Close

Russie : une nouvelle loi pour la sécurisation et le contrôle du RuNet

Le 12 mars 2019, la Douma d’État de la Fédération de Russie a adopté en première lecture le projet de loi visant à assurer la stabilité du segment russe de l’Internet (RuNet) en cas de déconnexion de l’Internet mondial. Ce projet de loi modifie la loi du 7 juillet 2003 n°126-F 3 « sur les communications » en introduisant notamment des « exigences pour le fonctionnement des systèmes de gestion de réseaux de communication en cas de menaces pour l’intégrité et la stabilité d’Internet et des réseaux à usage public sur le territoire russe »[1]. Selon plusieurs sources, le groupe de travail de la Douma en charge de ce projet de loi devrait finaliser d’ici le 1er avril 2019[2] ses propositions pour le passage du projet en deuxième lecture.

La « Note explicative » du projet de loi indique que celui-ci a été élaboré en tenant compte de la « nature agressive de la stratégie nationale américaine en matière de cybersécurité » adoptée en septembre 2018[3] qui dénonçait la « série de cyber-attaques irresponsables » menées par la Russie, l’Iran et la Corée du Nord. Dans ces conditions, la Russie considère comme nécessaire de prendre des mesures de protection afin d’assurer le fonctionnement stable et durable d’Internet en Russie et d’accroître la fiabilité des ressources russes sur Internet. De plus, malgré l’indépendance théorique depuis 2016 de l’Internet Corporation for Assigned Names and Numbers (ICANN), historiquement contrôlée par le gouvernement américain, l’Agence est en réalité soumise au droit américain puisque basée en Californie. Ainsi, la Russie reste prudente et ne semble pas exclure la possibilité d’une suppression des domaines russes par l’ICANN.

Depuis 2012, la volonté de sécuriser le RuNet fait l’objet d’une véritable inflation législative[4]. Le projet de loi sur la stabilité du RuNet en cas de déconnexion de l’Internet global s’inscrit dans cette tendance de renforcement du contrôle d’Internet par le gouvernement russe, tant sur le plan des infrastructures que sur le plan informationnel.

Les nouvelles mesures sur l’Internet russe prévues par la loi

Les nouvelles mesures prévues par la loi ont pour objectif d’assurer la sécurité du RuNet en cas de menaces pour l’intégrité et la stabilité de ce dernier. A ce titre, elles mettent à la charge des opérateurs de télécommunications certaines obligations et organisent la possibilité d’un contrôle centralisé de l’État fédéral. Néanmoins, ces mesures peuvent s’avérer difficiles à mettre en œuvre en pratique.

Obligations à la charge des opérateurs de télécommunications

S’agissant des opérateurs de télécommunications, le tableau suivant décrit les obligations prévues par la loi :

Opérateurs de télécommunication Obligations
Les Fournisseurs d’accès à internet (FAI) ·       L’installation sur leurs réseaux de moyens techniques de lutte contre les menaces contre l’internet russe ;

·       La fourniture à l’autorité fédérale de surveillance des médias, le Roskomnadzor[5] (ci-après « l’autorité de surveillance des médias »), d’informations relatives à ces moyens techniques.

Les propriétaires ou gestionnaires de lignes de communication traversant la frontière russe ·       La fourniture à l’autorité fédérale de surveillance d’informations sur le routage des communications.
Les opérateurs possédant un numéro de système autonome (numéro AS)[6] ·       Le respect des règles de routage établies par l’autorité de surveillance des médias ;

·       La correction du routage à la demande de l’autorité de surveillance des médias ou en cas de violation des règles de routage ;

·       L’utilisation de programmes et de moyens techniques définis par l’autorité de surveillance des médias pour l’établissement de noms de domaine en Russie ;

·       Le respect des règles établies par l’autorité de surveillance des médias pour assurer le fonctionnement des communications et les interactions avec les installations des autres opérateurs, notamment ceux situés en dehors du territoire de la Fédération de Russie ;

·       L’utilisation de points d’échange internet (IXP)[7] qui sont uniquement contenus dans le registre des points d’échange.

En outre, la loi oblige les opérateurs de télécommunications à situer sur le territoire de la Fédération de Russie leurs installations et moyens de communications afin d’assurer une gestion centralisée d’un réseau de communication public.

Le projet de loi vient également interdire l’utilisation des systèmes d’information ou d’équipements techniques situés en dehors du territoire de la Fédération de Russie pour les opérateurs des systèmes d’information de l’État.

