Autoblog de BugBrother

Ce site n'est pas le site officiel de bugbrother
C'est un blog automatisé qui réplique les articles de bugbrother.blog.lemonde.fr

Pour en finir avec la « surveillance de masse »

Tue, 13 Sep 2016 09:43:46 +0000 - (source)

ViveLaFranceLa loi renseignement, adoptée dans la foulée des révélations Snowden sur la « surveillance de masse« , a été présentée par ses opposants comme permettant « une interception de l’ensemble des données des citoyens français en temps réel sur Internet« . La DGSE espionne-t-elle tous les Français ? En a-t-elle le droit, les moyens techniques, et financiers ? #Oupas…? [tl;dr : non]

C’est le sujet du dernier n° de What The Fact, la websérie qu’IRL (la chaîne des « nouvelles écritures » de France Télévisions) m’a proposé de consacrer au fact-checking.

La vidéo, diffusée sur Rue89, dure 6’30, mais la complexité du sujet, je ne pouvais pas (vu le format, la durée) y partager toutes les informations (et liens) que j’avais compilé à ce sujet, ce que je vais donc tenter de faire dans ce billet.

Les (très nombreux) opposants à la loi renseignement dénonçaient une « surveillance généralisée d’Internet« , et plus particulièrement une « surveillance massive de l’ensemble de la population » française, au motif que « le projet de loi Renseignement contient deux articles qui permettent une interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet, dans le but de faire tourner dessus des outils de détection des comportements ‘suspects’« .

De fait, je fus l’un des tous premiers journaliste à avoir mentionné les deux articles en question, dans un article intitulé « Pourquoi le projet sur le renseignement peut créer une « surveillance de masse » (j’avais alors mis en gras les passages litigieux) :

Le nouvel article 851-3 du code de la sécurité intérieure autoriserait ainsi, « pour les besoins de la détection précoce d’actes de terrorisme, la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces« .

L’article 851-4 prévoit de son côté, toujours « pour les seuls besoins de la prévention du terrorisme« , de pouvoir « imposer » (sic) aux intermédiaires et opérateurs techniques la mise en œuvre « sur les informations et documents traités par leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste« .

Dit autrement, il s’agit de pouvoir installer des « boîtes noires » -pour reprendre l’expression formulée au Figaro par des conseillers gouvernementaux- au coeur des réseaux de télécommunications, chargées d’identifier les « comportements suspects« … expression vague s’il en est.

Tout juste sait-on que l’article 851-4 précise que « si une telle menace est ainsi révélée, le Premier ministre peut décider de la levée de l’anonymat sur les données, informations et documents afférents« .

De la « surveillance de masse » à la « paranoïa généralisée »

130705BigBrotherLeMondeDans la foulée des révélations Snowden, Le Monde avait déjà affirmé, en « Une », que « la Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l’étranger : la totalité de nos communications sont espionnées« , ce que j’avais alors fact-checké, pour en arriver à la conclusion qu’une telle « surveillance de masse« , sur le territoire national, serait techniquement improbable, financièrement impossible, et légalement interdite (nonobstant le fait que la DGSE est en charge de l’espionnage… à l’étranger).

Depuis, j’ai été amené à effectué cinq autres factchecks d’autres « Unes » du Monde tendant à valider différentes formes de « surveillance de masse » des Français, qui toutes se sont révélées être fausses, en tout cas biaisées, pour en arriver à la conclusion que les révélations Snowden sur la « surveillance de masse » avaient également eu pour contre-coup de créer un climat de « paranoïa généralisée« , qui n’avait pas forcément lieu d’être (cf De la surveillance de masse à la paranoïa généralisée).

Je n’en ai pas moins continuer à creuser, pour tenter de comprendre si la loi renseignement pouvait permettre, comme l’affirmaient ses opposants, l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , #oupas.

55M d’internautes, 70M de cartes SIM, 9327 grandes oreilles

ARCEPtraficMobileLa France compterait quelques 55 millions d’internautes, près de 37 millions de lignes de téléphonie fixe, plus 70 millions de cartes SIM, dont 22 millions de cartes 4G, permettant de surfer sur Internet depuis son mobile, et dont le succès est tel que le volume de données consommées a presque doublé l’an passé (source ARCEP).

Pour mieux mesurer l’ampleur que représenterait une telle tâche, il faut savoir que le volume de données échangées sur Internet, en France, correspondait à l’équivalent du contenu de 4 milliards de DVD (par an), 308 millions (par mois), soit près de 422 346 DVD (par heure), que le trafic de données mobiles, de son côté, représentait l’équivalent de 13 millions de DVD (par mois), ou 148 millions de SMS (par seconde). A quoi il faudrait rajouter le trafic téléphonique… celui qui, accessoirement, intéresse le plus les « grandes oreilles« .

Parlons-en, des « grandes oreilles » : d’après l’académie du renseignement, la DGSE dénombrerait quelque 6000 employés, 3200 à la DGSI, et 127 au Groupement interministériel de contrôle (le GIC, chargé de procéder aux « interceptions administratives« , du nom donné aux écoutes téléphoniques effectuées à la demande des services de renseignement).

Admettons que tout ce beau monde, faisant fi de la vague d’attentats qui touchent la France (notamment) depuis janvier 2015, ainsi que de toutes les autres menaces qu’ils sont pourtant censés tenter de contrer, décide de ne plus surveiller les terroristes (et plus si affinités) à l’étranger, de ne plus écouter djihadistes, dealers et proxénètes en France, pour se focaliser sur l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« .

Dans l’hypothèse improbable où ils travailleraient 24h/24 7j/7, ils devraient, chacun, surveiller 5 896 internautes, et se taper le contenu de 45 DVD, par heure, ou de 15 868 SMS, par seconde… S’ils ne travaillaient qu’aux 35h, ils devraient, chacun, surveiller 28 300 internautes, et vérifier l’équivalent de 216 DVD par heure, ou 76 166 SMS par seconde. Une paille, pour nos SuperDupont.

Les « boîtes noires » n’existent (toujours) pas

superdupontCielCertes, ce qui intéresse le plus les services de renseignement, ce sont les méta-données (qui communiquent avec qui, d’où, quand ?), et la surveillance pourrait être automatisée. Encore faudrait-il que les services puissent intercepter, stocker et analyser toutes ces données. Sauf qu’en France, le trafic Internet est particulièrement décentralisé. En l’espèce, et pour pouvoir surveiller tout le trafic Internet en France, il faudrait, « au bas mot« , déployer… 50 000 « boîtes noires« .

MaJ : réagissant à la mise en ligne de la vidéo, ledit ingénieur précise que « Ça dépend vraiment de ce que tu veux capter. Disons qu’en 12 points tu chopes 70%, le reste est diffus« . Ce qui reste à fact-checker, nonobstant le fait que surveiller massivement 70% du trafic Internet franco-français coûterait une blinde (le placement sous surveillance des télécommunications internationales via la vingtaine de câbles sous-marins aurait coûté quelque 500M€), serait a priori illégal, sauf à passer par les fameuses « boîtes noires, qui… n’existent toujours pas (voir plus bas), qui sont limitées à la seule lutte anti-terroriste (contrairement aux systèmes de « collecte de masse » sur les câbles sous-marins), et qui ne permettent de désanonymiser que des « menaces » avérées (contrairement -bis- aux systèmes de « collecte de masse » sur les câbles sous-marins).

Cherchant à estimer le coût d’untel système bouzin, un ingénieur travaillant au cœur des réseaux avait calculé que, pour pouvoir surveiller -et stocker- 1% du trafic Internet français, il faudrait investir, sur 10 ans, quelque 6 milliards d’euros en matériels de stockage, électricité, sondes d’interception, datacenter… et hors frais de personnel. Pas de soucis : le budget annuel de la DGSE est de 700 millions d’euros (dont 60% en frais de personnel), et puis c’est pas comme si c’était la crise.

Depuis les révélations Snowden, la « surveillance de masse » fait certes peur, mais elle est aussi et de plus en plus rendue impossible, le trafic Internet étant de plus en plus chiffré : Google vient ainsi de révéler que 90% des requêtes effectuées depuis la France étaient chiffrées, tout comme 86% des messages gmail à destination d’autres fournisseurs (et 100% des messages d’utilisateurs de Gmail à d’autres utilisateurs de Gmail), et donc a priori indéchiffrables par la NSA, la DGSE & Cie…

Nonobstant le fait que, et au-delà de ces défis logistiques et techniques, une note de bas de page du rapport 2015 de la délégation parlementaire au renseignement (DPR), publié en février 2016, précise que « les techniques de suivi en temps réel des personnes préalablement identifiées comme présentant une menace et de l’algorithme » (les fameuses « boites noires« ) sont « très compliquées à mettre en oeuvre et (qu’)actuellement, aucun de ces deux instruments n’est mis en oeuvre« … information confirmée par Le Monde, qui écrivait

L’an passé, des milliers d’articles ont été consacrées à ces fameuses « boîtes noires« , qui avaient cristallisé l’opposition au projet de loi renseignement. Le fait qu’elles « n’étaient pas encore opérationnelles » n’a eu les faveurs que de deux articles : un dans Le Monde, un autre dans NextInpact, après que la mission d’information sur les moyens de Daech a elle-même appris que « ces algorithmes destinés à filtrer les communications sont en cours d’élaboration par les services« .

6 mouchards, en 5 ans

SubmarinecablemapLa DGSE dispose bien, cela dit, de systèmes de « collecte de masse » déployés sur la vingtaine de câbles sous-marins qui relient les réseaux de télécommunication français à l’étranger, afin de pouvoir surveiller les communications internationales), via un système mis en place à partir de 2008 et qu’avait très bien décrit le journaliste Vincent Jauvert, dans L’Obs. Il est en effet plus simple de surveiller les communications lorsqu’elles sont ainsi centralisées que d’installer 50 000 « boîtes noires« , et puis c’est moins coûteux : 500M€, quand même…

La loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, qui légalise la « surveillance des communications qui sont émises ou reçues à l’étranger » prévue par la loi renseignement, n’en précise pas moins que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

La question reste de savoir comment, et plus particulièrement de savoir si ces procédures de « minimisation » sont réellement efficaces. Un rapport vient ainsi de révéler que le BND, le pendant allemand de la DGSE, filtrait bien les n° de téléphone commençant par +49 et les adresses mails de type .de, mais qu’elle serait incapable de proprement « minimiser » les données des Allemands utilisant des serveurs situés à l’étranger, avec des adresses en .com ou .org, et communiquant en anglais… Reste que, et comme l’a montré la prétendue « affaire » de surveillance de Thierry Solère, la DGSE a bien identifié, et mis un terme, à ce qui constituait un « détournement frauduleux des moyens techniques » de la DGSE.

La loi renseignement légalisait par ailleurs l’installation de mouchards, ou logiciels espion, par les services de renseignement, à l’instar de ceux qui avaient été légalisés en 2011 avec la LOPSSI de Nicolas Sarkozy, mais à l’époque pour le seul bénéfice des officiers de police judiciaire. Or, une autre note de bas de page du rapport de la DPR précise que ce dispositif « n’a été que très rarement mis en oeuvre (…) en effet, le passage préalable devant une commission administrative pour autoriser les logiciels entraîne des délais tels que ce dispositif n’a été mis en oeuvre que six fois depuis 2011« . 6 fois, en 5 ans… ça ne nous dit pas combien de logiciels espions ont été exploités par les services de renseignement, mais ça relativise aussi quelque peu la « surveillance de masse« .

Pouvoir surveiller « tout le monde », ou « n’importe qui » ?

GIClogoEnfin, le rapport 2014 de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée d’autoriser (#oupas) les écoutes téléphoniques « interceptions administratives » réclamées par les services de renseignement, explique que « dans son souci de conserver un caractère exceptionnel aux interceptions de sécurité, le législateur a opté pour une limitation sous forme d’un encours maximum, protecteur des libertés publiques, dans le but d’ «inciter les services concernés à supprimer le plus rapidement possible les interceptions devenues inutiles, avant de pouvoir procéder à de nouvelles écoutes »« , et qui prend la forme d’un quota, ou « contingent maximum« , de cibles écoutables, fixé par le Premier ministre.

De 1180 lignes écoutables en simultané en 1991, ce quota est passé à 1540 en 1997, 1670 en 2003, puis en 2008 à 1840 « cibles » (une « cible » pouvant correspondre à plusieurs cartes SIM utilisées par un seul et même individu), 2190 en 2014 et, suite aux attentats de janvier 2015, à 2700 cibles écoutables en simultané. La CNCIS n’en précisait pas moins que « le nombre d’abonnés à des services mobiles en France était de son côté passé de 280 000 en 1994 à 78,4 millions en juin 2014« , mais également qu' »il convient en outre de souligner l’absence de cas récent de l’emploi de la totalité du contingent général« . En clair : le quota n’a jamais été atteint, sinon dépassé.

En moyenne, ces dernières années, on dénombre ainsi un peu plus de 6000 « interceptions administratives« , par an, et encore : plusieurs d’entre-elles sont des renouvellements, les autorisations étant de 4 mois renouvelables. On est, là encore, bien loin d’une « surveillance de masse« .

En juin dernier, alors que l’on venait tout juste de tourner le module vidéo, Reflets & Mediapart révélaient que le GIC avait déployé, dès 2009, plusieurs milliers de « boîtes noires« . J’en avais entendu parler, mais je n’avais pas réussi à le recouper.

Leur nom de code, « Interceptions Obligations Légales » (IOL), laisse entendre qu’elles seraient encadrées, sinon par la loi, tout du moins par la désormais fameuse jurisprudence créative » de la CNCIS, expression qualifiant ce qu’elle a vérifié, et validé, quand bien même aucun texte de loi, discuté au Parlement, ne l’ait autorisé : je ne peux que le déplorer, et n’ait de cesse de tenter de le documenter, mais en matière de renseignement (ainsi que de fichiers policiers), les « techniques de renseignement » sont généralement mises en oeuvre avant que d’être légalisées.

En tout état de cause, ni la loi renseignement, ni l’infrastructure décentralisée de l’Internet en France, ne permettent (techniquement et financièrement) ni n’autorisent (légalement) une « interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , a fortiori par la DGSE, chargée de l’espionnage à l’étranger.

Pour autant, et comme j’ai tenté de l’expliquer en commentaires d’un autre article de Reflets consacré à IOL, une chose est de se doter des moyens susceptibles de permettre au GIC de pouvoir « surveiller n’importe qui« , une autre est de vouloir « surveiller tout le monde« … La vidéosurveillance n’a pas pour vocation de faire de la « surveillance de masse« , et je ne vois pas ce pourquoi les techniques de renseignement en iraient autrement.

Pourquoi la DGSI surveille peut-être votre papa (#oupas)

En juillet dernier, une énième loi anti-terroriste a autorisé le recueil en temps réel des données de connexion des personnes, non seulement « préalablement identifiée comme présentant une menace » comme ce fut le cas avec la loi renseignement, mais aussi des personnes « préalablement identifiée (comme) susceptible d’être en lien avec une menace« .

La question n’est plus de savoir si l’on a « rien à cacher » : il suffit en effet de communiquer avec quelqu’un qui communique avec une « cible » pour pouvoir être surveillé. De N+1, on passe à N+2 -la NSA allant, de son côté, jusqu’à N+3 (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).

