Reponse de la CNIL au sujet du filtrage semantique des courriels par Free

Le
Stephane Faure
Bonjour,

Durant le mois d'octobre dernier, j'avais soulevé sur
fr.misc.droit.internet (où je place le suivi) le problème de la
légalité du filtrage sémantique des courriels envoyés sur les
adresses Free, mis en place notamment pour lutter contre le virus
Swen. Après un long débat, j'avais décidé de demander son avis à la
CNIL. Pour rappel, je vous retranscris la lettre ci-dessous.

=
Commission Nationale de l'Informatique et des Libertés
21, rue St-Guillaume
75340 PARIS CEDEX 7

Objet : Demande d'avis sur le filtrage du courrier électronique par le
FAI

Le 3 novembre 2003



Madame, Monsieur

En tant que client du fournisseur d'accès à Internet FREE - 75371
PARIS CEDEX 08, je me permets de demander votre avis concernant sa
gestion des courriers électroniques.

Suite à la recrudescence sans précédent de messages infectés,
dernièrement par le virus Swen, le gestionnaire des serveurs de
courriel de Free a mis en place un filtrage concernant l'ensemble de
ses usagers. Bien qu'aucun préavis n'a été donné officiellement (j'en
ai pris connaissance par hasard dans un forum de support du FAI),
c'est une mesure qui, dans l'urgence, paraît tout à fait respectable :
les boîtes aux lettres, tout comme les serveurs, étaient réellement
saturés. Mais il se trouve que ce filtrage repose sur la recherche de
mots-clés contenus dans le nom de l'expéditeur et dans le sujet du
courriel. Sont ainsi rejetés les messages répondant à ces critères,
écrits en langage Perl :
(documentation sur
<http://www.perldoc.com/perl5.8.0/pod/perlretut.html>)

^SUBJECT: ((Last |Latest |Newest |Current |New )?
(Microsoft |Net |Internet |Network )?
(Security |Critical )?
(Pack|Upgrade|Patch|Update)| )$
^From: "(Microsoft |MS )?(Corporation )?
((Program |Network |Internet )?
Security |Customer |Public )
(Section|Support|Bulletin|Department|Assistance|Division)"

Un tel filtrage, touchant au contenu sémantique de
correspondances privées, et effectuant une sélection sur le nom de
l'expéditeur, est-il légal, au vu des articles L33-1 et D98-1 du Code
des Postes et Télécommunications, et 432-9 du Code Pénal ? Le fait que
ces messages soient susceptibles de porter atteinte à l'intégrité du
réseau du fournisseur d'accès, et/ou des systèmes informatiques de ses
utilisateurs, permet-il à l'administrateur de mettre en place un
système automatisé qui ne détecte pas le risque informatique en lui-
même, engendrant par là un risque d'erreur ? Ayant débattu de cette
question dans un forum Usenet (http://minilien.com/?u8VjyeXijJ), ayant
pris connaissance de la décision de la Cour d'Appel de Paris du 17
décembre 2001 (11ème chambre, section A), ainsi que de la directive
européenne 2002/58/CE du 12 juillet 2002 (article 5 et afférents),
rien ne me permet de répondre avec certitude par l'affirmative ;
aussi, je demande votre avis. De plus, d'autres filtres, contre
d'autres virus, dont j'ignore s'ils portaient réellement atteinte à
l'intégrité du réseau, ont été mis en place, mais je n'ai pas pu en
connaître la teneur, malgré mes demandes auprès du gestionnaire.

Il faut noter que les messages répondant à ces critères,
lorsqu'ils proviennent de l'extérieur du réseau de Free, ne sont pas
renvoyés à leur expéditeur déclaré, et sont simplement supprimés. Ceci
permet d'éviter la propagation du virus, étant donné que l'expéditeur
déclaré n'est pas le véritable émetteur du message. Les virus
introduisent en effet souvent des adresses volées dans le carnet
d'adresse électronique du poste émetteur. Mais par analogie avec ce
que fait La Poste des colis suspects, est-ce légalement acceptable,
notamment si on considère l'incertitude liée à un tel filtrage
automatisé ?

