C’est un marronnier du numérique français. Le filtre anti-arnaques, promesse de campagne d’Emmanuel Macron en 2022, devait à l’origine protéger les internautes français avant la Coupe du monde de rugby 2023. Puis le calendrier a glissé vers les Jeux olympiques de 2024. Et puis plus rien, ou presque. Quatre ans plus tard, le dispositif refait surface avec une nouvelle date, fixée au 1er septembre 2026. Selon L’Informé, un projet de décret a été notifié à la Commission européenne ces derniers jours, signe que le gouvernement semble cette fois décidé à concrétiser le projet.
Le filtre anti-arnaques, c’est quoi ?
Le principe reste inchangé depuis l’origine. Lorsqu’un internaute clique sur un lien frauduleux reçu par SMS ou par e-mail (une fausse page de connexion bancaire, un formulaire d’usurpation d’identité, un site de phishing classique), un message d’avertissement s’affiche avant qu’il n’accède au site en question. L’idée n’est pas de bloquer purement et simplement l’accès, mais de prévenir l’utilisateur du danger et de lui laisser le choix de poursuivre ou non. Sur le papier, c’est séduisant. Dans les faits, c’est un peu plus compliqué.
Changement notable par rapport aux premières annonces : le filtre ne sera plus géré par Cybermalveillance.gouv.fr, la plateforme publique d’aide aux victimes de cyberattaques, mais par l’Office anti-cybercriminalité (OFAC). C’est ce qu’avait annoncé Anne Le Hénanff, ministre déléguée à l’IA et au Numérique, lors d’une audition à l’Assemblée nationale en janvier dernier. Les agents de l’Office seront chargés d’identifier les sites frauduleux, de contacter leurs éditeurs pour leur demander de cesser leurs activités, et d’alimenter une liste noire qui sera transmise aux fournisseurs d’accès à Internet et aux navigateurs web. Plus concrètement, le dispositif s’appuierait sur un mécanisme de filtrage DNS, similaire à celui qui existe déjà sur le blocage des sites pornographiques en France.
Le problème, c’est que cette technique présente des limites bien connues des spécialistes. Le blocage DNS est facilement contournable : il suffit de changer de serveur dans les paramètres de sa box ou de son appareil. Il manque aussi de précision, puisqu’il bloque un nom de domaine entier et non une page spécifique.
L’autre piste évoquée est d’intégrer le filtrage directement dans les navigateurs web, un peu à la manière du système SafeBrowsing de Google déjà actif dans Chrome, Firefox et Safari. Sauf que les navigateurs intègrent déjà leurs propres listes noires de sites malveillants, mises à jour en continu.
Protection ou censure ?
C’est le fond du débat. La Quadrature du Net et la fondation Mozilla alertent depuis 2023 sur les risques de dérive liés au filtre anti-arnaques. Leur argument principal : confier à la police le pouvoir de signaler des sites aux navigateurs, sans intervention préalable d’un juge, laisse les portes grandes ouvertes à la censure administrative. L’article 6 de la loi SREN, votée en mai 2024, prévoit en effet que cette censure se fasse sur simple demande de la police si celle-ci estime qu’un contenu en ligne constitue une arnaque.
Les opérateurs télécoms, de leur côté, se montrent peu enthousiastes. Certains négocient des compensations financières pour la mise en place du système, d’autres doutent ouvertement de son efficacité. Les sites de phishing changent d’adresse en permanence, parfois plusieurs fois par jour. Le temps d’inscrire un site sur la liste noire, les escrocs ont déjà migré vers un autre domaine.
On notera tout de même que le dispositif se veut facultatif pour l’internaute, qui pourra choisir de l’activer ou non. Reste à savoir combien de temps cette dimension optionnelle survivra si le gouvernement décide un jour de le rendre obligatoire, une possibilité explicitement prévue dans les textes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
