Reponse de la CNIL au sujet du filtrage semantique des courriels par Free

Le
Stephane Faure
Bonjour,

Durant le mois d'octobre dernier, j'avais soulevé sur
fr.misc.droit.internet (où je place le suivi) le problème de la
légalité du filtrage sémantique des courriels envoyés sur les
adresses Free, mis en place notamment pour lutter contre le virus
Swen. Après un long débat, j'avais décidé de demander son avis à la
CNIL. Pour rappel, je vous retranscris la lettre ci-dessous.

=
Commission Nationale de l'Informatique et des Libertés
21, rue St-Guillaume
75340 PARIS CEDEX 7

Objet : Demande d'avis sur le filtrage du courrier électronique par le
FAI

Le 3 novembre 2003



Madame, Monsieur

En tant que client du fournisseur d'accès à Internet FREE - 75371
PARIS CEDEX 08, je me permets de demander votre avis concernant sa
gestion des courriers électroniques.

Suite à la recrudescence sans précédent de messages infectés,
dernièrement par le virus Swen, le gestionnaire des serveurs de
courriel de Free a mis en place un filtrage concernant l'ensemble de
ses usagers. Bien qu'aucun préavis n'a été donné officiellement (j'en
ai pris connaissance par hasard dans un forum de support du FAI),
c'est une mesure qui, dans l'urgence, paraît tout à fait respectable :
les boîtes aux lettres, tout comme les serveurs, étaient réellement
saturés. Mais il se trouve que ce filtrage repose sur la recherche de
mots-clés contenus dans le nom de l'expéditeur et dans le sujet du
courriel. Sont ainsi rejetés les messages répondant à ces critères,
écrits en langage Perl :
(documentation sur
<http://www.perldoc.com/perl5.8.0/pod/perlretut.html>)

^SUBJECT: ((Last |Latest |Newest |Current |New )?
(Microsoft |Net |Internet |Network )?
(Security |Critical )?
(Pack|Upgrade|Patch|Update)| )$
^From: "(Microsoft |MS )?(Corporation )?
((Program |Network |Internet )?
Security |Customer |Public )
(Section|Support|Bulletin|Department|Assistance|Division)"

Un tel filtrage, touchant au contenu sémantique de
correspondances privées, et effectuant une sélection sur le nom de
l'expéditeur, est-il légal, au vu des articles L33-1 et D98-1 du Code
des Postes et Télécommunications, et 432-9 du Code Pénal ? Le fait que
ces messages soient susceptibles de porter atteinte à l'intégrité du
réseau du fournisseur d'accès, et/ou des systèmes informatiques de ses
utilisateurs, permet-il à l'administrateur de mettre en place un
système automatisé qui ne détecte pas le risque informatique en lui-
même, engendrant par là un risque d'erreur ? Ayant débattu de cette
question dans un forum Usenet (http://minilien.com/?u8VjyeXijJ), ayant
pris connaissance de la décision de la Cour d'Appel de Paris du 17
décembre 2001 (11ème chambre, section A), ainsi que de la directive
européenne 2002/58/CE du 12 juillet 2002 (article 5 et afférents),
rien ne me permet de répondre avec certitude par l'affirmative ;
aussi, je demande votre avis. De plus, d'autres filtres, contre
d'autres virus, dont j'ignore s'ils portaient réellement atteinte à
l'intégrité du réseau, ont été mis en place, mais je n'ai pas pu en
connaître la teneur, malgré mes demandes auprès du gestionnaire.

Il faut noter que les messages répondant à ces critères,
lorsqu'ils proviennent de l'extérieur du réseau de Free, ne sont pas
renvoyés à leur expéditeur déclaré, et sont simplement supprimés. Ceci
permet d'éviter la propagation du virus, étant donné que l'expéditeur
déclaré n'est pas le véritable émetteur du message. Les virus
introduisent en effet souvent des adresses volées dans le carnet
d'adresse électronique du poste émetteur. Mais par analogie avec ce
que fait La Poste des colis suspects, est-ce légalement acceptable,
notamment si on considère l'incertitude liée à un tel filtrage
automatisé ?

J'ai fait remarquer au gestionnaire des serveurs que la mise en
place d'un antivirus règlerait à mon avis ces questions. Il
détecterait les virus en se basant sur une portion de leur code
informatique, qu'il rechercherait uniquement dans les pièces jointes,
et non dans le contenu confidentiel de l'ensemble des messages. Cela
présenterait l'avantage de réduire considérablement le risque
d'erreur. De plus, lorsqu'un courriel est détecté comme étant infecté,
des annonces sont générées pour faire savoir à l'expéditeur et au
destinataire présumés qu'il n'a pas été délivré, et celles-ci ne
contiennent évidemment pas de virus, contrairement à ce que produirait
un simple message de rejet d'un serveur (" bounce "). Ces
considérations faites, un gestionnaire de correspondance privée
n'aurait-il le choix qu'entre utiliser un antivirus, ou ne pas filtrer
du tout ? Autrement, a-t-il obligation d'informer l'ensemble de ses
usagers du filtrage effectué ?

