Renseignement : la délicate position d'OVH mi-hébergeur mi-opérateur

Les députés ont voté le projet de loi renseignement. Octave Klaba, dirigeant fondateur d’OVH, estime que les boîtes noires sont plus inquiétantes pour les télécoms que pour le hosting.

Octave Klaba maintient sa position à propos du projet de loi sur le renseignement. Le texte contesté en raison des risques de dérives en termes de cyber-espionnage a été adopté sans encombres à l’Assemblée nationale.

Le vote en sa faveur n’était pas vraiment une surprise pour le fournisseur de services IT (hébergement, noms de domaine, services cloud…).

Dans la partie actualité du site OVH.com, le fondateur et Chairman d’OVH revient sur ce dossier qui laisse un goût amer.

« Cette loi n’est pas bonne pour notre pays. Parce qu’elle va changer nos comportements, notre manière de vivre au quotidien, notamment lorsqu’on utilise les téléphones et l’Internet. Nous allons avoir le sentiment d’être sur écoute constamment et cela va créer une psychose dans la population. »

Il revient sur les concessions qu’un groupe d’hébergeurs pros* (dont OVH) a obtenues auprès du gouvernement pour limiter l’impact du dispositif de cyber-écoutes sur l’activité économique des centres de données en France.

« Nous avons pu rédiger l’amendement pour l’activité d’hébergement. C’est a minima, c’est-à-dire que la loi n’allait pas être retirée et nous n’avons pas pu y inclure tout ce que nous voulions. » Mais OVH s’en contentera, considérant qu’en prenant compte des modifications, « la loi est compatible avec l’activité d’hébergement ».

Selon Octave Klaba, les conditions d’application de cette loi ont pu être encadrées et le champ d’action s’est réduit à la lutte contre le terrorisme : demandes ciblées, précises, limitées dans le temps avec un focus sur les métadonnées (« c’est à dire qui communique avec qui. Et donc la demande ne peut pas porter sur le contenu des communications elles-mêmes ») récupérées par les hébergeurs et transmises aux services de renseignement.

Forcément, les pros partisans d’une ligne dure vis-à-vis du gouvernement n’ont toujours pas avalé la pilule…

Il faudra attendre le passage du texte au Sénat, la promulgation de la loi après cette procédure accélérée au Parlement, les recours escomptés devant le Conseil constitutionnel et les décrets d’application pour voir si les engagements du gouvernement seront respectés.

Boîtes noires : risques d’écoutes massives par voie des télécoms

Alors que deviennent les « boîtes noires » synonymes « d’écoute massive, permanente et totale » ?

Pour Octave Klaba, le danger est écarté dans son activité d’hébergeur mais pas celle d’opérateur-FAI.

« En plus d’être un hébergeur, OVH est aussi un fournisseur d’accès. Les deux activités utilisent deux réseaux séparés et isolés », précise le dirigeant d’OVH.

« Pour notre activité de fournisseur d’accès, nous sommes effectivement soumis à l’ensemble de la loi. C’est-à-dire qu’en tant que FAI, on pourra nous demander d’installer des boîtes noires sur notre réseau de FAI. La loi va, en effet, permettre de capter l’ensemble des échanges que la population effectue via les téléphones mobiles et Internet vers l’extérieur : vers les hébergeurs, vers Google, vers Facebook, vers tout. »

Octave Klaba dévoile le truc & astuce pour que la communauté du renseignement parvienne à ses fins via un réseau très haut débit : « Il est possible par exemple d’installer un coupleur sur une fibre optique et de copier, sans être vu, l’ensemble des informations qui passent par cette fibre. Techniquement parlant, on peut donc installer une boîte noire, en secret et à l’insu des fournisseurs d’accès. »

En discutant via Twitter, Octave Klaba évoque avec Stéphane Haulbert, un expert télécoms, à propos des moyens de développer la sécurité sur les réseaux de fibre optique et glisse un lien vers un démo vidéo d’Alcatel-Lucent datant de juin 2013 (voir ci-dessous). Au cas où…

La menace est donc plus importante pour les opérateurs télécoms, qui n’ont pas pris la parole au cours du débat sur les risques de cyber-espionnage à grande échelle.

Pourtant, ils avaient été auditionnés par la Commission des lois de l’Assemblée nationale avant le débat en plénière dans l’Hémicycle. Mais ils ont réservé leurs point de vue à ce cercle restreint d’élus sans compléter sur une prise de parole publique.

On trouve tout de même Stéphane Richard, P-DG d’Orange (qui a notamment l’Etat français comme actionnaire dans son groupe), qui avait précisé fin avril sur iTélé que ces dispositifs « doivent techniquement rester sous le contrôle des opérateurs », en particulier pour ne pas compromettre « la qualité de service ».

La ligne ARCEPienne ni plus ni moins : prudence dans la réaction et vigilance dans la situation.

Du côté de la Fédération française des télécoms (FFT) qui rencontre des soucis de cotisations sur fond de concurrence vivace entre ses membres, on reste muet. « Les opérateurs ne veulent pas froisser le gouvernement en raison du prochain appel d’offres pour la bande 700 MHz », estime un professionnel de l’hébergement.

Un brin fataliste, Octave Klaba précise dans sa contribution sur contribution sur OVH.com : « Héberger les serveurs en dehors de la France n’évitera pas les écoutes chez les FAI français.Les visiteurs français de sites web passeront obligatoirement par ces FAI qui eux sont soumis à la loi renseignement. »

Tout en poursuivant : « On peut bien sûr utiliser un VPN pour administrer son serveur mais on ne peut pas obliger 100% des visiteurs de sites web à utiliser un VPN juste pour consulter un site Web. »

La mobilisation continue

Du côté des associations militantes, le combat continue après l’adoption du projet de loi sur le renseignement.

« Le projet de loi sur le renseignement a mis en jeu des questions qui sont au fondement même de notre démocratie: libertés fondamentales, séparation des pouvoirs, contrôle de la puissance publique », indique Philippe Aigrain, co-fondateur de La Quadrature du Net.

« L’attitude du gouvernement et le vote indigne des députés montre à quel point un sursaut citoyen est absolument nécessaire pour sauvegarder les principes démocratiques de notre pays. »

De son côté, Renaissance Numérique proteste contre l’adoption d’un dispositif de surveillance algorithmique et généralisé. « Une première en France. »

Le think tank, qui aborde souvent des thèmes sur la citoyenneté à l’ère numérique, avance également des propositions pour renforcer les prérogatives de la future Commission nationale de contrôle des techniques de renseignement (CNCTR) et de rendre cette organe de contrôle « indépendant, puissant, transparent et démocratique. »

Précisons que Le 12 mai à 17h00, le Sénat va auditionner Bernard Cazeneuve, ministre de l’Intérieur, et Jean-Yves Le Drian, ministre de la Défense, à propos du projet de loi sur le renseignement.

* OVH mais aussi AFHADS, Gandi, IDS, Ikoula, Lomaco et Online

Renseignement : la délicate position d’OVH mi-hébergeur mi-opérateur

Boîtes noires : risques d’écoutes massives par voie des télécoms

La mobilisation continue

Très haut débit : on accélère mais on oublie la fibre pour tous

Fibre optique: l’ARCEP veut ré-équilibrer les forces face à l’influent Orange

Financement de la fibre : Iliad-Free peut toujours compter sur la BEI

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu