Dans deux jours, on connaîtra le verdict rendu par le tribunal correctionnel de Paris dans une affaire d'activisme sur Internet : en 2011, des internautes se réclamant du collectif Anonymous avaient bloqué l'accès au site Web d'EDF en saturant celui-ci de requêtes (ce que l'on appelle « attaque par déni de service distribué ») ; le prévenu est accusé d'avoir facilité cette attaque en ouvrant un service Internet permettant l'accès au canal de discussion où celle-ci était coordonnée. Cette attaque visait à protester contre l'électronucléaire, suite à la catastrophe de Fukushima.

Commençons par des légèretés. Je vous invite à lire cet article du Figaro.fr, basé sur une dépêche AFP. Les faits qui y sont rapportés correspondent à ce que j'ai pu apprendre par d'autres sources, ce n'est pas la question. En revanche, j'attire votre attention sur le portrait qui est fait du prévenu :

« Le jeune homme, âgé de 32 ans […] large boucle à l'oreille gauche et les cheveux mi-longs […] ce déchétarien revendiqué, du nom des adeptes de la récupération des aliments comestibles jetés »

J'ignore s'ils auraient écrit une description telle que :

« Cet homme de 45 ans, cheveux courts poivre et sel, en costume gris et cravate bordeaux […] cet adhérent revendiqué du MODEM, du nom d'un groupuscule centriste »

Le port d'une boucle d'oreille, de cheveux mi-longs ou la récupération d'aliments n'a aucun rapport direct avec la question qui est posée dans ce procès : à partir de quand la complicité est elle constituée ? Cette question est d'autant plus importante, s'agissant d'échanges en ligne, que l'on peut fournir un lien vers un site ou un salon de discussion sans pour autant approuver toutes les activités ou discussions qui s'y tiendront.

Peut-être s'agit-il simplement de donner un portrait du prévenu afin de le rendre plus concret, plus humain. Peut-être s'agit-il aussi d'établir une certaine marginalité, une certaine irresponsabilité (un homme de 32 ans qui n'a toujours pas de « situation »). Lorsque j'intervenais publiquement sur Wikipédia ou d'autres sujets, on me présentait, suivant qu'on voulait me présenter comme crédible ou comme irresponsable, comme « chercheur au CNRS et enseignant à l'École polytechnique » ou comme « wikipédien »…

Passons maintenant au fond de l'affaire et à des choses plus dérangeantes. Le prévenu de cet affaire a semble-t-il été gardé en garde à vue 48 heures par la Direction centrale du renseignement intérieur (DCRI, actuellement DGSI), un service de police qui traite normalement de contrespionnage, de terrorisme, de criminalité internationale, de protection du secret défense ou industriel. L'intervention de ce service hautement spécialisé était justifié par le caractère d'« opérateur d'importance vitale » d'EDF.

Patrick Pailloux, l'ancien directeur de l'Agence nationale de la sécurité des systèmes d'information, définissait ainsi son rôle quant à la protection des opérateurs d'importance vitale :

Les services de l'ANSSI ne vont pas plonger et assurer la résilience de tous les systèmes d'information, la messagerie ou le système de paye de telle ou telle entreprise. " Ce qui nous intéresse, c'est le command control d'une centrale nucléaire, l'aiguillage de la SNCF, les système vitaux d'un hôpital. Tout ce qui, en cas de sabotage, d'une infrastructure entraînerait une catastrophe ", décrit Patrick Pailloux.

On ne saurait être plus explicite : EDF est un opérateur d'importance vitale en ce qui concerne la production électrique, le contrôle-commande des centrales nucléaires et des barrages ; en revanche, son site Web et sa messagerie publique ne sont pas d'importance vitale. Or, c'est ce site Web public qui a été attaqué. (Je soupçonne d'ailleurs que les services informatiques vitaux opèrent sur des réseaux privés déconnectés d'Internet ; le contraire me semblerait irresponsable et d'une rare incompétence.)

À l'époque, on nous parlait d'une affaire internationale, justifiant une enquête menée par la DCRI agissant pour la juridiction interrégionale spécialisée de Paris. Au final, un bien maigre coup de filet : outre le prévenu jugé cet automne, on a également arrêté un homme et une femme, condamnés à une faible amende et à de la prison avec sursis sans inscription au casier judiciaire. Comme le résume un policier dont le syndicat professionnel avait été également pris pour cible :

« Je pensais à des hackeurs, des super informaticiens, des petits Einstein du Web. En fait, c'est Mme Michu fait de l'informatique »

Il me semble donc manifeste que l'on a appliqué des moyens prévus pour combattre des attaques ayant des conséquences potentielles graves (morts, blessures, coupures massives d'électricité…) à une action ayant eu, au pire, des conséquences commerciales limitées. Aurait-on fait intervenir la DCRI si, par exemple, Amazon ou RueDuCommerce avaient fait l'objet d'attaques ?

Il me semble que l'on touche là à un problème politique général et important. Des menaces sont identifiées : un jour les hackers chinois, un autre « l'ultra-gauche » susceptible de former un nouvel Action directe, un jour les Anonymous, aujourd'hui les djihadistes « autoradicalisés sur Internet ». Une presse complaisante propose des reportages effrayants. Face à ces menaces réelles ou supposées, nos instances politiques adoptent des lois, des règlements, des procédures, créent des services spécialisés, censément destinés à traiter ces menaces.

Deux dérives sont alors possibles. La première est l'extension de ce qui était initialement présenté comme une procédure d'exception prévue pour des cas particulièrement graves à d'autres cas. Ainsi, le prélèvement d'empreintes génétiques était en 2001 autorisé pour les infractions sexuelles, les atteintes à la vie, les tortures et violences, le terrorisme et d'autres crimes. En 2013, il est autorisé pour de nombreux délits. Les pouvoirs publics ont ainsi voulu l'appliquer pour la destruction de cultures d'organismes génétiquement modifiés par « fauchage »…

La seconde est la tentation permanente d'utiliser les services, les procédures et les matériels d'exception pour des cas qui ne les requièrent pas. C'est ainsi qu'aux États-Unis, diverses forces de police utilisent parfois des techniques de perquisition et d'arrestation dignes de film d'action, avec armes dégainées et gilets pare-balles, pour des problèmes qui devraient se régler avec des moyens bien plus modestes : par exemple, en Floride, pour vérifier qu'un salon de coiffure possédait bien les autorisations nécessaires.

En tout état de cause, nous devons bien nous rappeler que les lois votées sous le coup de l'émotion et pour répondre à telle ou telle peur, tel ou tel fait divers, tel ou tel reportage, seront encore là dans dix ou quinze ans, quand les faits qui les avaient suggérées auront été largement oubliés.