Colloque des 21 et 22 janvier 2002 : «L Administration électronique au service des citoyens».

Transcription

1 1 Colloque des 21 et 22 janvier 2002 : «L Administration électronique au service des citoyens». VERS DE NOUVEAUX SERVICES PUBLICS? SECURITE ET NOMMAGE SUR LES RESEAUX SELON LE DROIT PUBLIC Bertrand du MARAIS Maître des Requêtes au Conseil d État 1 bdumarais@wanadoo.fr Beaucoup des exposés des séances d hier ont été consacrés à la transformation des processus de production mis en œuvre par les services publics, voire de l évolution de leurs prestations, sous l influence des technologies de l information et de la communication (TIC). Pour ma part, j aborderai une question un peu différente : l usage des TIC, et en particulier de l Internet, induit-il l apparition de nouveaux services publics qui n auraient pas d existence en dehors du monde virtuel? Il s agit donc d appliquer le concept de service public à cet objet nouveau qu est le réseau Internet ou plutôt à certains de ses aspects ou de ses fonctionnalités. Cette question présente de l intérêt à plusieurs niveaux. D un point de vue théorique, voire philosophique, il est intéressant de tester notre théorie traditionnelle du service public et d évaluer dans quelle mesure elle conserve une certaine pertinence. Ceci est d autant plus un défi que l Internet emprunte généralement ses concepts et ses modes de régulation au monde anglo-saxon. A cet égard, certains aspects du fonctionnement du réseau ont pu susciter des débats très agités sur la nécessité ou non de l ériger en service universel. Celui-ci est, on le sait, le pendant anglo-saxon ou communautaire du service public. Il en a notamment été question aux Etats-Unis afin d assurer la desserte des zones rurales en points d accès suffisamment denses. De même, le gouvernement français a préconisé, sans succès jusqu à présent, d inclure la connexion des établissements scolaires dans le cadre du programme «Internet dans les écoles» - dans le service universel des télécommunications tel qu il est défini par les directives communautaires. Mais la présente contribution présente également un intérêt pratique. On sait en effet que l existence d un service public emporte l application d un régime juridique spécifique, de droit public, avec ses concepts propres et son mode particulier de résolution des conflits : le contentieux administratif. La présente contribution se propose donc d appliquer la «grille d analyse» du service public à deux objets qui sont, par construction, issus du fonctionnement des réseaux euxmêmes : la sécurité du réseau et le «nommage». Nous verrons alors si cette théorie ancienne 1 L auteur tient à remercier M. Dupuy, Chef du Bureau CERTA de la DCSSI, des précieuses informations qu il lui a fournies. Les propos tenus dans la présente contribution et les erreurs qui y subsisteraient - n engagent cependant que leur auteur et non les institutions auxquelles il appartient. 1

2 2 conserve une part de validité ou tout au moins si elle peut s adapter aux réalités nouvelles nées du cybermonde. I. LE SERVICE PUBLIC, UNE THEORIE ANCIENNE Il ne s agit pas ici de faire un rappel précis et détaillé sur la théorie du service public mais d en rappeler seulement quelques éléments fondamentaux et des conditions. En premier lieu, on peut considérer que d un point de vue de science politique, le service public correspond à un besoin social reconnu par la puissance publique. Il se définit en effet par un service fourni aux usagers. Ce service doit répondre à trois conditions : - ce service doit remplir une mission d intérêt général ; - il suppose l existence de mécanismes de contrôle de la part de la collectivité publique qui a pris l initiative de sa création ; - il exige la présence de prérogatives de puissance publique ou tout au moins de mécanismes de fonctionnement exorbitants du droit commun, c est-à-dire du droit civil. L existence d un service public répond alors dans son fonctionnement à plusieurs principes au premier rang desquels figurent : l égalité d accès des usagers et la neutralité de son fonctionnement à leur égard, la continuité de son fonctionnement, la