Le gouvernement a présenté la semaine dernière son projet de loi visant à « sécuriser et réguler l'espace numérique »  (lire Maire info du 11 mai). Une disposition du texte propose la création d’un filtre anti-arnaque. Le principe : « Un message d’alerte avertira les Français lorsqu’après avoir reçu un SMS ou un mail frauduleux, ils s’apprêtent à se diriger vers un site malveillant ». Cette pratique de cyberattaque, qui s'appelle"le phishing", est à l’origine de nombreux piratages à l’encontre des collectivités. Mais ce filtre, qui permettrait de ne pas tomber dans le piège, semble complexe à mettre en oeuvre selon les acteurs de la filière numérique.

Éviter l'hameçonnage

L'objectif est de filtrer, pour tous les internautes français, les centaines de milliers de pages trompeuses vers lesquels pointent les emails ou sms de hameçonnage (phishing). Ces pages tentent de voler des données – en imitant un site bancaire, par exemple. Des millions de Français tombent encore dans le panneau: 65 % cliquent, selon la société d'antivirus Kaspersky, pourcentage confirmé lors d'un récent test auprès d'agents de Bercy. Mais ces pages dépendent d'un nom de domaine, que l'on peut bloquer, en imposant une manoeuvre technique aux fournisseurs d'accès internet (FAI) français ou aux navigateurs.

Liste noire 

L'idée est simple : créer une liste noire centralisée des sites frauduleux, que signalent les premières victimes ou les services de l'Etat. Un clic sur ces pages sera redirigé vers une page d'avertissement. Cette liste mutualiserait celles d'organismes comme l'Anssi, la plateforme Cybersurveillance.gouv.fr, la cybergendarmerie, la DGCCRF, l'Office de lutte contre la cybercriminalité. Elle serait transmise régulièrement aux FAI et navigateurs. 

 « C'est comme filtrer les saletés dans un service de distribution d'eau », résume Jérôme Notin, directeur général de Cybermalveillance, la plateforme d'aide aux victimes.  « La loi numérique aura un impact systémique, avec le filtre anti-arnaques mais aussi le bannissement des cyberharceleurs, qui implique l'identification de l'ensemble des utilisateurs. C'est un geste politique fort », souligne un conseiller de l'exécutif. 

Un filtre faisable techniquement 

Techniquement, oui. Quand on clique sur un lien, le FAI (Orange, Free, SFR...) interroge un annuaire: son serveur de noms de domaine (DNS), dit  « résolveur ». C'est cette base de données qui convertit une adresse web en adresse IP permettant d'identifier un ordinateur sur le réseau. Le résolveur transmet l'IP au navigateur internet, qui dirige l'internaute vers la page désirée. Pour bloquer un site, le FAI modifie son résolveur: l'adresse IP du site est remplacée par une autre, qui pointe sur un page d'avertissement, ou la supprime, pour générer un message d'erreur.

Chaque FAI a son propre résolveur, qui intègre déjà sa propre liste noire, par exemple les sites interdits par la justice (pédopornographie, terrorisme, fraude...). Les navigateurs, comme ceux de Google ou Microsoft, ont eux aussi constitué des listes noires, pour créer des services comme Google Safe Browsing et Microsoft SmartScreen.

Les obstacles au système 

Tous les acteurs estiment que ce système peut  « limiter la casse », surtout pour les seniors, jugés plus vulnérables. Et donc décourager des cybercriminels en rendant leurs campagnes moins rentables. Mais tout ne pourra pas être détecté à temps. 

Première difficulté: la rapidité.  « Les campagnes de phishing se déroulent sur quelques heures, en pointant sur des milliers de pages différentes, puis ils changent de pages », explique Adrien Gendre, patron de la société de cybersécurité Vade Secure.

Entretemps, des milliers de personnes auront été grugées. « Une mise à jour manuelle semble donc très difficile », explique Vade Secure, qui recourt à l'intelligence artificielle pour bloquer automatiquement les emails de phishing avant qu'ils n'arrivent.    

 « Nous comptons valider les listes en quelques heures, mais ce ne sera pas un outil magique » , reconnaît Jérôme Notin.  « Il y aura des premières victimes. Mais ce système existe en Belgique et fonctionne très bien, avec 14 millions de pages bloquées ». Impossible selon lui d'utiliser une IA pour le repérage, car l'algorithme de détection doit être transparent. 

Second obstacle : le risque de  « faux positif »  ou de surblocage, car bloquer un DNS signifie bloquer tout un site, et pas seulement des pages. Illustration samedi, toutes les adresses pointant vers le réseau social Telegram ont été bloquées pendant quelques heures en France après la détection de contenus pédopornographiques. Un site bloqué par erreur pourra faire un recours, immédiatement suspensif, veut rassurer le ministère. 

Des critiques de la part des opérateurs 

Les opérateurs télécoms, piliers du futur système, sont particulièrement méfiants et négocient actuellement avec l'État une compensation pour la mise en place de ce filtre. Idem pour les sociétés de cybersécurité, dont les services similaires seraient en partie concurrencés par l'État. « C'est une opération de com' », tacle un opérateur. « Un écran de fumée », renchérit un leader de la cybersécurité, qui juge impossible de mettre à jour une telle liste noire.  « Ce système se fait pour des entreprises mais là c'est l'État qui bride l'accès internet à toute une population », fait valoir Bastien Bobe, de Lookout, spécialiste de la protection des smartphones.

Suivez Maire info sur Twitter : @Maireinfo2