Le renforcement des pouvoirs de l’autorité fédérale de surveillance des médias (Roskomnadzor) et la centralisation de l’Internet russe

Outre les obligations à la charge des opérateurs de télécommunication, la loi vient renforcer les pouvoirs de contrôle de l’autorité fédérale de surveillance des médias en la dotant d’un « Centre de surveillance et de gestion du réseau » et en lui permettant notamment :

  • De surveiller le fonctionnement des réseaux des opérateurs et de déterminer la procédure de contrôle des performances des opérateurs ;
  • En cas de menace pour l’intégrité, la durabilité et la sécurité du fonctionnement de l’Internet russe, de gérer de manière centralisée le RuNet selon des modalités déterminées par le gouvernement russe et de pouvoir prendre des mesures visant éliminer les menaces.

Par ailleurs, afin de garantir le fonctionnement durable du segment russe de l’Internet, la loi crée un système national pour l’obtention de noms de domaine doté d’outils logiciels et de matériels indépendants des géants de l’internet, comme par exemple les GAFAM[8]. L’utilisation de ce système deviendra obligatoire pour obtenir un nom de domaine en Russie, a priori les noms de domaine en « .ru », « .su » et « .pф ». L’autorité fédérale de surveillance des médias devra définir les exigences relatives à l’utilisation de ce système et enregistrer les personnes autorisées à créer des noms de domaine en Russie.

Enfin, le projet de loi autorise les pouvoirs publics et les opérateurs, sous l’autorité du gouvernement russe, à réaliser des exercices visant à améliorer l’identification des menaces et le développement de mesures pour rétablir le fonctionnement de l’Internet russe en cas de perturbation ou de déconnexion.

Limites des nouvelles mesures prévues par la loi

Si ces nouvelles mesures permettraient au gouvernement russe d’assoir son autorité sur le fonctionnement du segment russe de l’Internet, certaines limites peuvent être relevées :

  • Premièrement, les mesures n’ont vocation à être mises en œuvre que dans le cas de menaces pour l’intégrité et la stabilité du RuNet. Or, même si la loi ne définit pas les menaces, l’atteinte à l’intégrité et à la stabilité de l’internet russe constitue une situation exceptionnelle et aujourd’hui peu probable (suppression des noms domaine russophone de l’internet global ou cyberattaque de grande ampleur contre les infrastructures de l’internet russe, par exemple), ce qui limite de fait la gestion centralisée de l’Internet russe par le Centre de surveillance et de gestion du réseau sous l’autorité du gouvernement russe ;
  • Deuxièmement, si la loi permet théoriquement la surveillance et le contrôle des réseaux et des communications des opérateurs, notamment celles traversant les frontières de la Fédération de Russie, il est techniquement impossible de contrôler l’ensemble des connexions et moyens de communication dans un pays comme la Russie[9]. De plus, le projet de loi ne prévoit pas de sanctions particulières contre les opérateurs qui ne respecteraient pas leurs obligations ;
  • Troisièmement, même si la loi prévoit la création d’un système national de noms de domaine doté d’outils logiciels et de matériels indépendants et donne au gouvernement russe la capacité de mobiliser les opérateurs pour empêcher les connexions avec l’étranger en cas de menaces pour l’Internet russe, il serait difficile pour la Russie de mettre en œuvre un Internet semblable au modèle chinois en l’absence de véritables champions du numérique comme les GAFAM ou les BATX[10]. Une telle option pourrait d’ailleurs avoir « des conséquences techniques, politiques et économiques effarantes[11]» selon Frédéric Donk, directeur du bureau Europe de l’Internet Society.

Au-delà des règles relatives aux opérateurs de télécommunication et à l’organisation du contrôle du RuNet, les nouvelles mesures prévues par la loi ont des implications plus larges qui concernent la géopolitique du cyberespace.

 

Les implications de la loi dans la géopolitique du cyberespace

Une réponse sécuritaire à la stratégie américaine de cyberdéfense

La Russie perçoit la stratégie américaine de cyberdéfense comme une menace pour l’intégrité du segment russe de l’Internet. Ainsi, la démarche russe s’inscrit dans une volonté de sécurisation de l’Internet domestique face à la « domination » américaine de l’Internet global et la crainte d’une coupure du RuNet. Le Domain Name System (DNS), réparti sur l’ensemble de la planète et mis à jour automatiquement, permet l’attribution des adresses des serveurs des domaines de haut niveau (« .fr » pour la France, « .be » pour la Belgique, etc.) et des domaines génériques (« .com », « .org », « .edu », « .info », etc.). L’attribution de ces noms de domaine, dits de premiers niveaux, se fait sous le contrôle de l’Internet Corporation for Assigned Names and Numbers (ICANN). L’ICANN étant à l’origine un organisme américain, l’attribution des noms de domaines était donc de fait contrôlée par les États-Unis. Depuis 2016, le contrat entre l’ICANN et le département du Commerce des États-Unis n’a pas été renouvelé, ce qui affranchit théoriquement l’organisme du contrôle du gouvernement américain, bien que, basé en Californie, il reste de fait soumis au droit américain. La Russie semble anticiper la possibilité d’une suppression par l’ICANN des domaines « .ru ». Cette crainte s’inscrit dans le contexte actuel où la Russie est régulièrement accusée d’être à l’origine de cyberattaques de grande ampleur. En 2014 déjà, le ministre russe des Communications Nikolaï Nikiforov avait déclaré qu’un plan de sécurisation du RuNet en cas de désactivation du segment russe de l’Internet avait été mis en place.[12]