J'ai fait remarquer au gestionnaire des serveurs que la mise en
place d'un antivirus règlerait à mon avis ces questions. Il
détecterait les virus en se basant sur une portion de leur code
informatique, qu'il rechercherait uniquement dans les pièces jointes,
et non dans le contenu confidentiel de l'ensemble des messages. Cela
présenterait l'avantage de réduire considérablement le risque
d'erreur. De plus, lorsqu'un courriel est détecté comme étant infecté,
des annonces sont générées pour faire savoir à l'expéditeur et au
destinataire présumés qu'il n'a pas été délivré, et celles-ci ne
contiennent évidemment pas de virus, contrairement à ce que produirait
un simple message de rejet d'un serveur (" bounce "). Ces
considérations faites, un gestionnaire de correspondance privée
n'aurait-il le choix qu'entre utiliser un antivirus, ou ne pas filtrer
du tout ? Autrement, a-t-il obligation d'informer l'ensemble de ses
usagers du filtrage effectué ?

Un autre filtrage du courrier électronique par le FAI Free, pour
le moment à l'état de projet, serait destiné à la lutte contre le
spam, lui aussi de plus en plus envahissant, au point d'engendrer une
saturation des serveurs selon leur gestionnaire. Il consisterait à
rejeter les messages provenant d'adresses IP réputées être des relais
SMTP ouverts, c'est-à-dire des serveurs d'envoi de courriel
accessibles à quiconque dispose d'un accès à Internet, et qui sont
fréquemment utilisés par des spammeurs. Les adresses IP (qui sont donc
fixes, en l'occurrence) seraient consultées sur une des nombreuses
listes noires disponibles sur Internet (voir <http://rbls.org/>), et
qui sont donc maintenues par des tiers, la plupart du temps situés à
l'étranger. Si la collecte des adresses IP, que vous considérez, à ma
connaissance, comme des données nominatives, n'est pas du ressort du
fournisseur d'accès, en revanche, l'utilisation en France de telles
bases de données n'est-elle pas illégale ? De plus, ne porte-t-elle
pas atteinte au principe de neutralité de l'opérateur dans les
correspondances, énoncé dans l'article D98-1 du Code des Postes et
Télécommunications, dans la mesure où elle effectue une sélection des
expéditeurs de messages ? Le fait que ces expéditeurs puissent
potentiellement nuire à l'intégrité du réseau, ou ne pas être en
conformité avec la directive 2002/58/CE, suffit-il à la justifier ?


Dans l'attente de votre réponse avisée, je reste à votre
disposition pour toute demande de précisions, soit à l'adresse postale
indiquée, soit par courriel à <mysterion.nospam@free.fr>. Je vous
serais également très reconnaissant de me donner l'autorisation de
copier tout ou partie de votre avis sur les forums, ou bien à
destination de Free.

Vous remerciant de l'attention que vous porterez à ma demande, je
vous prie d'accepter, Madame, Monsieur, mes sincères salutations.


Stéphane FAURE
=

N'ayant pas eu l'autorisation explicite de copier leur réponse, je la
résume :

-
La CNIL n'est pas compétente pour répondre à ma question. Elle me
renvoie à la loi du 10 juillet 1991 relative au secret des
correspondances émises par la voie de télécommunications, et me laisse
le soin d'apprécier la nécessité de saisir les autorités judiciaires
ou de contacter l'Association des Fournisseurs d'Accès et de Services
Internet. Concernant le filtrage anti-spam, la CNIL déclare avoir pris
attache avec Free, étant donné sa préoccupation sur le sujet.
-

La lecture de la loi du 10 juillet 1991
(intrégralité sur
http://www.legifrance.gouv.fr/texteconsolide/PCEAR.htm) me laisse
circonspect :

=
TITRE II : Des interceptions de sécurité.

Article 3

Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, les interceptions de correspondances émises
par la voie des télécommunications ayant pour objet de rechercher des
renseignements intéressant la sécurité nationale, la sauvegarde des
éléments essentiels du potentiel scientifique et économique de la
France, ou la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de
groupements dissous en application de la loi du 10 janvier 1936 sur
les groupes de combat et les milices privées.
=

Un filtrage automatisé relève-t-il d'une interception au sens où
l'entend cette loi ? Le moins que l'on puisse dire, c'est que la CNIL
ne nous a guère avancés.