Texte alternat

Comme expliqué sur Slate, l’expression « trois hops » signifie que la NSA peut s’intéresser aux communications de la personne ciblée, plus celles de ses contacts (premier hop), de leurs contacts (two hops), et de ceux qui sont en contact avec ces personnes de 3e niveau (three hops).
Voir aussi le très instructif graphique interactif du Guardian.

« Surveillance de masse » VS « collecte de masse »

Depuis des années, je n’ai de cesse de déplorer la diabolisation d’Internet en général (cf Les internautes, ce « douloureux probleme », ou notre documentaire, Une contre-histoire de l’internet), et du chiffrement en particulier (cf Les terroristes sont des internautes comme les autres, ou Crypto: pourquoi l’ex-chef de la NSA défend Apple).

Je ne peux de même que déplorer la diabolisation des services de renseignement. Pour le coup, et depuis les révélations Snowden, je vois autant de propos biaisés et caricaturaux au sujet du chiffrement que de propos plutôt parano au sujet des services de renseignement.

La notion de « surveillance de masse » a pu laisser entendre que les services de renseignement surveillaient, massivement, des pans entiers de la population. C’est probablement vrai sur certains théâtres d’opération et zones de guerre, quand bien même il est raisonnablement difficile d’imaginer que quelques milliers de personnes puissent réellement surveiller des dizaines de millions d’internautes et d’utilisateurs de téléphone portable.

Ce qui intéresse vraiment les services de renseignement, ce n’est pas de surveiller massivement la population, mais de disposer de systèmes de « collecte de masse » leur permettant de pouvoir « surveiller n’importe qui« , ce « n’importe qui » étant par ailleurs et bien souvent des ordinateurs, plus que des êtres humains.

Bernard Barbier, l’ex-directeur technique de la DGSE, l’explique très bien dans la conférence qu’il avait accordé à Supélec en juin dernier, et où il expliquait notamment comment, en 2008, il avait reçu 500M€ et pu recruter 800 ingénieurs afin de déployer le système français de surveillance de l’Internet, profitant de « la capacité de stocker pas cher, et de calculer pas cher« , ce qu’il qualifie de « bon technologique absolument fondamental » :

« Ce qu’on appelle le ‘Big Data’ amène une capacité d’intrusion énorme sur les citoyens : on peut savoir quasiment tout ce que vous faites avec vos téléphones portables et ordinateurs; effectivement, on est un ‘Big Brother’. Maintenant, c’est aux hommes politiques, et aux citoyens, de décider ce que l’on veut faire.

Moi, en tant qu’ingénieur, j’ai expliqué aux politiques ce que l’on peut faire : jamais l’homme n’a eu une capacité d’intrusion telle, qui n’a jamais existé dans l’histoire de l’humanité, après c’est à vous de décider quelle est la balance entre votre vie privée et votre sécurité. »

« Une des solutions, c’est la guerre informatique »

Dans l’interview parue dans Libé qu’il avait accordée à Pierre-Olivier François pour son documentaire « Cyberguerre, l’arme fatale ? » (que vous pouvez toujours voir sur YouTube et auquel, full disclosure, j’avais contribué), Barbier expliquait que « les Chinois ont bon dos : beaucoup de pays se font passer pour des Chinois !« . Et c’est précisément au sujet des Chinois que vient l’un des passages les plus intéressants. A 49’30, interrogé sur la menace que représenterait la Chine en matière de cyber-attaques, il revient sur ce pourquoi la Chine, au-delà du Big Data, s’était elle aussi lancée dans la guerre et l’espionnage informatique :

« Tout est écrit. Un colonel de l’armée chinoise a écrit un mémoire en 1995 qui explique que la Chine n’arrivera pas à dépasser les Américains, en matière de course à l’armement, avant 50-60 ans, au vu de leur avance technologique, et du coût gigantesque que cela représente.

Or, l’informatique devient quelque chose de prégnant dans tous les systèmes militaires, et une des solutions pour revenir au niveau des Américains, c’est la guerre et l’espionnage informatique, parce que le coût est faible, parce qu’il faut des cerveaux, et qu’il y en a beaucoup plus en Chine qu’aux USA.

L’armée populaire de Chine a donc créé une cyber-army à partir des années 1997-1998. Ils se sont aperçus que les Américains étaient très mal protégés, ils ont recruté des milliers de hackers, et ils ont lancé des attaques extrêmement massives sur toutes les sociétés d’armement. Pour la petite histoire, ils ont par exemple complètement espionné Areva. »

Étrangement, on voit que la vidéo a été coupée à cet instant précis (52’20), sans que l’on sache s’il s’est agi d’un problème technique, ou d’une coupe motivée par les propos tenus par Bernard Barbier, et qui ne sauraient être rendus publics. L’attaque d’Areva avait été révélée le 29 septembre 2011 par L’expansion, qui évoquait alors une « origine asiatique » et, pire, qu’elle durait depuis deux ans.

Je pense que ‘Grandes oreilles’ c’est mieux que ‘Big Brother’ aka ‘Le problème de l’Internet’

Plus tard, un étudiant lui demanda si la DGSE avait repéré l’attaque visant Areva en surveillant Areva : « Non, ce n’est pas en surveillant Areva : si vous avez des « grandes oreilles », vous voyez passer tous les paquets IP, vous prenez les méta-données, que vous analysez pour pouvoir remonter à des attaques informatiques, à des signatures » :

« Beaucoup de malwares (logiciels malveillants -NDLR), pour faire fuir les informations en toute discrétion, vont établir un tuyau avec un serveur de command and control (CC) et les faire remonter de façon chiffrée. Or, le fait de chiffrer les informations apporte une signature, et quand vous avez ces signatures dans votre ‘Big Brother système’, dans vos pétaoctets de données, vous savez que ce malware a été injecté dans un ordinateur à tel endroit.

Quand vous prenez une fibre optique qui transporte des millions de communications, vous prenez toute la fibre optique, donc vous voyez tout passer; après il peut y avoir un débat, nous notre rôle c’était de traiter et d’analyser ces méta-données pour identifier ce qui pouvait représenter une menace pour la France.

Le problème de l’Internet, c’est que les flux IP, ils passent n’importe où, avec les routeurs, le protocole BGP, donc si vous voulez avoir une capacité importante, il faut quasiment tout prendre, et pour la cyberdéfense c’est extrêmement important parce que vous voyez tous les flux qui viennent vous attaquer. »

C’est la première fois qu’est ainsi décrit, succintement mais publiquement, le système de surveillance de l’Internet mis en place par la DGSE, qualifié de « Big Brother » par celui-là même qui l’a mis en place, en 2008, même si, comme il l’explique à 1’05’10, « Je pense que ‘Grandes oreilles’ c’est mieux que ‘Big Brother’ : je suis très très fier d’avoir créé ces ‘grandes oreilles’ françaises parce que c’est quelque chose de fondamental actuellement. »

« On ne conserve que les méta-données »

Revenant sur l’attaque informatique de l’Elysée, Bernard Barbier raconte également qu’alertée par son responsable informatique (un ancien de la DGSE), la direction technique y avait placé des « sondes » sur la passerelle (« gateway« ) reliant le réseau élyséen à Internet, qu’elle y observa des « choses anormales, de faux paquets IP« , et qu’elle y reconnu la signature d’un logiciel espion (« malware« ) qu’elle avait déjà identifié lors d’une précédente attaque informatique visant la Commission européenne, en 2010.

A l’époque, ses équipes de rétro-ingénierie avaient conclu, au vu de la complexité de l’attaque, qu’elle ne pouvait provenir que des Américains ou des Russes. Entre-temps, explique Barbier, les capacités d’interception des flux Internet de la DGSE avait augmenté :

« Dans le système, ce qui est assez redoutable, c’est que quand vous interceptez massivement, vous ne conservez pas le contenu, c’est impossible, avec les conversations téléphoniques, y’a trop de mégabits, on ne conserve que les métadonnées, qui expliquent tout ce que vous faites sur Internet.

Avec ce stock de données, on peut faire plein de choses, et on a pu retracer la signature de ce malware, les pays où il avait été utilisé, et j’en ai conclu, compte tenu de sa complexité, que ça ne pouvait être que les Etats-Unis. »

Der Spiegel a depuis révélé, en 2013, que l’attaque émanait en fait du GCHQ, le partenaire et homologue britannique de la NSA, avec qui il partage cette suite de logiciels espions, qu’Edward Snowden nous a permis de découvrir qu’elle répondait au nom de code Quantum.

En tout état de cause, le système présenté par Barbier s’apparente plus au système XKeyscore de la NSA, à savoir un système de « collecte de masse » des méta-données permettant aux analystes du renseignement de rechercher des signatures, des traces, des identifiants, qu’à un système de « surveillance de masse » de la population, façon « Big Brother« .

Placés dans de mauvaises mains, détournés par des individus mal intentionnés, de tels systèmes pourraient bien évidemment être utilisés pour espionner des quidams lambda. Il est à ce titre plutôt étonnant de voir qu’il a fallu attendre ce mois d’août, trois ans après le début des révélations Snowden, pour que The Intercept publie la première histoire d’un quidam lambda espionné par la NSA, au motif qu’il participait à des réunions pro-démocratie aux îles Fidgi.

« Rien à cacher » ?

Les révélations Snowden montrent l’ampleur des moyens techniques déployés par la NSA et ses pairs pour pouvoir « collecter » un maximum de données, à la manière des « experts » de la police technique et scientifique, pas qu’elles « surveillent » massivement des pans entiers de la population façon « Big Brother« .

Ce que n’expliquent pas, ou mal, les révélations Snowden, c’est que si la NSA ou la DGSE peuvent être ainsi amenées à chercher, de leurs propres chefs, les « signatures » de tels ou tels ordinateurs ou malwares, impliqués dans des attaques cyber telles que celle qui avait visé le réseau informatique de l’Élysée, les êtres humains qui sont « ciblés » (et donc surveillés, voire espionnés) par les services de renseignement, le sont parce qu’ils ont été désignés comme tels par leur hiérarchie et, in fine, par le pouvoir exécutif.

Dit autrement : le problème, ce n’est pas tant la NSA, ou la DGSE, que ce que les pouvoirs publics leur demandent de faire. En l’espèce, le Parlement a donc autorisé, en juillet dernier, nos services de renseignement à surveiller les N+2, et donc ceux qui communiquent avec ceux qui communiquent avec les « cibles » validées par les autorités.

Pour autant, il ne s’agit pas d’une « surveillance massive de l’ensemble de la population » française, de façon indiscriminée. Mais d’une potentielle « surveillance de masse » des méta-données de tous ceux qui communiquent avec des personnes qui communiquent avec les quelque 20 000 personnes fichées S, voire plus si affinités, les « cibles » des services de renseignement ne se bornant pas aux seuls « fichés S« .

Reste que la probabilité que vous communiquiez avec quelqu’un qui communiquerait avec une « cible (ou) menace) » résidant à l’étranger est moindre que celle que vous communiquiez avec une « cible » résidant sur le territoire national, que vous risquez donc plus d’être surveillé par la DGSE que par la DGSI, et que vous risquez encore plus d’être surveillé par la NSA, le GCHQ & Cie (qui n’ont pas à respecter le droit français), et encore plus d’être espionné par vos conjoints, employeurs, collègues et parents qui, eux, disposent d’un accès physique à vos ordinateurs et téléphones, et pourraient donc y installer un logiciel espion.

Mai 2008, mon tout premier tweet : « Vous êtes en état d’interception. Toutes vos télécommunications pourront être retenues contre vous. »

2015, la dernière planche de ma BD, « Grandes oreilles et bras cassés » (voir les bonnes feuilles) :
Amesys Futuro 106 copie


Les terroristes sont des internautes comme les autres

Sat, 30 Jul 2016 10:41:45 +0000 - (source)

La parabole de la paille et de la poutre

La parabole de la paille et de la poutre

Les terroristes djihadistes qui ont frappé en France ont acheté des armes dé- puis re-militarisées, des couteaux, mais aussi des pizzas, de l’essence, des billets d’avion… Ils ont aussi loué des voitures, un camion, des chambres d’hôtel, reçu et envoyé SMS, appels téléphoniques, utilisé la messagerie instantanée Telegram, Twitter et Facebook, et donc souscrit des abonnements téléphoniques et Internet. Certains percevaient même des allocations sociales.

Il est possible que certains aient utilisé des logiciels de chiffrement afin de sécuriser leurs télécommunications, mais rien n’indique que cela ait pu jouer un rôle clef dans la préparation de leurs attentats, ni que cela ait pu empêcher les autorités de les anticiper, et entraver.

The Grugq, l’un des plus fins observateurs des moyens utilisés par les djihadistes pour sécuriser leurs télécommunications (#oupas, en fait), n’a de cesse de documenter le fait qu’ils ne s’y connaissent pas vraiment en matière de sécurité informatique, et qu’ils privilégient surtout le fait d’utiliser des téléphones portables à carte prépayée et non reliés à leur identité.

Pour autant, et depuis le massacre de Charlie Hebdo, politiques & médias n’ont de cesse de fustiger Internet en général, et les logiciels de chiffrement en particulier. Olivier Falorni, député divers gauche, vient ainsi de déclarer que « les géants du Net sont complices tacites, collaborateurs passifs de Daech« , et qu' »on a l’impression qu’un certain nombre d’applications sont devenus des califats numériques » (sic)…

Je n’ai jamais entendu dire que les loueurs de voiture et de chambres d’hôtel, les opérateurs téléphoniques et fournisseurs d’accès Internet, les vendeurs de pizzas, de couteaux et d’armes démilitarisées payaient des gens pour lutter contre le terrorisme, contrairement à Google, Facebook et Twitter qui, eux, paient certains de leurs salariés pour surveiller voire effacer des contenus incitant à la haine (qu’elle relève du terrorisme, du harcèlement ou du racisme).

En quoi les « géants du Net » seraient-ils plus des « califats numériques complices tacites, collaborateurs passifs de Daech » que les loueurs de voiture ou de chambres d’hôtel, opérateurs téléphoniques, fournisseurs d’accès Internet, vendeurs de pizzas, de couteaux et d’armes démilitarisées ?

Pourquoi ceux qui fustigent de la sorte Internet en général, et certaines app’ en particulier (a fortiori lorsqu’elles sont étrangères), ne s’offusquent-ils pas de même du fait que les terroristes ont pu louer, en toute impunité, voitures et chambres d’hôtel, acheter des téléphones et s’abonner auprès de fournisseurs de téléphonie (a fortiori alors qu’il s’agit là d’opérateurs français opérant sur le territoire national qui, et contrairement à Google, Facebook & Twitter, ne paient personne pour lutter contre le terrorisme) ?

Et n’est-il pas un tantinet ironique de voir que ces mêmes contempteurs des internets voudraient que des entreprises privées, de droit (généralement) américain, se substituent à la Justice française en censurant des contenus de manière préemptive, au risque de les voir censurer des comptes tout à fait légitime ?

Les internautes, ce « douloureux problème »

Il y a quelques années, j’avais écrit que « les internautes sont les « bougnoules » de la république« , que « le problème des internautes, c’est ceux qui n’y sont pas ou, plus précisément, ceux qui s’en défient et n’en ont qu’une vision anxiogène, ceux pour qui les blogs et réseaux sociaux du « web 2.0 » sont la « banlieue du Net, une cité de la peur« où ne peuvent aller que ceux qui y ont grandi… et encore » :

« Encore plus précisément, le problème ce sont tous ces décideurs politiques et relais d’opinions médiatiques qui n’ont de cesse de faire du FUD, acronyme de Fear Uncertainty and Doubt (littéralement « peur, incertitude et doute), technique de « guerre de l’information » initiée par IBM et consistant à manipuler l’opinion en disséminant des informations négatives, biaisées et dont l’objet est de détourner l’attention de ce que la technologie en question offre de perspectives constructives. »

Adel Kermiche, l’un des deux tueurs du prêtre de Saint-Etienne-du-Rouvray, utilisait ainsi Twitter et Facebook, mais ce qui semble aujourd’hui intéresser les médias, c’est Telegram, parce qu’il s’agit d’une messagerie instantanée permettant -par ailleurs- de communiquer de façon sécurisée, parce que chiffrée.

Corinne Audouin, sur France Inter, explique ainsi qu' »il y communiquait avec 200 personnes, grâce à des messages chiffrés qui ne passent pas par un serveur« … quand bien même la FAQ de Telegram précise que les messages partagés en groupes (« jusqu’à 200 membres« ) y sont chiffrés sur le « cloud » (et donc les serveurs) de Telegram, contrairement aux « chat secret » qui, eux, sont effectivement chiffrés sur les téléphones portables de leurs utilisateurs…

Rien n’indique par ailleurs qu’Adel Kermiche ait communiqué via ce genre de « secret chat« , son utilisation de Telegram se bornant (à ce stade de l’enquête) au fait de partager ses états d’âme sur un « groupe » qui, censé être sécurisé et permettre des conversations auto-destructibles, n’a pas empêché L’Express d’en publier des copies d’écran

Les terroristes sont des internautes comme les autres. Ils cherchent donc à protéger leur vie privée, à l’instar des 100 millions d’autres utilisateurs mensuels de Telegram, ou encore de ces responsables politiques qui, eux aussi, et comme le soulignait récemment L’Express, utilisent Telegram pour se protéger d’une éventuelle interception des communications.

Les logiciels de chiffrement sont devenus mainstream « grand public » depuis les révélations Snowden. Il y a un avant et un après Snowden, et il serait temps d’en prendre la mesure : seule une infime minorité des utilisateurs de messageries chiffrées se réclament de l’État islamique.

Est-il besoin de rappeler que l’ANSSI, en charge de la cyberdéfense en France, recommande de sécuriser et de chiffrer ses données ? Ou encore que plusieurs hauts responsables du renseignement, dont l’ex-chef de la NSA, prirent la défense d’Apple dans son combat contre le FBI, au motif qu’il est impératif de pouvoir chiffrer -et donc sécuriser- ses données ?

Quand le sage regarde la lune, le singe regarde le doigt. La paille, la poutre… Ce que j’ai tenté d’expliquer sur France Info, qui voulait m’interviewer à cet effet. L’article qu’ils en ont tiré ne reflétant pas les subtilités de ce que j’essayais d’expliquer, en voici la version in extenso (si le player ne se lance pas, vous pouvez allez l’écouter sur archive.org) :

Accessoirement, il faudrait aussi rappeler que, et contrairement à ce que l’on entend ici ou là, le darknet est trop compliqué pour les terroristes, et ils ne s’en servent guère, comme l’expliquait récemment Mireille Ballestrazzi, directeur central de la police judiciaire, auditionnée à l’Assemblée : « le dark web, qui apparaît peu adapté au prosélytisme de masse, est, de ce fait, relativement peu utilisé par l’organisation« .

Si les terroristes s’y connaissaient vraiment en sécurité informatique, ils n’utiliseraient pas Telegram, mais plutôt WhatsApp ou, mieux, Signal. En tout état de cause, et si vous désirez les utiliser de façon sécurisée, suivez les conseils de thegrugq pour correctement paramétrer Telegram, WhatsApp et Signal.

InstantMessagingCastle

Voir aussi les bonnes feuilles de ma BD, « Grandes oreilles et bras cassées« , et sur ce blog :
#SolereGate : s’il vous plaît… dessine-moi un espion !
Le darknet est trop compliqué pour les terroristes
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Valls tragique à Milipol : 100 morts (pour l’instant)
De la surveillance de masse à la paranoïa généralisée
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)

Les terroristes sont des ratés comme les autres


#SolereGate : s’il vous plaît… dessine-moi un espion !

Wed, 20 Apr 2016 14:12:19 +0000 - (source)

BYmYLrlUne semaine après que Le Monde ait révélé que la DGSE a « surveillé » et même « espionné » Thierry Solère en mars 2012, lorsqu’il fut exclu de l’UMP pour avoir osé se présenter contre Claude Guéant, qui était à l’époque ministère de l’Intérieur, l’affaire commence à faire pschitt. Il suffit en effet de comparer les titres avec le contenu des articles du Monde pour voir que l’affaire a été pour le moins survendue. Elle n’en soulève pas moins plusieurs questions.

Dans son enquête intitulée « Comment la DGSE a surveillé Thierry Solère« , Le Monde précisait en effet que « des moyens de la DGSE ont été utilisés, hors de tout contrôle, pour surveiller M. Solère, candidat dissident« , mais également que « la surveillance n’a été interrompue qu’après la découverte fortuite de son existence par la direction technique (DT) de la DGSE (qui) a les moyens de remonter la piste de toutes les requêtes« , tout en laissant entendre que ce n’était pas la DGSE en tant qu’administration qui avait espionné le futur député, mais un (ou plusieurs) bras cassés de sa direction du renseignement qui auraient intercepté « les communications de Français – ce qui leur est interdit« .

L’article précise à ce titre que « Pascal Fourré, le magistrat attaché à la DGSE, prend parti pour la direction technique, et milite aussi pour que ces interceptions sur les citoyens français ne puissent plus être faites « en premier rang », c’est-à-dire sans être soumises à la Commission nationale de contrôle des interceptions de sécurité (CNCIS)« , ce que confirme dans la foulée Erard Corbin de Mangoux, directeur de la DGSE qui, toujours d’après le quotidien, « tranche en faveur de la direction technique et de M. Fourré« , et bloque la possibilité technique de pouvoir surveiller des identifiants français.

Premier pschitt : l’article explique donc le contraire de ce qu’avance le titre. La DGSE, en tant qu’administration, n’a pas « surveillé Thierry Solère« , mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« .

Un « détournement frauduleux des moyens techniques » ?

Le lendemain, dans un article intitulé « Comment la DGSE a pu espionner des Français« , Le Monde se faisait d’ailleurs encore plus clair, évoquant cette fois un « détournement frauduleux des moyens techniques de ce service de l’Etat« , et la découverte, par la direction technique de la DGSE, que « des officiers de la direction du renseignement peuvent procéder à des interceptions d’identifiants français, sans contrôle et sans justification« , en entrant sur leurs recherches « des 06 et des adresses françaises, une pratique qui a pu être détournée au profit de surveillance n’ayant aucun rapport avec leur mission« .

La DGSE est en effet, et comme son nom l’indique, en charge du renseignement extérieur. Et l’on peine en effet à comprendre pourquoi et comment Claude Guéant (qui nie toute implication dans cette affaire), aurait pu faire une telle requête auprès de la DGSE (qui n’a de compétence qu’à l’international, et relève du ministère de la défense), et non aux renseignements généraux de la préfecture de police de Paris, ou à la DGSI (alors dirigée par le fidèle Squarcini), seuls compétents sur le territoire national et dépendants, eux, du ministère de l’Intérieur… et donc de Claude Guéant.

L’article du Monde se conclue en notant qu' »au terme d’un vif débat interne à la DGSE, la direction technique installera, à la fin de l’été 2012, des filtres sur les consultations informatiques interdisant d’y introduire « en première requête », des identifiants français« . Or, ladite DT, dont les techniques de renseignement utilisées sur le territoire nationale doivent être validées par la CNCIS, et contrôlées par le Groupement interministériel de contrôle (GIC), en charge des interceptions administratives (les écoutes téléphoniques réclamées par les services de renseignement), avait mis en place de tels filtres dès 2008, comme l’avait souligné le journaliste Vincent Jauvert dans l’Obs lorsqu’il avait révélé, en juillet 2015, que la DGSE avait à cette date déployé un système de surveillance des télécommunications internationales.

Evoquant un accord passé entre la DGSE et la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée de contrôler les demandes d’écoute émanant des services de renseignement, un « officiel » alors interrogé par Jauvert expliquait que « si, par le hasard des routes internet, on tombe sur un échange entre des interlocuteurs ayant des identifiants (numéro de téléphone, adresse IP…) français, cette communication est automatiquement rejetée du système. Si l’un d’eux seulement est dans ce cas et s’il intéresse les services, la DGSI prend le relais de l’écoute après autorisation de Matignon et de la CNCIS« . L’Obs soulignait cela dit qu’il était « impossible de savoir si cette clause est respectée, ni même si la commission de contrôle est capable de vérifier qu’elle l’est« .

L’article du Monde montre que la DT n’en aurait pas moins détecté une utilisation frauduleuse du système, en 2012. Et la loi relative à la surveillance internationale, adoptée en novembre dernier, entérine cette pratique qui, jusqu’alors, n’était encadrée que par un décret secret, précisant à ce titre que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

#SolereGate VS journalisme moutonnier

Le Monde évoquait également l’article 20 de la loi de 1991 sur les écoutes téléphoniques, qui excluait du champ de compétence de la CNCIS « la surveillance et le contrôle des transmissions empruntant la voie hertzienne« , laissant entendre que la DGSE pouvait surveiller « des numéros français ou des adresses Internet rattachées à la France« . Or, la jurisprudence de la CNCIS était très claire, et ce depuis la fin des années 1990 : en aucun cas l’article 20 de la loi de 1991 ne peut être invoqué pour recueillir les données personnelles non plus que des « communications individualisables« , comme l’avait rappelé Jean-Paul Faugère, directeur de cabinet de François Fillon, fin 2010 après que la DCRI s’en soit servi pour accéder aux fadettes de Gérard Davet, le journaliste du Monde qui enquêtait sur les affaires Woerth-Bettencourt.

Or, et c’est le deuxième effet pshitt, si ce que d’aucuns qualifient de « SolereGate » a entraîné des tombereaux d’articles dans la presse, aucun journaliste ne semble avoir fait l’effort de demander à Thierry Solère quel était, à l’époque, son opérateur téléphonique. Il suffisait pourtant de le lui demander, et pour le coup, il s’agit d’Orange, tout comme Gérard Davet.

Et il serait d’autant plus douteux et improbable que les responsables des obligations légales d’Orange, qui venaient d’avoir eu chaud aux fesses pour avoir accepté, dans le dos de la CNCIS et du GIC, de confier les fadettes de Davet à la DCRI, aient pu ainsi accepter de collaborer de la sorte avec la DGSE, alors même que Bernard Squarcini venait précisément d’être mis en examen, en octobre 2011, soit quelques mois avant l’affaire Solère, pour « atteinte au secret des correspondances », « collecte illicite de données » et « recel du secret professionnel » dans l’affaires des fadettes de Davet (il a depuis été condamné à 8000€ d’amende pour « collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite », passible d’une peine maximale de cinq ans de prison et 300 000 euros d’amende, et n’a pas fait appel).

La remise en contexte du timing est d’autant plus importante que, début décembre 2011, Le Monde avait également révélé que l’inspection générale des services (IGS) avait elle aussi exploité les fadettes de Gérard Davet et de… Jacques Follorou, le journaliste du Monde à l’origine de l’affaire Solère, rendant d’autant plus improbable un éventuel détournement de l’article 20 de la loi de 1991 en mars 2012.

Une source proche des services de renseignements a déclaré la semaine passée à l’AFP que les services extérieurs français « vont faire preuve de toute la transparence et l’ouverture nécessaire » dans l’enquête ouverte par le parquet de Paris après les révélations du Monde, et même que « la DGSE se réjouit de l’ouverture de cette enquête (et) espère que toute la lumière sera faite et l’exacte vérité rétablie« .

Mieux : la DGSE qui, après vérification dans ses fichiers, nie en bloc, « espère que les conclusions de cette enquête conduiront chacun à rendre compte de ses propos, au besoin devant la justice« , sans que l’on sache si c’est Le Monde qui, accusant la DGSE au premier chef, avant d’évoquer un « détournement frauduleux des moyens techniques de ce service de l’Etat« , serait visé, ou bien tous ceux qui, dans la foulée, ont bêtement copié/collé son titre erroné et sensationnaliste, sans rappeler que la DGSE n’a ni demandé ni obtenu de placer Thierry Solère sous surveillance mais bien, dixit Le Monde lui-même, mis précisément un terme à cette surveillance.

Les questions qui restent en suspens

Reste donc, cela dit, à savoir comment cette surveillance, illégale, aurait été techniquement rendue possible sans que le GIC ni la CNCIS ne s’en rendent compte, jusqu’à ce que la DT de la DGSE n’y mette un terme.

Mais aussi pourquoi ni le GIC ni la CNCIS n’en auraient alors été tenues informées.

Pourquoi les filtres et mécanismes censés écraser les communications des identifiants français n’auraient pas fonctionné, et ce qui aurait changé suite à cette affaire, voire depuis l’adoption de la loi sur la surveillance internationale.

Et, comme vient de le souligner le Canard Enchaîné, pourquoi Matignon n’a pas voulu saisir l’Inspection des services de renseignement (ISR) dont la création, en 2014, s’inscrivait pourtant dans « un processus visant à garantir l’équilibre entre les objectifs de sécurité et le respect des libertés individuelles et de la vie privée« , soit précisément ce que révèle aussi en creux cette affaire Solère.

Le Canard révèle également que Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR, qui a succédé à la CNCIS) allait elle aussi mener des investigations à ce sujet, « pour s’assurer que les faits allégués par Le Monde ne peuvent pas se produire aujourd’hui« . On en saura donc plus lors de la publication de son premier rapport, à l’automne prochain.

MaJ : En réponse à un recours des éxégètes amateurs portant sur la « surveillance secrète par la DGSE (2008-2015), le ministère de la défense vient de prétendre (.pdf) qu' »aucun décret non publié relatif aux mesures de surveillance des communications internationales n’a été édicté, que ce soit antérieurement ou postérieurement à l’adoption de la loi n° 2015-1556 du 15 novembre 2015« … Je peine à croire que la DGSE ait pu déployer de tels systèmes de « collecte de masse » sans se border par un texte signé par les responsables politiques d’alors (aka Nicolas Sarkozy).

L’avocat de Thierry Solère, de son côté, vient d’annoncer qu’il allait porter plainte.

Voir aussi les analyses de Jean Guisnel, « A qui profite cette fable ?« , et Jean-Dominique Merchet, pour qui, « Boulevard Mortier, on reste très interrogatif sur cet article, jugé à la fois « faux » et « insultant » » et, sur ce blog :
De la surveillance de masse à la paranoïa généralisée
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Le darknet est trop compliqué pour les terroristes
DDAI, la discrète cagnotte des « fonds spéciaux »
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)


Le darknet est trop compliqué pour les terroristes

Fri, 01 Apr 2016 15:31:16 +0000 - (source)

Tor project« Ceux qui nous frappent utilisent le Darknet et des messages chiffrés pour accéder à des armes qu’ils acquièrent en vue de nous frapper », affirmait récemment Bernard Cazeneuve à l’Assemblée. Or, Cryptopolitik and the Darknet, une étude de Thomas Rid et Danny Moore, respectivement professeur et thésard en cybersécurité au département de la guerre du King’s College London, vient tempérer ce genre d’affirmations péremptoires.

