Reponse de la CNIL au sujet du filtrage semantique des courriels par Free

Le
Stephane Faure
Bonjour,

Durant le mois d'octobre dernier, j'avais soulevé sur
fr.misc.droit.internet (où je place le suivi) le problème de la
légalité du filtrage sémantique des courriels envoyés sur les
adresses Free, mis en place notamment pour lutter contre le virus
Swen. Après un long débat, j'avais décidé de demander son avis à la
CNIL. Pour rappel, je vous retranscris la lettre ci-dessous.

=
Commission Nationale de l'Informatique et des Libertés
21, rue St-Guillaume
75340 PARIS CEDEX 7

Objet : Demande d'avis sur le filtrage du courrier électronique par le
FAI

Le 3 novembre 2003



Madame, Monsieur

En tant que client du fournisseur d'accès à Internet FREE - 75371
PARIS CEDEX 08, je me permets de demander votre avis concernant sa
gestion des courriers électroniques.

Suite à la recrudescence sans précédent de messages infectés,
dernièrement par le virus Swen, le gestionnaire des serveurs de
courriel de Free a mis en place un filtrage concernant l'ensemble de
ses usagers. Bien qu'aucun préavis n'a été donné officiellement (j'en
ai pris connaissance par hasard dans un forum de support du FAI),
c'est une mesure qui, dans l'urgence, paraît tout à fait respectable :
les boîtes aux lettres, tout comme les serveurs, étaient réellement
saturés. Mais il se trouve que ce filtrage repose sur la recherche de
mots-clés contenus dans le nom de l'expéditeur et dans le sujet du
courriel. Sont ainsi rejetés les messages répondant à ces critères,
écrits en langage Perl :
(documentation sur
<http://www.perldoc.com/perl5.8.0/po...t.html>)

^SUBJECT: ((Last |Latest |Newest |Current |New )?
(Microsoft |Net |Internet |Network )?
(Security |Critical )?
(Pack|Upgrade|Patch|Update)| )$
^From: "(Microsoft |MS )?(Corporation )?
((Program |Network |Internet )?
Security |Customer |Public )
(Section|Support|Bulletin|Department|Assistance|Division)"

Un tel filtrage, touchant au contenu sémantique de
correspondances privées, et effectuant une sélection sur le nom de
l'expéditeur, est-il légal, au vu des articles L33-1 et D98-1 du Code
des Postes et Télécommunications, et 432-9 du Code Pénal ? Le fait que
ces messages soient susceptibles de porter atteinte à l'intégrité du
réseau du fournisseur d'accès, et/ou des systèmes informatiques de ses
utilisateurs, permet-il à l'administrateur de mettre en place un
système automatisé qui ne détecte pas le risque informatique en lui-
même, engendrant par là un risque d'erreur ? Ayant débattu de cette
question dans un forum Usenet (http://minilien.com/?u8VjyeXijJ), ayant
pris connaissance de la décision de la Cour d'Appel de Paris du 17
décembre 2001 (11ème chambre, section A), ainsi que de la directive
européenne 2002/58/CE du 12 juillet 2002 (article 5 et afférents),
rien ne me permet de répondre avec certitude par l'affirmative ;
aussi, je demande votre avis. De plus, d'autres filtres, contre
d'autres virus, dont j'ignore s'ils portaient réellement atteinte à
l'intégrité du réseau, ont été mis en place, mais je n'ai pas pu en
connaître la teneur, malgré mes demandes auprès du gestionnaire.

Il faut noter que les messages répondant à ces critères,
lorsqu'ils proviennent de l'extérieur du réseau de Free, ne sont pas
renvoyés à leur expéditeur déclaré, et sont simplement supprimés. Ceci
permet d'éviter la propagation du virus, étant donné que l'expéditeur
déclaré n'est pas le véritable émetteur du message. Les virus
introduisent en effet souvent des adresses volées dans le carnet
d'adresse électronique du poste émetteur. Mais par analogie avec ce
que fait La Poste des colis suspects, est-ce légalement acceptable,
notamment si on considère l'incertitude liée à un tel filtrage
automatisé ?