Je n'ai pas l'intention de saisir les autorités judiciaires pour un
problème qui est somme toute mieux traité par Free que par la plupart
des autres FSI -quoiqu'ils soient de plus en plus nombreux à
s'équiper d'antivirus. Mais je souhaite relancer ce débat entre
neutralité et secret des correspondances d'une part, et sécurité
informatique d'autre part. Question qui me paraît fondamentale pour
tout fournisseur de service de courrier électronique. Aussi je
m'interroge sur l'opportunité de contacter l'AFA, d'autant plus que
Free a quitté cette association pour des raisons obscures il y a
quelques mois. Qu'en pensez-vous ?


--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Vos réponses Page 1 / 7
Trier par : date / pertinence
Brina
Le #13586941
Dans l'article
La CNIL n'est pas compétente pour répondre à ma question.



Non, quelle surprise ... ce n'est pourtant pas faute de la part de pas
mal de gens de l'avoir dit, hein ...
Didier Cuidet
Le #13586931
Le Tue, 17 Feb 2004 02:38:32 +0100, dans fr.usenet.abus.d, Stephane
Faure
[filtrage sémantique des courriels envoyés sur les adresses Free]

La lecture de la loi du 10 juillet 1991
(intrégralité sur
http://www.legifrance.gouv.fr/texteconsolide/PCEAR.htm) me laisse
circonspect :

===================================================================== > TITRE II : Des interceptions de sécurité.

Article 3

Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, les interceptions de correspondances émises
par la voie des télécommunications ayant pour objet de rechercher des
renseignements intéressant la sécurité nationale, la sauvegarde des
éléments essentiels du potentiel scientifique et économique de la
France, ou la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de
groupements dissous en application de la loi du 10 janvier 1936 sur
les groupes de combat et les milices privées.
=====================================================================


C'est l'expression par laquelle l'article commence qui m'interpelle :
« Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, ... »

Que dit l'article 4 ?

« Article 4

L'autorisation est accordée par décision écrite et motivée du Premier
ministre ou de l'une des deux personnes spécialement déléguées par lui.
Elle est donnée sur proposition écrite et motivée du ministre de la
défense, du ministre de l'intérieur ou du ministre chargé des douanes,
ou de la personne que chacun d'eux aura spécialement déléguée.

Le Premier ministre organise la centralisation de l'exécution des
interceptions autorisées. »

L'entreprise privée Free a-t-elle obtenu l'autorisation du Premier
ministre pour effectuer de telles interceptions ? Quels sont les motifs
invoqués par le Premier ministre pour justifier cette décision ?

--
DC
Roland Garcia
Le #13586921
Didier Cuidet a écrit :

C'est l'expression par laquelle l'article commence qui m'interpelle :
« Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, ... »

Que dit l'article 4 ?

« Article 4

L'autorisation est accordée par décision écrite et motivée du Premier
ministre ou de l'une des deux personnes spécialement déléguées par lui.
Elle est donnée sur proposition écrite et motivée du ministre de la
défense, du ministre de l'intérieur ou du ministre chargé des douanes,
ou de la personne que chacun d'eux aura spécialement déléguée.

Le Premier ministre organise la centralisation de l'exécution des
interceptions autorisées. »

L'entreprise privée Free a-t-elle obtenu l'autorisation du Premier
ministre pour effectuer de telles interceptions ? Quels sont les motifs
invoqués par le Premier ministre pour justifier cette décision ?



Il s'agit là de ce qu'on appelle communément des "écoutes", c'est très
différent du filtrage des virus et des spams.

Roland Garcia
AMcD®
Le #13586871
Stephane Faure wrote:
Bonjour,

Durant le mois d'octobre dernier, j'avais soulevé sur
fr.misc.droit.internet (où je place le suivi) le problème de la
légalité du filtrage sémantique des courriels envoyés sur les
adresses Free, mis en place notamment pour lutter contre le virus
Swen.