Après avoir développé un robot pour analyser et indexer les « services cachés » en .onion uniquement accessibles grâce au navigateur et réseau sécurisé Tor, les deux chercheurs ont découverts que la majeure partie de ces sites web anonymes (2 482) étaient inaccessibles ou inactifs, 1021 n’avaient rien d’illicite, 423 relevaient du trafic de drogue, 327 du blanchiment d’argent, de fausse monnaie ou de n° de CB volés, 140 d' »idéologies extrêmistes« , 122 de pornographie illégale, 118 de portails indexant les sites accessibles en .onion, et 42 la vente d’armes.

« La chose la plus surprenante fut de découvrir une si faible présence des militants et extrêmistes« , a déclaré Thomas Rid au magazine Quartz. De fait, l’une des découvertes les plus notables de leur étude est précisément « notre confirmation de la quasi-absence de l’extrémisme islamique sur les services Tor cachés, avec moins d’une poignée de sites actifs ».

Pour les deux chercheurs, cette faible présence s’explique par le fait que les terroristes sont des internautes comme les autres et que « les djihadistes utilisent internet comme tout le monde », comme le soulignait récemment David Thomson.

« Les services cachés sont lents, et pas aussi stables qu’on pourrait l’espérer. Ils ne sont pas si faciles à utiliser, et il existe d’autres alternatives« , explique Rid à Quartz. « En terme de propagande et de communication, ils sont moins utiles que d’autres alternatives« .

De plus, et contrairement aux réseaux sociaux et aux sites web classiques, ils ne touchent pas grand monde, on ne peut pas les trouver par hasard ou via Google.

43% des sites en .onion n’ont rien d’illicite

Reste que sur les 2723 sites actifs, 1547 relevaient de contenus illicites, soit 57%. Ce qui signifie aussi, et à rebours de ce que l’on entend d’ordinaire dès qu’il s’agit du darknet, que 43% des sites en .onion n’ont rien d’illicite…

Otakuthon_2014_(14850728278)Une autre étude, plus récente, portant sur 13 000 sites, révélait que seule la moitié relevait d’activités illégales, déconcertant là aussi son auteur : « Cela nous a vraiment surpris. On pensait que ce serait bien pire« , expliquait Eric Michaud, CEO de Darksum, une entreprise spécialisée dans la surveillance du darknet, qui a également découvert que les services cachés étaient régulièrement utilisés par des communautés cherchant des espaces ultraprivés pour se socialiser, évoquant notamment des forums de fandom furry, qui aiment se déguiser en animaux à fourrure :

« Ces gens veulent rencontrer des personnes partageant les mêmes intérêts, sans qu’ils puissent être reliés à leurs véritables identités, parce que cela pourrait se retourner contre eux. Par exemple, il existe des forums pour les trans’, qui y partagent les détails de leurs vies quotidiennes.« 

Un documentaire sur le Darknet qui sera prochainement diffusé sur France 4 fait de même parler une journaliste arabe qui ironise sur la diabolisation qui est faite du Darknet, dans la mesure où c’est précisément là que vont se réfugier militants ou personnes LGBT notamment, de sorte de pouvoir converser sans risquer d’être arrêtés et inculpés, comme ils pourraient l’être s’ils discutaient « en clair« .

Le fait que, en octobre 2014, Facebook ait lancé son propre https://facebookcorewwwi.onion/, accessible uniquement via TOR, n’est donc qu’un des nombreux exemples illustrant le fait que, suite notamment aux révélations Snowden, de plus en plus de gens ont besoin de pouvoir rester anonymes pour se socialiser, discuter et échanger. Reste qu’on ne pourra plus réduire le Darknet à ses seules utilisations illégales ou illicites.

 


Crypto: pourquoi l’ex-chef de la NSA défend Apple

Thu, 31 Mar 2016 17:28:32 +0000 - (source)

Le fait que le FBI ait pu débloquer l’iPhone du tueur de San Bernardino ne signe pas, loin de là, la fin de la saga opposant le FBI à Apple (et autres acteurs de la Silicon Valley en particulier, et du chiffrement en général). On vient ainsi d’apprendre que le FBI aurait fait 63 autres demandes plus ou moins similaires, un peu partout aux Etats-Unis (voir l’enquête (et la carte) de l’ACLU, une des principales ONG de défense des droits de l’homme aux USA)…

web16-blog-allwritsfinal-1160x768

220px-Michael_Hayden,_CIA_official_portraitDans une interview vidéo accordée à l’American Enterprise Institute, un think tank conservateur, Michael Hayden, qui dirigea la NSA de 1999 à 2005, puis la CIA entre 2006 et 2009, expliquait récemment ce pourquoi il comprenait et même soutenait Apple face à la demande du FBI, qui voulait pouvoir disposer d’un logiciel permettant de passer outre le mécanisme de chiffrement des iPhone.

Etrangement, ladite vidéo ne recense que 4270 « vues« , et tout aussi étrangement, les médias francophones ne semblent pas avoir relayé son point de vue, pourtant largement relayé par les médias anglo-saxons.

L’analyse de Michael Hayden est d’autant plus instructive que c’est lui qui développa une bonne partie des programmes de surveillance de la NSA mis en cause par Edward Snowden, celui qui expliqua que les USA « tuaient des gens à partir des méta-données » (vous pouvez activez les sous-titres en anglais si vous n’êtes pas parfaitement bilingue) :

« Je défends Apple. Du point de vue de la sécurité, au vu de la variété de menaces auxquelles l’Amérique doit faire face, je pense qu’il faut être prudent, parce que cela ouvrirait largement les possibilités de dégrader son système incassable de chiffrement point à point.

Jim Clapper, le directeur du renseignement américain, a déclaré que la première menace à laquelle nous faisons face, c’est la menace cyber. En tant que professionnel de la sécurité, je pense qu’on ferait mieux de ne pas introduire de trou de sécurité dans un système sécurisé de chiffrement. »

Interrogé sur le fait que les autorités ont pourtant le droit d’entrer dans les maisons des personnes considérées comme « suspectes« , Michael Hayden rétorque que « oui, mais là vous êtes en train de demander aux compagnies technologiques de fabriquer une clef permettant d’entrer dans les 320 millions de maisons… Cette clef n’ouvrirait pas que ma maison. Cette clef ouvrirait toutes les maisons. »

« Cette clef ouvrirait toutes les maisons »

Udo Helmbrecht, le directeur de l’ENISA (l’Agence européenne chargée de la sécurité des réseaux et de l’information), qui s’oppose lui aussi à la création de « portes dérobées » qui permettraient aux services de sécurité d’accéder aux systèmes de communication chiffrés, ne dit pas mieux :

« Ce que nous entendons aujourd’hui est la réaction typique après un incident, les gens réagissent et utilisent parfois les événements pour leurs propres objectifs. Nous avons déjà des règles pour ce type d’affaires, mais elles ne sont pas assez utilisées.

Si vous créez une porte dérobée dans les systèmes de cryptage, comment pouvez-vous vous assurer que les criminels et terroristes ne l’utiliseront pas ? C’est comme de quitter sa maison en sachant que quelqu’un d’autre a la clé. »

Les données seront toujours dans le système d’Apple

Michael Hayden reconnaît que les services de renseignement et de sécurité auront certes un accès moindre au contenu des télécommunications et de nos « ordiphones« , mais « l’accès au contenu sera de plus en plus difficile, quoi que nous fassions dans cette affaire » :

« C’est le sens inévitable du progrès technologique, mais si l’on obligeait les compagnies US à satisfaire à la demande du FBI, les solutions de chiffrement se délocaliseraient à l’étranger.

Regardez : Apple collabore régulièrement avec les autorités, et leur a confié énormément de données, parce qu’Apple y avait accès parce que les suspects utilisaient des produits Apple. Elles étaient dans le système Apple.

Si on force Apple à collaborer, les entreprises étrangères récupéreront le marché, et nous aurons encore moins accès aux données. »

Moins de contenu, mais pas moins de (méta)données

Revenant sur la Clipper chip, cette puce conçue par la NSA permettant à ses utilisateurs de sécuriser leurs données (mais aussi à la NSA de pouvoir y accéder), que l’administration Clinton avait tenté (en vain) d’imposer dans les 90, Michael Hayden explique également que cet échec ouvrit paradoxalement les « 15 plus belles années en matière de surveillance électronique« , dans la mesure où, confiants de pouvoir utiliser du matériel informatique exempt de backdoor, les internautes ont dès lors commencer à créer des « océans de données et de méta-données, et qu’avec les méta-données, on peut faire énormément de choses » :

« Donc pour répondre à votre question, nous aurons accès à moins de contenu. Mais cela ne veut pas dire que nous aurons accès à moins de renseignement. »

Voir aussi, à ce titre, « DON’T PANIC » Making Progress on the « Going Dark » Debate, un récent rapport qui montre que, si de plus en plus d’internautes chiffrent leurs données (même et y compris à l’insu de leur plein gré : 83% des messages de Gmail à destination d’autres fournisseurs, 73% des messages d’autres fournisseurs à destination de Gmail, et 77% des requêtes effectuées sur les serveurs de Google -81% en France- sont chiffrées), l’explosion de l’internet des objets, et des méta-données associées, permettra aux services de sécurité et de renseignement de continuer à pouvoir enquêter, surveiller voire espionner.

MaJ : Robert Hannigan, le directeur du GCHQ (l’équivalent britannique de la NSA) s’est lui aussi prononcé contre l’insertion de backdoor dans les logiciels de chiffrement. La CNIL aussi, le SGDSN également.


DDAI, la discrète cagnotte des « fonds spéciaux »

Fri, 25 Mar 2016 13:31:15 +0000 - (source)

fondsspeciauxLe Canard Enchaîne de ce 23 mars 2016 révèle que depuis plus de 10 ans, les services de renseignement abondent leurs « fonds spéciaux » en puisant dans une discrète cagnotte destinée à couvrir des « dépenses accidentelles et imprévisibles« .

L’info figure dans le rapport annuel de la Délégation Parlementaire au Renseignement, et plus précisément dans le tout « premier rapport public de la commission de vérification des fonds spéciaux » (CVFS), composée de 4 parlementaires, créée en 2002 et qui a été rattachée à la Délégation Parlementaire au Renseignement suite au vote de la loi de programmation militaire en 2013 :

« Depuis son premier exercice en 2002, la CVFS n’avait jamais publié de rapport public, la loi ne le prévoyant pas mais ne l’interdisant pas explicitement non plus. Le présent document constitue donc une première dont la survenance paraît nécessaire.

En effet, (…) nous estimons que le contrôle parlementaire s’exerce certes au profit du Parlement, mais avant tout à destination de nos concitoyens qui ont le droit et le besoin de connaître – pour reprendre une terminologie juridique fréquente en ce domaine – les actions conduites en leur nom ou, à tout le moins, les supports financiers de ces opérations ».

La CVFS n’en déplore pas moins que « la réforme de 2001 s’est traduite par un recul dans les capacités de contrôle des fonds spéciaux en même temps que par un élargissement de la liste des services soumis à ce contrôle ».

Elle attire également l’attention du Premier ministre « sur l’impérieuse nécessité de revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement [recommandation n°10] » dans la mesure où « les budgets octroyés aux services de renseignement ont connu une progression appréciable et conforme à la reconnaissance de la fonction stratégique assumée ainsi qu’à la hausse de leur activité, la Commission constate que les fonds spéciaux n’ont pas bénéficié d’une revalorisation alors même qu’ils financent la partie la plus sensible de l’activité de ces administrations« .

La CVFS a en effet découvert que, pour faire face à cette situation, les services de renseignement (la DGSE en tête) ont, sinon détourné depuis des années, tout du moins procédé à un « recours routinisé » (sic) aux « DDAI« , une ligne budgétaire de « décrets de dépenses accidentelles et imprévisibles » initialement conçus pour des motifs écologiques et humanitaires :

« Conçus pour faire face à des dépenses urgentes et imprévisibles telles les catastrophes naturelles ou sanitaires, ces décrets sont pris en application du programme budgétaire 552 (Dépenses accidentelles et imprévisibles), l’une des deux composantes de la mission Provisions.

Ce programme se caractérise par une souplesse avantageuse : contrairement aux autres leviers d’aménagements budgétaires à disposition de l’exécutif (loi de finances rectificative, décrets d’avance, virements et transferts entre programmes, dégel de crédits mis en réserve) qui supposent de recueillir l’avis et/ou l’accord de différentes institutions, les DDAI ne sont pas soumis aux mêmes obligations. En effet, les fonds affectés au programme 552 relèvent d’un simple décret du Premier Ministre pris sur rapport du ministre chargé des Finances.

Ces documents ne font pas nécessairement l’objet d’une publication, notamment lorsqu’ils relèvent de la Défense nationale. Ils sont d’ailleurs fréquemment utilisés pour financer des opérations extérieures, s’éloignant quelque peu de l’épure du droit selon la Cour des comptes. Dans le même ordre d’idées, ils ont permis, depuis 2009, d’acquérir un immeuble, de financer la campagne de vaccination contre le virus H1N1, de consulter les habitants sur le projet du Grand Paris, de payer des crédits de personnel en fin d’année…

En sus de sa souplesse, le programme se caractérise par l’absence d’évaluation et de contrôle prévus par la LOLF au regard des objectifs poursuivis (parer à l’imprévisible). Seul le contrôle des fonds spéciaux, lorsque des DDAI concernent des services de renseignement, introduit une nuance à ce propos. »

Or, « la CVFS a constaté le recours systématique à des DDAI afin de financer, au-delà du déclenchement de la crise, des dépenses qui, avec le temps, deviennent prévisibles », ce que la CFVS qualifie de « cercle vicieux dans la mesure où la crise dure généralement plus longtemps que le décret (…). En conséquence, la Commission réaffirme son désir de voir la dotation en fonds spéciaux accrue de manière conséquente afin d’intégrer le montant cumulé des DDAI et d’offrir aux services concernés une gestion plus saine et sereine de leurs budgets sur le moyen terme. Pareille décision permettra de limiter le recours aux DDAI et de le restreindre à son objet principal : la gestion temporaire de l’imprévisible [recommandation n°18]. »

Des dépenses « accidentelles, imprévisibles et surtout urgentes »

En 2007, un rapport de la commission des finances rappelait que si la dotation des DDAI, « comme son nom l’indiquait clairement, avait pour objet de prévoir les crédits nécessaires à des dépenses accidentelles, imprévisibles et surtout urgentes (…) liées à des catastrophes naturelles, en France ou à l’étranger, ou à des événements extérieurs qui nécessiteraient le rapatriement de ressortissants français (…) votre rapporteur spécial et la Cour des comptes se rejoignent pour juger qu’il est peu orthodoxe d’utiliser une dotation pour dépenses accidentelles et imprévisibles pour régler des dettes pourtant bien prévisibles ».

