée. Mais le petit éditeur qui l'avait attaqué dénonçait notamment la légalité des PV signés par les "dames du SNAT". Puisque ces agents sont tenus, dans leurs statuts, au secret des correspondances dont ils ont connaissance. Le juge ne s'est pas prononcé, sauf pour dire que ces PV avaient "l'apparence de la vraissemblance" (sic). L'argument de la partie civile n'a pas pris : "A-t-on vu un agent d'EDF rentrer chez vous pour vérifier que l'électricité ne sert pas à imprimer de la fausse monnaie?"
Chroniques Télématiques, encore lui, a montré que les agents du SNAT prennent eux-même des pseudos et attisent les discussions pour provoquer des propos indécents (ce qui peut être sanctionné par le CTA). Les captures d'écran montrent la mention "messages privés", alors que le SNAT et FT ont toujours affirmé "intervenir dans la partie publique des services".
Lors de ce procès, en passant, deux témoins de marque sont venus soutenir l'agent des télécoms contre le méchant petit éditeur : Martine Tournier, chef de la télématique de TF1, et Henri de Maublanc, chef de de l'Aftel, qui vient de râlé dans Le Monde du 9 juin contre la main-mise du CSA sur le CST (dont il est un des membres), en dénonçant "la règlementation très contraignante" de ce dernier.
Les éditeurs qui font du porno sont bien-sûr visés avant tout. Un groupe de presse de province, actif dans les messageries roses, s'est fait coincer pour un prétendu détail technique dénoncé dans le contrat. Il raconte : "Le CTA, c'est un peu comme un tribunal révolutionnaire ou le Procès de Kafka. On est vite catalogué coupable lorsque c'est France Télécom qui saisit le CTA. Le fait que l'opérateur public soit aussi éditeur de services [via la myriade de filiales de Cogécom ou de VTCom] laisse planer le doute sur la neutralité des régulateurs. Bref, de l'abus de position dominante. La solution? Que ce soit des juges qui tranchent ces litiges. Il faut créer une chambre spécialisée au TGI de Paris. Un peu comme la 17ème qui est saisie systématiquement lors d'une affaire de presse..."
Il y a comme des traitements de faveurs entre les gros poissons de la télématique (type AGL, Axime, ou les filiales de FT comme Questel) et les petits éditeurs. Au point qu'une association, "1er janvier 1998" (allusion à la fin du monopole), 125 éditeurs membres en février, s'évertue à faire constater par huissier certains passes-droit.
+ Ici un service de jeux se fait couper pour offrir des
bonifications à la connection. Là un service de Questel
(Décidial, 3629 très lucratif), offre des "points
de fidélité" de la même veine.
+ Ici
un autre se fait interdire pour utilisation de "jeux de hasard",
là un code minitel appartenant à Politel met en ligne
des jeux de dés. Politel, dont le dirigeant est le président
de l'Aftel (de Maublanc), syndicat d¹éditeurs membre du
CTA, entretenant des relations cordiales avec France Télécom
(lire plus haut).
+ Ici, 1000 services audiotel 3670 (les
plus chers) se font décâbler en mai 1995 pour passer en
3669 -- concerne surtout les messageries "grand public".
Moins cher pour le consommateur. Mais plus lucratif pour FT qui voit
sa part des reversements passer de 30% à 59% avec le 3669. Là,
enfin, une filiale de VTCom, avec un groupe de presse, offre un
service de sexologie sur 3670 (encore actif en octobre 95, soit six
mois après l'interdiction).
Signe des temps, à la fin de 1995, FT met dans un placard Jean Guiraudios, chef du marketing de la télématique grand public. Surnommé le "grand nettoyeur" dans le petit monde du minitel. Il est à l'origine de la "brigade des moeurs" de Fanny Pelletier, installé d'abord à Paris. C'est lui qui signait notamment les lettres de résiliation pour "rupture déontologique" de contrat. C'est aussi lui qui donnait l'essentiel des ordres à la cellule du SNAT à Bordeaux. Et c'est aussi lui qui était devenu administrateur dans 7 sociétés du groupe Cogécom -- éditeurs de services pros. Il régulait donc un secteur qu'il connaissait bien ‹ très bien même...
Parole à la défense. + Me Emmanuel Michaud, avocat attitré de FT, dit en substance : "La légitimité du contrôle du SNAT est avérée. Les agents, dit-il, sont assermentés auprès des tribunaux. Et ces procédures ont un but clair : la protection du consommateur. L¹abonné au téléphone est cocontractant de France Télécom, il est donc légitime de s¹assurer que le contenu des services télématiques est conforme à leur objet." Il ajoute que les sociétés dénonçant les PV sont des "brebis galeuses" qui ne cherchent qu'à retarder les procédures.
+ Le directeur commercial des "services en ligne" de FT, Philippe Reynaud, a reconnu que contrôler les services est "un rôle pas complètement habituel (sic) pour un opérateur public". Mais il défend les agents du SNAT, qui ne font, dit-il, "aucun filtrage" sur le choix des services surveillés. Dans le cadre de la fin du monopole, "le régime contractuel n¹est peut-être plus tout à fait adapté".
EPILOGUE
France Télécom, selon les récentes déclarations, ne devrait plus faire partie du CST nouvelle formule. Il l'était pourtant alors qu'il était concurrent des services télématiques qui ont fait les frais des coups de ciseaux du CST;
La question de la "surveillance" des groupes ou des sites de l'Internet sera sans doute moins procédurier, puisqu'il n'y a pas de "contrat" liant le diffuseur (éditeur) et un transporteur quelconque;
Reste que l'arbitraire de la classification des sites et la "déontologie" dont on nous parle régnera en maître au sein d'un CST même remodelé;
Se pose la question de former des juristes spécialisés et de créer une chambre au TGI dédiée aux litiges informatiques;
Surtout que si un prestataire Internet ne se conforme pas aux futures recommendations du CST, il devient pé&nalement responsable -- belle alignement sur le CDA américain voté en février par le Congrès (bulletin 2.01).
Dans la loi Fillon sur les télécoms, les afficionados de la sécurité informatique s'intéressent à l'article 12. Celui qui annule les dispositions actuelles sur les procédures d'autorisation et d'agrément des moyens de chiffrement destinés à protéger à la fois l'intégrité et la confidentialité des messages. La France ‹ faut-il le rappeler ‹ était un des rares pays des nations industrielles à verouiller sévèrement le droit d'utiliser une serrure informatique. Il faut que le logiciel, ou le matériel, soit autorisé par les services du premier ministre (SCSSI). La loi est censée assouplir ces dispositions, mais sous conditions : que le titulaire d'un logiciel dépose chez une autorité (indépendante de l'Etat, a priori) ses clés de chiffrement, qui seront remises à la police judiciaire en cas d'enquête. Qui seront les tiers de confiance? Le décret d'application devait le déterminer.
Mais bien avant tout ce foin parlementaire, une société aurait déjà été choisie pour servir d'intermédiaire. Révélée par la lettre confidentielle Le Monde du Renseignement, il s'agirait de Bertin, spécialisée en ingénierie industrielle. Nous savons par ailleurs que Bertin travaille sur des projets de haute technologie stratégique (comme les gros séquenceurs installés dans les labos du Généthon, à Evry). L'activité de Bertin dans la cryptographie était peu connue. Gilles Ruggiu, directeur informatique et chargé du développement des outils de chiffrement, confirme à moitié, et un peu gêné, ces informations. Il ne peut rien dire (à l'époque la loi était encore à l'étude). Il explique que Bertin a mis sur le marché deux logiciels, Bleuet et Pétunia (systèmes à clé unique, sous Windows -- algorithme secret, donc connu par le SCSSI, contrairement à RSA), qui ont eu l'autorisation des autorités et le tampon du SCSSI pour être distribués en France (Pétunia peut même être exporté). Mais il faut toujours une autorisation pour l'utiliser. Bertin est donc officiellement "serveur de clé" pour ces deux produits, mais personne ne se risquera à confirmer que le choix du premier "notaire électronique" français a déjà été fait, au nez et à la barbe des ministres et des parlementaires.
Après tout, François Fillon avait promis que le premier "agent certitificateur" serait nommé en France avant la fin de l'année. Les décrets sont prévus, selon ses services, pour septembre/octobre.
"[Bertin] a été choisi en raison de ses capacités techniques et de son savoir-faire en matière de cryptographie, largement employés par le ministère de la Défense qui assure une part importante de son chiffre d'affaires", affirme avec tact la revue spécialisée, généralement très bien informée sur ces questions. Et d'ajouter enfin que les interceptions informatiques s'apparenteront à la législation en vigueur sur les écoutes téléphoniques : la Commission de contrôle des interceptions (CNCIS, dite commission Bouchet) donnerait un "avis consultatif". Le journal conclut : "Tous les services de police et de renseignement actuellement autorisés à pratiquer des "écoutes administratives" (DGSE, DST, PJ, RG, DPSD) auront un accès direct aux clés détenues par le tiers de confiance."
Dans le même temps, à
l'étranger...
La seconde et troisième
mort du Clipper
Les américains s'apprètent
aussi à voter une loi qui instituerait des Certificate
Authorities (CA), sortes de tiers de confiance. Pour les experts,
c'est une manière d'enterrer une seconde fois le projet
Clipper, un système électronique proposé par
l'administration Clinton pour sécuriser les communications
mais en laissant les clés entre les mains des autorités.
Dans le projet Clipper II, le gouvernement ne détenait plus
les clés mais déterminait les conditions de "key
escrow". Maintenant, la dernière initiative serait de
créer une sorte de standard international, une gestion des
clés multipartite (le Key Management Infrastructure, ou KMI).
Pour l'Electronic Privacy Information Center (Washington, DC), qui se bat pour que chacun puisse communiquer sans être écouté, le KMI a la même saveur que Clipper. L'EPIC a contre-attaqué, en fondant l'Internet Privacy Coalition , dont la première initiative a été d'applaudir le sénateur Burns (R-Montana). Ce parlementaire a déposé le projet de loi le plus ambitieux jamais remis au Congrès pour libéraliser le chiffrement (Pro-CODE). Un groupe de 27 membres de la Chambre a signé une lettre pour demander au président d'abondonner ses plans. Les notaires de l'ère numérique ont la vie dure.