J'ai fait remarquer au gestionnaire des serveurs que la mise en
place d'un antivirus règlerait à mon avis ces questions. Il
détecterait les virus en se basant sur une portion de leur code
informatique, qu'il rechercherait uniquement dans les pièces jointes,
et non dans le contenu confidentiel de l'ensemble des messages. Cela
présenterait l'avantage de réduire considérablement le risque
d'erreur. De plus, lorsqu'un courriel est détecté comme étant infecté,
des annonces sont générées pour faire savoir à l'expéditeur et au
destinataire présumés qu'il n'a pas été délivré, et celles-ci ne
contiennent évidemment pas de virus, contrairement à ce que produirait
un simple message de rejet d'un serveur (" bounce "). Ces
considérations faites, un gestionnaire de correspondance privée
n'aurait-il le choix qu'entre utiliser un antivirus, ou ne pas filtrer
du tout ? Autrement, a-t-il obligation d'informer l'ensemble de ses
usagers du filtrage effectué ?

Un autre filtrage du courrier électronique par le FAI Free, pour
le moment à l'état de projet, serait destiné à la lutte contre le
spam, lui aussi de plus en plus envahissant, au point d'engendrer une
saturation des serveurs selon leur gestionnaire. Il consisterait à
rejeter les messages provenant d'adresses IP réputées être des relais
SMTP ouverts, c'est-à-dire des serveurs d'envoi de courriel
accessibles à quiconque dispose d'un accès à Internet, et qui sont
fréquemment utilisés par des spammeurs. Les adresses IP (qui sont donc
fixes, en l'occurrence) seraient consultées sur une des nombreuses
listes noires disponibles sur Internet (voir <http://rbls.org/>), et
qui sont donc maintenues par des tiers, la plupart du temps situés à
l'étranger. Si la collecte des adresses IP, que vous considérez, à ma
connaissance, comme des données nominatives, n'est pas du ressort du
fournisseur d'accès, en revanche, l'utilisation en France de telles
bases de données n'est-elle pas illégale ? De plus, ne porte-t-elle
pas atteinte au principe de neutralité de l'opérateur dans les
correspondances, énoncé dans l'article D98-1 du Code des Postes et
Télécommunications, dans la mesure où elle effectue une sélection des
expéditeurs de messages ? Le fait que ces expéditeurs puissent
potentiellement nuire à l'intégrité du réseau, ou ne pas être en
conformité avec la directive 2002/58/CE, suffit-il à la justifier ?


Dans l'attente de votre réponse avisée, je reste à votre
disposition pour toute demande de précisions, soit à l'adresse postale
indiquée, soit par courriel à <mysterion.nospam@free.fr>. Je vous
serais également très reconnaissant de me donner l'autorisation de
copier tout ou partie de votre avis sur les forums, ou bien à
destination de Free.

Vous remerciant de l'attention que vous porterez à ma demande, je
vous prie d'accepter, Madame, Monsieur, mes sincères salutations.


Stéphane FAURE
=

N'ayant pas eu l'autorisation explicite de copier leur réponse, je la
résume :

-
La CNIL n'est pas compétente pour répondre à ma question. Elle me
renvoie à la loi du 10 juillet 1991 relative au secret des
correspondances émises par la voie de télécommunications, et me laisse
le soin d'apprécier la nécessité de saisir les autorités judiciaires
ou de contacter l'Association des Fournisseurs d'Accès et de Services
Internet. Concernant le filtrage anti-spam, la CNIL déclare avoir pris
attache avec Free, étant donné sa préoccupation sur le sujet.
-

La lecture de la loi du 10 juillet 1991
(intrégralité sur
http://www.legifrance.gouv.fr/texte.../PCEAR.htm) me laisse
circonspect :

=
TITRE II : Des interceptions de sécurité.

Article 3

Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, les interceptions de correspondances émises
par la voie des télécommunications ayant pour objet de rechercher des
renseignements intéressant la sécurité nationale, la sauvegarde des
éléments essentiels du potentiel scientifique et économique de la
France, ou la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de
groupements dissous en application de la loi du 10 janvier 1936 sur
les groupes de combat et les milices privées.
=

Un filtrage automatisé relève-t-il d'une interception au sens où
l'entend cette loi ? Le moins que l'on puisse dire, c'est que la CNIL
ne nous a guère avancés.

Je n'ai pas l'intention de saisir les autorités judiciaires pour un
problème qui est somme toute mieux traité par Free que par la plupart
des autres FSI -quoiqu'ils soient de plus en plus nombreux à
s'équiper d'antivirus. Mais je souhaite relancer ce débat entre
neutralité et secret des correspondances d'une part, et sécurité
informatique d'autre part. Question qui me paraît fondamentale pour
tout fournisseur de service de courrier électronique. Aussi je
m'interroge sur l'opportunité de contacter l'AFA, d'autant plus que
Free a quitté cette association pour des raisons obscures il y a
quelques mois. Qu'en pensez-vous ?


