« Pour résumer, on est mal ». Depuis six jours, la section 702 de la loi FISA pour « Foreign Intelligence Surveillance Act » a été officiellement prolongée de quelques mois. L’occasion pour Philippe Latombe, le député Modem de Vendée, de revenir sur cette loi signée par Joe Biden le 22 décembre dernier. C’est ce texte qui permet aux agences de renseignement américaines de collecter en masse des emails, des conversations téléphoniques, des dossiers d’étrangers impliqués dans une affaire de sécurité nationale. Comme nous vous l’expliquions il y a quelques jours, la loi Fisa, adoptée en 2008, permet à la CIA, au FBI et à la NSA de surveiller, voire d’espionner bon nombre d’Européens.
Parce qu’elle avait conduit à différents « abus », dont l’espionnage de citoyens américains, et qu’elle était sur le point d’expirer au 31 décembre, la section 702 avait suscité de nombreuses critiques outre Atlantique. En France et en Europe ? Pas vraiment, à quelques exceptions près – exceptions dont fait partie Philippe Latombe. Après de nombreux débats, le Congrès, incapable de se mettre d’accord sur la façon de réformer ce texte, a fini, le 14 décembre, par voter une prolongation de quelques mois du dispositif, signée par Joe Biden, le 22 décembre.
À lire aussi : Les services secrets américains pourront tranquillement nous espionner jusqu’en avril 2024
Qui doit se soumettre à la loi Fisa ?
Fin de l’histoire ? Toujours pas. Car l’un des projets de réforme, le FISA Reform and Reauthorization Act (FRRA), propose, au lieu de protéger davantage les citoyens américains et européens, d’étendre le champ d’application de cette loi. En vertu du droit extraterritorial américain, rappelle Philippe Latombe, « les sociétés américaines ou les sociétés employant des citoyens américains,(qui fournissent des services de communication électronique ou de services informatiques à distance comme les opérateurs de cloud, ndlr), peuvent être contraintes de répondre aux demandes des agences de renseignement américaines ». Même lorsque ces dernières exercent une activité en Europe. Cela comprend aussi les filiales américaines des sociétés européennes, bien que, à priori, seule la filiale soit concernée. « Mais cela n’a pas vraiment été tranché par un tribunal américain », reconnaît l’élu de Vendée.
Prenons « Google, une entreprise américaine. Même si elle utilise un data center en Europe, les données qui y transitent seront accessibles (aux agences de renseignement américaines, ndlr) au titre du FISA ». Même s’il s’agit de données sensibles qui touchent le régalien et la vie privée des individus (comme la santé). À l’inverse, « si un data center appartient à Thalès, entreprise française, qui n’emploie aucun Américain, à ce moment-là, l’entreprise n’est pas soumise au FISA, même si elle a recours à Google pour la couche logicielle en licence », explique le député.
Après les opérateurs de cloud, les équipementiers ?
Mais cette distinction volerait en éclat en raison de la section 504 d’un des projets de réforme du texte (le FISA Reform and Reauthorization Act (FRRA)) qui, selon le site du Congrès consulté le 27 décembre, n’a pas encore été voté. L’obligation de communication serait étendue à d’autres entreprises – elle ne serait plus limitée aux opérateurs de cloud, mais s’appliquerait aussi aux équipementiers, s’alarme le député.
Le texte, comme le soulignait 01net.com quelques jours plus tôt, ajouterait à la liste des sociétés devant répondre aux demandes des agences américaines, les fournisseurs d’« équipements qui sont ou peuvent être utilisés pour transmettre ou stocker de telles communications (électroniques) », ainsi que ceux y ayant accès… ce qui impliquerait les sociétés proposant du wifi comme les cafés, hôtels, espaces de co-working. Mais « aussi les cross connect », s’inquiète le député de Vendée. Le cross connect est une technologie proposée par différents équipementiers, qui permet une connexion présentée comme rapide et fiable via un câble privé reliant par exemple un rack de colocation et un service cloud ou télécom. Ces cross connects, qui « permettaient de partager les coûts pour les clients d’un data center, et de bénéficier parfois d’un câble sous-marin, échappaient jusqu’à présent à la loi Fisa ». Cela sera-t-il toujours le cas avec cette section 504, si elle est votée ?
« Il ne s’agit pas de capter le volume de trafic, mais de tout intercepter »
Pour mettre les choses au clair, le député a posé la question au ministre du numérique, Jean-Noël Barrot, via la procédure de question écrite au gouvernement. « Pour garder une trace et avoir une réponse officielle », explique-t-il. Et aussi parce que « cela pose un vrai problème de souveraineté ». « Les data centers (de droit américain) comme Equinix pourraient être contraints d’installer des balises, des modules d’interception, si on lit bien l’article 504. Les équipementiers qui fournissent des liens de connexion en cross-connect, pourraient être obligés par le FISA à mettre en place des modules d’interception – il ne s’agit pas de capter le volume de trafic et, éventuellement, de repérer quelque chose. Il s’agit de tout intercepter », analyse-t-il.
