|
|
Blackberry's - Interception facile des courriels - Avis de la Sûreté de l'État - Mesures
téléphone mobile
courrier électronique
protection des communications
espionnage industriel
service secret
piratage informatique
sûreté de l'Etat
communication mobile
| 1/12/2009 | Envoi question (Fin du délai de réponse: 1/1/2010) |
| 17/2/2010 | Réponse |
Aussi posée à : question écrite 4-5098
Après les services de renseignement néerlandais, ce sont les services secrets français qui tirent la sonnette d'alarme. Ces derniers, ainsi que la Défense française, interdisent aux fonctionnaires supérieurs de continuer à utiliser le Blackberry. Ils le considèrent comme dangereux et craignent que, par le biais de courriels, des informations importantes ne filtrent vers les États-Unis. C'est ce que révèle la presse française après que Le Monde ait mis la main sur un mémo ayant fait l'objet d'une fuite.
Les Français craignent que le Blackberry puisse être mis sur écoute par des services secrets étrangers. Le secrétariat général de la Défense nationale (SGDN) a naguère adressé une missive aux hauts fonctionnaires. L'interdiction n'a toutefois été que peu suivie. C'est pourquoi, selon Le Monde, une nouvelle mise en garde a récemment été envoyée. Selon des chercheurs français, le risque se situe principalement dans le domaine de la protection du potentiel scientifique et économique. Les entreprises françaises et surtout les grosses industries comme Airbus ont des contacts étroits avec les autorités françaises dans leur lutte concurrentielle avec les sociétés américaines, comme dans ce cas Boeing.
La Sûreté de l'État déconseille elle aussi l'utilisation du Blackberry. La plupart des ministres et des parlementaires en possèdent malgré tout un.
J'aimerais obtenir une réponse circonstanciée et claire aux questions suivantes.
1. Quel est l'avis spécifique de la Sûreté de l'État à ce sujet? Est-il exact que les courriels transitent par un serveur situé à l'étranger et facilement piratable? Y a-t-il eu à ce sujet des contacts avec Research in Motion (RIM)? Cette société confirme-t-elle les risques pour la sécurité?
2. Le ministre est-il d'accord pour dire, étant donné l'avis négatif et l'interdiction en France, que des mesures supplémentaires sont nécessaires? Est-il d'accord pour affirmer qu'une modification législative ou d'autres mesures sont nécessaires? Comment ce risque peut-il être évité? L'achat d'un autre appareil suffit-il?
3. Selon le ministre, est-il possible de conclure de meilleurs accords avec RIM afin de mieux protéger la transmission des données?
4. Que pense le ministre d'une interdiction éventuelle des Blackberry's pour les parlementaires et les ministres? Est-ce légalement et facilement réalisable? Si c'est le cas, de quelle manière?
5. A-t-il l'intention de demander à la Sûreté de l'État de continuer à examiner ce problème?
1. En ce qui concerne l’utilisation du système Blackberry, l’avis de la Sûreté de l'État est le suivant :
La loi interdit d'utiliser le système Blackberry pour l’envoi et la réception d’informations classifiées ;
Il n’est pas indiqué d’utiliser ce système pour l’envoi et la réception d’informations sensibles (mais non classifiées) telles que des données à caractère personnel, des données issues d'un dossier judiciaire, des secrets d’affaires, des informations politiques, des informations sur l’infrastructure critique ainsi que sur le potentiel scientifique et économique, des mots de passe, … ;
Les paramètres de sécurité sur le Blackberry doivent être maintenus à leur niveau le plus élevé, y compris le cryptage des messages reçus, si cette fonctionnalité est disponible ;
Dès leur parution, les patchs de sécurité émis par Research in Motion (RIM) doivent être installés sans attendre.
Tous les serveurs mail externes sont susceptibles d’être piratés et il est probable qu’aucune technologie de communication ne puisse être sécurisée à 100 %, le système Blackberry pas davantage. Dans l’industrie, Blackberry jouit toutefois d’une excellente réputation sur le plan de la sécurisation car pendant la transmission, les données sont cryptées et la clé elle-même est également cryptée. Le piratage de communications correctement cryptées n’est pas simple et requiert des moyens techniques considérables.