Une nouvelle étape vers le projet « RuNet 2020 »

Les mesures prévues par la loi s’inscrivent dans le prolongement de la doctrine russe de sécurité informationnelle et affirment plus ou moins en droit interne russe une souveraineté numérique. En outre, ces mesures définissent légalement, et non plus seulement politiquement, les contours du projet « RuNet 2020 »[13]. En ce sens, l’adoption de la loi pourrait notamment être interprétée comme une volonté pour la Russie de se doter d’un arsenal juridique cohérent pour développer son indépendance technologique et ainsi rattraper son retard face notamment aux États-Unis, l’Europe ou la Chine tout en évitant d’être gênée par ces derniers.

Cette indépendance recherchée ne doit, en revanche, pas être interprétée comme l’adoption d’un modèle du type chinois, les autorités russes ayant précisé, suite aux manifestations contre le projet de loi visant à assurer la stabilité du RuNet, qu’il n’était pas question d’une séparation avec l’Internet global[14]. La loi précise d’ailleurs que les opérateurs ne doivent pas « restreindre l’accès aux informations diffusées par le réseau […] Internet ». Il s’agit plus de pouvoir délimiter les contours du segment russe de l’Internet[15], de le surveiller et de contrôler la circulation des données qui y transitent, en cas de nécessité (lutte contre une cyberattaque ou contrôle des médias, par exemple) et en fonction des communications qui sortent ou qui entrent sur le territoire de la Fédération de Russie, que de créer un Internet indépendant et isolé du reste du monde.

 

Pour en savoir plus, retrouvez une analyse détaillée du Runet dans l’ouvrage de Kévin Limonier “Ru.net: géopolitique du cyberespace russophone”, Les carnets de l’Observatoire, juin 2018.

 

[1] http://sozd.duma.gov.ru/bill/608767-7

[2]https://news.rambler.ru/other/41707382-zapadnye-smi-obsuzhdayut-otklyuchenie-rossiyskogo-interneta/ ; https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927

[3] https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf

[4] « Le RuNet, construction politique ou réalité technique ? », Lettre mensuelle de l’OMC n° 69, décembre 2017

[5] Service fédéral de supervision des communications, des technologies de l’information et des médias de masse

[6] Un système autonome est un ensemble de réseaux informatiques IP intégrés à internet disposant d’une politique de routage cohérente. Il est généralement sous le contrôle d’une organisation unique (un FAI par exemple) et identifié à travers un numéro AS.

[7] Infrastructure physique permettant à plusieurs organisations ayant leur propre protocole IP (généralement des opérateurs possédant un numéro de systèmes autonomes) de s’interconnecter et d’échanger leur trafic internet entre elles.

[8] Google, Apple, Facebook, Amazon et Microsoft

[9] https://www.rtbf.be/info/monde/detail_la-russie-peut-elle-se-deconnecter-de-l-internet-mondial?id=10168586

[10] Géants chinois de l’Internet : Baidu, Alibaba, Tencent et Xiaomi

[11] https://www.rtbf.be/info/monde/detail_la-russie-peut-elle-se-deconnecter-de-l-internet-mondial?id=10168586

[12] https://ria.ru/20141028/1030581901.html

[13] « Le RuNet, construction politique ou réalité technique ? », Lettre mensuelle de l’OMC n° 69, décembre 2017

[14] https://www.ouest-france.fr/europe/russie/russie-le-kremlin-ne-compte-pas-couper-son-internet-6257290 ; https://ria.ru/20190311/1551688816.html ; https://www.currenttime.tv/a/russia-peskov-internet-freedom/29814762.html ; https://tvzvezda.ru/news/vstrane_i_mire/content/2019311138-0oEO2.html

[15] A ce titre, une autre loi russe récente précise que l’utilisation par un opérateur de télécommunication russe d’un système satellite étranger entre dans les réseaux publics russes de télécommunication. Dans ce cas, le trafic généré par les terminaux russes qui sont en itinérance sur le territoire de la Fédération de Russie doit passer par un opérateur de télécommunication russe présent sur le territoire de la Fédération de Russie : http://government.ru/docs/35851/