Guide d'autodéfense numérique

On a vu que le serveur qui héberge un service (comme un site web, une boîte mail ou un salon de messagerie instantanée) avait accès à une grande quantité de données.

En France, c'est la Loi pour la Confiance dans l'Économie Numérique1 (issue de la directive européenne 2006/24/EC sur la rétention de données2) qui oblige les hébergeurs de contenus publics à conserver « les données de nature à permettre l’identification » de « toute personne ayant contribué à la création d'un contenu mis en ligne »3 : écrire sur un blog ou sur un site de média participatif, envoyer un email, poster sur une liste de diffusion publique, par exemple. Concrètement, il s'agit de conserver pendant un an les éventuels identifiants ou pseudonymes fournis par l'auteur, mais surtout l'adresse IP associée à chaque modification de contenu4. Une requête auprès du fournisseur d'accès à Internet qui fournit cette adresse IP permet ensuite généralement de remonter jusqu'au propriétaire de la connexion utilisée.

De plus, la Loi relative à la programmation militaire5, promulguée fin décembre 2013, permet de demander ces mêmes informations, en temps réel, pour des motifs aussi variés que : les attaques terroristes, les cyber-attaques, les atteintes au potentiel scientifique et technique, la criminalité organisée, etc.

C'est donc cette obligation de rétention de données qui permet à la police, dans notre histoire introductive, d'obtenir des informations auprès des organismes hébergeant les adresses emails incriminées :

  • On va demander à Gmail ainsi qu'à no-log les informations sur ces adresses email. À partir de là on pourra sans doute mettre la main sur les personnes responsables de cette publication.

Les hébergeurs pourront être plus ou moins coopératifs sur la façon de vérifier la légalité des requêtes que leur adressent les flics et d'y répondre : il semblerait que certains répondent à un simple email des flics alors que d'autres attendront d'avoir un courrier signé d'un juge6, voire ne répondent pas aux requêtes7.

Non seulement les personnes ayant accès au serveur peuvent collaborer avec les flics de plein gré, mais un adversaire peut aussi, comme dans le cas d'un ordinateur personnel, s’y introduire et espionner ce qui s'y passe en utilisant des failles, sans passer par l'étape requête légale. Il aura alors accès à toutes les données stockées sur le serveur, y compris les journaux.

Mais le serveur ne connaît pas toujours l’identité réelle des clients qui s’y connectent : en général, tout ce qu’il peut donner c’est une adresse IP.

C’est alors qu’intervient le fournisseur d'accès à Internet.


  1. République Française, 2014, LOI n° 2004­575 du 21 juin 2004 pour la confiance dans l'économie numérique, Journal Officiel n° 143 du 22 juin 2004 page 11168, NOR : ECOX0200175L

  2. EUR-lex, 2006, Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

  3. République Française, 2011, Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.

  4. « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (LCEN, op. cit.), c'est-à-dire les hébergeurs sont tenus de conserver pendant un an : « a) L'identifiant de la connexion à l'origine de la communication ; b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ; d) La nature de l'opération ; e) Les date et heure de l'opération ; f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ; » (Décret n° 2011-219 du 25 février 2011, op. cit.)

  5. Legifrance, 2014, LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

  6. Globenet, 2014, No-log, les logs et la loi.

  7. « Précisons que les serveurs hébergeant les sites du réseau Indymedia, domiciliés aux USA à Seattle, refusent systématiquement de donner connaissance aux autorités des logs de connexion des ordinateurs consultant ces sites ou y déposant une contribution, rendant de fait non-identifiable les auteurs des contributions » (dossier d’instruction judiciaire cité par Anonymes, 2010, Analyse d’un dossier d’instruction antiterroriste.