Évoquant une « mauvaise utilisation des crédits (qui) menace le principe de la sincérité budgétaire« , le rapporteur mettait alors en garde « contre les éventuels « détournements » dont cette dotation aurait pu faire l’objet« , pratique qui avait d’ailleurs déjà « été dénoncée par la Cour des comptes dans son rapport sur les résultats et la gestion budgétaire de 2006″, et qui « ne devrait plus se reproduire à l’avenir. »

En novembre 2008, Yves Fromion, président de la Commission de vérification des fonds spéciaux, n’en proposait pas moins, de son côté, d’avoir précisément recours aux DDAI pour abonder les fonds spéciaux : « la justification de l’emploi des fonds spéciaux s’est révélée satisfaisante (et) toutes les dépenses contrôlées paraissant correspondre strictement à un objet opérationnel bien défini. Quant au montant de la dotation des fonds spéciaux, qui s’établit dans le projet de loi de finances à 48,9 millions d’euros, elle me paraît répondre à l’essentiel des besoins, en particulier de la DGSE, sous réserve naturellement des compléments que pourrait nécessiter la gestion de crises, par nature imprévisibles. Les ressources destinées à ces abondements pourraient d’ailleurs, si nécessaire, être versées aux fonds spéciaux par répartition de la dotation pour dépenses accidentelles et imprévisibles »…

De fait, les DDAI ont dès lors abondé les fonds spéciaux :En 2008, la commission des finances relevait ainsi que trois DDAI avaient « permis d’abonder, à hauteur de 7,46 millions d’euros (en AE et CP), les fonds spéciaux employés au financement d’opérations menées par la direction générale de la sécurité extérieure (DGSE) ».En 2009, 19 millions d’euros ont été prélevés sur la provision pour dépenses accidentelles et imprévisibles : 11,5 millions d’euros pour indemniser certaines collectivités locales de dégâts provoqués par des intempéries ; 7,5 millions d’euros pour abonder les fonds spéciaux.En 2010, la dotation des fonds spéciaux s’élevait en LFI 2010 à 53,9 M€, mais plusieurs DDAI l’ont abondé de 11,2M€ supplémentaires.En 2011, la dotation de la sous-action « Fonds spéciaux et GIC » s’élevait en à 53,9 M€. Et si la Cour des Comptes relevait (.pdf)  qu »‘aucun décret pour dépenses accidentelles ou imprévisibles n’a été publié en 2011″, elle n’en relevait pas moins que « seuls deux décrets non publiés allouant des crédits de paiement aux fonds spéciaux de 11,28 M€, montant constatable par la différence entre les crédits ouverts et les crédits restants, ont été pris »… tout en constatant que les DDAI représentaient désormais plus de 20% du montant des fonds spéciaux :

« Il est d’usage que des dépenses d’opérations extérieures de la DGSE soient financées sur la mission provision. La direction du budget n’est pas informée des motifs précis d’utilisation de ces fonds, les rapports de motivation des décrets étant couverts par le « secret défense ». Sans remettre en cause le caractère urgent et imprévisible des demandes formulées par la DGSE, la Cour constate que les crédits affectés aux fonds spéciaux en 2011 représentent 21 % du budget des fonds spéciaux votés en 2011 (53,9 M€) ».

En novembre 2012, la Commission des Finances relevait que « Les crédits ouverts en loi de finances initiale pour 2012 s’élevaient à 51,7 millions d’euros. Ils ont par la suite été modifiés sous l’effet d’un dégel de la réserve de précaution, de deux décrets pour dépenses accidentelles et imprévisibles et d’un décret de transfert en provenance du ministère de la Défense et portés à 65 millions« , tout en soulignant qu' »Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire« .

En 2013, la Commission des Finances entérinait le dispositif : « les crédits programmés initialement en 2013 s’élevaient à 49 725 077 euros. La prévision de consommation, sous l’effet de trois décrets pour dépenses accidentelles et imprévisibles (9 966 000 euros), a été portée à 59 691 077 euros et devrait atteindre 68 804 077 euros. Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire. »

En 2014, elle relevait que « des abondements de crédits ont majoré les dotations des fonds spéciaux de 23,5 millions par cinq décrets pour dépenses accidentelles et imprévisibles et un décret de transfert. La consommation des crédits de fonds spéciaux s’est élevée à 73,4 millions d’euros, en augmentation au regard de celles de 2013 (68,8 millions) et 2012 (68,3 millions), pour une dotation initiale de crédits de 49,9 millions ».

La commission des finances anticipait même la prévisibilité du recours aux décrets de dépenses accidentelles et imprévisibles : « Les crédits programmés initialement en 2015 s’élevaient à 49,9 millions d’euros, comme en 2014. La prévision de consommation, sous l’effet de deux décrets pour dépenses accidentelles et imprévisibles (14 millions) a été portée à 58,4 millions d’euros. »

Plus généralement, elle remettait également en question l’utilité même de la présente mission : « L’absence de doctrine d’emploi, la faiblesse des montants inscrits sur la mission et l’existence d’autres dispositifs permettant de faire face à des dépenses urgentes et imprévues (mise en réserve, auto-assurance) conduisent à s’interroger sur la nécessité de doter la mission ».

Pour autant, cette routinisation du détournement des DDAI rencontrait quelques résistances ces derniers temps. En 2013, la commission des finances avait ainsi rappelé que la Cour des comptes jugeait « globalement irrégulière l’utilisation des crédits en 2012 » et qu’elle préconisait de « limiter l’utilisation de la dotation pour dépenses accidentelles de la mission « Provisions » aux situations de calamités ou aux dépenses réellement imprévisibles ».

Dans sa Note d’analyse de l’exécution budgétaire 2014, la Cour des comptes relevait de son côté que « l’utilisation des crédits (DDAI, NDLR) n’est qu’accessoirement en rapport avec l’objet de la mission tel que défini à l’article 7 de la LOLF : la gestion des calamités et les rémunérations décidées tardivement« , tout en concédant « un usage modéré de cette souplesse : une trentaine de millions d’euros de CP et entre une dizaine et une centaine de M€ en AE consommées par an pour traiter un nombre limité de situations d’urgence : crises humanitaires, attribution des fonds spéciaux, signature des baux dont la signature n’est possible qu’en disposant rapidement d’autorisations d’engagement couvrant la totalité de leur durée, résolution de dysfonctionnements informatiques inopinés sur les rémunérations ».

La Cour des comptes n’en rappelait pas moins que « lors de la discussion du projet de loi de finances initiale pour 2008, le ministre du Budget, des Comptes publics et de la Fonction publique s’était engagé à «réserver l’utilisation de la provision pour dépenses accidentelles et imprévisibles aux seules dépenses présentant un caractère d’urgence et résultant de la survenance d’aléas climatiques et sanitaires». »

Dans son rapport 2015, la CVFS relève que « ces positions sont réaffirmées chaque année dans le rapport sur l’exécution du budget de l’Etat par mission et programme« … et demande donc à y mettre terme. Sauf que pour y parvenir, il faudrait donc « revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement« …


Un clandestin se cachait Place Beauvau depuis… 1972

Thu, 28 Jan 2016 16:28:28 +0000 - (source)

Safari, Système automatisé pour les fichiers administratifs et le répertoire des individusCe 27 janvier, journée européenne des données personnelles fêtée par les CNIL de toute l’UE, le Canard Enchaîné révélait l’existence d’un nouveau fichier policier clandestin créé en… 1972.

OSIRIS, pour « outil et système d’informations relatives aux infractions sur les stupéfiants« , fichier créé par un arrêté publié au JO le 19 janvier dernier pour établir des statistiques sur, « par exemple, le nombre de trafiquants de cocaïne, le nombre de trafiquants selon leur âge et un type de produit déterminé, le nombre de trafiquants localisés dans un département déterminé, etc.« , permet également et « par exemple une représentation graphique des quantités saisies par département ou par région, du nombre de trafiquants ou d’usagers par produit, etc. » grâce au futur système de cartographies et d’information géographique (SIG) en cours de développement par le ministère de l’intérieur.

Or, à l’occasion de sa déclaration, la CNIL a découvert qu’OSIRIS « est mis en œuvre depuis 2006 par l’Office central pour la répression du trafic illicite des stupéfiants (OCRTIS)« , et que cela faisait donc au moins que 10 ans qu’il fonctionnait illégalement.

Voire : le site de l’Observatoire français des drogues et des toxicomanies, un groupement d’intérêt public créé pour « éclairer les pouvoirs publics, les professionnels du champ et le grand public sur le phénomène des drogues et des addictions« , avance de son côté qu’il existe depuis… 1972, qu’il est devenu « fichier nominatif depuis 1990« , qu’il s’appelait alors Fichier national des auteurs d infractions à la législation sur les stupéfiants (FNAILS) avant d’être renommé OSIRIS en 2007. Soit 26 ans d’illégalité. Un record.

Mis devant le fait accompli, le gendarme des fichiers se retrouve réduit dans son avis à rappeler le gouvernement à « l’impérieuse nécessité de la saisir préalablement à la mise en œuvre d’un traitement« , comme le prévoit expressément la loi, dans la mesure où elle « ne peut dès lors que déplorer la déclaration très tardive de ce traitement, déjà mis en œuvre depuis plusieurs années« .

Ce n’est en effet pas la première fois, loin de là, qu’un fichier policier est légalisé des années après avoir été créé. Le système JUdiciaire de Documentation et d’EXploitation (JUDEX), le casier judiciaire bis de la gendarmerie, avait ainsi été créé en 1985, mais légalisé qu’en 2006, après 21 ans de clandestinité. La CNIL avait également déjà « regretté » de découvrir que le « logiciel d’uniformisation des procédures d’identification » (LUPIN), qui lui avait été soumis en octobre 2014, avait été « mis en œuvre depuis plusieurs années, (et) déclaré si tardivement« .

Même son de cloche pour la plate-forme de signalement IGPN, déclarée en avril 2014 et dont la Commission avait « regretté qu’il ait été mis en œuvre avant même qu’elle se soit prononcée sur le projet d’arrêté« , ainsi que pour le « bureau d’ordre de l’action publique et des victimes » (BOAPV) de la direction des affaires criminelles et des grâces, créé en février 1994, mais déclaré qu’en février 2012, ou encore pour GASPARD, le fichier de reconnaissance biométrique faciale du ministère de l’Intérieur, dont elle avait appris l’existence au détour de la déclaration d’un autre fichier, alors qu’il n’avait « pas fait l’objet des formalités prévues par la loi » informatique et libertés.

Comme le Canard l’avait alors souligné, ladite loi, adoptée en 1978 pour -précisément- protéger les citoyens français du fichage policier, a en effet été modifiée en 2004 de sorte que le gouvernement, s’il doit toujours demander son avis de la CNIL dès lors qu’il veut créer un « fichier de sûreté« , n’ait plus à en tenir compte. Sa seule obligation : publier l’avis de la CNIL au JO… Depuis, le nombre de fichiers a explosé.

En 2006, le groupe de travail sur les fichiers de police et de gendarmerie présidé par Alain Bauer recensait 34 fichiers. En 2009, les députés Delphine Batho et Jacques-Alain Bénisti, mandatés par l’Assemblée suite au scandale du fichier Edvige, en avait de leur côté répertoriés 58, soit une augmentation de 70% en trois ans, et découvert qu’un quart d’entre-eux ne disposaient d’aucune base légale, faute d’avoir été déclarés à la CNIL.

Un comble, pour des fichiers de police judiciaire. En 2011, j’en avais comptabilisé 70, dont 44 créés depuis l’arrivée de Nicolas Sarkozy au ministère de l’Intérieur, en 2002 (cliquez sur l’image pour accéder au tableur).

NbfichiersPoliciers

Depuis, Nicolas Sarkozy a fusionné (ce fut même sa dernière action en tant que président de la République, le jour de l’élection de François Hollande) les deux principaux fichiers, le STIC et JUDEX, alors qu’ils sont réputés pour être truffés d’erreur, dans l’indifférence générale (voir Pour la CNIL, 18% des Français sont « suspects »), et aucun recensement mis à jour n’a été effectué.

Le moteur de recherche de Legifrance, le service public de la diffusion du droit, n’en répertorie pas moins de 33 décrets, 45 arrêtés et 67 délibérations faisant référence à l’article 41 de la loi informatique et libertés, qui encadre l’accès aux traitements qui intéressent « la sûreté de l’État, la défense ou la sécurité publique« .

La loi informatique et libertés avait pourtant expressément été adoptée suite à un autre projet clandestin de fichier policier, SAFARI (pour « Système automatisé pour les fichiers administratifs et répertoires des individus« ). Allez, circulez.


Valls tragique à Milipol : 100 morts (pour l’instant)

Fri, 25 Sep 2015 13:52:40 +0000 - (source)

Fin 2013, j’avais accepté de m’auto-censurer. Manuel Valls était ministre de l’Intérieur, et j’avais la preuve qu’il courtisait (et cherchait à commercer avec) des ministres de l’Intérieur de pays autoritaires (sinon totalitaires), dont un au moins, le ministre de l’Intérieur du Bahreïn, avait, sinon du sang sur les mains, tout du moins près d’une centaine de morts à son « actif« .

J’avais écrit un article à ce sujet, et finalement accepté de ne pas le publier pour ne pas alerter les autorités sur ce que nous voulions révéler. Je travaillais en effet avec Jean-Pierre Canet, Benoit Bringer et Arthur Bouvart pour un numéro de #CashInvestigation consacré aux marchands de (soi-disant) « solutions » de sécurité surfant sur le « business de la peur« .

Entre autres révélations, nous avons également découvert que des gendarmes français ont formé les policiers de Bahreïn pendant les émeutes de 2011, et réussi à franchir le sas de sécurité reposant sur le passeport biométrique avec de fausses empreintes digitales.

album-cover-large-27005Notre enquête est désormais (et enfin) disponible, Manuel Valls a depuis été nommé Premier ministre, le prochain salon Milipol aura lieu du 17 au 20 novembre 2015, occasion de publier l’enquête que j’avais accepté de ne pas publier, ainsi que l’extrait du documentaire qui lui est dédié.

Vous y entrapercevrez notamment les responsables d’Advanced Middle East SYStem, le faux-nez qui a racheté le système de surveillance de masse Eagle d’Amesys, au sujet duquel j’ai longuement écrit sur ce blog & pour OWNI, et que Futuropolis m’a permis de raconter dans une BD sortie cet été, Grandes oreilles & bras cassés, et dont FranceTV vient de publier les bonnes feuilles.

Valls tragique à Milipol : 100 morts (pour l’instant)

article écrit en novembre 2013

Les organisateurs de Milipol, le principal « salon mondial de la sécurité intérieure des Etats« , co-organisé par le ministère de l’Intérieur, fin novembre, en banlieue parisienne, étaient fiers d’annoncer que Manuel Valls avait inauguré son édition 2013 en présence de « pas moins de 17 ministres de l’Intérieur en provenance d’Europe, d’Asie, du Proche-Orient ou d’Afrique« . Ils se sont par contre bien gardés de préciser leurs pedigrees.

La photographie affichée en « une » de « Milipol News » (le journal diffusé auprès des visiteurs du salon) ainsi que les images partagées par Milipol sur Facebook, Twitter, Flickr puis YouTube, montrent, à la droite de Manuel Valls, trois moustachus aux crânes plus ou moins dégarnis, dont un en costume gris.

