Orange veut aider les clients qui hébergent des appareils participant à des botnets à se désinfecter. Il compte aussi « nettoyer » le trafic entrant d’entreprises avant qu’il ne les atteigne. Ces deux projets seraient contraires à la loi CNIL et à la neutralité du Net. L’opérateur historique demande donc l’aide de l’ANSSI pour revoir le cadre légal.

Doit-on revoir la neutralité du Net pour que les opérateurs protègent Internet des cyberattaques ? C’est la question que posait Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), aux dernières Assises de la sécurité à Monaco, le mois dernier.

L’agence compte lancer le débat dans les prochains mois, en premier lieu avec les opérateurs, qui pourraient bloquer les attaques informatiques dirigées depuis et vers leurs réseaux. L’idée n’est d’ailleurs pas née à l’ANSSI. Elle a été soufflée par Orange, qui se heurte à des obstacles légaux dans ses projets de protection de ses clients.

Dans un entretien, le président d’Orange Cyberdefense, Michel Van Den Berghe, nous détaille les plans de l’entreprise. D’un côté, l’opérateur souhaite prévenir les clients dont les équipements participent à une attaque. De l’autre, il prépare Cyberfiltre, un système de « lessiveuses » en cœur de réseau filtrant le trafic pour les entreprises souscrivant à une option spécifique. Sans jamais scruter le contenu, promet le groupe.

« Aujourd’hui, une mairie vous garantit que l’eau du robinet est potable. Vous ajoutez ensuite vous-mêmes un adoucisseur si vous voulez qu’elle soit douce. C’est la première démarche que nous voulons assurer chez Orange » nous déclare Van Den Berghe. Problème : la législation sur les données personnelles et la neutralité du Net empêcheraient l’opérateur d’avancer sur le sujet, malgré certaines portes déjà grandes ouvertes.

L’impossibilité technique de surveiller tout le trafic