Le parcours des e-mails est imprévisible car les communications passent par les nœuds d’échange internet les moins chargés. Ce parcours peut dès lors passer par n’importe quel routeur ou système de relais d’e-mails sur Internet. Il n’est donc pas possible de prévoir si une communication à l’intérieur de nos frontières passera ou non par un serveur situé à l’étranger. En ce qui concerne le trafic de données via le système Blackberry, il convient en outre de noter qu’il est toujours dévié vers un système de relais d’e-mails central situé à l’étranger. Pour le trafic de données Blackberry européen, ces serveurs sont situés au Royaume-Uni. Étant donné que le Blackberry Personal Digital Assistant est surtout utilisé par des cadres supérieurs dans le monde des affaires et au niveau des autorités, on peut supposer que beaucoup d’informations certes non classifiées (Blackberrry n’est pas certifié pour des informations classifiées) mais néanmoins sensibles et/ou précieuses sont envoyées via ce système. Les serveurs RIM au Royaume-Uni traitent donc une grande partie des communications politiquement sensibles ou économiquement précieuses en Europe.
Malgré les transmissions de données cryptées, la protection au Royaume-Uni n’est pas absolue. La loi Regulation of Investigatory Powers Act (RIPA) 2000) habilite les autorités britanniques à exiger les clés de cryptage et à accéder au trafic de données. Cette loi peut être invoquée si la sécurité nationale est menacée, en vue de prévenir des crimes graves et afin de protéger la prospérité économique du Royaume-Uni. Officiellement, la loi RIPA ne peut toutefois pas être appliquée aux communications en transit (expéditeur et destinataire situés en dehors du Royaume-Uni). Sur le site internet du ‘Home Office’ (ministère de l’Intérieur) britannique, il est indiqué que les autorités britanniques ne peuvent pas recourir à la loi RIPA pour obtenir accès aux données Blackberry sur les serveurs RIM.
La Sûreté de l'État a examiné la problématique de la sécurité avec RIM, le groupe qui gère le système Blackberry. RIM déclare que lui-même n’a pas accès aux données Blackberry sur ses serveurs. RIM déclare également que, même si l’ensemble des fonctionnalités sont disponibles, les système de communication n’est adapté qu’à l’envoi d’informations jusqu’au niveau restricted.
L’incertitude demeure quant aux possibilités d’interception techniques au niveau du trafic de données Blackberry si RIM était malgré tout contraint/convaincu de collaborer avec les autorités.
2. J’estime qu’il existe déjà un cadre légal efficace pour la sécurisation d’informations sensibles (par exemple, la loi sur la classification, sur la protection de la vie privée, sur le secret professionnel, sur le secret de l’instruction) et que dès lors, aucune initiative législative n’est nécessaire. Je suis par contre convaincu de la nécessité d’une conscientisation générale des risques inhérents à tout système de messagerie électronique. A cet égard, il est important de bien choisir du matériel et des logiciels certifiés et de respecter les procédures pour une utilisation sûre. La certification des technologies de communication et de cryptage relève de la compétence de l’Autorité nationale de sécurité (ANS).
Sachant qu’aucun système de messagerie électronique ne convient pour la communication d’informations sensibles - et a fortiori classifiées -, interdire l’utilisation du Blackberry Personal Digital Assistant pour passer à un autre appareil n’a aucun sens.
3. Aucun fournisseur d’accès, RIM compris, n’a de prise sur la transmission de données via Internet. En effet, la communication via Internet est risquée en soi car les données peuvent transiter par le monde entier, y compris via des relais d’e-mails non sécurisés et par des endroits inadéquatement sécurisés. Par conséquent, l’e-mail n’est pas un moyen adapté pour la transmission d’informations sensibles.
La sécurisation du courrier électronique doit s’effectuer au niveau de l’expéditeur et du destinataire et avant que le courrier ne soit remis au monde extérieur (Internet). Le groupe RIM (ou tout autre fournisseur d’accès) ne pourra offrir une meilleure sécurisation que si lui-même maîtrise les extrémités de la communication, ce qui pour les e-mails est en général tout à fait irréalisable.
Ce n’est que si deux organisations conviennent de faire circuler les e-mails de façon bilatérale par un canal sécurisé aux extrémités sécurisées (tunnel VPN) et pour autant que le système soit accrédité à cet effet par l’instance compétente (ANS) que la communication pourra être sécurisée jusqu’à devenir apte à la transmission d’informations classifiées. Pour une telle sécurisation, prendre des mesures sur le plan ICT n’est toutefois pas suffisant. Elle nécessite également que d’importantes adaptations techniques, procédurales et physiques soient apportées au sein des deux organisations.
4. Le Blackberry Personal Digital Assistant est un GSM équipé de fonctionnalités particulières qui, vu que les transmissions sont protégées par cryptage, est plus sûr que la plupart des autres systèmes de messagerie électronique. Étant donné toutefois que tous les systèmes de messagerie électronique externes sont en soi risqués, interdire l’utilisation du système Blackberry n’est pas opportun.
5. La Sûreté de l'État suit cette problématique dans le cadre de ses missions de renseignement.