« Quelles conséquences pour la certification SecNumCloud ? », s’interroge l’élu. Cette certification, accordée par l’Anssi (l’Agence Nationale de la Sécurité des Systèmes d’Information) à certains fournisseurs de cloud qui offrent des garanties de sécurité maximales, est au cœur de la stratégie du gouvernement en matière de souveraineté numérique. La version 3.2 du référentiel impose normalement l’application exclusive du droit européen au prestataire et exclut toute loi extraterritoriale américaine – exit donc la loi FISA.
Or, cette exclusion serait remise en cause par la nouvelle section 504, si elle est votée. Car « Equinix, dont les datacenters sont en cross connect, est utilisé par l’ensemble des sociétés qui ont reçu cette certification SecNumCloud. Par conséquent, cela emporte-t-il (invalide-t-il, ndlr) la qualification SecNumCloud 3.2 ? » questionne le Parlementaire. À côté d’Equinix, d’autres entreprises sont citées dans sa question écrite, comme Data4 et DRT/Interxion.
La sect° 702 du Fisa à été prolongée par le congrès US et sa sect° 504 étendue. Cela pose un vrai problème de souveraineté & certainement une modification à venir pour SecNumCloud. Ma question au Ministre du numérique ce jour.@NumSpotCloud @OVHcloud @CloudTemple @C_MorinDesailly pic.twitter.com/mMzLAjGsz9
— Philippe Latombe (@platombe) December 22, 2023
La même question se poserait pour l’équivalent européen du SecNumCloud, le EUCS (« European Cybersecurity Certification Scheme for Cloud Services »), en cours de négociation.
À lire aussi : Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?
Les équipements télécom aussi concernés ?
Et l’inclusion des cross connects dans la loi Fisa n’est pas le seul problème, ajoute-t-il. Qu’en est-il des équipementiers Telecom comme Cisco ?
« Aujourd’hui, la plupart des entreprises et des administrations n’utilisent plus un réseau téléphonique classique cuivre. Elles passent désormais par des téléphones sur IP, donc en téléphone Internet. Ces opérateurs qui fournissent ces services sont, pour Cisco, américains, ils seraient donc soumis à la réglementation 504 », estime le député, qui aimerait avoir une réponse officielle à ses questions. Ce texte, « c’est une vraie bombinette. Il faut qu’on arrive à en tirer les conséquences avant qu’on prenne des décisions », s’alarme-t-il.
À lire aussi : OVH sur le Cloud européen : « Parler de souveraineté, ce n’est pas un gros mot »
Un réexamen immédiat du nouveau Privacy Shield ?
Cette loi n’a-t-elle pas également un impact sur le Data Privacy Framework, le nouvel accord transatlantique sur les données entre les États-Unis et l’Europe, signé en juillet dernier, malgré la controverse ? « La Commission avait signé le texte, en expliquant que normalement, le FISA allait être revu à la baisse. Mais non seulement, il n’est pas revu à la baisse, il est identique sur la partie 702 » – comprenez, il est prolongé jusqu’au 19 avril 2024. « Mais il serait en plus renforcé sur 504. Théoriquement, ça entraînerait un réexamen immédiat du DPF », avance le député.
En Italie aussi, un homme politique, Alessio Butti – le secrétaire d’État italien chargé de la transition numérique – s’était alarmé de l’application de la loi FISA pour les données stockées dans les data centers nationaux – en partie gérés par Google, Microsoft et Oracle. En guise de réponse, Emanuele Iannetti, en charge du « Pôle stratégique national » (le nom donné au projet de l’administration italienne d’infrastructure publique de cloud), lui avait expliqué que les données sensibles étaient, de toute façon, protégées par le chiffrement, rapportent nos confrères de Startmag, le 6 décembre.
« Le chiffrement, ce n’est pas la solution ultime »
Le chiffrement pourrait-il être un moyen d’échapper à la surveillance des agences américaines ? Pas vraiment, répond Philippe Latombe. L’argument a aussi été avancé par la Première ministre, à propos du cas de la messagerie Olvid – dont les données transitent par un serveur d’Amazon, souligne Philippe Latombe. « Mais le chiffrement, ce n’est pas la solution ultime. Le chiffrement est à un début de commencement de protection. Mais ce n’est pas suffisant parce qu’on peut toujours déchiffrer. Il suffit d’y mettre de la puissance de calcul. En fait, le chiffrement, c’est un peu comme si vous mettiez une porte blindée à votre appartement. C’est plus difficile de rentrer, mais on peut quand même rentrer », résume le député.
Que faudrait-il alors faire face à la loi Fisa, et à l’application possible de cet article 504 ? « Il faut qu’on se mette d’accord sur l’EUCS (la version européenne du SecNumCloud, pour l’instant en négociation). Et il faut qu’on ait une clause d’immunité aux règles extraterritoriales (américaines) », tranche Philippe Latombe. « Le problème, c’est que l’Europe s’en fiche un peu. Or, une fois qu’on a pris un mauvais pli, c’est parti. ». Comprenez : si on accepte un tel accès, il sera difficile de revenir en arrière. Or jusqu’à présent, la Commission européenne se préoccuperait peu de cette question, estime le Parlementaire, évoquant l’idée que rien ne devrait bouger avant des mois en raison « des futures élections européennes, de la recomposition de la Commission… et de la future présidentielle américaine ». Bref, « pour résumer, on est mal ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.