mutabilité des prestations. Les modalités de fourniture du service public sont variées. Le service public peut être personnalisé - par exemple dans un établissement public - ou au contraire être fourni directement par la collectivité publique initiatrice. Il peut répondre à des régimes juridiques distincts : celui du service public administratif ou au contraire un régime mélangé de droit public et de droit commercial, dans le cas de service public industriel et commercial. Enfin, il peut être fourni directement en régie ou au contraire par une personne privée à laquelle la collectivité initiatrice délègue la fourniture du service. II. LES RESEAUX : DES BESOINS NOUVEAUX. A. Sécurité et prévention appliquées au fonctionnement du réseau 1. Internet, un réseau partagé, ouvert au grand public et standardisé Cette contribution n abordera pas la question de l évolution de la problématique de l ordre public sur les réseaux et donc de l usage de ceux-ci à des fins criminelles, par exemple par la circulation de contenus illicites ou l usage du réseau par des organisations de type criminel. Ces sujets sont d ailleurs très souvent abordés dans les travaux relatifs à la cybercriminalité. La présente intervention traitera plutôt de la sécurité du réseau lui-même : sa fiabilité, sa disponibilité ainsi que celle de ses terminaux. La question de la sûreté des réseau de télécommunications eux-mêmes semble renouvelée depuis quelques années par au moins deux éléments : 2

3 3 - l utilisation du protocole IP (Internet Protocol), qui permet la construction d un réseau ouvert partagé, où chaque machine peut être à la fois client et serveur, contrairement au cas d un réseau dédié du type du Minitel ; - le développement même de l usage de ce réseau auprès du grand public et non auprès de communautés de professionnels, au contraire de l EDI. Le corollaire de ce phénoménal développement est l utilisation d applications locales standardisées. Il ne sera pas ici question de l uniformisation des systèmes d exploitation, ni donc a contrario de la problématique des logiciels libres et de leur effet sur la sûreté de l usage du réseau lui-même. Même s il doit être toujours présent dans l analyse du rôle de la puissance publique vis-à-vis du réseau, ce sujet constituerait un thème de colloque à lui tout seul. Ces caractéristiques spécifiques du réseau Internet créent un contexte favorable à des risques nouveaux, à des infractions nouvelles et démultipliées. Il s agit notamment du «hacking» défini comme «le fait d accéder ou de se maintenir frauduleusement dans tout ou partie d un système de traitement automatisé de données» au sens de l article du Code pénal. Il s agit encore de la fraude informatique proprement dite ou encore «du fait d introduire frauduleusement des données dans un système de traitement automatisé des données ou de supprimer ou de modifier frauduleusement des données qu il contient», selon l article du Code pénal. Enfin, le sabotage informatique consiste à «entraver ou fausser le fonctionnement d un système de traitement automatisé de données», selon l article du Code pénal. Ces risques et ces infractions sont connus depuis longtemps. Ils ont notamment été définis par les lois du 5 janvier 1988 et du 22 juillet Le développement Internet, et notamment de la messagerie électronique, leur donne cependant une dimension nouvelle, car massive, qui prend au moins deux formes. D une part le «déni de service distribué» permet de concentrer l action d ordinateurs ayant été préalablement piratés, contre une cible donnée afin de saturer l accès de celle-ci à la bande passante. D autre part, «l attaque avec rebonds» conduit à ce que des virus ou des programmes frauduleux se transmettent d un ordinateur à un autre, en général à l insu de chacun de leur propriétaire. Il est impossible voire fantaisiste - de chiffrer précisément les dommages issus de ce type de comportements délictueux. Il est néanmoins certain que ceux-ci sont en très forte progression comme en témoignent les chiffres suivants : «incidents de sécurité» en 1998, en 2001 ; 260 «vulnérabilités» identifiées en 1998, en Parallèlement, la demande de prévention et d information se fait de plus en plus forte de la part du public. Pour le CERT-CC (Computer emergency Response Team Coordination Center), le nombre de saisines par courrier électronique est passé de en 1998 à en Source : CERT-CC, janvier 2002, 3