Un autre filtrage du courrier électronique par le FAI Free, pour
le moment à l'état de projet, serait destiné à la lutte contre le
spam, lui aussi de plus en plus envahissant, au point d'engendrer une
saturation des serveurs selon leur gestionnaire. Il consisterait à
rejeter les messages provenant d'adresses IP réputées être des relais
SMTP ouverts, c'est-à-dire des serveurs d'envoi de courriel
accessibles à quiconque dispose d'un accès à Internet, et qui sont
fréquemment utilisés par des spammeurs. Les adresses IP (qui sont donc
fixes, en l'occurrence) seraient consultées sur une des nombreuses
listes noires disponibles sur Internet (voir <http://rbls.org/>), et
qui sont donc maintenues par des tiers, la plupart du temps situés à
l'étranger. Si la collecte des adresses IP, que vous considérez, à ma
connaissance, comme des données nominatives, n'est pas du ressort du
fournisseur d'accès, en revanche, l'utilisation en France de telles
bases de données n'est-elle pas illégale ? De plus, ne porte-t-elle
pas atteinte au principe de neutralité de l'opérateur dans les
correspondances, énoncé dans l'article D98-1 du Code des Postes et
Télécommunications, dans la mesure où elle effectue une sélection des
expéditeurs de messages ? Le fait que ces expéditeurs puissent
potentiellement nuire à l'intégrité du réseau, ou ne pas être en
conformité avec la directive 2002/58/CE, suffit-il à la justifier ?


Dans l'attente de votre réponse avisée, je reste à votre
disposition pour toute demande de précisions, soit à l'adresse postale
indiquée, soit par courriel à <mysterion.nospam@free.fr>. Je vous
serais également très reconnaissant de me donner l'autorisation de
copier tout ou partie de votre avis sur les forums, ou bien à
destination de Free.

Vous remerciant de l'attention que vous porterez à ma demande, je
vous prie d'accepter, Madame, Monsieur, mes sincères salutations.


Stéphane FAURE
=

N'ayant pas eu l'autorisation explicite de copier leur réponse, je la
résume :

-
La CNIL n'est pas compétente pour répondre à ma question. Elle me
renvoie à la loi du 10 juillet 1991 relative au secret des
correspondances émises par la voie de télécommunications, et me laisse
le soin d'apprécier la nécessité de saisir les autorités judiciaires
ou de contacter l'Association des Fournisseurs d'Accès et de Services
Internet. Concernant le filtrage anti-spam, la CNIL déclare avoir pris
attache avec Free, étant donné sa préoccupation sur le sujet.
-

La lecture de la loi du 10 juillet 1991
(intrégralité sur
http://www.legifrance.gouv.fr/texteconsolide/PCEAR.htm) me laisse
circonspect :

=
TITRE II : Des interceptions de sécurité.

Article 3

Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, les interceptions de correspondances émises
par la voie des télécommunications ayant pour objet de rechercher des
renseignements intéressant la sécurité nationale, la sauvegarde des
éléments essentiels du potentiel scientifique et économique de la
France, ou la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de
groupements dissous en application de la loi du 10 janvier 1936 sur
les groupes de combat et les milices privées.
=

Un filtrage automatisé relève-t-il d'une interception au sens où
l'entend cette loi ? Le moins que l'on puisse dire, c'est que la CNIL
ne nous a guère avancés.

Je n'ai pas l'intention de saisir les autorités judiciaires pour un
problème qui est somme toute mieux traité par Free que par la plupart
des autres FSI -quoiqu'ils soient de plus en plus nombreux à
s'équiper d'antivirus. Mais je souhaite relancer ce débat entre
neutralité et secret des correspondances d'une part, et sécurité
informatique d'autre part. Question qui me paraît fondamentale pour
tout fournisseur de service de courrier électronique. Aussi je
m'interroge sur l'opportunité de contacter l'AFA, d'autant plus que
Free a quitté cette association pour des raisons obscures il y a
quelques mois. Qu'en pensez-vous ?


--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Vos réponses
Trier par : date / pertinence
Xavier Roche
Le #138193
Laurent Wacrenier wrote:
J'ai essayé Sophos sur un P750, il scanne un message moyen en 0,25
secondes. Il faut 70 machines de même puissance à temps plein pour
tenir le million de messages par heure. Prévoir le double pour
spamassassin.


Test avec f-prot:

$ time f-prot * >/dev/null
real 0m5.761s
user 0m5.260s
sys 0m0.500s

Je précise que le test porte sur 10,000 .exe (virus W32/)
Soit 0.1ms par document.

Sinon, vous connaissez le prix de la licence de Sophos ?


La license de f-prot est pas chère.

(Je vais finir par me faire engager comme commercial chez eux si ça
continue)

Bon, on est un poil HS ici, non ?
FU2 fr.comp.mail

Publicité
Poster une réponse
Anonyme