Capture du 2013-11-23 22:21:05
1311MilipolFacebook1311MilipolYoutube

« Honte au gouvernement français d’avoir invité le ministre de l’intérieur du Bahreïn pour faire du shopping d’armements à Milipol »

La photographie partagée par Milipol sur Twitter a fait bondir l’ONG Bahrain Watch, et permis d’identifier le monsieur moustachu en gris comme étant Rashid bin Abdulla Al Khalifa, ministre de l’Intérieur du Bahreïn, un des 12 pays estampillés « ennemis de l’Internet » par Reporters Sans Frontières, classé 165e (sur 179) dans son classement mondial de la liberté de la presse, qui bloque l’accès à plus de 1000 sites web et qui, depuis juin 2012, a infligé 118 mois de prison cumulés à 13 internautes en raison de ce qu’ils avaient écrit, notamment sur les réseaux sociaux.

Dans ce tout petit royaume du Golfe persique, la répression ne vise pas que les internautes : les policiers anti-émeutes (formés par des CRS français) dispersent les manifestants à coups de plombs de chasse (type chevrotine), tirent des grenades lacrymogènes en visant la tête de manifestants et/ou « à l’intérieur » des maisons (quitte à tuer des gens), torturent & embastillent les défenseurs des droits de l’homme; entre autres :

Si le « printemps arabe » bahreïni a fait bien moins parler de lui que ceux qui ont (eu) lieu dans d’autres pays, c’est notamment parce que l’armée américaine y dispose d’une énorme base militaire et qu’elle préfère donc fermer les yeux sur les exactions qui y ont lieu. Mais aussi parce que 220 journalistes, représentants d’ONG, défenseurs des droits de l’homme ou personnalités politiques se sont vus refuser le droit d’entrer dans le pays, d’après le recensement de Bahrain Watch, qui documente aussi les fournisseurs de chevrotines et de grenades lacrymogènes utilisés par les policiers anti-émeutes.

L’ONG avait ainsi découvert que les policiers « anti-émeutes » utilisaient des gaz lacrymogènes fournis, en partie, par une entreprise française, Alsetex, qui se présentait comme le « Leader des produits pour la gestion démocratique des foules« .


Je découvrais de mon côté, dans le rapport sur les exportations d’armement de la France, que la France avait vendu pour plus de 26M€ d’armes au Bahreïn en 2011, dont 16M€ de « bombes, torpilles, grenades, pots fumigènes, mines, missiles, produits « pyrotechniques » militaires (et) cartouches« , et 421 000 € d' »agents chimiques ou biologiques « antiémeutes » » (cf A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?).

Suite à mon enquête, Alsetex effaçait le terme « démocratique » de son site web, et retirait les fiches signalétiques de ses grenades lacrymogènes.

Dans la foulée, une source gouvernementale expliquait au Point que « suite à l’affaire tunisienne, l’exportation de l’ensemble des produits pour le maintien de l’ordre vers Bahreïn a cessé le 17 février 2011 » (date du « Bloody Thursday« , qui avait réuni 150 000 manifestants -sur 600 000 habitants-, et qui s’étant soldé par 4 morts et 300 blessés, marqua le début du « printemps arabe » bahreïni, NDLR), tout en rappelant que la France avait été parmi les premiers pays à prendre cette mesure unilatérale.

Interrogé sur les autorisations d’exportation de matériel de guerre vers le Bahreïn, le gouvernement avait assuré qu’il s’agissait « uniquement de matériel d’alerte biologique et de détection chimique« .

Or, et comme le révélait la semaine passée Intelligence Online, seul média français à s’être fait l’écho de la visite de Rashid Abdullah al-Khalifa à Milipol, dans un article intitulé « Bahreïn : Paris continue d’épauler la police« , le rapport annuel 2013 sur les exportations d’armes indique que la France a de nouveau autorisé l’exportation d' »agents chimiques ou biologiques » (pour un montant de 251 347€ en 2012), et révèle aussi et surtout un très net accroissement des exportations d’armement vers le Barheïn, la France ayant enregistré 4.4M€ de prises de commandes en 2012 (contre 0.7 en 2011 et 0.3 en 2010), et 76.7M€ de matériels livrés en 2012 (contre 26.8 en 2011, et 9.8 en 2010).

A Milipol pour… « défendre la liberté d’expression »

1311intriorMilipolbr_frSeuls les médias bahreïnis se sont faits l’écho de la rencontre des deux ministres de l’Intérieur. On les retrouve ainsi, en tête à tête, sur le site de la Bahrain News Agency, ainsi que dans l’édition .pdf du Gulf Daily News (quotidien pro-gouvernemental sous-titré « La voix du Bahreïn« ) avec d’autres personnalités non encore identifiées (commentaires bienvenus).

1311MilipolGulfNews2

Étrangement, l’article de l’agence de presse bahreïnie est intitulé « Le Bahreïn s’engage pour la liberté d’expression« … comme si un ministre de l’Intérieur venait à Milipol, temple du maintien de l’ordre et des technologies de surveillance, pour y acheter des outils de défense de la « liberté d’expression« .

L’article rapporte que cette rencontre a permis à Rashid Abdullah al-Khalifa de rappeler que son pays défendait la « liberté d’expression et les droits humains qui sont protégés par la constitution« , le ministre bahreïni précisant cela dit qu' »il est regrettable que certains abusent de cette liberté pour se livrer à des activités en violation de la loi« , et que la police de son pays ne faisait pas face à des « manifestants« , mais à des « émeutiers, vandales et terroristes« .

La Voix du Bahreïn précise par ailleurs que Rashid Al Khalifa était à Milipol à l’invitation de Manuel Valls, qui aurait accepté l’invitation d’aller, en retour, visiter le Bahreïn, au nom de la coopération bilatérale entre leurs deux pays.

D’après Intelligence Online, et en dépit de la répression qui sévit au Bahreïn, « Paris continue cependant de détacher des coopérants auprès du ministère bahreïni de l’intérieur« .

« Pour que cesse l’impunité au Bahreïn »

wanted23En tout état de cause, c’est avec un sens du timing étonnant que Manuel Valls a décidé d’inviter Rashid bin Abdulla Al Khalifa à Milipol, et de poser à ses côtés, alors que deux ONG de défense des droits de l’homme, plus un rapport parlementaire, viennent de rappeler l’ampleur des violations des droits de l’homme dans cette petite monarchie pétrolière dirigée par la famille Al Khalifa depuis… 1783.

Evoquant « un soulèvement maté dans le sang et l’indifférence générale« , le rapport de la mission d’information sur les Révolutions arabes, réunissant des députés de la majorité et de l’opposition, rendu public le 14 novembre (5 jours avant l’inauguration de Milipol), déplore ainsi les « nombreuses perquisitions nocturnes et traitements inhumains et dégradants manifestement destinés à faire régner la terreur » depuis la violente répression du « Bloody Thursday » de 2011.

Le Bahrain Center for Human Rights venait quant à lui de lancer une campagne « pour que cesse l’impunité au Bahreïn, et mis en ligne les posters de 59 personnalités « Most Wanted« , dont Rashid bin Abdulla Al Khalifa.

1312AlKhalifa

L’ONG lui reproche notamment, en tant que ministre de l’Intérieur, de couvrir les violations des droits de l’homme imputables aux forces de l’ordre : passages à tabac de manifestants et citoyens, institutionnalisation de la torture dans les commissariats et les « centres de torture clandestins« , recours excessif aux gaz lacrymogènes -qui auraient entraîné plus de 40 de la centaine de morts recensée par l’opposition depuis le début de la contestation (dont plusieurs nouveaux nés et personnes âgées, asphyxiés)-, le recours tout aussi excessif à la chevrotine pour disperser les manifestants (14 morts, plus de très nombreux blessés, et éborgnés), plus une douzaine d' »exécutions extra-judiciaires d’enfants et adultes« .

Dans le cadre de son opération 10 jours pour signer, Amnesty International, de son côté, revient sur les 13 prisonniers d’opinion condamnés à des peines allant de 5 ans d’emprisonnement à la prison à perpétuité (et pour certains torturés), pour avoir osé défendre les droits de l’homme et la démocratie.

J’avais eu l’occasion de raconter l’histoire poignante de plusieurs d’entre eux (voir Arabes en colère, sur OWNI), des tortures infligées à Abdulhadi al-Khawaja, le fondateur du Barhain Center for Human Rights au courage de sa fille, AngryArabia, qui n’hésitait pas à manifester, seule (elle a depuis été incarcérée), en passant par la condamnation de Nabeel Rajab, son successeur.

160px-Nabeel_Rajab_at_his_officePar ailleurs secrétaire général délégué à la Fédération internationale des ligues des droits de l’homme (FIDH), Rajab avait réussi à déjouer la surveillance des autorités pour aller accorder une interview à Julian Assange, à Londres. Il savait qu’il risquait la prison mais il n’en décida pas moins de retourner se battre dans son pays, et fut interpellé à son retour en avion. Il croupit depuis deux ans en prison pour un tweet « insultant« . Suite à la visite du premier ministre dans un village, Nabeel Rajab avait en effet avoir osé écrire, sur Twitter :

« chacun sait que vous n’êtes pas populaire et que, n’était le besoin d’argent, vous n’eussiez pas été le bienvenu chez eux. »

Détenu à l’isolement, enfermé avec des animaux morts, Nabeel Rajab, qui n’a droit qu’à 6 litres d’eau par semaine (alors que, souffrant de calcul biliaire, il aurait besoin de boire beaucoup d’eau), vient de voir sa condamnation confirmée en appel.

Les pudeurs de violette de Milipol

Evoquant un « bilan très positif, le communiqué de presse de clôture de Milipol se félicitait d’avoir accueilli « 25 834 visiteurs de 150 pays dont 45% venaient de l’étranger« , ainsi que « 161 délégations officielles » de 97 pays (« contre 53 en 2011« ) :

Outre le nombre, la composition de ces délégations était de très haut niveau
(16 Ministres de l’Intérieur, 18 Directeurs Généraux)
.

Interrogé sur les pays d’où provenaient ces délégations « de très haut niveau« , et notamment sur la nationalité des « 16 Ministres de l’Intérieur et 18 Directeurs Généraux« , Milipol s’est contenté de mentionner les noms de 4 ministres de l’intérieur : Jérôme Bougouma (Burkina Faso), Ranko Otojic (Croatie), Bajram Rexhepi (Kosovo) et Marwan Charbel (Liban), et 3 directeurs généraux : Abdulla Mohammed Al-Sowaidi (Qatar), Miroslav Veljovic (Serbie), Wieslaw Lesniakewicz (Pologne), omettant soigneusement de mentionner la présence de Rashid Abdullah al-Khalifa, ainsi que de 11 autres ministres de l’intérieur, et 15 directeurs généraux.

Voir aussi :
Calais : un « État policier en situation de guerre »
3300 migrants sont morts à Lampedusa depuis 2002
La guerre aux migrants a fait 18 000 morts (au moins)
A quoi servent les « agents antiémeutes toxiques » français au Bahreïn ?
« L’Internet est libre »… mais pas notre pays. Lettre ouverte au président de l’Azerbaïdjan


De la surveillance de masse à la paranoïa généralisée

Sat, 03 Jan 2015 18:02:56 +0000 - (source)

BYmYLrlIl y aura un avant et un après Snowden. Avant, ceux qui dénonçaient la montée en puissance de la société de surveillance passaient pour de doux paranoïaques (alors que les paranos, c’était pas eux, mais la NSA, ce que Snowden a amplement démontré).

Depuis, tout le monde ou presque est persuadé d’être espionné par la NSA, ou encore que la DGSE espionnerait toutes les télécommunications, en France… ce dont je me permets de douter : la NSA ou la DGSE (& Cie) ont certes les moyens de tenter d’espionner n’importe qui, mais les documents Snowden ne permettent aucunement de conclure qu’ils espionneraient tout le monde, a fortiori tout le temps, façon « Big Brother« .

Mise à jour, juin 2015 : vous trouverez plus bas la vidéo de la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j’ai tenté d’expliquer pourquoi je n’avais pas particulièrement peur des « boîtes noires » du Projet de loi relatif au renseignement, et pourquoi le problème me semble être ailleurs…

MaJ, septembre 2016 : voir aussi Pour en finir avec la « surveillance de masse », décryptage/fact-checking encore plus contextualisé.

C’est ce que j’avais tenter d’exposer, en juin 2014, lors d’une conférence à Pas Sage En Seine (PSES), De la surveillance de masse à la paranoïa généralisée (vidéo), que l’association de défense et de promotion des logiciels libres APRIL m’a récemment fait l’honneur de retranscrire (un travail de titan, <3) :

« Non, la NSA, le GCHQ ou la DGSE, Google, Facebook, Microsoft & Cie ne sont pas Big Brother, et ils n’espionnent pas tout le monde tout le temps.
Et notre boulot, aujourd’hui, est aussi de comprendre et d’expliquer ce qu’ils font exactement, plutôt que d’entretenir le #FUD ambiant. »
« Fear, Uncertainty and Doubt » (FUD) : Peur, Incertitude et Doute

Alors que la Library of Congress vient de publier une étude de droit comparé reprenant l’article du Monde qui affirmait (à tort) que la DGSE collecte systématiquement les méta-données de toutes les communications téléphoniques et électroniques, en France, il m’a semblé important, à l’heure des bilans de fin d’année, de reprendre sur ce blog cette conférence résumant ce que m’ont appris les factchecks que j’ai fait de plusieurs des « révélations » du Monde à ce sujet :

La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi mais non, rien n’indique qu’elle collecte « systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France« ;
La NSA n’espionne pas tant la France que ça : non, la NSA n’a pas espionné 70M de communications téléphoniques de Français; il s’agissait de 70M de méta-données captées par la DGSE à l’étranger, et partagées avec la NSA;
DGSE/Orange : joue-là comme SuperDupont (#oupas) : pourquoi je doute qu’Orange soit le partenaire « non identifié » de la DGSE et du GCHQ mentionné dans un document Snowden;
Cher Edward Snowden, il ne faut pas croire tout « Le Monde » (réservé aux abonnés d’Arrêt sur images) : de fait, il ne s’agit pas d’Orange, mais de QOSMOS, leader mondial (et français) de l’analyse des protocoles et de l’extraction des méta-données.
MAJ, avril 2015 : le soi-disant « « Big Brother » dissimulé au cœur du renseignement » n’est pas un « secret sur lequel la République a réussi, depuis 2007, à maintenir un silence absolu » : j’en avais parlé, en 2005; loin d’être un « big brother« , ce pôle (et non plateforme) ne fait que décrypter les messages chiffrés interceptés par les services de renseignement; enfin, il est improbable qu’il soit « relié aux centres de stockage de tous les opérateurs installés en France« , et donc qu’il serve à faire de la « surveillance de masse » des internautes français.
MaJ, avril 2016 : la DGSE n’a pas surveillé ni espionné Thierry Solère, mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« …
MaJ, septembre 2016 : les « boîtes noires » avaient cristallisé le débat autour de la loi renseignement, mais la DGSE espionne-t-elle tous les Français ? tl;dr : non, ce que j’ai tenté d’expliquer en version longue : Pour en finir avec la « surveillance de masse »

De la surveillance de masse à la paranoïa généralisée

Vous pouvez lancer la vidéo de la conférence et l’écouter comme une émission radio (vous pouvez aussi en retrouver les slides là), ou encore lire, plus bas, la version résumée que j’ai faite de la (longue) retranscription faite par APRIL.

