Le gouvernement allemand a proposé une réforme importante de sa loi sur le renseignement, qui comprend des dispositions qui obligeraient l'Office fédéral de la sécurité de l'information (BSI) à partager des informations sur les vulnérabilités connues de jour zéro avec l'agence de renseignement étrangère, le Service fédéral de renseignement (BND).
Selon le projet de loi, les autorités publiques seraient autorisées à fournir au BND des informations, y compris des données personnelles, dès qu'il y aurait une indication concrète que ces données pourraient être pertinentes pour les opérations de renseignement à l'étranger. Le BSI, qui est légalement mandaté pour agir en tant qu'autorité centrale pour la sécurité de l'information au niveau national, serait explicitement tenu de coopérer avec le BND. Cette décision représente un changement fondamental dans l'approche de l'Allemagne en matière de politique de sécurité numérique, s'éloignant d'un modèle basé sur la confiance mutuelle vers un modèle caractérisé par une suspicion croissante et une intervention proactive.
Le projet de loi décrit une transformation complète de l'architecture de sécurité numérique de l'Allemagne, mettant l'accent sur des mesures actives pour faire face aux menaces dans le cyberespace. Il permet aux agences de renseignement d'opérer plus librement dans des domaines auparavant considérés comme protégés par les droits constitutionnels. En outre, le projet de loi suggère que des tiers peuvent de plus en plus être impliqués dans des actions d'enquête numériques menées par l'État. L'inclusion d'une obligation de coopération entre le BSI et le BND s'aligne parfaitement sur ce nouveau cadre, ce qui soulève des inquiétudes concernant l'utilisation abusive potentielle des vulnérabilités des infrastructures critiques.
Les modifications proposées visent à utiliser la période entre la découverte d'une vulnérabilité, la notification aux fournisseurs de logiciels et le correctif éventuel de la faille à des fins de renseignement.
Si la BSI est perçue comme accordant la priorité aux opérations de renseignement par rapport à la correction rapide des vulnérabilités, cela pourrait dissuader les organisations et les chercheurs de signaler les failles nouvellement découvertes. Cela pourrait entraîner une augmentation des vulnérabilités non corrigées au sein des infrastructures critiques, en particulier à une époque où les tensions géopolitiques et les menaces hybrides augmentent. La perte de confiance entre la BSI et la communauté de la sécurité informatique pourrait entraîner une réduction de la collaboration, affaiblissant finalement les défenses du pays contre les cyberattaques. Le projet introduit également de vastes modifications juridiques sans preuve claire des avantages de sécurité correspondants.
Alors que le ministère cite l'augmentation des menaces comme justification de l'élargissement des pouvoirs de surveillance, les opposants soutiennent que de telles mesures risquent d'éroder davantage les libertés numériques.
Par exemple, si un service de renseignement découvre des logiciels malveillants dans l'infrastructure d'un attaquant avant que les forces de l'ordre ne puissent réagir, il serait autorisé à prendre des contre-mesures immédiates plutôt que d'attendre les processus juridiques traditionnels.
Les entités publiques seraient tenues de transmettre des informations liées à la sécurité au BND aux premiers stades d'une attaque, parfois même automatiquement. La raison en est que le BND, en raison de ses activités de surveillance stratégique des communications, peut mieux contextualiser les incidents isolés dans un cadre global plus large, permettant une détection plus précoce des menaces.
En ce qui concerne les exploits de jour zéro - les vulnérabilités sans correctifs disponibles - l'IMC soutient que ce délai peut être utilisé pour le travail crucial du BND. Les retards dans la résolution de ces problèmes réduiraient considérablement leur applicabilité. Cela mettrait le BSI dans une position difficile, car il serait nécessaire de donner la priorité aux opérations de renseignement sur la fermeture rapide des lacunes de sécurité, contrairement à l'intention initiale du gouvernement de coalition. Financièrement, l'initiative marque une expansion substantielle des capacités cybernétiques, indiquant un engagement à améliorer la portée opérationnelle du BND.
Cependant, l'étendue des mécanismes de surveillance reste limitée, les responsabilités de contrôle étant consolidées sous le Conseil indépendant de contrôle (UKRat), qui pourrait exercer une surveillance préliminaire similaire à celle d'un tribunal, mais avec une portée limitée.
★
Gardons l’information honnête.
ObjectiveNews est financé par ses lecteurs et sans publicité : nous vous montrons le biais au lieu de le cacher. Soutenez un journalisme indépendant pour 5 €/mois.
Devenir soutien