--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 4 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JustMe
Le #13586191
Jean-Yves Bernier wrote:

Francois Petillon

En ce qui concerne la remarque du sieur Bernier, j'aimerais bien le voir
gérer un domaine avec une dizaine de MX sur lesquels l'utilisation CPU est
un probleme




Ces filtres sont bons.




Non c'est du n'importe quoi. Une vraie solution serait une installe de
MailScanner couplée avec Sophos et SpamAssassin pour marquer les message
qui seraient ensuite ***au choix de l'abonné*** détruits ou placés tels
quels (marqués) dans sa BAL, libre à lui d'installer un filtre local sur
son mail agent.
grokub
Le #13586101
JustMe
Non c'est du n'importe quoi. Une vraie solution serait une installe de
MailScanner couplée avec Sophos et SpamAssassin pour marquer
les message qui seraient ensuite ***au choix de l'abonné***



Ça, c'est un service supplémentaire au transport du mail.

Le filtrage anti-virus, pas plus que l'anti-spam, ne sont des fonctions
du transport de mail, SAUF, comme le fait remarquer Francois Petillon,
pour «défendre la plateforme technique elle-même».

Les solutions du genre Sophos/Spamassassin viennent en aval, et à la
demande (tout le monde n'a pas besoin d'anti-virus, ces traitements sont
lourds, retardent la livraison et coûtent cher).

--
Jean-Yves Bernier
http://www.pescadoo.net/
JustMe
Le #13586081
Jean-Yves Bernier wrote:

JustMe

Non c'est du n'importe quoi. Une vraie solution serait une installe de
MailScanner couplée avec Sophos et SpamAssassin pour marquer
les message qui seraient ensuite ***au choix de l'abonné***




Ça, c'est un service supplémentaire au transport du mail.

Le filtrage anti-virus, pas plus que l'anti-spam, ne sont des fonctions
du transport de mail, SAUF, comme le fait remarquer Francois Petillon,
pour «défendre la plateforme technique elle-même».

Les solutions du genre Sophos/Spamassassin viennent en aval, et à la
demande (tout le monde n'a pas besoin d'anti-virus, ces traitements sont
lourds, retardent la livraison et coûtent cher).




oui mais sont beaucoup plus propes et "pro" qu'un filtre alakon(tm)

PS: hormis Sophos, tout le reste est gratos et s'installe en 1/2 journée
en prennant son temps...
Stephane Faure
Le #13586051
Thierry Schollier, in
Mais bon, comme c'est un filtre sémantique, ça n'aurait pas résolu le
problème de M. Faure, dont les correspondants risqueraient d'employer la
chaîne « <iFrame » dans le courrier qu'ils lui envoient.



C'est un gros mot ?

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Stephane Faure
Le #13586041
Francois Petillon, in
En ce qui concerne la remarque
du sieur Bernier, j'aimerais bien le voir gérer un domaine avec une
dizaine de MX sur lesquels l'utilisation CPU est un probleme (plusieurs
centaines de milliers de mails par heure en temps normal).



Ah, il y a eu une nette évolution depuis octobre dernier ? Si mes
souvenirs sont bons, vous me parliez alors de 70 000 mails par heure
en pointe.

Fu2 proxad.free.divers.

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Stephane Faure
Le #13586021
Emmanuel Dreyfus, in
Bref, dans ce scenario, il n'y a pas d'interception, mais un refus de
service. Exactement comme quand tu essayes d'envoyer un paquet trop gros
à la Poste: le guichetier te dis non, et tu restes avec ton colis. La
Poste n'a rien intercepté du tout, c'est parfaitement légal, il n'y a
aucune equivoque juridique.