Voir aussi la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j’ai tenté d’expliqué pourquoi les termes du débat posés par le très décrié Projet de loi relatif au renseignement me semblent avoir bien mal été posés (et compris). La conférence commence à 2’20 (voir aussi les slides) :

Avant j’avais deux problèmes : c’était, faire comprendre aux gens ce que c’était que la société de surveillance, sans être traité de parano ; et ce n’était pas facile.

Avec les révélations Snowden, mon problème a un petit peu changé : c’est arriver à faire comprendre ce que c’est que la société de surveillance à des paranos. C’est-à-dire que le problème auquel je suis confronté c’est qu’avant, les gens comme moi, qui s’intéressaient à ces histoires-là, était facilement brocardées comme paranos. Le problème, aujourd’hui, c’est que tout le monde est devenu parano. C’est ce que je vais essayer de vous montrer et ce pourquoi ça me semble dangereux, ou problématique en tout cas, de passer de la société de la surveillance à la société de paranoïa.

Pour ceux qui ne me connaissent pas (cf ma fiche sur WikiPedia), ça fait une dizaine d’années que je travaille sur ces questions de technologies de surveillance, de protection des libertés, de vie privée, etc., aux sujets desquelles j’ai consacré des centaines d’articles (et d’interview), plus deux bouquins (La vie privée, un problème de vieux cons ?, et Au pays de Candy – enquête sur les marchands d’armes de surveillance numérique).

J’ai aussi bossé avec WikiLeaks sur les Spy Files, ces marchands d’armes de surveillance numérique qui se réunissent tous les trois mois un peu partout dans le monde dans un salon dont l’entrée est interdite aux journalistes, car réservée aux marchands d’armes et aux services de renseignement, aux flics et aux militaires, et plus particulièrement sur Amésys, cette PME française qui avait conçu un système de surveillance massive de l’Internet à la demande du beau-frère de Kadhafi (voir Barbouzeries au pays de Candy).

En 2007, j’étais journaliste au monde.fr, et il y a eu le scandale autour du fichier Edvige en France. C’était un fichier de renseignements qui autorisait les services de renseignement à ficher les mœurs sexuelles, les opinions philosophiques, politiques, des gens à partir de l’âge de treize ans. Il y a eu des manifestations dans la rue, des hommes politiques qui sont montés au créneau, qui ont protesté contre cette société de surveillance, en tout cas cette volonté de ficher les gens. Lemonde.fr m’a dit  « Écoute tes trucs, là, la surveillance, les fichiers policiers, etc, jusqu’à présent ça n’intéressait que les droit-de-l’hommiste, là visiblement ça commence à intéresser les gens, donc fais-nous un blog là-dessus ».

Et donc j’ai créé  »Bug Brother », où j’ai essayé de suivre un petit peu l’actualité de ces technos et où, en même temps, je sais que jusqu’à l’année dernière il y a des gens, même y compris à la rédaction du Monde qui disaient  « Ouais mais Manach il est un peu parano quand même ». Ce à quoi, moi, ça fait des années je répondais  « Mais ce n’est pas moi le parano. Le parano ce sont des gens comme les clients d’Amésys qui veulent surveiller l’intégralité de leur population ».

Amésys c’est cette boîte française qui a développé un système de surveillance de l’Internet à la demande d’Abdallah Senoussi, qui était le beau-frère de Kadhafi, accessoirement un terroriste, recherché par la justice française. Les paranos, c’est la NSA qui veut surveiller tout, ou en tout cas être capables de tout surveiller.

Moi je ne suis pas parano : je suis journaliste, j’essaye de comprendre comment ça fonctionne. Le problème c’est que maintenant, je suis à peu près persuadé que si on fait un sondage dans la rue  « Est-ce que vous êtes espionné par la NSA ? », la majeure partie des gens vont dire oui. Ce qui est complètement faux : la NSA (entre autres services de renseignement) a autre chose à faire que d' »espionner » l’intégralité de la population… même si elle cherche, de fait et hélas, à surveiller toutes nos télécommunications.

Pour en revenir aux révélations Snowden, je pense que la façon dont a été révélée l’existence de PRISM, présenté comme un des systèmes les plus utilisés par la NSA a, paradoxalement, fait beaucoup de mal à la compréhension de comment fonctionne la NSA, et de comment fonctionnent les systèmes de surveillance, avec des slides qui montraient que, en fait, l’essentiel du trafic sur Internet passe par les États-Unis. Et donc c’est plus simple pour la NSA de surveiller ce qui passe par leur territoire. Et puis surtout, ça a eu énormément de succès, parce qu’on avait la date et les logos de Gmail, Facebook & Cie.

Prism_slide_2

Sauf qu’un des gros problèmes des révélations Snowden, c’est qu’il s’agit d’un gigantesque puzzle dont Glenn Greenwald ne nous en dévoilait que quelques pièces, par à-coups, et qu’il est très difficile d’arriver à comprendre ce que révèle un puzzle quand on en voit que quelques pièces.

En l’espèce, et pour ce qui est de PRISM, on a donc découvert depuis qu’il ne s’agissait pas d’un système donnant à la NSA un accès direct aux serveurs de Google, Facebook & Cie, lui permettant de faire ce qu’elle voulait des données de leurs abonnés, mais de l’acronyme utilisé par la NSA pour désigner le fait de demander au FBI d’aller demander à Google, Microsoft ou Facebook d’accéder aux données de certains de leurs abonnés…

Donc quand on a eu Google, Facebook, Microsoft qui disaient  « Mais nous on n’était pas au courant ! On n’était pas au courant qu’on travaillait comme ça avec la NSA ! », ben c’était vrai, ils n’étaient pas au courant parce qu’ils répondaient à des sollicitations du FBI, et qu’ils ne savaient pas que c’était in fine pour la NSA.

Google puis Microsoft ont demandé à la justice américaine d’avoir le droit de dire combien de personnes ont été concernées par l’utilisation de PRISM, et grosso modo, c’est entre 0 et 1000 demandes, concernant entre 2000 et 12 999 comptes chez Google, et moins de 16 999 comptes chez Microsoft, par semestre. Comparez 1 000 ces chiffres avec le nombre d’utilisateurs des services proposés par Google et Microsoft : ce n’est pas vraiment du « massif« , au sens où la NSA espionnerait absolument tout le monde. Non, c’est de la surveillance ciblée.

EMBWlbpÇa fait quelques années que Google avait entamé ce qu’il appelle les  »transparency reports », à savoir le fait de publier, régulièrement, le nombre de demandes d’accès à des données qu’ils ont reçues de la part de tels ou tels pays, et le nombre de demandes auxquelles Google a refusé de leur confier les données. Suite à ça, Twitter, Facebook, Microsoft ont eux aussi, suite aux révélations Snowden, commencé à publier leurs propres  »transparency reports », et si on regarde la liste du nombre de total de requêtes qui ont été faites de 2009 à 2012, en France, on en est à moins de 40 000…

Sachant, bien évidemment, qu’il y en a certaines qui portent sur un seul et même individu, et sur le compte Facebook, Tweeter et Google de ce même individu. Donc ce n’est probablement pas 40 000 personnes, c’est probablement moins, en l’espace de trois, quatre ans. Ça c’est pour les demandes d’entraide judiciaire légales, qui passent par les circuits légaux.

Un autre truc qui m’a fait bizarre, quand Vodafone a sorti son « transparency report », assez impressionnant, où il révélait qu’il collaborait avec les autorités de 28 pays, dont certains bénéficiant d’un accès direct à leurs serveurs. J’avais vu sur Twitter des gens crier aux loup : « Regardez, la France est dans la liste des 28 pays, on est espionné par la NSA !!! ».

Or, quand on regarde dans le rapport, il y a eu trois demandes qui ont été faites concernant la France à Vodafone ! En comparaison ce sont des dizaines, voire des centaines de milliers, à Malte ou en Italie. C’est comme si les gens avaient une sorte de prescience  « Ah, ouais on est espionné, on veut être espionné ». Une sorte de fantasme, comme ça, qui fait que la NSA ça existe. Ce serait quand même injuste quelle ne m’espionne pas moi !

Ensuite on a eu le #Fail en Une du Monde sur la DGSE, avec ses « Révélations sur le Big Brother français » qui expliquaient que la DGSE intercepte et espionne l’intégralité des communications, mails, SMS, fax, comptes Twitter en France. Le scoop citait un des articles de mon blog, Frenchelon: la DGSE est en « 1ère division ».

Bernard Barbier, qui était le directeur technique de la DGSE jusqu’à il y a quelques mois, y révélait, entre autres choses, que la DGSE surveillait les réseaux grands publics et enregistrait tous les mots de passe pour, notamment, pouvoir identifier le gentil étudiant en chimie le jour, qui, le soir, devient un terroriste djihadiste, mais qui utilise le même mot de passe…

L’article du Monde mentionnait le mien, mais les journalistes ne m’avaient pas contacté pour me demander ce que je pensais de leurs « révélations« . Et moi, le fait que la DGSE espionne absolument toutes les télécommunications en temps réel et en tous temps, en France, ça me semblait quand même un peu bizarre.

Donc j’ai creusé, j’ai interrogé un certain nombre d’acteurs qui sont au cœur des réseaux, et tous sont arrivés à la conclusion que si la DGSE est capable d’espionner ce qu’elle veut, par contre, elle n’est pas en mesure d’espionner absolument tout, en temps réel, ni de tout archiver ; non seulement elle n’a pas le droit de le faire, mais en plus ça se verrait.

Parce que vu l’architecture décentralisée des réseaux, en France, pour arriver à ce qu’on intercepte tout le trafic Internet il faudrait placer des boîtes noires sur tous les DSLAMs. Or, il y a beaucoup de DSLAMs, ça coûterait beaucoup d’argent et ça finirait forcément par se voir.

Ensuite on a eu le #fail concernant la NSA. Tout est parti d’un article du Spiegel cosigné par Laura Poitras, la journaliste qui travaille sur les révélations Snowden avec Greenwald, qui révélait que les services de renseignement allemands avaient partagé avec la NSA des dizaines de millions de méta-données qu’elle avait capté à l’étranger.

En guise de preuve, Laura Poitras publiait une capture d’écran de Boundless Informant, un des systèmes de visualisation de données utilisé par les analystes de la NSA, montrant combien de métadonnées Internet et téléphoniques avaient été collectées.

Problème. En octobre, Le Monde fait sa Une sur des « Révélations sur l’espionnage de la France par la NSA américaine », basées sur ce même type de capture d’écran, révélant que la NSA a espionné 70M de communications téléphoniques en France.

Peter Koop, un Hollandais dont le blog  »electrospaces » est probablement un de ceux qui décrypte le plus et le mieux les documents Snowden, a remonté la piste et conclue qu’il ne s’agissait pas de conversations téléphoniques espionnées en France, mais bien de méta-données interceptées par les services français, à l’étranger, et partagées avec la NSA…

Finalement, une semaine après, Le Monde a reconnu, à mots couverts, qu’il ne s’agissait pas de communications téléphoniques espionnées par la NSA en France, mais bien des données espionnées à l’étranger par la DGSE et confiées à la NSA. mais le mal était fait, très peu de gens ayant entendu parler de cette mise à jour. Le problème c’est que ça laisse des traces sur la durée et que ça brouille l’écoute, si je puis me permettre.

Ensuite, il y au le #fail sur Orange et le GCHQ, qui est un peu l’équivalent de la NSA en Grande Bretagne, et qui serait d’après Snowden encore plus puissante que la NSA, non seulement parce qu’il y a plein de câbles de télécommunications sous-marins qui atterrissent en Grande Bretagne et que, apparemment, ils sont très forts dans l’interception massive de ces câbles-là, mais également parce que les lois, le cadre juridique réglementaire en Grande Bretagne fait qu’il est plus simple d’attenter à la vie privée, de faire des opérations d’espionnage que ça ne l’est aux États-Unis.

Donc Le Monde, toujours une Une, révélait « Comment Orange et les services secrets coopèrent ». Evoquant des « relations incestueuses » entre France Télécom et la DGSE, Le Monde avançait également que les services de renseignement français autorisaient également leurs homologues britanniques à accéder aux données des clients français d’Orange…

Les révélations du Monde se basaient sur un document Snowden mentionné dans un article du  »Gardian » en octobre dernier, et qui révélait que la DGSE avait mis le GCHQ en contact avec une entreprise française de télécommunications, partenaire privilégié de la DGSE. Mais ce que je n’ai pas compris, c’est pourquoi l’article disait les services britanniques ont accès aux données des clients français d’Orange. Pourquoi ce serait les clients français ?

Je me mets à la place du GCHQ. Un des gros avantages d’Orange c’est qu’il contrôle 20 % des câbles de fibre optique dans le monde. 20 % c’est énorme ! Le GCHQ, un de ses gros boulots, c’est d’espionner les fibres optiques. Donc ce qui intéresse probablement le GCHQ, c’est probablement les câbles sous-marins. Ce qui intéresse également le GCHQ c’est probablement le fait qu’Orange a une centaine de filiales à l’étranger, dont un certain nombre dans des pays du Golfe, dans des pays africains où il y a la guerre, le Mali, le Niger.

Mais ça, le papier du Monde n’en parle pas. Il ne parle pas des 20 % de câbles de fibre optique, il ne parle pas des filiales à l’étranger. Il ne parle uniquement que des clients français d’Orange. Pourquoi ? Moi je suis journaliste, en termes de probabilités, ce qui intéresse le GCHQ c’est plus les câbles de fibre optique et puis le Mali que les communications téléphoniques à Romorantin.

Qu’est-ce qu’il en a à foutre des communications téléphoniques à Romorantin ou à Marseille, le GCHQ ? Pourquoi il ferait du massif en France ? Et pourquoi la DGSE autoriserait un service de renseignement étranger à faire du massif en France ? Nonobstant le fait qu’un bon nombre de ministères, dont celui de la Défense, qui est-ce qu’ils payent pour passer leurs appels téléphoniques ou pour utiliser Internet ? C’est Orange. Ce serait bizarre que la DGSE accepte qu’un service de renseignement étranger espionne des ministères français…

Je suis blogueur au Monde. Systématiquement, j’en ai référé à ma hiérarchie, qui n’a pas voulu rendre compte de mes factchecks sur le journal papier, me laissant les publier sur mon blog. En attendant, les lecteurs du Monde papier, eux, ne savent pas qu’ils ont été induits en erreur, pas plus que tous les médias qui ont repris, en France et à l’étranger, ces « révélations« …

En attendant, un autre truc que j’ai découvert en enquêtant sur ces histoires, c’est le programme National Insider Threat Task Force, créé pour identifier et neutraliser la « menace intérieure« , et donc aussi les lanceurs d’alerte. Il faut savoir qu’il n’y a jamais eu autant de whistleblowers poursuivis par la justice américaine, et même incarcérés, que sous Obama. L’Espionage Act de 1914, avait été utilisé trois fois jusqu’à Obama. Depuis qu’Obama est là je crois qu’on en est à la sixième ou septième fois.

Il y a une véritable chasse aux sorcières qui a été lancée, et ce programme-là incite les fonctionnaires américains à surveiller leurs collègues, et si il y en a un qui commence à devenir un peu alcoolique, qui commence à devenir dépressif, qui vient de divorcer, qui va voir de la famille à l’étranger, qui arrive tard, qui a des problème d’argent, il faut impérativement le dénoncer tout de suite aux fonctionnaires de sécurité du ministère, parce qu’il pourrait devenir un whistleblower ou un espion.