[...]

Qu'en pensez-vous ?



Ben ce doit pas être très efficace, je viens de recevoir un Swen à l'instant
même :o).

--
AMcD®

http://arnold.mcdonald.free.fr/
Laurent Wacrenier
Le #13586861
Stephane Faure
La CNIL n'est pas compétente pour répondre à ma question. Elle me



On vous l'avait dit, non ?

TITRE II : Des interceptions de sécurité.



Ça recommence ? Ces filtres ne sont pas des interceptions et ne
violent aucun secret. Accessoirement, l'article ne donne que des
droits d'interceptions pour la puissance publique sans interdire
l'interception en général.
Laurent Wacrenier
Le #13586851
Roland Garcia
Il s'agit là de ce qu'on appelle communément des "écoutes",



C'est ce que le code de procédure pénal appele "interception".

c'est très différent du filtrage des virus et des spams.



Bien entendu.
manu
Le #13586781
Stephane Faure
Un filtrage automatisé relève-t-il d'une interception au sens où
l'entend cette loi ? Le moins que l'on puisse dire, c'est que la CNIL
ne nous a guère avancés.

Je n'ai pas l'intention de saisir les autorités judiciaires pour un
problème qui est somme toute mieux traité par Free que par la plupart
des autres FSI -quoiqu'ils soient de plus en plus nombreux à
s'équiper d'antivirus. Mais je souhaite relancer ce débat entre
neutralité et secret des correspondances d'une part, et sécurité
informatique d'autre part. Question qui me paraît fondamentale pour
tout fournisseur de service de courrier électronique. Aussi je
m'interroge sur l'opportunité de contacter l'AFA, d'autant plus que
Free a quitté cette association pour des raisons obscures il y a
quelques mois. Qu'en pensez-vous ?



Que si Free faisait ce filtrage sur le MX du domaine en refusant le
courrier qui tombe dans les critères du filtre, il n'y aurait pas de
destruction de courrier. Ce serait simplement un refus de service. Et
que je sache, aucune loi n'oblige un FSI à accepter un courrier.

Bref, on est dans une situation juridiquement scabreuse alors que la
solution technique existe pour faire les choses sans qu'il n'y ait rien
à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en
oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très
bien.

--
Emmanuel Dreyfus
A lire: 240 pages en français sur l'administration UNIX avec BSD
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3

Laurent Wacrenier
Le #13586751
Emmanuel Dreyfus
Bref, on est dans une situation juridiquement scabreuse alors que la
solution technique existe pour faire les choses sans qu'il n'y ait rien
à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en
oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très
bien.



Combien de centaines de milliers de messages par jour ?
Stephane Faure
Le #13586741
Brina, in
Non, quelle surprise ... ce n'est pourtant pas faute de la part de pas
mal de gens de l'avoir dit, hein ...



Ah oui, on peut avoir les références ? On m'a dit plus ou moins
poliement que la CNIL avait autre chose à foutre, pas qu'elle était
incompétente sur la question !
Mais je sais pas pourquoi, je sens une réponse creuse du même ordre
que celles auxquelles tu nous a habitués...

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Stephane Faure
Le #13586731
Emmanuel Dreyfus, in
Que si Free faisait ce filtrage sur le MX du domaine en refusant le
courrier qui tombe dans les critères du filtre, il n'y aurait pas de
destruction de courrier. Ce serait simplement un refus de service. Et
que je sache, aucune loi n'oblige un FSI à accepter un courrier.



Si elle interdit de les intercepter (sauf cas cités dans la loi en
question), c'est quelle oblige de les transmettre, non ?

Bref, on est dans une situation juridiquement scabreuse alors que la
solution technique existe pour faire les choses sans qu'il n'y ait rien
à redire.



Je pense plutôt qu'il y a une sorte de vide juridique à propos du
filtrage des correspondances privées que la LCEN ne comble même pas,
bien au contraire. Raison de plus pour en parler à l'AFA et pourquoi
pas aux sénateurs. Finalement, je me demande si je ne vais pas signer
la pétition de Odebi...

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Publicité
Poster une réponse
Anonyme