C'est vrai que le mot "intercepter a un double sens :

INTERCEPTER : v.t. (lat. "interceptus", pris au passage). Arrêter au
passage : "les nuages interceptent les rayons du soleil" ;
"intercepter une passe". || S'emparer par surprise de ce qui est
envoyé à qqn : "intercepter une lettre" ; "intercepter un messager".
(Larousse 1988)

En prenant le 2e sens (qui me semble aussi être le bon :-) ), vous
avez donc raison. Mais je persiste à penser que les usagers doivent
être informés des modalités et des finalités du filtrage de leur FSI,
et être consentants par contrat. C'est ce que dit la directive 2002-
58-CE du 12 juillet 2002 dont nous avions déjà parlé. Je rappelle
l'article en question pour les lecteurs
<http://lexinter.net/UE/directive_vi...ns_electro
niques_du_12_juillet_2002.htm> :

=================================== Article 5
Confidentialité des communications
1. Les États membres garantissent, par la législation nationale, la
confidentialité des communications effectuées au moyen d'un réseau
public de communications et de services de communications
électroniques accessibles au public, ainsi que la confidentialité des
données relatives au trafic y afférentes. En particulier, ils
interdisent à toute autre personne que les utilisateurs d'écouter,
d'intercepter, de stocker les communications et les données relatives
au trafic y afférentes, ou de les soumettre à tout autre moyen
d'interception ou de surveillance, sans le consentement des
utilisateurs concernés sauf lorsque cette personne y est légalement
autorisée, conformément à l'article 15, paragraphe 1. Le présent
paragraphe n'empêche pas le stockage technique nécessaire à
l'acheminement d'une communication, sans préjudice du principe de
confidentialité.
===================================
Les filtres avec rejet à la connexion entre serveurs ne sont donc pas
des moyens d'interception, mais quand même des moyens de surveillance,
puisque leur objectif est de veiller au bon fonctionnement du réseau.
Non seulement ce que j'ai lu de la LCEN ne transpose pas cette
disposition de la directive, mais en plus, elle n'est pas claire sur
le caractère a priori privé du courrier électronique. Et si les FAI
doivent mettre en oeuvre les moyens existants dans "l'état de l'art"
pour filtrer certaines illicéités de la "communication publique", qui
nous dit que cette obligation ne puisse pas s'appliquer aux courriels,
dès lors que plane le doute sur leur caractère privé ?

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Thierry Schollier
Le #13585961
Stephane Faure nous disait ici-même:

Ah, il y a eu une nette évolution depuis octobre dernier ? Si mes
souvenirs sont bons, vous me parliez alors de 70 000 mails par heure
en pointe.



Vous ne croyez pas plutôt que c'est vous qui confondez le nombre total de
mails reçus par la plate-forme avec le nombre de swen qui y transitaient au
début de la prolifération du bidule ?

Fu2 proxad.free.divers.



Pas accès, désolé.
--
Thierry.
Thierry Schollier
Le #13585951
Francois Petillon nous disait ici-même:

(*) histoire de ne pas être trop hors charte, il me semble que le role
de l'antivirus sur la messagerie a, pour le FAI, comme premier but de
défendre la plateforme technique elle-même et pas forcement les
utilisateurs.



Ma question n'était pas aussi HS qu'elle pouvait y paraître au premier coup
d'oeil, puisque j'avais dit à SF lors de sa première intervention il y a
4 mois que le filtrage des mails contenant des virus était à mettre en
rapport avec la possibilité pour la Poste d'intercepter les colis suspects.

Or, je crois bien que le passage par un AV en lieu et place de filtres
classiques serait préférable pour un FAI/FSI, pour la simple raison que, le
cas échéant, tu n'aurais pas face à toi un technicien informatique, mais un
technicien du droit, qui comprendra plus facilement l'utilisation d'un
antivirus pour assurer la pérennité des machines que de filtres mis en place
par un technicien, aussi qualifié soit-il. Même si, in fine, c'est la même
chose.

--
Thierry.
Francois Petillon
Le #13585921
On Wed, 18 Feb 2004 20:51:05 +0100, JustMe wrote:
Non c'est du n'importe quoi. Une vraie solution serait une installe de
MailScanner couplée avec Sophos et SpamAssassin pour marquer les message
qui seraient ensuite ***au choix de l'abonné*** détruits ou placés tels
quels (marqués) dans sa BAL, libre à lui d'installer un filtre local sur
son mail agent.



Il faut combien de temps CPU sur une machine correcte (genre P3 à 1.266
GHz) pour traiter un mail avec tous ces softs ?

François
ludovic.cynomys
Le #13585911
Emmanuel Dreyfus
et déclare forfait au bout de 5 jours.



Ah OK, voilà la raison de ce délai extraordinaire ;-)

--
Arf !
Publicité
Poster une réponse
Anonyme