4 4 B. Adressage et nommage 1. Adresse IP et nom de domaine : l infrastructure véritable d un réseau décentralisé Cette contribution ne reviendra pas sur les notions de nommage allocation d un nom de domaine qui constitue une adresse en caractère alphanumérique - et sur la notion d adresse IP, qui est le numéro d identification de chaque machine connectée, constitué d une suite de chiffres. Il faut cependant rappeler que l Internet est un réseau décentralisé et surtout sans infrastructure physique clairement identifiée, fixe et constituant un point de passage unique. Le réseau repose alors sur deux éléments qui en constituent en quelque sorte l infrastructure véritable : le protocole d interopérabilité des machines (le protocole TCP/IP) ; le système d adressage (E. Brousseau, 2001). 2. Le nom de domaine : une ressource rare facteur d externalités positives Par ailleurs et malgré la variété apparemment élevée de combinaisons possibles, le nombre de noms de domaine est en réalité limité, en particulier. Cette rareté est particulièrement sensible pour les noms qui représentent un intérêt spécial d un point de vue social, soit en raison de leur prestige, soit au contraire parce qu ils sont très répandus, tels les noms de famille qui comportent beaucoup d homonymes. En outre, le nombre d adresses IP est lui-même limité, malgré les systèmes «d adressage dynamique». Ces systèmes permettent aux intermédiaires de connexion d attribuer des adresses IP temporaires à leurs usagers. Par ailleurs, noms de domaine et adresses IP constituent, comme par exemple les fréquences du faisceau hertzien, des biens rares qui produisent de nombreuses externalités d un point de vue tant social que technologique. Ils sont en outre indispensables pour participer au réseau. Face à ces deux phénomènes : atteinte au réseau et nommage, comment s organise l intervention publique en France? III. LE CERTA, SERVICE PUBLIC EN GESTATION? A. Origine : le CERT-CC, les CSIRT. Après le premier virus créé sur Internet appelé «ver Internet» - et face à la possibilité de créer des microprogrammes qui se répliquaient et se propageaient tous seuls sur le réseau en ayant pour effet de l engorger et d endommager les machines terminales, la DARPA 3 créa en novembre 1988 le CERT-CC. Le CERT-CC est hébergé par le Software Engineering Institute, un centre de recherche concédé par le Département de la défense américain auprès de l université privée Carnegie 3 (Defense Advanced Research Projects Agency), maître d ouvrage d ARPANET, l ancêtre d Internet. 4

5 5 Mellon. Le principe de créer des équipes de réaction aux attaques de virus s est alors peu à peu développé, sous l appellation de CSIRT (Computer Security Incident Response Team). Le principe des CSIRT est de réunir une équipe d experts qui «assure, coordonne et favorise la réponse aux incidents de sécurité» selon la norme RFC éditée par l IETF (Internet Engineering Task Force) 4. Chacune de ces équipes doit répondre à certaines conditions tenant à son niveau d expertise mais aussi aux moyens techniques dont elle dispose pour assurer des communications sécurisées, d une part avec la communauté de ses utilisateurs et d autre part avec les autres CSIRT, l ensemble formant ainsi un «réseau de confiance». Au niveau international, les CSIRT sont coordonnés au sein du FIRST (Forum of Incident Response and Security Teams), créé en Une même fonction de coordination existe entre les CSIRT européens au sein de la Task Force CSIRT (TF-CSIRT), hébergée par TERENA (Trans European Research Network). La TF-CSIRT attribue ainsi un label de qualité aux CSIRT, dont le plus exigeant est le «Level 2». En France, il existe actuellement quatre CSIRT : - le CSIRT IST (Industrie Service Tertiaire), le plus ancien, fut créé en 1998 sur l initiative de quatre partenaires industriels (Alcatel, le CNES, Elf et France Telecom) ; - le CSIRT RENATER, réservé à l ensemble des membres du GIP RENATER (Réseau pour la Technologie, l Enseignement et la Recherche) ; - le CSIRT INTEXXIA créé en 2000 par une société de service informatique privée ; - enfin le CERTA (Centre d Expertises gouvernemental de Réponse et de Traitement des Attaques informatiques) pour la communauté des administrations de l Etat. B. Mission du CERTA : le décret du 31 juillet En pratique, le CERTA est un bureau de la DCSSI (Direction Centrale de la Sécurité des Systèmes d Information) qui constitue elle-même une des directions du secrétariat général de la Défense nationale (SGDN). Le CERTA représente donc l instance opérationnelle qui met en œuvre une des missions fixées par le décret du 31 juillet 2001 créant la DCSSI. Sa mission est d assurer, en vertu de l article 2-4 de ce décret : «un service de veille, d alerte et de réaction aux intrusions dans les systèmes d information de l Etat». On identifie donc sans peine deux des conditions du service public : l existence d une mission d intérêt général ; l initiative et le contrôle d une collectivité publique - l Etat en l espèce. Cependant, il semble manquer les autres éléments du service public pour faire du CERTA un service public de plein exercice. C. Moyens et produits : persuasion et information. Les moyens et pouvoirs du CERTA sont limités, même si ses produits ont tendance à devenir de plus en plus nombreux. 4 «Expectations for a CSIRT», IETF Request for Comments, 2.350, juin

6 6 1. Les principes. Seules administrations de l Etat peuvent adhérer au CERTA, sans que cela soit d ailleurs une obligation. Plus précisément, le CERTA doit être saisi par l autorité fonctionnelle ou hiérarchique du système d information infecté. L objectif du CERTA est alors d aider l administration demanderesse à comprendre et à résoudre l incident. Le CERTA ne dispose pas de pouvoirs particuliers d investigation, voire d accès aux ordinateurs infectés sans l accord de leur propriétaire. Il en est ainsi alors même que le mode de propagation par «rebonds» conduit des ordinateurs tiers à devenir des attaquants d un serveur public à l insu de chacun de leur propriétaire. 2. La pratique. Le CERTA répond à tous les courriers électroniques, quelle que soit leur origine, qui lui signalent un nouvel incident. Il s efforce alors de le résoudre. L article 5 du décret du 31 juillet 2001 lui permet d ailleurs de «prêter son concours à des utilisateurs privés français ou étrangers». Pour accomplir sa mission d information sur les différents types d incidents, de vulnérabilité et leur parade, le CERTA diffuse des documents en priorité à destination de la communauté de ses utilisateurs mais aussi d un point de vue général, au grand public. Il met ainsi en ligne sur son site Web, quatre types de documents : les avis, les alertes, les notes d information et les recommandations 5. Enfin, le CERTA agit auprès des éditeurs de logiciels par la persuasion. Il leur demande ainsi les modifications des failles ou des vulnérabilités sous la menace de publier les caractéristiques de celles-ci à destination du grand public. D. Vers la coordination des CSIRT français et l apparition d un véritable service public? Compte tenu de ses moyens le CERTA organise des réunions régulières des CSIRT français. Ils pourraient ainsi éventuellement évoluer vers leur coordination sans parler d une éventuelle fonction de tutelle. Cependant, le CERTA ne dispose pas à proprement parler de «prérogatives de puissance publique» spécifiques. Davantage qu un service public identifié, le CERTA concourt à la réalisation du service public en général, en facilitant et en sécurisant l activité des administrations adhérentes. Cependant, on peut noter qu il exerce également des fonctions de police préventive grâce à l information qu il diffuse au grand public et aux modifications qu il «négocie» avec les éditeurs de logiciels. Cette action d information au grand public suscite en retour une demande croissante d interventions exprimée par les usagers privés. Sur ce terrain, le CERTA est alors en concurrence avec les fournisseurs privés de solutions de sécurité. S il s agissait de satisfaire la demande générale du public, le CERTA évoluerait alors vers un service à vocation générale d alerte comparable, par exemple, à ce qui existe en 5 Consultables sur 6

7 7 matière de météorologie nationale ou de circulation routière. Il deviendrait véritablement un service public de plein exercice. Enfin, compte tenu de ses moyens techniques et en personnels, et fort de sa place particulière dans l organisation administrative, le CERTA organise régulièrement des réunions de concertation entre les différents CSIRT français. Dans cette mesure également, s il évoluait vers une fonction de coordination de l ensemble des CSIRT, il prendrait alors également le visage d un service public identifié. IV. L AFNIC OU LE SERVICE PUBLIC DU NOMMAGE A. Origine : du NIC-France à l association AFNIC. Au début du développement de Internet auprès du grand public, l IANA (Internet Assigned Numbers Authority) a délégué au NIC-France, géré par l INRIA (Institut national de recherche en informatique et automatique), la fonction d allouer les noms de domaine et les adresses IP pour l ensemble du domaine national «.fr». Ce domaine est, au sens du système international de nommage DNS, un cctld (country code Top Level Domain). Le 1 er janvier 1998, l INRIA et trois ministères - les ministères chargés des télécommunications, de l industrie et de la recherche - créaient l Association française pour le nommage Internet en coopération (AFNIC) 6. B. L AFNIC : un statut original. L AFNIC est une association régie par la loi de 1901 composée de plusieurs collèges : - les «membres fondateurs» sont l INRIA et les trois ministères précités ; - les «membres prestataires» sont l ensemble des fournisseurs d accès à l Internet, à jour de leur cotisation; - enfin deux autres collèges regroupent les utilisateurs du réseau à des degrés divers. Cependant, par rapport au droit commun des associations, l AFNIC comporte plusieurs originalités. Elle est soumise d une part à un contrôle d un commissaire du gouvernement qui dispose d un droit de veto en vertu de l article 23 de ses statuts. D autre part, son conseil d administration de dix membres comporte nécessairement cinq représentants des fondateurs publics (deux pour l INRIA, un pour le ministère chargé des télécommunications, un pour le ministère chargé de l industrie et un pour le ministère chargé de la recherche). Les cinq autres élus sont désignés par l assemblée générale des membres. Le président de l AFNIC est en outre élu par les seuls cinq fondateurs publics. Chose plus rare dans le droit des associations, l AFNIC, pour recruter son personnel, peut bénéficier du détachement de fonctionnaires, en application de l article 16 de ses statuts. Enfin, les statuts de l AFNIC ont été publiés au Journal Officiel On perçoit donc deux des éléments de la définition du service public : le contrôle et l initiative de collectivités publiques

8 8 C. Des prérogatives de puissance publique L AFNIC dispose du monopole de l allocation des noms de domaine pour l ensemble du domaine national «.fr» par délégation de l IANA, à laquelle a été substitué ultérieurement l ICANN (Internet Corporation for Assigned Names and Numbers). Le statut de l AFNIC prévoit ensuite «l établissement du plan de dénomination (nommage) de la zone.fr». Ce plan ou «charte de nommage» est adopté par le seul conseil d administration de l association. Or, si cette charte constitue un instrument d organisation, une arborescence logique du domaine national «.fr.», elle impose néanmoins des sujétions importantes au grand public. Elle définit les justificatifs à présenter obligatoirement selon le du nom de domaine demandé et la nature du demandeur Elle définit une liste de «termes fondamentaux» qui ne peuvent constituer des noms de domaine sous le «.fr», soit pour des raisons techniques, soit afin de défendre les bonnes mœurs et l ordre public. A titre d exemple, le mot «terrorisme» ne peut composer un nom de domaine sous le «.fr» comme par exemple «terrorisme.fr». Or, dans le système de nommage générique gtld (generic Top Level Domain), il existe en revanche un «terrorism.com». Ce nom de domaine est d ailleurs celui utilisé par un organisme de recherche américain qui semble relativement sérieux, compte tenu des institutions prestigieuses qui le parrainent, notamment la London School of Economics. Plus précisément, la charte de nommage de l AFNIC établit une interdiction absolue de revente des noms de domaine attribués sous le «.fr». Les conditions prescrites par la charte de nommage ont été très débattues, voire fermement contestées, lorsqu elles ont été promulguées. Ces critiques portaient principalement sur leur complexité et le coût du nommage sous le «.fr», comparativement à la très grande liberté offerte par le système de nommage sous les domaines dits «génériques» (gtld). Ces domaines dits «génériques» sont gérés par des entités distinctes des registres nationaux, de nature commerciale, par délégation directe de l ICANN à des sociétés privées et notamment à la société NSI (Network Solutions Inc). Les principes de la charte de nommage de l AFNIC ont pour objet d éviter le «Cybersquatting» ou plutôt les conflits entre attribution du nom de domaine et droit de la propriété intellectuelle, aux premiers chefs desquels se trouve le droit des marques. Ces prescriptions ont également pour objet d éviter les conflits entre nom de domaine et les droits liés à l état des personnes. D. Une consécration législative avenir avec le projet de LSI. Le projet de loi sur la société de l information (LSI) a prévu une consécration législative pour l AFNIC, en vertu de l article 2 de ce projet de loi. La LSI prévoit ainsi d ajouter un article L au code des postes et télécommunications 7 afin de consacrer plusieurs principes : - le nommage est considéré comme une ressource limitée ; 7 Cette rédaction peut d ailleurs paraître curieuse puisque le même projet de LSI précise que certains des services assurés par Internet relèvent par ailleurs de la communication audiovisuelle et donc de la loi de septembre

9 9 - les organismes d allocation sont choisis par le ministre des télécommunications. A cet égard on remarque que l exposé des motifs de la même loi parle d un seul organisme, ce qui semble clairement désigner l AFNIC ; - le nommage est une activité «d intérêt général selon des règles transparentes et non discriminatoires en respectant les droits de propriété intellectuelle». La LSI par ailleurs ne prend pas parti sur la nature du nom du domaine. Elle est en particulier muette sur sa qualification vis-à-vis du droit des marques ou vis-à-vis du droit des personnes. La LSI ne considère pas non plus que le nommage relève de la domanialité publique, comme cela est le cas pour le faisceau hertzien, en vertu de l article 22 de la loi du 30 septembre Pourtant, il existe plusieurs similitudes entre ces deux supports de réseaux de communications, en particulier, si l on considère que le nom de domaine, et l adresse IP qui l accompagne, constituent en réalité l infrastructure du réseau internet. En conclusion de cette analyse, nous pouvons donc considérer que l AFNIC s analyse, d une part comme une véritable instance de co-régulation, mais également d autre part, comme un service public clairement identifié et personnalisé. V. CONCLUSION Dans un article peut-être prémonitoire par rapport au thème de notre Colloque, le Président Jean-François Théry (Théry J-F., 1999) s interrogeait sur le caractère de service public du réseau Internet. A notre sens, il faut plutôt voir dans l Internet, notamment à travers l administration électronique et comme l indiquait ici Jacques SAURET, un nouveau médium pour la fourniture des services publics classiques. En revanche, cette contribution aura permis peut-être de démontrer qu Internet constitue le support de nouveaux services publics qui apparaissent peu à peu pour répondre aux besoins particuliers de la société face aux usages ou au fonctionnement du réseau lui-même. Bibliographie Brousseau, Eric, «Régulation de l'internet. L'autorégulation nécessite-t-elle un cadre institutionnel?», Revue Economique, numéro spécial Economie de l Internet, 52, Septembre Théry, Jean-François, «Le droit public et Internet», Les Petites Affiches, 224, novembre