J’ai ainsi trouvé des manuels de détection des espions sur les sites du ministère de l’Agriculture et de l’Éducation nationale, en mode « 101 moyens de reconnaître les espions ». Vous imaginez en France, des autorités qui demanderaient aux profs d’espionner leurs collègues et de rapporter tout comportement déviant à la hiérarchie, parce qu’il pourrait devenir un espion ?…

Pourquoi je vous parle de ça ? Parce que oui, on est vraiment passé à quelque chose de l’ordre de la paranoïa. L’administration américaine est passée en mode paranoïaque, depuis le 11 septembre 2001, depuis WikiLeaks aussi, ce qui pourrait aussi expliquer pourquoi ils ont décidé de tout surveiller.

Un autre truc que j’ai découvert, qui a été beaucoup moins médiatisé que les soixante-dix millions de communications téléphoniques soi-disant interceptées par la NSA, c’est la théorie des  »Three Hops », qui constitue un très bon argument pour clouer le bec à tous ceux qui nous répondent, depuis des années  « Oui mais moi je n’ai rien à me reprocher, donc je n’ai rien à cacher ».

La NSA, quand elle s’intéresse à une cible, va ainsi s’intéresser également à tous les gens qui sont en contact avec elle, plus tous les gens qui sont en contact avec ceux qui sont en contact avec elle, etc, à trois niveaux. Ce qui fait que le frère du voisin de la femme du chauffeur d’Angela Merkel peut être espionné par la NSA, quand bien même il n’a strictement rien à se reprocher, rien à cacher et qu’il n’a aucun secret d’État.

Donc la question n’est pas de savoir si on a quelque chose à se reprocher ; la question c’est de savoir est-ce qu’on connaît quelqu’un qui connaît quelqu’un qui connaît quelqu’un ? Et comme on sait que sur Facebook, sur Twitter, on est tous à quatre niveaux de séparation des autres, entre quatre et cinq niveaux de séparation des autres, oui, virtuellement, les États-Unis se donnent le droit d’espionner un petit peu tout le monde. (voir Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis)

jcYgBLN

Par ailleurs, les États-Unis ont une technique pour arriver à savoir s’ils ont le droit ou pas de s’intéresser à tel internaute : la théorie des 51 % de probabilités. S’il y a 51 % de probabilités que vous soyez Américain, on ne s’intéresse pas à vous. Mais si 51 % de probabilités que vous soyez un étranger, ils s’octroient le droit d’analyser vos datas, parce que, quand un paquet d’informations transite sur IP, eh bien il n’y a pas sa nationalité dessus. Donc ils ont cette théorie des 51 %. Donc là ce que disait l’ACLU, c’est que si vous avez 40 contacts, virtuellement ça fait 2,5 millions de personnes qui peuvent être espionnées pour vous, pour vous surveiller vous.

Un autre truc qui me semble intéressant, quand même, avec cette histoire de paranoïa généralisée, c’est qu’en fait on n’a pas à être si paranoïaque que ça non plus. Greenwald, toutes les semaines, publie un nouveau document Snowden. Donc ça que veut dire que son ordinateur, l’endroit où les documents Snowden ont été stockés, n’ont pas été piratés par la CIA, la NSA, le GCHQ, le FSB, la DGSE, des méchants pirates, que sais-je…

Ça veut dire qu’il est tout à fait possible, même et y compris pour quelqu’un comme Greenwald qui ne comprenait rien à la sécurité informatique jusqu’à l’année dernière, d’arriver à sécuriser son ordinateur et d’arriver à sécuriser ses communications. C’est tout à fait possible ; il en est la preuve vivante.

Par ailleurs, la majeure partie des gens qui travaillent pour les services de renseignement sont des fonctionnaires à qui on demande de faire un boulot, et qui ne sont pas au courant de ce que font les autres. Les employés de la NSA ont probablement appris beaucoup plus sur la NSA grâce à Snowden qu’ils n’en savaient en étant à l’intérieur de la NSA. C’est le principe de cloisonnement dans les services de renseignement.

Il ne faut pas non plus forcément leur prêter de mauvaises intentions : la majeure partie des gens à la NSA, à la DGSE, leur cible c’est Al-Qaïda, c’est ce qui se passe en ce moment en Libye, c’est ce qui se passe en ce moment en Syrie, c’est ce qui se passe au Mali, c’est ce qui se passe au Niger, pas ce qui se passe à Romorantin, à Paris ou à Numa (là où j’avais fait ladite conférence -NDLR).

Il y a à près deux mille personnes à la direction technique à la DGSE, vu l’ampleur de la guerre au terrorisme, etc, il y en a combien d’après vous qui sont en train d’espionner les gens qui sont ici ? Est-ce que ça fait partie de leurs attributions ? Non. En plus la DGSE, sa mission c’est d’espionner à l’étranger : la DGSE est, comme son nom l’indique, un service de renseignement extérieur. C’est la DGSI, l’ancienne DCRI, en charge du contre-espionnage intérieur qui, effectivement, peut surveiller des gens en France.

Accessoirement, et c’est aussi un truc qui m’énerve, c’est l’expression « Big Brother » : j’en ai marre d’entendre « Big Brother être mis à toutes les sauces : un jour, c’est Google qui est « Big Brother« , le lendemain c’est Facebook, le surlendemain les péages et les radars automobiles, la NSA ou l’assurance maladie… Stop.

A force de mettre « Big Brother » à toutes les sauces, l’expression ne veut plus rien dire, et ne permet plus du tout de comprendre ce pourquoi Google, Facebook, les radars automatiques ou la NSA peuvent poser problème -nonobstant le fait que les problèmes qu’ils posent n’ont généralement rien à voir.

Pour en revenir au sujet qui nous préoccupe, la NSA n’est pas une police de la pensée. Obama n’est pas Hitler, ni Staline. Il faut arrêter avec ce truc-là. Hitler, Staline sont des gens qui tuaient les dissidents. Si vous êtes un dissident aux États-Unis, vous n’êtes pas tué. Certes Laura Poitras vit en exil à Berlin, Jacob Appelbaum vit en exil à Berlin, il y a un certain nombre de personnes qui ont des soucis avec des autorités américaines, mais ce n’est pas comparable avec Big Brother qui était un dictateur.

Ce vers quoi on va c’est beaucoup plus Minority Report. À savoir un monde où il y aura tellement de machines interconnectées et de plus en plus de machines qui vont décider à la place d’êtres humains et où, à des moments, il y a des machines qui vont vous dire non. Et en fait Minority Report ça a déjà commencé. J’avais fait un papier là-dessus, sur ceux que l’on surnomme les « doigts brûlés » de Calais.

À Calais, 25 % des réfugiés se brûlent les doigts pour effacer les empreintes digitales, parce que si les flics les chopent et qu’ils passent leurs empreintes digitales au fichier des empreintes digitales, EuroDac, européen, ils vont être renvoyés en Italie ou en Grèce, là où ils ont été fichés. Or comme leur objectif c’est d’aller en Grande Bretagne, ils n’ont pas envie de se retaper le périple depuis la Grèce ou depuis l’Italie. Donc le seul moyen pour ne pas être renvoyés là-bas, c’est d’effacer leurs empreintes digitales.

Donc Minority Report ça a commencé, c’est maintenant, il y a déjà des gens qui se mutilent pour échapper à des systèmes de fichage utilisant des ordinateurs, sauf que, comme ce sont des réfugiés, sans papiers, à Calais, grosso modo la lie de l’humanité, personne n’en parle.

J’avais participé à une émission il n’y a pas très longtemps avec Alain Bauer, qui était le monsieur insécurité, le monsieur vidéo surveillance sous Nicolas Sarkozy, et non seulement il a reconnu que la quasi totalité des systèmes de vidéo surveillance en France ont été installés n’importe comment. C’était intéressant que ce soit monsieur Alain Bauer qui me dise ça. Et quand j’ai dit  « Mais de toutes façons le problème ce n’est pas Big Brother, c’est Minority Report », lui et le président de l’association des villes vidéosurveillées m’ont répondu que « c’est vrai, on va vers Minority Report »…

Pourquoi j’ai fait cette conférence-là sur la paranoïa ? Parce que je déplore le fait de voir de plus en plus de mes contemporains verser dans la paranoïa, alors qu’on n’a vraiment pas besoin de ça. Pour arriver à mesurer un problème il faut être conscient de ce problème et donc il faut être droit sur pattes, et savoir de quoi on parle, et ne pas raconter n’importe quoi. Le pire est à venir.

Là ce qu’on a vu avec Snowden c’est de la roupie de sansonnet par rapport à ce qui va se passer dans vingt ans. Parce que la NSA ne va pas s’arrêter là. La NSA a semble-t-il commencé à faire du massif sur les câbles sous-marins en 2007-2008, la NSA a commencé à s’attaquer à la crypto il y a quelques années seulement, ce sera quoi dans quinze ans, dans vingt ans ? Je n’en sais foutre rien. Ce que je sais c’est que ce sera très certainement pire que ce qu’on a aujourd’hui. Et donc si aujourd’hui on habitue les gens au fait qu’on vivrait dans « Big Brother« , on va leur dire quoi dans cinq ans, dans vingt ans ?

En plus, ça intériorise complètement la menace, parce que « Big Brother » on ne peut rien faire contre lui ! La NSA, ils sont plus forts que toi ! Ces super Dupont, ils sont magiques, ils ont tous les pouvoirs, de toutes façons, ouais, je ne peux rien faire contre la NSA ! Ce n’est pas vrai ! Greenwald, c’était un noob, et il sait faire maintenant. Donc tout le monde peut le faire. Il faut juste s’en donner les moyens, et apprendre à se protéger.

Je voudrais finir en évoquant un texte que je n’ai pas encore eu le temps de finir, mais où j’essaie d’expliquer ce pourquoi la défense des libertés et de la vie privée est au 21ème siècle ce que l’écologie fut au 20ème, au sens où la vie privée en soi, on s’en fout, c’est juste un moyen. C’est comme Internet, on s’en fout, c’est juste un moyen.

Il n’y a pas de liberté d’expression, il n’y a pas de liberté de circulation, il n’y a pas de liberté d’opinion s’il n’y a pas de vie privée. Parce que si on se sent surveillé on va s’autocensurer, et donc ça va à l’encontre de ce qu’on entend par une démocratie digne de ce nom. Et donc c’est pour ça qu’il faut défendre les libertés et la vie privée, c’est parce que c’est la clef qui permet d’actionner les autres mécanismes. Et je vous remercie.

PS : la conférence datant de juin dernier, je n’y avais pas évoqué l’article relatif à « l’accès administratif aux données de connexion » par les services de renseignement prévu par la loi de programmation militaire, dont le décret d’application vient d’être publié. J’y reviendrai, à tête reposée. En attendant, vous pouvez d’ores et déjà vous faire peur avec l’article du Point, avoir des doutes avec celui de Kitetoa, et vous en faire une idée plus posée avec l’analyse de NextInpact.

NB : et si vous vous intéressez vraiment à ce que font la NSA et le GCHQ, je ne saurais que trop vous encourager à visiter nsa-observer.net, qui recense la quasi-totalité de leurs programmes et systèmes espions, voire à y contribuer : la prochaine session de travail aura lieu ce mercredi 7 janvier à 19h, via IRC.

PPS : et sinon, je ne saurais que trop vous conseiller de lire cet excellent article d’Amaelle Guiton qui revient sur cette paranoïa ambiante qui fait dire à certains que les outils de cryptographie auraient été « cassés par la NSA et le GCHQ et qu’on ne pourrait rien faire pour s’en protéger :

« Laisser penser que la cryptographie « grand public » — celle que des centaines de millions d’internautes utilisent sans s’en rendre compte — est bonne à jeter revient à expliquer à un candidat à une promenade dans la savane qu’il ferait aussi bien d’y aller tout nu et à pied, sous prétexte que ni son pantalon ni sa méhari ne résisteront à un rhinocéros furieux ».

Voir aussi la retranscription intégrale de ladite conférence et, sur ce blog :
Une station espion de la NSA, en plein Paris
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


Une station espion de la NSA, en plein Paris

Fri, 12 Dec 2014 14:52:07 +0000 - (source)

1412ObsChineLa semaine passée, L’Obs révélait, en « une« , que la Chine espionnait la France grâce à une station d’écoute installée sur le toit d’une annexe de l’ambassade de Chine à Chevilly Larue, en banlieue parisienne.

De fait, le « scoop » de Vincent Jauvert, intitulé « Comment la Chine espionne le monde depuis la banlieue parisienne« , explique que les antennes pointent vers des satellites permettant des communications entre l’Europe, l’Afrique et le Moyen-Orient, et qu’ils ne ciblent donc pas particulièrement les Français.

Hier, j’en faisais ma chronique pour L’Autre JT, la nouvelle émission hebdo de France4, expliquant que, si les Chinois n’espionnent probablement pas particulièrement les Français, la NSA a, de son côté, installé une station d’écoute sur le toit de l’ambassade des USA, place de la Concorde, à quelques mètres de l’Elysée.

Passée jusque là inaperçue, l’information avait été révélée par le blogueur (et twittos) Zone d’intérêt, puis confirmée par le journaliste Antoine Lefébure (auteur d’un excellent essai sur l’affaire Snowden), avec qui j’avais été, sur place, en compagnie de Duncan Campbell, le journaliste britannique qui avait, le premier, révélé l’existence du système anglo-saxon Echelon de surveillance des télécommunications.

amb-usa

Et on avait bien rigolé en découvrant que les fenêtres avec volets fermées que l’on peut voir sur la photo ont en fait été peintes : ce sont des fausses, à la façon des villages Potemkine, ces trompe-l’oeil créés afin de masquer la pauvreté des villages lors de la visite de l’impératrice Catherine II en Crimée en 1787…

Dans son article (passionnant : Les grandes oreilles américaines à Paris) Zone d’Intérêt explique que cette station a vraisemblablement été installée entre 2004 et 2005, et que ce type de centres d’écoute (Special Collection Service –SCS), opérées conjointement par la CIA et la NSA, est en mesure d’intercepter les signaux dans les gammes de fréquences correspondant à la téléphonie mobile, aux transmissions HF et aux communications satellite, d’assurer la géolocalisation des terminaux, et de recourir à des IMSI catchers pour simuler de fausses antennes-relais et intercepter des communications.

Il souligne également que cette station espion est opportunément située « à seulement 350m du palais de l’Elysée, 450m du Ministère de l’Intérieur, 600m du Ministère de la Justice, 700m du Ministère des Affaires Etrangères et de l’Assemblée Nationale, et 950m du Ministère de la Défense (et qu’)on trouve également dans un rayon d’un kilomètre plusieurs ambassades et des entreprises stratégiques

A noter que la pratique n’a rien de très exceptionnel : on trouve ce type de stations d’écoute sur le toit de nombreuses autres ambassades dans le monde entier (Duncan Campbell en a répertorié plusieurs), et que les Etats-Unis ne sont pas les seuls à le faire, Vincent Jauvert évoquant ainsi les pratiques des services de renseignement israélien et russes en la matière.

Ca a eu l’air d’intéresser l’équipe du Zapping de Canal +, qui a repris l’information, en deux temps :

Le Zapping – 12/12/14

Voir aussi :
La NSA n’espionne pas tant la France que ça
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles