Autoblog de BugBrother

Ce site n'est pas le site officiel de bugbrother
C'est un blog automatisé qui réplique les articles de bugbrother.blog.lemonde.fr

De la surveillance de masse à la paranoïa généralisée

Sat, 03 Jan 2015 18:02:56 +0000 - (source)

BYmYLrlIl y aura un avant et un après Snowden. Avant, ceux qui dénonçaient la montée en puissance de la société de surveillance passaient pour de doux paranoïaques (alors que les paranos, c'était pas eux, mais la NSA, ce que Snowden a amplement démontré).

Depuis, tout le monde ou presque est persuadé d'être espionné par la NSA, ou encore que la DGSE espionnerait toutes les télécommunications, en France... ce dont je me permets de douter : la NSA ou la DGSE (& Cie) ont certes les moyens de tenter d'espionner n'importe qui, mais les documents Snowden ne permettent aucunement de conclure qu'ils espionneraient tout le monde, a fortiori tout le temps, façon "Big Brother".

Mise à jour, juin 2015 : vous trouverez plus bas la vidéo de la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j'ai tenté d'expliquer pourquoi je n'avais pas particulièrement peur des "boîtes noires" du Projet de loi relatif au renseignement, et pourquoi le problème me semble être ailleurs...

C'est ce que j'avais tenter d'exposer, en juin 2014, lors d'une conférence à Pas Sage En Seine (PSES), De la surveillance de masse à la paranoïa généralisée (vidéo), que l'association de défense et de promotion des logiciels libres APRIL m'a récemment fait l'honneur de retranscrire (un travail de titan, <3) :

"Non, la NSA, le GCHQ ou la DGSE, Google, Facebook, Microsoft & Cie ne sont pas Big Brother, et ils n'espionnent pas tout le monde tout le temps.
Et notre boulot, aujourd'hui, est aussi de comprendre et d'expliquer ce qu'ils font exactement, plutôt que d'entretenir le #FUD ambiant."
"Fear, Uncertainty and Doubt" (FUD) : Peur, Incertitude et Doute

Alors que la Library of Congress vient de publier une étude de droit comparé reprenant l'article du Monde qui affirmait que la DGSE collecte systématiquement les méta-données de toutes les communications téléphoniques et électroniques, en France, il m'a semblé important, à l'heure des bilans de fin d'année, de reprendre sur ce blog cette conférence résumant ce que m'ont appris les factchecks que j'ai fait de plusieurs des "révélations" du Monde à ce sujet :

La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi mais non, rien n'indique qu'elle collecte "systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France";
La NSA n’espionne pas tant la France que ça : non, la NSA n'a pas espionné 70M de communications téléphoniques de Français; il s'agissait de 70M de méta-données captées par la DGSE à l'étranger, et partagées avec la NSA;
DGSE/Orange : joue-là comme SuperDupont (#oupas) : pourquoi je doute qu'Orange soit le partenaire "non identifié" de la DGSE et du GCHQ mentionné dans un document Snowden;
Cher Edward Snowden, il ne faut pas croire tout "Le Monde" (réservé aux abonnés d'Arrêt sur images) : de fait, il ne s'agit pas d'Orange, mais de QOSMOS, leader mondial (et français) de l'analyse des protocoles et de l'extraction des méta-données.
MAJ, avril 2015 : le soi-disant "« Big Brother » dissimulé au cœur du renseignement" n'est pas un "secret sur lequel la République a réussi, depuis 2007, à maintenir un silence absolu" : j'en avais parlé, en 2005; loin d'être un "big brother", ce pôle (et non plateforme) ne fait que décrypter les messages chiffrés interceptés par les services de renseignement; enfin, il est improbable qu'il soit "relié aux centres de stockage de tous les opérateurs installés en France", et donc qu'il serve à faire de la "surveillance de masse" des internautes français.

De la surveillance de masse à la paranoïa généralisée


Vous pouvez lancer la vidéo de la conférence et l'écouter comme une émission radio (vous pouvez aussi en retrouver les slides là), ou encore lire, plus bas, la version résumée que j'ai faite de la (longue) retranscription faite par APRIL.

Voir aussi la suite de cette conférence, donnée à Pas Sage en Seine 2015, où j'ai tenté d'expliqué pourquoi les termes du débat posés par le très décrié Projet de loi relatif au renseignement me semblent avoir bien mal été posés (et compris). La conférence commence à 2'20 (voir aussi les slides) :

Avant j'avais deux problèmes : c'était, faire comprendre aux gens ce que c’était que la société de surveillance, sans être traité de parano ; et ce n'était pas facile.

Avec les révélations Snowden, mon problème a un petit peu changé : c'est arriver à faire comprendre ce que c'est que la société de surveillance à des paranos. C'est-à-dire que le problème auquel je suis confronté c'est qu'avant, les gens comme moi, qui s’intéressaient à ces histoires-là, était facilement brocardées comme paranos. Le problème, aujourd'hui, c'est que tout le monde est devenu parano. C'est ce que je vais essayer de vous montrer et ce pourquoi ça me semble dangereux, ou problématique en tout cas, de passer de la société de la surveillance à la société de paranoïa.

Pour ceux qui ne me connaissent pas (cf ma fiche sur WikiPedia), ça fait une dizaine d'années que je travaille sur ces questions de technologies de surveillance, de protection des libertés, de vie privée, etc., aux sujets desquelles j'ai consacré des centaines d'articles (et d'interview), plus deux bouquins (La vie privée, un problème de vieux cons ?, et Au pays de Candy - enquête sur les marchands d'armes de surveillance numérique).

J'ai aussi bossé avec WikiLeaks sur les Spy Files, ces marchands d'armes de surveillance numérique qui se réunissent tous les trois mois un peu partout dans le monde dans un salon dont l'entrée est interdite aux journalistes, car réservée aux marchands d'armes et aux services de renseignement, aux flics et aux militaires, et plus particulièrement sur Amésys, cette PME française qui avait conçu un système de surveillance massive de l'Internet à la demande du beau-frère de Kadhafi (voir Barbouzeries au pays de Candy).

En 2007, j'étais journaliste au monde.fr, et il y a eu le scandale autour du fichier Edvige en France. C'était un fichier de renseignements qui autorisait les services de renseignement à ficher les mœurs sexuelles, les opinions philosophiques, politiques, des gens à partir de l’âge de treize ans. Il y a eu des manifestations dans la rue, des hommes politiques qui sont montés au créneau, qui ont protesté contre cette société de surveillance, en tout cas cette volonté de ficher les gens. Lemonde.fr m'a dit  « Écoute tes trucs, là, la surveillance, les fichiers policiers, etc, jusqu'à présent ça n'intéressait que les droit-de-l'hommiste, là visiblement ça commence à intéresser les gens, donc fais-nous un blog là-dessus ».

Et donc j'ai créé ''Bug Brother'', où j'ai essayé de suivre un petit peu l'actualité de ces technos et où, en même temps, je sais que jusqu'à l’année dernière il y a des gens, même y compris à la rédaction du Monde qui disaient  « Ouais mais Manach il est un peu parano quand même ». Ce à quoi, moi, ça fait des années je répondais  « Mais ce n'est pas moi le parano. Le parano ce sont des gens comme les clients d'Amésys qui veulent surveiller l'intégralité de leur population ».

Amésys c'est cette boîte française qui a développé un système de surveillance de l'Internet à la demande d'Abdallah Senoussi, qui était le beau-frère de Kadhafi, accessoirement un terroriste, recherché par la justice française. Les paranos, c’est la NSA qui veut surveiller tout, ou en tout cas être capables de tout surveiller.

Moi je ne suis pas parano : je suis journaliste, j'essaye de comprendre comment ça fonctionne. Le problème c'est que maintenant, je suis à peu près persuadé que si on fait un sondage dans la rue  « Est-ce que vous êtes espionné par la NSA ? », la majeure partie des gens vont dire oui. Ce qui est complètement faux : la NSA (entre autres services de renseignement) a autre chose à faire que d'"espionner" l'intégralité de la population... même si elle cherche, de fait et hélas, à surveiller toutes nos télécommunications.

Pour en revenir aux révélations Snowden, je pense que la façon dont a été révélée l'existence de PRISM, présenté comme un des systèmes les plus utilisés par la NSA a, paradoxalement, fait beaucoup de mal à la compréhension de comment fonctionne la NSA, et de comment fonctionnent les systèmes de surveillance, avec des slides qui montraient que, en fait, l'essentiel du trafic sur Internet passe par les États-Unis. Et donc c'est plus simple pour la NSA de surveiller ce qui passe par leur territoire. Et puis surtout, ça a eu énormément de succès, parce qu'on avait la date et les logos de Gmail, Facebook & Cie.

Prism_slide_2

Sauf qu'un des gros problèmes des révélations Snowden, c'est qu'il s'agit d'un gigantesque puzzle dont Glenn Greenwald ne nous en dévoilait que quelques pièces, par à-coups, et qu'il est très difficile d'arriver à comprendre ce que révèle un puzzle quand on en voit que quelques pièces.

En l'espèce, et pour ce qui est de PRISM, on a donc découvert depuis qu'il ne s'agissait pas d'un système donnant à la NSA un accès direct aux serveurs de Google, Facebook & Cie, lui permettant de faire ce qu'elle voulait des données de leurs abonnés, mais de l'acronyme utilisé par la NSA pour désigner le fait de demander au FBI d'aller demander à Google, Microsoft ou Facebook d'accéder aux données de certains de leurs abonnés...

Donc quand on a eu Google, Facebook, Microsoft qui disaient  « Mais nous on n'était pas au courant ! On n'était pas au courant qu'on travaillait comme ça avec la NSA ! », ben c'était vrai, ils n'étaient pas au courant parce qu'ils répondaient à des sollicitations du FBI, et qu'ils ne savaient pas que c'était in fine pour la NSA.

Google puis Microsoft ont demandé à la justice américaine d'avoir le droit de dire combien de personnes ont été concernées par l'utilisation de PRISM, et grosso modo, c'est entre 0 et 1000 demandes, concernant entre 2000 et 12 999 comptes chez Google, et moins de 16 999 comptes chez Microsoft, par semestre. Comparez 1 000 ces chiffres avec le nombre d'utilisateurs des services proposés par Google et Microsoft : ce n'est pas vraiment du "massif", au sens où la NSA espionnerait absolument tout le monde. Non, c'est de la surveillance ciblée.

EMBWlbpÇa fait quelques années que Google avait entamé ce qu'il appelle les ''transparency reports'', à savoir le fait de publier, régulièrement, le nombre de demandes d'accès à des données qu'ils ont reçues de la part de tels ou tels pays, et le nombre de demandes auxquelles Google a refusé de leur confier les données. Suite à ça, Twitter, Facebook, Microsoft ont eux aussi, suite aux révélations Snowden, commencé à publier leurs propres ''transparency reports'', et si on regarde la liste du nombre de total de requêtes qui ont été faites de 2009 à 2012, en France, on en est à moins de 40 000...

Sachant, bien évidemment, qu'il y en a certaines qui portent sur un seul et même individu, et sur le compte Facebook, Tweeter et Google de ce même individu. Donc ce n'est probablement pas 40 000 personnes, c'est probablement moins, en l'espace de trois, quatre ans. Ça c'est pour les demandes d'entraide judiciaire légales, qui passent par les circuits légaux.

Un autre truc qui m'a fait bizarre, quand Vodafone a sorti son « transparency report », assez impressionnant, où il révélait qu'il collaborait avec les autorités de 28 pays, dont certains bénéficiant d'un accès direct à leurs serveurs. J'avais vu sur Twitter des gens crier aux loup : « Regardez, la France est dans la liste des 28 pays, on est espionné par la NSA !!! ».

Or, quand on regarde dans le rapport, il y a eu trois demandes qui ont été faites concernant la France à Vodafone ! En comparaison ce sont des dizaines, voire des centaines de milliers, à Malte ou en Italie. C'est comme si les gens avaient une sorte de prescience  « Ah, ouais on est espionné, on veut être espionné ». Une sorte de fantasme, comme ça, qui fait que la NSA ça existe. Ce serait quand même injuste quelle ne m’espionne pas moi !

Ensuite on a eu le #Fail en Une du Monde sur la DGSE, avec ses « Révélations sur le Big Brother français » qui expliquaient que la DGSE intercepte et espionne l'intégralité des communications, mails, SMS, fax, comptes Twitter en France. Le scoop citait un des articles de mon blog, Frenchelon: la DGSE est en « 1ère division ».

Bernard Barbier, qui était le directeur technique de la DGSE jusqu'à il y a quelques mois, y révélait, entre autres choses, que la DGSE surveillait les réseaux grands publics et enregistrait tous les mots de passe pour, notamment, pouvoir identifier le gentil étudiant en chimie le jour, qui, le soir, devient un terroriste djihadiste, mais qui utilise le même mot de passe...

L'article du Monde mentionnait le mien, mais les journalistes ne m'avaient pas contacté pour me demander ce que je pensais de leurs "révélations". Et moi, le fait que la DGSE espionne absolument toutes les télécommunications en temps réel et en tous temps, en France, ça me semblait quand même un peu bizarre.

Donc j'ai creusé, j'ai interrogé un certain nombre d'acteurs qui sont au cœur des réseaux, et tous sont arrivés à la conclusion que si la DGSE est capable d'espionner ce qu'elle veut, par contre, elle n'est pas en mesure d'espionner absolument tout, en temps réel, ni de tout archiver ; non seulement elle n'a pas le droit de le faire, mais en plus ça se verrait.

Parce que vu l'architecture décentralisée des réseaux, en France, pour arriver à ce qu'on intercepte tout le trafic Internet il faudrait placer des boîtes noires sur tous les DSLAMs. Or, il y a beaucoup de DSLAMs, ça coûterait beaucoup d'argent et ça finirait forcément par se voir.

Ensuite on a eu le #fail concernant la NSA. Tout est parti d'un article du Spiegel cosigné par Laura Poitras, la journaliste qui travaille sur les révélations Snowden avec Greenwald, qui révélait que les services de renseignement allemands avaient partagé avec la NSA des dizaines de millions de méta-données qu'elle avait capté à l'étranger.

En guise de preuve, Laura Poitras publiait une capture d'écran de Boundless Informant, un des systèmes de visualisation de données utilisé par les analystes de la NSA, montrant combien de métadonnées Internet et téléphoniques avaient été collectées.

Problème. En octobre, Le Monde fait sa Une sur des « Révélations sur l’espionnage de la France par la NSA américaine », basées sur ce même type de capture d'écran, révélant que la NSA a espionné 70M de communications téléphoniques en France.

Peter Koop, un Hollandais dont le blog ''electrospaces'' est probablement un de ceux qui décrypte le plus et le mieux les documents Snowden, a remonté la piste et conclue qu'il ne s'agissait pas de conversations téléphoniques espionnées en France, mais bien de méta-données interceptées par les services français, à l'étranger, et partagées avec la NSA...

Finalement, une semaine après, Le Monde a reconnu, à mots couverts, qu'il ne s'agissait pas de communications téléphoniques espionnées par la NSA en France, mais bien des données espionnées à l'étranger par la DGSE et confiées à la NSA. mais le mal était fait, très peu de gens ayant entendu parler de cette mise à jour. Le problème c'est que ça laisse des traces sur la durée et que ça brouille l'écoute, si je puis me permettre.

Ensuite, il y au le #fail sur Orange et le GCHQ, qui est un peu l'équivalent de la NSA en Grande Bretagne, et qui serait d'après Snowden encore plus puissante que la NSA, non seulement parce qu'il y a plein de câbles de télécommunications sous-marins qui atterrissent en Grande Bretagne et que, apparemment, ils sont très forts dans l'interception massive de ces câbles-là, mais également parce que les lois, le cadre juridique réglementaire en Grande Bretagne fait qu'il est plus simple d'attenter à la vie privée, de faire des opérations d'espionnage que ça ne l'est aux États-Unis.

Donc Le Monde, toujours une Une, révélait « Comment Orange et les services secrets coopèrent ». Evoquant des "relations incestueuses" entre France Télécom et la DGSE, Le Monde avançait également que les services de renseignement français autorisaient également leurs homologues britanniques à accéder aux données des clients français d'Orange...

Les révélations du Monde se basaient sur un document Snowden mentionné dans un article du ''Gardian'' en octobre dernier, et qui révélait que la DGSE avait mis le GCHQ en contact avec une entreprise française de télécommunications, partenaire privilégié de la DGSE. Mais ce que je n'ai pas compris, c'est pourquoi l'article disait les services britanniques ont accès aux données des clients français d'Orange. Pourquoi ce serait les clients français ?

Je me mets à la place du GCHQ. Un des gros avantages d'Orange c'est qu'il contrôle 20 % des câbles de fibre optique dans le monde. 20 % c'est énorme ! Le GCHQ, un de ses gros boulots, c'est d'espionner les fibres optiques. Donc ce qui intéresse probablement le GCHQ, c'est probablement les câbles sous-marins. Ce qui intéresse également le GCHQ c'est probablement le fait qu'Orange a une centaine de filiales à l'étranger, dont un certain nombre dans des pays du Golfe, dans des pays africains où il y a la guerre, le Mali, le Niger.

Mais ça, le papier du Monde n’en parle pas. Il ne parle pas des 20 % de câbles de fibre optique, il ne parle pas des filiales à l'étranger. Il ne parle uniquement que des clients français d'Orange. Pourquoi ? Moi je suis journaliste, en termes de probabilités, ce qui intéresse le GCHQ c'est plus les câbles de fibre optique et puis le Mali que les communications téléphoniques à Romorantin.

Qu'est-ce qu'il en a à foutre des communications téléphoniques à Romorantin ou à Marseille, le GCHQ ? Pourquoi il ferait du massif en France ? Et pourquoi la DGSE autoriserait un service de renseignement étranger à faire du massif en France ? Nonobstant le fait qu'un bon nombre de ministères, dont celui de la Défense, qui est-ce qu'ils payent pour passer leurs appels téléphoniques ou pour utiliser Internet ? C'est Orange. Ce serait bizarre que la DGSE accepte qu'un service de renseignement étranger espionne des ministères français...

Je suis blogueur au Monde. Systématiquement, j'en ai référé à ma hiérarchie, qui n'a pas voulu rendre compte de mes factchecks sur le journal papier, me laissant les publier sur mon blog. En attendant, les lecteurs du Monde papier, eux, ne savent pas qu'ils ont été induits en erreur, pas plus que tous les médias qui ont repris, en France et à l'étranger, ces "révélations"...

En attendant, un autre truc que j'ai découvert en enquêtant sur ces histoires, c'est le programme National Insider Threat Task Force, créé pour identifier et neutraliser la "menace intérieure", et donc aussi les lanceurs d'alerte. Il faut savoir qu'il n'y a jamais eu autant de whistleblowers poursuivis par la justice américaine, et même incarcérés, que sous Obama. L'Espionage Act de 1914, avait été utilisé trois fois jusqu'à Obama. Depuis qu'Obama est là je crois qu'on en est à la sixième ou septième fois.

Il y a une véritable chasse aux sorcières qui a été lancée, et ce programme-là incite les fonctionnaires américains à surveiller leurs collègues, et si il y en a un qui commence à devenir un peu alcoolique, qui commence à devenir dépressif, qui vient de divorcer, qui va voir de la famille à l'étranger, qui arrive tard, qui a des problème d'argent, il faut impérativement le dénoncer tout de suite aux fonctionnaires de sécurité du ministère, parce qu'il pourrait devenir un whistleblower ou un espion.

J'ai ainsi trouvé des manuels de détection des espions sur les sites du ministère de l'Agriculture et de l’Éducation nationale, en mode « 101 moyens de reconnaître les espions ». Vous imaginez en France, des autorités qui demanderaient aux profs d'espionner leurs collègues et de rapporter tout comportement déviant à la hiérarchie, parce qu'il pourrait devenir un espion ?...

Pourquoi je vous parle de ça ? Parce que oui, on est vraiment passé à quelque chose de l'ordre de la paranoïa. L'administration américaine est passée en mode paranoïaque, depuis le 11 septembre 2001, depuis WikiLeaks aussi, ce qui pourrait aussi expliquer pourquoi ils ont décidé de tout surveiller.

Un autre truc que j'ai découvert, qui a été beaucoup moins médiatisé que les soixante-dix millions de communications téléphoniques soi-disant interceptées par la NSA, c'est la théorie des ''Three Hops'', qui constitue un très bon argument pour clouer le bec à tous ceux qui nous répondent, depuis des années  « Oui mais moi je n'ai rien à me reprocher, donc je n'ai rien à cacher ».

La NSA, quand elle s'intéresse à une cible, va ainsi s'intéresser également à tous les gens qui sont en contact avec elle, plus tous les gens qui sont en contact avec ceux qui sont en contact avec elle, etc, à trois niveaux. Ce qui fait que le frère du voisin de la femme du chauffeur d'Angela Merkel peut être espionné par la NSA, quand bien même il n'a strictement rien à se reprocher, rien à cacher et qu'il n'a aucun secret d’État.

Donc la question n'est pas de savoir si on a quelque chose à se reprocher ; la question c'est de savoir est-ce qu'on connaît quelqu'un qui connaît quelqu'un qui connaît quelqu'un ? Et comme on sait que sur Facebook, sur Twitter, on est tous à quatre niveaux de séparation des autres, entre quatre et cinq niveaux de séparation des autres, oui, virtuellement, les États-Unis se donnent le droit d'espionner un petit peu tout le monde. (voir Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis)

jcYgBLN

Par ailleurs, les États-Unis ont une technique pour arriver à savoir s'ils ont le droit ou pas de s'intéresser à tel internaute : la théorie des 51 % de probabilités. S'il y a 51 % de probabilités que vous soyez Américain, on ne s'intéresse pas à vous. Mais si 51 % de probabilités que vous soyez un étranger, ils s'octroient le droit d'analyser vos datas, parce que, quand un paquet d'informations transite sur IP, eh bien il n'y a pas sa nationalité dessus. Donc ils ont cette théorie des 51 %. Donc là ce que disait l'ACLU, c'est que si vous avez 40 contacts, virtuellement ça fait 2,5 millions de personnes qui peuvent être espionnées pour vous, pour vous surveiller vous.

Un autre truc qui me semble intéressant, quand même, avec cette histoire de paranoïa généralisée, c'est qu'en fait on n'a pas à être si paranoïaque que ça non plus. Greenwald, toutes les semaines, publie un nouveau document Snowden. Donc ça que veut dire que son ordinateur, l'endroit où les documents Snowden ont été stockés, n'ont pas été piratés par la CIA, la NSA, le GCHQ, le FSB, la DGSE, des méchants pirates, que sais-je...

Ça veut dire qu'il est tout à fait possible, même et y compris pour quelqu'un comme Greenwald qui ne comprenait rien à la sécurité informatique jusqu'à l'année dernière, d'arriver à sécuriser son ordinateur et d'arriver à sécuriser ses communications. C'est tout à fait possible ; il en est la preuve vivante.

Par ailleurs, la majeure partie des gens qui travaillent pour les services de renseignement sont des fonctionnaires à qui on demande de faire un boulot, et qui ne sont pas au courant de ce que font les autres. Les employés de la NSA ont probablement appris beaucoup plus sur la NSA grâce à Snowden qu'ils n'en savaient en étant à l'intérieur de la NSA. C'est le principe de cloisonnement dans les services de renseignement.

Il ne faut pas non plus forcément leur prêter de mauvaises intentions : la majeure partie des gens à la NSA, à la DGSE, leur cible c'est Al-Qaïda, c'est ce qui se passe en ce moment en Libye, c'est ce qui se passe en ce moment en Syrie, c'est ce qui se passe au Mali, c'est ce qui se passe au Niger, pas ce qui se passe à Romorantin, à Paris ou à Numa (là où j'avais fait ladite conférence -NDLR).

Il y a à près deux mille personnes à la direction technique à la DGSE, vu l'ampleur de la guerre au terrorisme, etc, il y en a combien d'après vous qui sont en train d'espionner les gens qui sont ici ? Est-ce que ça fait partie de leurs attributions ? Non. En plus la DGSE, sa mission c'est d’espionner à l'étranger : la DGSE est, comme son nom l'indique, un service de renseignement extérieur. C'est la DGSI, l'ancienne DCRI, en charge du contre-espionnage intérieur qui, effectivement, peut surveiller des gens en France.

Accessoirement, et c’est aussi un truc qui m'énerve, c'est l'expression "Big Brother" : j'en ai marre d'entendre "Big Brother être mis à toutes les sauces : un jour, c'est Google qui est "Big Brother", le lendemain c'est Facebook, le surlendemain les péages et les radars automobiles, la NSA ou l'assurance maladie... Stop.

A force de mettre "Big Brother" à toutes les sauces, l'expression ne veut plus rien dire, et ne permet plus du tout de comprendre ce pourquoi Google, Facebook, les radars automatiques ou la NSA peuvent poser problème -nonobstant le fait que les problèmes qu'ils posent n'ont généralement rien à voir.

Pour en revenir au sujet qui nous préoccupe, la NSA n'est pas une police de la pensée. Obama n'est pas Hitler, ni Staline. Il faut arrêter avec ce truc-là. Hitler, Staline sont des gens qui tuaient les dissidents. Si vous êtes un dissident aux États-Unis, vous n’êtes pas tué. Certes Laura Poitras vit en exil à Berlin, Jacob Appelbaum vit en exil à Berlin, il y a un certain nombre de personnes qui ont des soucis avec des autorités américaines, mais ce n'est pas comparable avec Big Brother qui était un dictateur.

Ce vers quoi on va c'est beaucoup plus Minority Report. À savoir un monde où il y aura tellement de machines interconnectées et de plus en plus de machines qui vont décider à la place d’êtres humains et où, à des moments, il y a des machines qui vont vous dire non. Et en fait Minority Report ça a déjà commencé. J'avais fait un papier là-dessus, sur ceux que l'on surnomme les « doigts brûlés » de Calais.

À Calais, 25 % des réfugiés se brûlent les doigts pour effacer les empreintes digitales, parce que si les flics les chopent et qu'ils passent leurs empreintes digitales au fichier des empreintes digitales, EuroDac, européen, ils vont être renvoyés en Italie ou en Grèce, là où ils ont été fichés. Or comme leur objectif c'est d'aller en Grande Bretagne, ils n'ont pas envie de se retaper le périple depuis la Grèce ou depuis l’Italie. Donc le seul moyen pour ne pas être renvoyés là-bas, c'est d'effacer leurs empreintes digitales.

Donc Minority Report ça a commencé, c'est maintenant, il y a déjà des gens qui se mutilent pour échapper à des systèmes de fichage utilisant des ordinateurs, sauf que, comme ce sont des réfugiés, sans papiers, à Calais, grosso modo la lie de l’humanité, personne n'en parle.

J'avais participé à une émission il n'y a pas très longtemps avec Alain Bauer, qui était le monsieur insécurité, le monsieur vidéo surveillance sous Nicolas Sarkozy, et non seulement il a reconnu que la quasi totalité des systèmes de vidéo surveillance en France ont été installés n’importe comment. C'était intéressant que ce soit monsieur Alain Bauer qui me dise ça. Et quand j'ai dit  « Mais de toutes façons le problème ce n'est pas Big Brother, c'est Minority Report », lui et le président de l'association des villes vidéosurveillées m'ont répondu que « c'est vrai, on va vers Minority Report »...

Pourquoi j'ai fait cette conférence-là sur la paranoïa ? Parce que je déplore le fait de voir de plus en plus de mes contemporains verser dans la paranoïa, alors qu'on n'a vraiment pas besoin de ça. Pour arriver à mesurer un problème il faut être conscient de ce problème et donc il faut être droit sur pattes, et savoir de quoi on parle, et ne pas raconter n’importe quoi. Le pire est à venir.

Là ce qu'on a vu avec Snowden c'est de la roupie de sansonnet par rapport à ce qui va se passer dans vingt ans. Parce que la NSA ne va pas s'arrêter là. La NSA a semble-t-il commencé à faire du massif sur les câbles sous-marins en 2007-2008, la NSA a commencé à s'attaquer à la crypto il y a quelques années seulement, ce sera quoi dans quinze ans, dans vingt ans ? Je n'en sais foutre rien. Ce que je sais c'est que ce sera très certainement pire que ce qu'on a aujourd'hui. Et donc si aujourd'hui on habitue les gens au fait qu'on vivrait dans "Big Brother", on va leur dire quoi dans cinq ans, dans vingt ans ?

En plus, ça intériorise complètement la menace, parce que "Big Brother" on ne peut rien faire contre lui ! La NSA, ils sont plus forts que toi ! Ces super Dupont, ils sont magiques, ils ont tous les pouvoirs, de toutes façons, ouais, je ne peux rien faire contre la NSA ! Ce n'est pas vrai ! Greenwald, c'était un noob, et il sait faire maintenant. Donc tout le monde peut le faire. Il faut juste s'en donner les moyens, et apprendre à se protéger.

Je voudrais finir en évoquant un texte que je n'ai pas encore eu le temps de finir, mais où j'essaie d'expliquer ce pourquoi la défense des libertés et de la vie privée est au 21ème siècle ce que l'écologie fut au 20ème, au sens où la vie privée en soi, on s'en fout, c'est juste un moyen. C'est comme Internet, on s'en fout, c'est juste un moyen.

Il n'y a pas de liberté d'expression, il n'y a pas de liberté de circulation, il n'y a pas de liberté d'opinion s'il n'y a pas de vie privée. Parce que si on se sent surveillé on va s’autocensurer, et donc ça va à l'encontre de ce qu'on entend par une démocratie digne de ce nom. Et donc c’est pour ça qu'il faut défendre les libertés et la vie privée, c'est parce que c'est la clef qui permet d’actionner les autres mécanismes. Et je vous remercie.

PS : la conférence datant de juin dernier, je n'y avais pas évoqué l'article relatif à "l'accès administratif aux données de connexion" par les services de renseignement prévu par la loi de programmation militaire, dont le décret d'application vient d'être publié. J'y reviendrai, à tête reposée. En attendant, vous pouvez d'ores et déjà vous faire peur avec l'article du Point, avoir des doutes avec celui de Kitetoa, et vous en faire une idée plus posée avec l'analyse de NextInpact.

NB : et si vous vous intéressez vraiment à ce que font la NSA et le GCHQ, je ne saurais que trop vous encourager à visiter nsa-observer.net, qui recense la quasi-totalité de leurs programmes et systèmes espions, voire à y contribuer : la prochaine session de travail aura lieu ce mercredi 7 janvier à 19h, via IRC.

PPS : et sinon, je ne saurais que trop vous conseiller de lire cet excellent article d'Amaelle Guiton qui revient sur cette paranoïa ambiante qui fait dire à certains que les outils de cryptographie auraient été "cassés par la NSA et le GCHQ et qu'on ne pourrait rien faire pour s'en protéger :

"Laisser penser que la cryptographie « grand public » — celle que des centaines de millions d’internautes utilisent sans s’en rendre compte — est bonne à jeter revient à expliquer à un candidat à une promenade dans la savane qu’il ferait aussi bien d’y aller tout nu et à pied, sous prétexte que ni son pantalon ni sa méhari ne résisteront à un rhinocéros furieux".

Voir aussi la retranscription intégrale de ladite conférence et, sur ce blog :
Une station espion de la NSA, en plein Paris
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


Une station espion de la NSA, en plein Paris

Fri, 12 Dec 2014 14:52:07 +0000 - (source)

1412ObsChineLa semaine passée, L'Obs révélait, en "une", que la Chine espionnait la France grâce à une station d'écoute installée sur le toit d'une annexe de l'ambassade de Chine à Chevilly Larue, en banlieue parisienne.

De fait, le "scoop" de Vincent Jauvert, intitulé "Comment la Chine espionne le monde depuis la banlieue parisienne", explique que les antennes pointent vers des satellites permettant des communications entre l'Europe, l'Afrique et le Moyen-Orient, et qu'ils ne ciblent donc pas particulièrement les Français.

Hier, j'en faisais ma chronique pour L'Autre JT, la nouvelle émission hebdo de France4, expliquant que, si les Chinois n'espionnent probablement pas particulièrement les Français, la NSA a, de son côté, installé une station d'écoute sur le toit de l'ambassade des USA, place de la Concorde, à quelques mètres de l'Elysée.

Passée jusque là inaperçue, l'information avait été révélée par le blogueur (et twittos) Zone d'intérêt, puis confirmée par le journaliste Antoine Lefébure (auteur d'un excellent essai sur l'affaire Snowden), avec qui j'avais été, sur place, en compagnie de Duncan Campbell, le journaliste britannique qui avait, le premier, révélé l'existence du système anglo-saxon Echelon de surveillance des télécommunications.

amb-usa

Et on avait bien rigolé en découvrant que les fenêtres avec volets fermées que l'on peut voir sur la photo ont en fait été peintes : ce sont des fausses, à la façon des villages Potemkine, ces trompe-l'oeil créés afin de masquer la pauvreté des villages lors de la visite de l'impératrice Catherine II en Crimée en 1787...

Dans son article (passionnant : Les grandes oreilles américaines à Paris) Zone d'Intérêt explique que cette station a vraisemblablement été installée entre 2004 et 2005, et que ce type de centres d'écoute (Special Collection Service -SCS), opérées conjointement par la CIA et la NSA, est en mesure d'intercepter les signaux dans les gammes de fréquences correspondant à la téléphonie mobile, aux transmissions HF et aux communications satellite, d'assurer la géolocalisation des terminaux, et de recourir à des IMSI catchers pour simuler de fausses antennes-relais et intercepter des communications.

Il souligne également que cette station espion est opportunément située "à seulement 350m du palais de l'Elysée, 450m du Ministère de l'Intérieur, 600m du Ministère de la Justice, 700m du Ministère des Affaires Etrangères et de l'Assemblée Nationale, et 950m du Ministère de la Défense (et qu')on trouve également dans un rayon d'un kilomètre plusieurs ambassades et des entreprises stratégiques...

A noter que la pratique n'a rien de très exceptionnel : on trouve ce type de stations d'écoute sur le toit de nombreuses autres ambassades dans le monde entier (Duncan Campbell en a répertorié plusieurs), et que les Etats-Unis ne sont pas les seuls à le faire, Vincent Jauvert évoquant ainsi les pratiques des services de renseignement israélien et russes en la matière.

Ca a eu l'air d'intéresser l'équipe du Zapping de Canal +, qui a repris l'information, en deux temps :

Le Zapping - 12/12/14

Voir aussi :
La NSA n’espionne pas tant la France que ça
« Sur Internet, on est tous pirates, et ça c’est bien »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


Surveillance: pourquoi je suis assez optimiste (à moyen terme en tout cas)

Wed, 26 Nov 2014 15:47:35 +0000 - (source)

risquesDans le prolongement de l’affaire Snowden, la revue Risques de la Fédération française des sociétés d'assurance m'a invité, le 24 juin dernier, à participer à une table ronde réunissant également Philippe Aigrain (@balaitous sur Twitter), co-fondateur de La Quadrature du Net, chercheur et essayiste, Antoine Lefébure (@segalen), auteur de L'affaire Snowden (Ed. La Découverte), Pierre-Olivier Sur, bâtonnier de Paris et Thierry van Santen, directeur général d’Allianz Global Corporate & Specialty SE France.

Le débat était animé par Jean-Hervé Lorenzi, directeur de la rédaction de Risques, qui m'a autorisé à republier cet entretien.

POUR UNE PROTECTION DES LIBERTÉS INDIVIDUELLES ET DES DONNÉES PERSONNELLES

Risques : Tout d’abord, pouvons-nous préciser les enjeux de ce débat, à la fois sur un plan juridique (la protection de l’individu) et un plan technologique ; et enfin, comment peut-on se protéger ?

Pierre-Olivier Sur : Nous sommes aujourd’hui dans un schéma particulier. Face à un double effondrement, celui du Parlement et celui de l’exécutif. Nous avons un pouvoir judiciaire qui représente, avec tous les moyens technologiques existants, un risque, une menace de terreur. C’est-à-dire que, quand tout s’est effondré, il ne reste que le judiciaire. Et le judiciaire en ce moment terrorise, avec des véhicules qui sont les écoutes téléphoniques judiciaires mais aussi les interceptions pirates, et puis les perquisitions tous azimuts, sans contrôle. Nous espérons qu’une loi interviendra bientôt pour réguler tout cela.

Par exemple, d’une bagarre entre deux associés, qui aurait dû se régler au sein de la profession, on arrive à des perquisitions (huit perquisitions de cabinets d’avocats dans la même journée) et des saisies de documents relatives à d’autres affaires. C’est la manifestation de ce qu’on appelle des enquêtes « à filets dérivants ». On arrive ainsi à l’affaire de la campagne présidentielle et du prétendu financement libyen... C’est-à-dire qu’on entre dans le secret d’un cabinet d’avocat pour rechercher une chose précise, et qu’on se sert de cette perquisition pour trouver des éléments qui concernent une affaire d’État qui n’a aucun lien avec l’affaire en cours. Ce sont des procédés qui sont absolument impossibles à accepter dans une société comme la France.

Philippe Aigrain : Je commencerai d’abord par évacuer l’idée que ce serait principalement le numérique lui-même et ses usages qui créeraient des dangers massifs pour la vie privée. Le numérique est une mutation anthropologique considérable qui change ce qu’est penser et interagir avec les autres. Cela nous place face à des défis et on peut attendre des politiques publiques qu’elles n’aggravent pas la difficulté à faire face à ces défis en nous privant des moyens de construire la maîtrise nécessaire. Et là, on a deux autres types de risques : l’ « invocation sécuritaire » et la « société de défiance ». L’invocation sécuritaire, c’est comme l’écrit Mireille Delmas-Marty dans Libertés et sûreté dans un monde dangereux, un concept de sûreté qui serait une promesse infinie de sécurité, le risque zéro dans la sécurité. C’est une promesse non tenable mais qui nous jette dans une trajectoire dangereuse. Et la société de défiance, c’est celle qui fait de chacun de nous un suspect jusqu’à ce qu’il soit prouvé que nous n’avons rien à nous reprocher. Pourquoi ces deux phénomènes se sont-ils développés ?

Il y a une double racine. Une racine historique, qui est celle de l’effondrement de l’affrontement des blocs après 1989. Et une racine qui est la dérive oligarchique ou post-démocratique de nos sociétés. J’insisterai sur un point, c’est qu’il n’y a pas que Septembre 2001. La surveillance diffuse, la promotion des outils techniques de la surveillance diffuse, sont arrivées dans la seconde moitié des années 1990. Septembre 2001 a levé les inhibitions, mais n’a pas été à la source du développement de l’invocation sécuritaire et de la société de défiance.

Un autre phénomène, plus récent, a accentué les risques considérablement. Dans la seconde moitié des années 1990, il y eut la révélation du système Echelon. Les services des « 5 eyes » anglo-saxons espionnent le trafic sur Internet et dans les réseaux non Internet, parce que c’est là alors qu’on peut tout capturer, à la sortie de certains câbles transocéaniques, dans des communications par satellites, etc. Lorsqu’en 2008 (et peut-être avant aussi) on met en place des programmes comme Prism, la NSA et d’autres services tirent les conséquences du fait que l’information non contextualisée, celle qui est simplement des flux d’information, est extrêmement difficile à analyser. Ils ont besoin, pour espérer comprendre quelque chose, d’avoir accès à des métadonnées contextuelles. C’est-à-dire, par exemple, pas seulement votre e-mail mais toute votre liste de contacts ; pas seulement les tweets que vous émettez mais tous vos suiveurs. Et pourquoi, à ce moment-là, peuvent-ils le faire ? Parce qu’entre 2004 et 2008 se passe une gigantesque contre-révolution informatique, qui est celle de la recentralisation des services sur le Web. De très nombreux services, qui étaient « départementalisés », c’est-à-dire distribués en partie dans des petits ensembles, ou franchement distribués, c’est-à-dire distribués au niveau des individus eux-mêmes, vont devenir des services centralisés chez quelques gros intermédiateurs.

Mais ces deux phénomènes clés – l’invocation sécuritaire et la société de défiance, et la centralisation des intermédiaires – sont à mon avis une source des risques, mais montrent également qu'il existe une possibilité de tenter de les domestiquer. Je suis membre de la commission parlementaire sur le numérique qui vient d’être mise en place à l’Assemblée nationale. Le pouvoir du Parlement est fragilisé, mais c’est un geste pour se saisir de ces questions, et j’essaie d’y contribuer.

Jean-Marc Manach : Je suis d’accord avec l’analyse qui vient d’être faite. Au moment de l’affaire Snowden, Prism a été mal présenté et la quasi-totalité des gens l’ont considéré comme un système de surveillance massive de l’Internet mis en place par la NSA. En fait, Prism est un mécanisme mis en place pour que la NSA utilise le mécanisme Fisa (pour "Foreign Intelligence Surveillance Act", qui décrit les procédures des surveillances physique et électronique, ainsi que la collecte d'information sur des puissances étrangères soit directement, soit par l'échange d'informations avec d'autres puissances étrangère) pour demander au FBI de demander à Google. Donc Google, Facebook, Microsoft, etc. ne connaissaient pas Prism, ne savaient pas qu’ils répondaient à une demande de la NSA, ils répondaient à une demande du FBI.

L’affaire Snowden a mis au jour la notion de construction parallèle. On a découvert que la NSA travaillait en tant que prestataire, notamment pour la DEA (Drug Enforcement Administration). Ils ont mis l’intégralité des Bahamas sur écoute pour lutter contre le trafic de drogue. Quand ils trouvent une information qui peut intéresser la DEA, ils la communiquent à la DEA qui, sachant que les trafiquants de drogue sont à tel endroit, tel jour, comme par hasard fait un contrôle routier cePour une protection des libertés individuelles et des données personnelles jour-là. En fait, il ne faut surtout pas qu’apparaisse dans la procédure judiciaire le fait que c’est la NSA qui a intercepté de façon plus ou moins illégale les données, et qui a donné les informations à la DEA, parce que sinon cela risque d’être cassé en justice.

Un autre signal faible dans les documents Snowden, c’est la notion de three hops. Jusqu’aux révélations Snowden, la majeure partie de l’opinion publique pensait : « je n’ai rien à me reprocher, donc je n’ai rien à craindre, je n’intéresse pas les services de renseignement ». Sauf que la notion de three hops, c’est trois sauts. Si on a une cible, on va s’intéresser à tous ceux qui sont en contact avec cette personne. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec cette personne-là. Plus tous les gens qui sont en contact avec les gens qui sont en contact avec les gens qui sont en contact avec cette personne. Ce qui fait que la belle-sœur du garde du corps de François Hollande peut faire l’objet d’une interception de la NSA (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).

Un ancien responsable de la NSA a dit : « Les métadonnées tuent ». Un exemple concret : des terroristes ou des djihadistes supposés ont été tués par ses drones au Yémen notamment. Ceux qui se savent traqués par la machine militaro-industrielle américaine n’utilisent pas leur téléphone portable. Mais ils ne peuvent pas empêcher leur femme d’envoyer un e-mail à leurs amies ou à leurs sœurs. Et grâce à l’e-mail envoyé par la femme de quelqu’un qui était sur la kill list d’Obama, ils ont réussi à localiser la maison où il était parce qu’ils ont intercepté un mail qu’elle a envoyé à sa sœur. Je ne sais pas si cette femme est morte dans le bombardement, mais voilà. La question n’est plus de savoir si on a quelque chose à se reprocher mais de savoir si on connaît quelqu’un qui connaît quelqu’un qui pourrait éventuellement intéresser un service de renseignement.

Le chercheur en sécurité informatique britannique Ross Anderson a développé une théorie très intéressante sur l’économie de la surveillance. En fait, la NSA a mis en place une super place de marché, où des services de renseignement de différents pays viennent échanger des métadonnées. Par exemple, la DGSE vient échanger des métadonnées interceptées au Mali, au Niger ou en Afghanistan ; en échange, la NSA lui refile des métadonnées interceptées dans d'autres pays où elle n'est pas aussi présente. Et tout le monde va faire du troc de métadonnées avec la NSA, même les Indiens, pourtant plus proches de Moscou que de Washington. On a vu notamment un cas où les Américains ont financé et contribué à développer les puissances d’interception des télécommunications des Australiens, et où les Australiens s’en sont servi pour espionner un cabinet d’avocats américain qui défendait l’Indonésie dans le cadre d’un conflit commercial entre l’Australie et l’Indonésie. Et la NSA a laissé faire. Alors que la NSA a deux missions : la première, c’est sécuriser les communications des Américains ; la deuxième, c’est intercepter les télécommunications des ennemis des États-Unis. On voit ainsi que ce qui prime c’est la surveillance.

Philippe Aigrain : D’un point de vue technique, ce sont des machines qui écoutent, ou des hommes et des femmes ?

Jean-Marc Manach : Il y a différents moyens. Prism, c’est une requête judiciaire, et ensuite on demande les noms, les carnets d’adresses, éventuellement le contenu des communications, qui sont remontés au FBI, puis à la NSA, qui va faire un traitement manuel. Dans le cas de Tempora, qui est le programme d’interception massive des communications sur les câbles sous-marins en Grande-Bretagne, ils essaient d’intercepter absolument tout. Ensuite, ils stockent pendant trois jours, ils font tourner les machines pendant trois jours avec des filtres pour arriver à sélectionner les informations qui pourraient les intéresser à partir des mots clés, des adresses e-mails ou des adresses IP qu’ils recherchent. Ensuite, ils transmettent les résultats de ces filtres à des opérateurs humains, qui utilisent différents logiciels pour effectuer leur travail d'analyse, et peuvent aussi utiliser Xkeyscore, une sorte de moteur de recherche qui collecte quasi systématiquement les activités des internautes grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.

Il faut imaginer que ce que fait la NSA, c’est un peu ce que fait Google. Sauf que Google archive le Web, Tempora et Xkeyscore (entre autres) essaient d'archiver tout ce qui passe dans les câbles sous-marins, les satellites et Internet. Ensuite, les opérateurs du GCHQ (Government Communications Headquarters, l'équivalent – et partenaire historique – britannique de la NSA) ou de la NSA disent : envoyez-moi tous les mails qui ont été envoyés par telle ou telle personne ; donnez-moi toutes les communications téléphoniques par telle ou telle personne ; tous les gens qui, ce jour-là, à 16 heures, étaient dans cette zone-là ou ont visité tel ou tel site, ou chercher tel ou tel mot clé.

On voit aussi de plus en plus ce qu’on appelle des IMSI catchers (système permettant de localiser un téléphone mobile dans un périmètre restreint autour de celui-ci) – c’est une vraie-fausse borne de téléphonie mobile qui permet de capter tous les numéros de téléphone dans un endroit donné. Quand j'ai travaillé avec Wikileaks sur les Spy Files (une enquête sur les marchands d’armes de surveillance numérique), le responsable de l’ISS (Intelligence Support Systems for lawful interception, electronic surveillance and cyber intelligence gathering, le plus gros salon de marchands d’armes de surveillance numérique) expliquait qu’entre 2001 et aujourd’hui, ce marché était passé de 0 à 5 milliards de dollars par an.

Antoine Lefébure : Un an après l’affaire Snowden, le premier bilan qu’on peut tirer c’est, a contrario de ce qui se dit en France, une véritable sensibilité de l’opinion publique sur ce sujet dans les pays où le travail d’information a été fait. C’est-à-dire que, par exemple au Brésil ou en Allemagne, où différents médias ont fait des enquêtes de fond, où les documents Snowden ont été publiés, commentés, etc., on voit une vraie inquiétude de l’opinion publique sur le sujet. Finalement, en France, les deux seules personnes qui ont fait un travail d’information sont Jean-Marc Manach et Philippe Aigrain, et son association La Quadrature du Net.

Les médias français ont été bien peu nombreux à suivre le sujet – il n’y a pas plus de 10 % des documents Snowden dans le Guardian, le Washington Post, qui ont été traduits en français. Si vous ne lisez pas l’anglais, vous ne savez pas ce qu’il y a dans les documents Snowden, ce qui est invraisemblable. Et, à partir de là, est née une légende : l’opinion publique ne s’intéresse pas à la thématique des libertés individuelles. Ce qui est faux. C’est vrai qu’en lisant la presse quotidienne française et en regardant la télévision, vous n’avez aucune raison de vous préoccuper du sujet. Ce que vous dites aussi sur les perquisitions dans les cabinets d’avocats, etc., je ne le lis pas dans le journal ou très peu. Il n’y a pas de détail, alors que c’est pourtant quelque chose d’important. Une amie (journaliste) dit que le mauvais journalisme est une exception culturelle française.

La deuxième chose, encore plus inquiétante, face à cette atonie des médias, c’est l’extraordinaire autonomie de ce système militaro-industriel, qui avait été dénoncé à l’époque par Eisenhower, et qui s’est reconverti et développé dans le domaine de la surveillance, et qu’aucun chef de gouvernement, d’Obama à Merkel, ne peut contraindre. On se rend compte qu’il y a la sphère démocratique, qui est en très mauvais état en raison de la manière dont l’opinion publique est traitée et prise en compte ; il y a l’espace public, qui est loin de la réalité du monde tel qu’il fonctionne ; et puis il y a une chose qui, elle, marche très bien, c’est cette espèce d’internationale des services de renseignement, des élites industrielles et politiques, qui s’entendent extrêmement bien entre eux.

On a découvert très récemment, notamment dans un certain nombre de documents Snowden, que la NSA, en 1983, après un effort (10 milliards de dollars, 30 000 personnes) a dit : on n’arrive pas à faire cette surveillance universelle. Donc on va monter un système, un partenariat, ce qu’on appelle le Third Party Countries, avec trente-cinq pays, y compris l’Inde, donc des pays qui ne sont pas toujours alliés des États-Unis. Et on va leur donner des technologies en échange de quoi on va leur demander des capacités d’écoute régionales – par exemple l’Inde qui écoute la Chine – et des capacités de traduction. Parce qu’un des problèmes de la NSA, c’est la traduction, et en Inde il n’y a pas de problème de traducteur en chinois. Et ils ont monté une espèce de Facebook des services de renseignement. Contrairement à Facebook, il y a un chef qui distribue les informations et les technologies et dirige les échanges réciproques, centralisant pour lui-même l’ensemble des résultats.

Ainsi, les services de renseignement de la France, de l’Italie, de l’Inde, etc. à coût égal ont vu leurs performances multipliées par trois. Pour le plus grand bonheur des dirigeants politiques de ces pays qui, sans bien savoir comment, commencent à avoir des informations très consistantes grâce à l’utilisation des logiciels de la NSA. Cette situation explique que rien ne change sauf du côté des associations, des citoyens, des ingénieurs qui réfléchissent à des moyens techniques pour contrer la surveillance généralisée.

Thierry van Santen : Un mot de synthèse. Tout ce que l’on explique aujourd’hui, est une actualisation contemporaine d’actions qui existaient déjà chez Fouché au cours du Premier Empire, et qui se sont développées de tout temps au niveau des services secrets : échanges entre services, enquêtes de proximité où on faisait déjà les three hops (les enquêtes d’entourage). Aujourd’hui, les outils donnent une force de frappe qui est plus sophistiquée, plus complexe, et probablement moins maîtrisée et maîtrisable, aussi bien par les utilisateurs que par les « victimes ».

Le véritable problème est double : c’est d’une part la gouvernance, tant du politique que du judiciaire, qui ont la tentation, comme les services de renseignement, d’utiliser de nouvelles techniques pour pouvoir atteindre leurs objectifs ; et d’autre part, celle des systèmes et de la régulation des systèmes, parce qu’ils sont interconnectés mondialement. Ceci explique très largement l’absence de réaction des gouverne ments à la déclaration d’Obama. Tout simplement parce qu’on est dans un grand jeu interconnecté.

Par contre, j’ai d’autres inquiétudes qui vont au-delà : c’est la privatisation des systèmes combinée à une évolution technologique sans précédent. Je suis atterré par les projets de Google de pouvoir faire une mémoire virtuelle d’un individu qui permettrait d’accéder à l’immortalité, et a contrario du risque de pouvoir contrôler cette mémoire virtuelle. On arrive là à des limites qui m’intéressent presque plus que l’espionnite, qui a toujours existé sous des aspects beaucoup plus artisanaux (l’ouverture du courrier était pratiquée dans tous les régimes). Aujourd’hui, nous voyons des développements dans les mains de firmes privées, avec des projets impactant la vie quotidienne des individus qui sont totalement incontrôlables. On va bientôt avoir la voiture sans chauffeur. Imaginons simplement que demain il y ait 100 000 voitures qui roulent sans chauffeur. Cela peut être positif ; mais a contrario, cela veut dire aussi que je peux virtuellement infiltrer ces voitures et créer un gigantesque crash.

Risques : Vous travaillez pour une grande société de gestion et de protection du risque. Quelle est la nature de la réflexion que les assureurs peuvent avoir sur ce type de sujet ?

Thierry van Santen : Il y a deux axes complètement différents. Le premier axe, c’est comment nous proté- geons les données dans un cadre de compliance, notamment en matière de données médicales. On a créé des procédures, des pare-feu pour éviter le vol de ces données. L’autre aspect, c’est le cybercrime, puisque aujourd’hui le piratage est un véritable problème, avec la quantification matérielle et immatérielle d’un piratage. Mais là aussi il convient de faire une distinction. On l’a vu récemment à plusieurs occasions : un vol de données massif n’a pas toujours un impact dramatique. En revanche, en matière de cybercrime nous voyons aussi apparaître des sabotages ou des potentialités de sabotage. La complexité des systèmes ouvre la voie à toutes sortes de scénarios : sabotages d’appareils de production, d’organisation logistique, etc. On entre là dans des problématiques de cybersécurité compliquées. Donc, pour résumer, nos deux grandes priorités sont de protéger nos données et de travailler sur le cybercrime, tant en prévention qu’en offre de produit de couverture d’assurance pour nos grands clients.

Risques : Je vais faire une remarque et poser trois questions. Quand vous regardez la financiarisation, aujourd’hui il y a dix fois plus de produits dérivés que le PIB mondial. Il ne s’est rien passé depuis la « toute petite affaire » des subprimes. Personne ne prendra plus jamais le contrôle de la finance mondiale qui est une industrie en tant que telle. Sur ce plan-là, il y a une petite comparaison avec les sujets que vous évoquez. Ma première question : est-ce que la technologie peut être maîtrisée, puisque c’est elle qui est à l’origine ? Deuxième question : Il y a cinquante ans, IBM et Xerox tenaient le marché de l’informatique. Aujourd’hui, cinq acteurs semblent décider du sort du monde. La structure même de l’organisation économique mondiale n’est-elle pas indépassable, avec ce contrôle délirant du monde par quatre ou cinq entreprises ? Troisième question : l’idée qu’il y ait plusieurs couches de structures qui mettent en péril la démocratie. Quels sont les contre-pouvoirs ?

Pierre-Olivier Sur : J’ai parlé des perquisitions. Elles sont nourries par les écoutes téléphoniques et les interceptions de toutes natures. Tout cela forme un bloc qui fracture le secret professionnel des avocats et donc la vie privée de tous. Peut-on y mettre des limites ? Techniquement, ce n’est pas à moi de répondre. Institutionnellement, j’ai essayé de dénoncer ces abus à de multiples reprises mais il semble ne pas y avoir de prise de conscience des citoyens. Nous sommes dans une société soumise au diktat de la transparence. C’est terrible. Bien sûr, si un avocat participe au crime, il n’est pas au-dessus de la loi, il faut qu’il soit poursuivi et condamné pour ce que j’appelle un acte détachable. Mais quand on est avant l’acte détachable, il n’est pas question qu’on puisse accepter qu’un avocat soit écouté ou perquisitionné, car c’est le secret de nos clients qui est en danger. Le problème est philosophique et sociétal. La fin ne peut pas justifier les moyens.

Philippe Aigrain : Le concept de transparence a été la réponse anglo-saxonne à la dénonciation de la post-démocratie. Il y a une différence entre Transparency International et Anticor, une organisation qui est plus active chez nous. Une des raisons pour lesquelles le mot « transparence » est partout en ce moment, c’est que la transparence est un concept plus flou que le droit à l’information – qui est dans la Déclaration des droits de l’homme.

Maintenant, peut-on maîtriser les technologies ? Si on pose le problème comme ça, la réponse sera non. Parce que les technologies, on les fait. Le numérique, c’est un objet politique depuis le début. Internet est né d’une bagarre politique d’une petite minorité qui s’opposait aux opérateurs de télécommunications dans le contexte américain, parce qu’ils trouvaient que ces opérateurs voulaient contrôler ce que les gens faisaient avec les réseaux ; alors qu’eux avaient une vision où ce sont les gens – en l’occurrence les scientifiques à l’époque – qui devaient avoir la capacité de contrôler les usages. Le problème, c’est que les instruments de l’orientation du développement des technologies supposeraient, si on voulait que les politiques publiques et pas seulement des acteurs associatifs comme nous y jouent un rôle, une acceptation du politique de gérer deux choses auxquelles il refuse absolument de s’attaquer : les modèles commerciaux et les architectures des technologies. Toutes les évolutions fondamentales des technologies reposent sur des architectures, des protocoles. Or, à l’heure actuelle, que fait le politique ? Quand il crée la plateforme nationale des interceptions judiciaires, il crée une usine à gaz pensée pour protéger la légalité des procédures, mais il fait un partenariat public-privé avec Thalès et il centralise toutes les données correspondantes dans un silo souterrain.

Tant qu’on reste dans ces approches-là de l’orientation des technologies, les politiques publiques ne joueront pas leur rôle de maîtrise. Et qui jouera le rôle de maîtrise ? Ce sont les gens qui se réunissent au sein de Tor, Tails (“The Amnesic Incognito Live System”, est un système d’exploitation spécialement conçu pour préserver la vie privée et l'anonymat de ceux qui l'utilisent), qui font les outils de base avec lesquels on peut continuer à faire un travail ou simplement à s'exprimer en n’étant pas soi-même l’objet de la surveillance. A l’heure actuelle, il y a une grande inertie qui s’est accumulée dans les trajectoires technologiques sur deux points : la centralisation, mais aussi le fait que le modèle dominant est un modèle catastrophique économiquement et très difficile à modifier, c’est-à-dire celui de la monétisation de l’audience, qui a été historiquement le modèle de la télévision, et la télévision n’en est jamais sortie.

Dans la commission parlementaire sur le numérique, il y a le président de l’association française pour la monétisation de l’audience. À partir du moment où de grands acteurs capturent une petite somme macro-économique mais très concentrée, on crée des groupes d’influence puissants qui travaillent pour un intérêt très particulier. Donc je suis pessimiste sur le rôle des politiques publiques mais je reste raisonnablement optimiste sur les capacités de réaction sociétale. J’ai été impressionné par le fait que, parmi les communautés qui ont réagi aux révélations de Snowden avec le plus de compréhension réelle des enjeux, il y a les écrivains – partout sauf en France à quelques exceptions près.

Jean-Marc Manach : Pour préciser, Tor et Tails – deux logiciels qui permettent de sécuriser les communications – sont utilisés par Snowden et par Greenwald. Ils sont très intéressants, parce que Tor et Tails font que l’ordinateur de Greenwald n’a pas été piraté. Cela fait plus d’un an que ni la CIA, ni la NSA, n’ont pu détruire les fichiers de Snowden. Cela montre que si on veut protéger ses données, c’est possible. Et Greenwald, ce n’est pas un hacker, ce n’est pas un informaticien, il n'y connaissait rien, et puis il a appris, donc tout le monde peut apprendre. Et j’en viens à une hypothèse que j’ai formulée il y a quelques années, celle du « quart d’heure d’anonymat », au sens où Warhol avait prédit que tout le monde aurait son quart d’heure de célébrité. La téléréalité et Internet permettent à des anonymes de devenir célèbres (voir Tout le monde a droit à son 1/4h d’anonymat).

Aujourd’hui, le problème, que ce soit par rapport à Google, Facebook, la NSA, etc., c’est d’arriver à avoir son quart d’heure d’anonymat. Si j’ai besoin de confier quelque chose de confidentiel à quelqu’un, jamais je ne le fais par téléphone, jamais je ne le fais par e-mail en clair. Tout simplement parce que cela laisse des traces. Si j’ai besoin d’une communication confidentielle, je m’en donne les moyens techniques, mais c’est à moi de le décider. Là où je suis assez optimiste sur le moyen terme, c’est que, grâce aux révélations de Snowden, il n’y a jamais eu autant de gens qui développent des logiciels, des systèmes pour arriver à avoir ces quarts d’heure d’anonymat, pour arriver à sécuriser leurs données.

En France c’était catastrophique, jusqu’à il y a quelques années le simple mot « hacker » c’était un pirate informatique. Alors que non, ce sont les Snowden, ce sont les hackers qui font Tails, Tor, qui font qu’on peut se protéger et lutter contre la cybercriminalité. Bruce Schneier, un des professionnels de la sécurité les plus respectés et écoutés dans le monde, explique que l’objectif aujourd’hui, c’est de rendre la surveillance généralisée tellement chère que ça ne servira à rien. Et énormément de gens y contribuent. Je suis donc assez optimiste, à moyen terme.

Par contre, le problème c’est qu’il faut arrêter avec la notion de « Big Brother ». J’ai écrit un livre qui s’appelle La vie privée, un problème de vieux cons ?, où j’essayais d’expliquer que les petits cons d’aujourd’hui, les jeunes, bien sûr qu’ils veulent protéger leur vie privée, ils ne sont pas exhibitionnistes, mais ils mènent une vie publique. Ce qui n’empêche pas d’avoir une vie privée. Mais, par défaut, la vie est publique quand on est sur des espaces publics sur Internet. Donc ce n’est pas Big Brother, c’est plutôt Big Mother : la NSA vous surveille pour votre bien. Mais c’est surtout Minority Report.

Et là j’en viens aux voitures sans chauffeur, etc. Ce vers quoi on s’achemine, c’est une multiplication des Big Mother. Google nous surveille, c’est pour notre bien, la NSA aussi. Et, à terme, on va être de plus en plus confrontés à des systèmes informatiques distribués qui vont décider à notre place si on a le droit de faire quelque chose ou pas. On a aujourd’hui un quart des deman- deurs d’asile à Calais qui se brûlent les doigts pour effacer leurs empreintes digitales, pour ne pas être renvoyés en Grèce ou en Italie, là où on les a pris. Minority Report, c’est maintenant (voir Calais: des réfugiés aux doigts brûlés). Demain, ce sera les chômeurs, après-demain les étrangers, etc. On voit aujourd’hui des gens qui sont arrêtés, qui doivent démontrer leur innocence, c’est exactement comme au Procès de Kafka (voir Le vrai danger, ce n’est pas Orwell, c’est Kafka).

L’objectif, à terme, c’est de faire de telle sorte que ce soit l’être humain qui reste au contrôle, qu’on contrôle les machines. Sinon ce sont elles qui vont nous contrôler. D’où aussi la référence aux logiciels libres, qu’il faut promouvoir ; il faut promouvoir la transparence du code, qu’on puisse vérifier ce qu’il y a à l’intérieur. La transparence ne me fait pas peur parce qu’elle rend confiant. Le principe de Kerckhoffs, qui était un ingénieur français au XIXe siècle, dit que pour avoir confiance dans un système de sécurité, il faut qu’on puisse connaître les mécanismes, les plans de son dispositif de sécurité, afin de vérifier qu’il n’y a pas de porte dérobée, qu’il n’y a pas de piège à l’intérieur. Ce qui n’empêche pas d’avoir la clé, et la clé c’est votre vie privée.

Antoine Lefébure : La confiance et la véritable transparence viendront des citoyens, des associations. Elles ne viendront évidemment pas des gouvernements, encore moins des services secrets, pas plus que des grandes entreprises. Google et Facebook ont des ingénieurs qui s’occupent de la sécurisation contre les piratages, mais certainement pas contre le piratage d’État. Il faudrait arriver à déterminer le bon secret d’État du mauvais. À certains moments, le secret d’État se justifie, pas à d’autres. La clé, dans une démocratie, c’est de ne pas utiliser l’arme du secret pour dissimuler des pratiques injustifiables. Dans les grands contrats internationaux, il y a souvent des pots-de-vin que tous les États protègent par un secret absolu. C’est discutable mais justifié. Par contre, quand ce secret sert à cacher le financement des dirigeants au pouvoir, nous sommes dans la sphère du secret d’État ignoble. Au Danemark, ils ont un secret d’État, mais c’est extrêmement limité. Alors qu’en France, tout est secret, tout est transparent, tout se retrouve dans le journal, les conversations de Sarkozy comme les documents pris chez les avocats, etc.

Thierry van Santen : Je suis pour une fois assez pessimiste. Notre plus gros risque, c’est ce dont s’inspire le film Minority Report, à savoir l’intrusion dans la vie privée au travers de la connectivité permanente. Il faut savoir que demain, toutes les cartes d’identité seront basées sur l’iris. À chaque fois que vous entrerez dans un aéroport, ou tout autre lieu public, on saura vous localiser. Dès aujourd’hui, dès que vous payez avec votre carte de crédit, vous avez une alerte sur ce que vous avez dépensé et où. Il faudra s’habituer à vivre avec. Ma seconde inquiétude, c’est l’espionnage en général. Je pense qu’il a échappé petit à petit aux États. On est entré dans un circuit sur lequel on va avoir des guerres technologiques sans fin. Le troisième problème, c’est celui de gouvernance des États, la question de la transparence, de la fin et des moyens, etc. Je pense qu’en matière de gouvernance, les politiques ont encore leur mot à dire mais je crains qu’il y ait de moins en moins de volonté de leur part pour instaurer une véritable discipline, seule garante des libertés fondamentales.

Risques : Pour conclure, je vais ajouter deux petites doses d’optimisme. Comme j’ai essayé de le démontrer dans ce livre, qui s’appelle Un monde de violences, on entre dans une phase assez traditionnelle de stagnation de l’économie mondiale. Évidemment cela crée des difficultés, et les sociétés qui ont une incapacité par exemple à fournir de l’emploi aux uns et aux autres, ont besoin de se surveiller. Cela ne va pas s’arrêter aujourd’hui. Si ce que nous décrivons est exact, c’est-à-dire une sorte de disparition ou d’affaiblissement de la démocratie, une incapacité de réguler des dispositifs de contrôle excessif, cela donne le sentiment d’une société qui utilise la technologie d’une manière assez peu progressiste. La contrepartie, c’est que c’est une société en progression – elle n’est pas progressiste mais elle est en progression. Et l’argument de la modernité technologique, l’intérêt de ces quatre-cinq entreprises (Google, Apple, etc.) n’est pas d’aller contre cela. Ils sont les acteurs du dispositif. L’histoire du grand crash de voitures m’a interrogé. Moi je préfère conduire ma voiture. Quel est l’intérêt de ne pas conduire une voiture ? Je préfère qu’on dise : on fait des transports collectifs. C’est plus sympathique. Tout cela est mis sous la rubrique de la modernité, ce qui n’est pas du tout la société des Lumières.

Voir aussi :
La NSA n’espionne pas tant la France que ça
Pour la CNIL, 18% des Français sont « suspects »
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
DGSE/Orange : joue-là comme SuperDupont (#oupas)
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


Je suis un « cyberterroriste » : j’ai piraté le compte Twitter de Pascale Clark

Mon, 22 Sep 2014 13:28:34 +0000 - (source)

visuterretitreSous couvert de lutte contre les (cyber)djihadistes opérant en Libye et en Syrie, le projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme" veut (notamment, mais considérablement) étendre les pouvoirs d'investigation, de mise sur écoute et de sanction en matière de (cyber)police judiciaire (voir "Une entreprise de terrorisme médiatique (notamment)").

Giv Anquetil, que j'avais rencontré du temps où il travaillait avec Daniel Mermet pour feu "Là-bas si j'y suis" (Mermet a depuis décidé de rebondir sur la Toile), m'a convié à en causer dans "Comme un bruit qui court" (@commeunbruit sur Twitter), un magazine qui veut donner la parole aux "maquisards de la pensée contemporaine", diffusé le samedi de 16 à 17h sur France Inter.

On a cherché un studio d'enregistrement libre, doté d'une connexion à Internet, Giv m'a installé devant un ordinateur et là, patatras, Giv et moi sommes devenus, en quelques secondes, et sans même nous en rendre compte, des "pirates informatiques", pire : en vertu de ce projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme", nous sommes devenus des "cyberterroristes".

"Je peux écrire que j'ai piraté le compte de Pascale Clark ?"

Non content de m'obliger à utiliser un ordinateur proposant par défaut le navigateur Internet Explorer (moi qui n'utilise que des logiciels libres), j'ai en effet découvert, en me rendant sur la page d'accueil de Twitter, que l'identifiant et le mot de passe du compte @AliveFI, la nouvelle émission "live" de Pascale Clark sur France Inter, était pré-enregistrés dans le navigateur.

Et j'ai cliqué sur le bouton "se connecter", sans vraiment réaliser la portée de ce que nous étions en train de faire :

"Moi : Je peux écrire que j'ai piraté le compte de Pascale Clark ? Non, je vais pas faire ça, mais je pourrais...
Giv : Ben tu sais quoi ? On va ajouter ton compte dans les abonnements. Comme ça ils seront abonnés à toi..."

La preuve : dans l'émission, diffusée samedi dernier sur France Inter, Giv a révélé cet échange, et donc que nous avions "piraté" le compte Twitter de Pascale Clark:

Or, l'Article 323-1 du Code pénal punit de 2 ans de prison et de 30 000 euros d'amendes "le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données". J'ai de la chance : le projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme", adopté à l'Assemblée, prévoit de multiplier l'amende par 3,333, et de la porter à 100 000€.

Le fait d'accéder, frauduleusement, au compte Twitter de l'émission de Pascale Clark est une chose; le fait d'avoir abonné @AliveFI à mon propre compte twitter (@manhack) en est une autre.

L'article 323-3 du Code pénal précise en effet que "le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende". Là aussi, j'ai de la chance : le projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme" prévoit de multiplier l'amende par 6,666, et de la porter à 500 000€.

Je suis un "cyberterroriste" (& Giv aussi)

France Inter est un service public. Or, le code pénal prévoit que "lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende" en vertu de l'article 323-1, et "à sept ans d'emprisonnement et à 100 000 € d'amende" en vertu de l'article 323-3.

Giv et moi avons décidément beaucoup de chances : le projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme" veut rajouter un nouvel article dans le code pénal, afin de lutter contre le "cyberterrorisme" :

« Art. 323-4-1. – Lorsque les infractions prévues aux articles 323-1 à 323-3-1 ont été commises en bande organisée et à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à dix ans d’emprisonnement et à 1 000 000 € d’amende. »

A en croire le texte adopté la semaine passée à l'Assemblée -et qui doit encore être discuté au Sénat-, ce que Giv et moi avons fait, "en bande organisée", relèverait du "(cyber)terrorisme", serait passible de 10 ans de prison, et d'1M€ d'amende.

"La loi est la même pour tous"... #oupas

Nul doute que la Justice sera clémente... ou pas : les deux amendements visant à exclure "les simples actions de « sit-in » informatique de militants souhaitant bloquer temporairement l’accès à un site, sans destruction ni extraction des données", comme on l'a vu avec certains actions d'#Anonymous, ont été repoussés par le gouvernement :

M. Sébastien Pietrasanta, rapporteur. Quand bien même une personne morale ou physique s’introduirait ou se maintiendrait dans un système de traitement automatisé de données à des fins pacifiques et de manière non-violente, dans le but d’exprimer une opinion, la fraude est nécessairement constituée (...).

Le législateur ne saurait exonérer a priori de sa responsabilité pénale telle ou telle personne, en fonction de la légitimité supposée de ses intentions, au risque de rompre l’égalité des citoyens devant l’application de la loi pénale : la loi est la même pour tous, qu’elle protège ou qu’elle punisse.

M. Pietrasanta reconnaît certes que le "jugement a la possibilité de tenir compte des circonstances de l’infraction et de la personnalité de son auteur, ainsi que de sa situation matérielle, familiale et sociale, conformément au principe d’individualisation des peines", et je ne doute pas que Giv et moi ne serions pas condamnés à 10 ans de prison et 1M€ d'amende pour avoir cliqué sur le bouton (pré-enregistré) "se connecter" du Twitter de Pascale Clark, mais quid de ces #Anonymous qui participent à des cyber-sit-ins, quid de ces hackers citoyens qui accèdent à des documents sensibles censés être protégés, mais qui le sont d'autant moins qu'on y accède via Google (voir aussi CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET) ?

Le Sénat fera-t-il de moi un (cyber)terroriste ?

Je ne comprends pas le rapport entre cette drastique aggravation des peines en matière d'atteintes aux systèmes de traitement automatisé de données (STAD, le terme juridique officiel désignant les actions de "piratage informatique") et la lutte contre les (cyber)djihadistes opérant en Irak et en Syrie, qui motivent pourtant l'adoption, en urgence, de ce projet de loi.

L'étude d'impact associée à ce projet de loi rappelle qu'"en 2012, 182 infractions de cette nature avaient donné lieu à condamnation", contre 111 en 2008. Si cette "hausse d’environ 60 % en valeur absolue" peut paraître "significative", l'examen des condamnations montre que "les infractions le plus souvent associées aux STAD sont les faux et les escroqueries", et qu'en 2008, "41 % des condamnations donnaient lieu au prononcé d’une peine d’emprisonnement avec ou sursis", contre 56 % en 2012, et que, "lorsqu'une peine d’emprisonnement ferme est prononcée, le quantum moyen se situe selon les années entre 18 et 24 mois"...

La loi prévoit d'ores et déjà -et depuis des années- que lorsque une atteinte STAD a été commise "à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat", la peine est de 5 à 7 ans de prison, et de 75 à 100 000€ d'amende. Concrètement, ça changera quoi, de la porter à 10 ans de prison, et à 1M€ d'amende ?

Le gouvernement, et les parlementaires (de la majorité comme de l'opposition), pensent vraiment -sincèrement- que cela permettra de mieux lutter contre le (cyber)terrorisme ?

Cette façon (cyber)opportuniste d'instrumentaliser le terrorisme pour (une fois de plus) diaboliser Internet ne peut que contribuer, a contrario, à faire le jeu de tous ceux qui ne font plus confiance dans nos institutions : je suis consterné de voir que, sur Twitter notamment, nombreux sont ceux qui crient (limite paranos) à la "démocrature", entre autres manifestations de défiance voire de dégoût face à ce projet de loi coup de com'.

Pascale Clark & France Inter ne porteront probablement pas plainte contre moi & Giv. Il n'empêche : à en croire le projet de loi "renforçant les dispositions relatives à la lutte contre le terrorisme", adopté par l'Assemblée, et qui va donc prochainement être discuté au Sénat, nous avons commis un acte "cyberterroriste", "en bande organisée", pour avoir cliqué un bouton. Ce qui ne plaide pas, ce me semble, en faveur de ce projet de loi, en l'état.

Voir aussi :
La NSA n’espionne pas tant la France que ça
Pour la CNIL, 18% des Français sont « suspects »
« Sur Internet, on est tous pirates, et ça c’est bien »
Une entreprise de terrorisme médiatique (notamment)
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET


« Sur Internet, on est tous pirates, et ça c’est bien »

Fri, 19 Sep 2014 14:33:57 +0000 - (source)

traces26_revuesdotorg-small280Quand j'étais chargé de sensibiliser les étudiants d'e-juristes.org, le Master 2 Professionnel spécialité « droit des nouvelles technologies et société de l’information » de l’Université Paris Ouest Nanterre La Défense (Paris X), qui "vise à former des spécialistes sur les questions juridiques posées par les nouvelles technologies de l’information et de la communication (TIC)", je prenais un malin plaisir à commencer mes cours en leur demandant :

« Qui n'a jamais "piraté" un logiciel, film, série ou fichier .mp3 -sans le payer ? »

Et personne ne levait le doigt -à l'exception (notable) du gendarme commis d'office-, ce qui me permettait de leur lancer un "Bienvenue sur Internet ! Ou pourquoi, et comment, on a là un problème avec la loi, et la notion de "droit"...".

Lauréate du 5ème Prix de thèse Informatique et Libertés -décerné par la CNIL- pour ses travaux sur les architectures pair-à-pair (P2P), membre de la Commission de "réflexion sur le droit et les libertés à l'âge du numérique" récemment créée à l'Assemblée nationale, Francesca Musiani (@franmusiani sur Twitter) m'avait interviewé il y a quelques mois.

Pirater, le nouvel opus de la revue Tracés de recherche en sciences humaines et sociales, a publié ladite interview... mais en accès payant.

Au vu du sujet, et de ce que j'avais pu expliquer à Francesca, je ne pouvais que mettre en ligne la version "brute de décoffrage" de ladite interview, enregistrée le 26 novembre 2013 (sachant par ailleurs qu'au vu des révélations Snowden, certaines de mes réponses auraient probablement été différentes depuis) :

« Sur Internet, on est tous pirates, et ça c’est bien »

A l’aune des révélations d’Edward Snowden sur les pratiques de surveillance mises en œuvre par les services de renseignement américains – pratiques illégales pour la loi américaine elle-même – les questions de cyber-conflit et de cyber-surveillance n’ont jamais été autant d’actualité. Les technologies de l’information et de la communication, Internet en tout premier lieu, sont de plus en plus utilisées à des fins économiques et militaires - du vol de données stratégiques aux détournements de systèmes industriels. La montée en puissance de l’espionnage, du traquage et de la surveillance numériques, de manière de plus en plus pervasive, est dévoilée non seulement par les récentes révélations Snowden ou par les activités de WikiLeaks, mais par la construction et l’organisation d’un marché des technologies et des équipements de surveillance qui est de plus en plus répandu et lucratif.

Dans ce contexte, le terme “piratage” acquiert des nouvelles facettes: si d’un côté, l’une des réponses des internautes et citoyens à ces pratiques de surveillance massive est celui de fabriquer, « bidouiller », voire détourner ou pirater des artefacts techniques pour sécuriser leurs connexions Internet et empêcher des tiers d’accéder à leurs données, il est aussi question de se rappeler à quel point le développement des techniques de surveillance et de déchiffrage a été un puissant vecteur de développement de l’informatique dans une perspective de “bien commun”.

Enfin, pour comprendre le phénomène du piratage à l’ère numérique, ses définitions, ses cadrages, ses réconfigurations, il est important de comprendre à quel point les pratiques qui ont été qualifiées comme “pirates” par tel ou tel autre acteur de la chaîne de valeur Internet sont de facto diffusées et répandues chez les utilisateurs - ce qui nous met, peut-être pour le plus grand bien de la société du partage et de la connaissance, dans la condition d’être “tous pirates”. Nous avons discuté de surveillance et de ses détournements, de bricolage informatique et de piratage avec le « journaliste hacker » Jean-Marc Manach, le 26 novembre 2013.

Jean-Marc Manach est un journaliste d’investigation spécialiste de questions de surveillance et de protection de la vie privée sur l’Internet : pour des raisons qu’il détaille au cours de notre conversation, il se définit désormais un « journo-hacker ». Jean-Marc est surtout connu pour son blog, Bug Brother, et pour ses contributions présentes et passées sur des sites web comme, par exemple, Internet Actu et OWNI.

Parmi ses enquêtes compte notamment celle sur Amesys, l’entreprise française qui, on l’apprend en 2011, a vendu au régime de Kadhafi les technologies de surveillance qui lui ont permis de surveiller ses opposants. Jean-Marc est membre fondateur des Big Brother Awards France, une cérémonie de remise de prix à « [des] gouvernements et [des] entreprises… qui font le plus pour menacer la vie privée » organisée par Privacy International (full disclosure : je n'en suis plus).

Il siège au comité de déontologie de Nos oignons, association qui promeut le développement du réseau de communications électroniques Tor afin de « garantir les libertés d’information, d’expression et de communication ». Il dispense divers enseignements dans des écoles de journalisme, sur des thématiques de sécurité informatique et protection des sources. Son projet le plus récent (depuis la rentrée 2013) est, toutes les deux semaines, le mardi à 14h42, l’animation d’une émission filmée de type Web TV sur le site web Arrêt sur images, où les invités interviennent via le logiciel Skype. Sa maison sur le Web est à l’adresse http://jean-marc.manach.net/.

Francesca Musiani : Partons de la plus stricte actualité. La firme Pogoplug annonçait hier la sortie de Safeplug, une « boîte à 49 dollars » censée sécuriser la connexion Internet des utilisateurs via un Tor plug-and-play. D’après votre expérience au sein de « Nos oignons », que pensez-vous de cette initiative ? La boîte Safeplug peut-elle marcher techniquement, et être largement adoptée par les utilisateurs ?

Jean-Marc Manach : Techniquement, il s’agit de quelque chose qui a été fait par les hackers depuis pas mal de temps. Là on arrive à la commercialisation d’un produit, à l’étape après le prototype. Je ne me rends pas bien compte du potentiel économique de la chose, si une boîte peut vraiment gagner de l’argent en faisant ça. Ce qui est sûr, c’est qu'en pleine affaire Snowden, cela n’arrive certainement pas à un moment anodin. Un des problèmes avec l’affaire Snowden est qu’il y a plein de gens qui disent deux choses : soit que « on le savait déjà », soit que « on ne peut rien faire ».

Or, le premier point est sans doute faux, il y a plein de choses que cette affaire a fait éclater au grand jour ; et pour le deuxième, bien sûr que non, on peut faire des choses et on pouvait même avant les révélations Snowden. Celles-ci ont incité les gens à fabriquer ou « bidouiller » des choses, soit au niveau micro, soit en organisant des ateliers, pour sécuriser leurs connexions Internet et empêcher des tiers – la NSA en tête – d’accéder à leurs données et pratiquer des écoutes massives.

Entre temps, on voit Twitter, Microsoft, qui passent en HTTPS… Ce petit gadget participe d’un mouvement mondial, un effort pour re-sécuriser Internet. Ce qui est intéressant avec ce boîtier, Safeplug, c’est qu’il va être entre l’ordinateur et le routeur, donc quel que soit le protocole utilisé, tout le trafic est censé passer par Tor – pas que le trafic Web.

Francesca Musiani : La sortie de Safeplug est la toute dernière occasion de réfléchir à une question qui me tient particulièrement à cœur, y ayant consacré plusieurs années de mes recherches : la mise en place d’alternatives décentralisées aux services Internet actuellement répandus, comme manière d’améliorer la protection de la vie privée et la sécurité de son identité en ligne. Que pensez-vous de cette approche « par la technique » à la sécurité et la vie privée, et de son efficacité par rapport à d’autres stratégies, telles que la loi écrite ou l’éducation des utilisateurs ?

Jean-Marc Manach : Une des influences géopolitiques majeures des Etats-Unis par rapport à Internet c’est d’arriver à propager dans le monde entier l’idée qu’on ne peut pas faire confiance à la loi. Les Etats-Unis sont un pays qui n’a pas confiance en ses institutions : donc, par exemple, c’est beaucoup plus facile d’obtenir de l’information, via le Freedom of Information Act. C’est un instrument très puissant, des documents de la NSA peuvent être déclassifiés grâce à ça. A fortiori, avec l’affaire Snowden, on a vu que NSA viole effectivement la loi américaine.

En France, cette défiance de l’Etat n’est pas inscrite dans le système. Mais avec Internet, de plus en plus de personnes apprennent à se méfier. La solution est bien évidemment technique. Si l’on aborde l’enjeu d’un point de vue législatif, ça prend toujours plus de temps. L’approche de la "privacy by design", c’est à la fois technique, culturel et financier. Cela fait des années que des gens se battent pour ça, mais il y a plein d’entreprises qui ne font pas ça. Là encore, avec l’affaire Snowden, de nombreux Etats et entreprises vont augmenter leurs budgets de sécurité, donc il se peut que Snowden accélère l’adoption plus à large échelle de la "privacy by design".

Il expliquait que la raison fondamentale à la base de ses révélations est qu’on est à un tournant dans notre conception des droits de l’homme. Il pense que s’il avait encore tardé, cela aurait été trop tard pour savoir si c’est la matrice qui contrôle les hommes ou vice-versa, s’il y a de l’accountability, de la responsabilité, de la transparence. Peut-être que, d’ailleurs, il est déjà trop tard. Mais en tout cas, on est à un tournant.

En matière d’éducation, on peut commencer par un exemple. Un enfant de deux ans va savoir comment utiliser un iPhone, tandis que quelqu’un de plus de cinquante ans va lire le mode d’emploi. Or, la raison du succès de l’iPhone, c’est qu’il n’y a pas de mode d’emploi pour s’en servir.

On est dans une situation où les enseignants en savent moins que les élèves, parce qu’ils ne sont pas nés avec les outils ; en plus, les premiers ont grandi dans une situation où l’enseignement, c’est quelqu’un qui parle et quelqu’un qui écoute, pas une logique de co-participation et de partage à laquelle l’internet nous a habitués.

Le Danemark est à ma connaissance le seul pays qui autorise les étudiants à avoir un accès Internet pendant leur bac. Ils se sont posés la question de pourquoi le seul jour de leur vie où ces élèves n’auront pas accès à l’Internet devrait être le jour de leur bac. Ils ont compris que le plus important n’est plus d’apprendre par cœur, mais de savoir comment trouver l’information la plus utile au bon moment. Je suis assez sceptique qu’on arrive à incorporer cette vision dans notre éducation et rendre son objectif principal celui d’améliorer le savoir commun.

Mais il y a quelques îles : par exemple, le travail de François Taddéi et son Centre de recherche interdisciplinaire. Mais en général je reste sceptique, surtout quand je vois quelle a été la stratégie du législateur, il y a quelques ans, pour sensibiliser les enfants aux questions relatives à la violation du droit d’auteur sur Internet : ils envoient des gens dans les écoles, pour dire aux élèves de ne pas faire ceci et cela – et une approche semblable pour les réseaux sociaux : ne partage pas n’importe quoi, c’est dangereux ! Ce qui, bien sûr, est la meilleure manière de s’assurer qu’ils le fassent. Parler à la fois des dangers et des opportunités du partage me semble plus constructif.

Un point final peut être fait sur la différence entre fournir un équipement informatique, et fournir l’infrastructure qui permette effectivement de l’utiliser. Cela ne sert à rien d’équiper des écoles entières avec des ordinateurs portables si on n’équipe pas les salles de cours avec des prises électriques et du haut débit. Il faut dépasser le rapport à l’informatique en mode gadget pour que l’éducation devienne un véritable instrument par rapport aux enjeux de surveillance, sécurité, vie privée.

Francesca Musiani : Revenons un peu en arrière. Vous êtes reconnu pour votre travail de journalisme d’investigation sur les thèmes de surveillance et privacy en ligne, mais vous m’avez dit lors de notre premier contact que vous êtes devenu journaliste « par hasard ». En effet, votre parcours de « journo-hacker », comme vous vous définissez, est loin de se résumer à ça. En 2001, vous publiez un ouvrage sur le cinéma expérimental français des années 70. En 2008 et 2010 sortent vos deux ouvrages « Big Brother Awards » et « La vie privée, un problème de vieux cons ? », sur des thèmes de surveillance et privacy respectivement. Qu’est ce qui vous a amené, progressivement j’imagine, à vous intéresser à ces deux thèmes ?

Jean-Marc Manach : En effet, je ne voulais pas être journaliste : je voulais faire du cinéma. J’arrive à la fac, je découvre le cinéma expérimental et les documentaires et je me passionne pour ça. Je commence à faire des films qui étaient vraiment hors cadre : les festivals de cinéma n’en voulaient pas parce que cela faisait trop documentaire, et les festivals de documentaires n’en voulaient pas parce qu’ils étaient trop cinéma expérimental. J’ai commencé à écrire un petit peu pour « défendre » mon cinéma.

La Cinémathèque française élaborait à ce moment un catalogue à l’occasion d’une grande rétrospective sur le cinéma expérimental, et j’ai suggéré d’y inclure un chapitre sur un épisode qui n’avait jamais été raconté : le fait qu’on avait décidé de ne pas aider financièrement le cinéma expérimental. Cet article a été censuré du catalogue, pour d’obscures raisons de manque de place. J’étais dégoûté par le fait que dans le monde du cinéma, 30 ans après les faits que je racontais, on arrivait encore à censurer des choses (rapport censuré que, pour le coup, j'avais mis en ligne sur le web).

Entre temps, je découvrais Internet – par hasard, j’écrivais à ce moment pour un journal qui avait un accès Internet à haut débit, ce qui était encore très rare : ceux qui avaient accès à Internet à l'époque étaient majoritairement limités par leurs modems à 56Kbit/s. Je commençais à bricoler mes sites Web, une page perso. C’est là que le basculement a eu lieu : en 1999-2000, j’ai un accès haut débit, je commence à m’intéresser à l’Internet, et voilà que sort le rapport de Duncan Campbell sur le système anglo-saxon ECHELON de surveillance et d’espionnage des télécommunications.

J’arrive donc sur Internet au moment où je découvre que la totalité d’Internet est sous surveillance. Je commence à m’intéresser à ça du point de vue du journaliste : pour protéger mes sources. Les journalistes n’avaient pas de mode d’emploi pour gérer cela ; par contre, en me tournant vers le monde des hackers, je me suis rendu compte qu’eux, ils en avaient, ils savaient comment protéger leur vie privée, utiliser les logiciels et systèmes de sécurité informatique. J’ai commencé à lire, puis à traduire et publier des documents et modes d’emploi. Voilà comment j’ai commencé à m’intéresser à ces questions.

Francesca Musiani : Le documentaire « Une contre-histoire de l’Internet » réalisé par Sylvain Bergère, dont vous êtes co-auteur, met l’accent sur développeurs et/ou activistes et montre comment ceux-ci ont rendu l’Internet ce qu’il est aujourd’hui. Quelle a été la genèse de ce projet ? Quel est l’avantage de cette approche à l’histoire, voir aux histoires, de l’Internet ?

Une très grande majorité des personnes qui retracent l’histoire d’Internet expliquent que le réseau a été conçu à la demande des militaires US pour résister à une attaque nucléaire. Or, Internet a aussi été conçu par des hippies qui prenaient du LSD ! Cette histoire n’avait jamais été racontée, et les documentaires sur l’Internet étaient souvent anxiogènes, assimilant les internautes à des pirates, les hackers à des criminels… Ce qui m’intéressait, c’était de montrer que c’est grâce aux hackers qu’on a Internet. C’est vrai, il a été initialement financé par l’armée américaine, mais c’est aussi le cas de Tor, auquel on attribue aujourd’hui tous les vices. Il y a tellement de choses qu’on doit aux hackers – au sens large : les militants pour le partage, l’ouverture du code source, le logiciel libre, l’intérêt pour la transparence et le souci aigu de la vie privée…

Francesca Musiani : Cela passe aussi par une reconfiguration, aux yeux du grand public, de la définition même de hacker…

Bien sûr. Et tout particulièrement en France d’ailleurs, où on a longtemps diabolisé la figure du hacker. C’est la DST (Direction de la surveillance du territoire) qui a constitué le premier groupe de hackers, au début des années 90, et quand on l’a su, plus personne n’a voulu se définir comme hacker. En 2001, je participais au premier symposium sur la sécurité informatique, et la moitié des gens étaient en uniforme : le congrès avait lieu dans l’enceinte même de l’Ecole militaire des transmissions... Il a fallu attendre 2007 pour avoir le premier festival de hackers en France, et des « coming out » de gens qui se définissaient comme hackers. L’année dernière, la France a accueilli près d’une dizaine de congrès de sécurité informatique réunissant des hackers internationaux de très haut niveau. Chose qui était impensable il y a quelques années. La diabolisation du hacker explique aussi beaucoup de choses sur ce dont on discutait avant, l’approche du système d’éducation à l’informatique. Et ça explique aussi pourquoi, au début des années 90, un dirigeant de France Télécom déclarait qu’ils allaient « interdire Internet ». Cela explique aussi pourquoi on nous a bassiné, à la TV, dans les années 90, avec le fait qu’Internet serait un nid de pédophiles et de nazis. C’est tellement aberrant ! Mais cela se passe beaucoup plus en France que dans d’autres pays, et je pense que c’est lié à la manière top-down dont notre Etat est organisé. Aux Etats-Unis, ils ont bien des défauts, mais si on a déjà essayé de monter des boîtes et qu’on s’est planté, on a plus de chance de lever des fonds pour en monter d’autres ; en France, si on s’est planté, c’est fini. C’est ça aussi, la culture hacker : intégrer l’échec au développement.

Francesca Musiani : A propos des « histoires dominantes » et du formatage des discours qui en découle, on a souvent l’impression, de par son traitement dans la presse, que l’histoire de la surveillance Internet tourne autour des Etats-Unis. Est-ce vraiment le cas, ou au moins, est-ce le cas jusqu’à ce point ? Est-ce que cette histoire cache des discours et des pratiques - étatiques, privées, un mélange des deux - dont on devrait avoir plus conscience ?

On ne peut pas comprendre le développement de l’informatique sans comprendre qu’elle vient aussi des efforts entrepris pour casser les codes secrets pendant la seconde guerre mondiale. Le programme Enigma, qui avait donné lieu au développement du premier prototype d’ordinateur par Alan Turing, en est un exemple. Le développement de l’industrie des télécommunications s’est accompagné par le développement de la surveillance des télécommunications. Enormément d’argent a été destiné à ce développement pendant la guerre froide, aussi. Internet, c’est la queue de comète de tous ces épisodes-là. Aujourd’hui, le marché des systèmes d’espionnage et de surveillance des télécommunications est estimé à cinq milliards de dollars par an. Ces systèmes espions étaient autrefois l’apanage des services de renseignement de grands pays comme les Etats-Unis, la France, la Chine ou la Russie. Plus maintenant. De nombreuses PME le proposent aussi.

Francesca Musiani : Vous pensez notamment à l’affaire Amesys ? Pour rappel, il s’agit de la société française qui – on l’a appris en 2011 grâce à une de vos enquêtes ainsi qu’un reportage successif du Wall Street Journal – a vendu au régime de Kadhafi les technologies de surveillance qui lui ont permis de surveiller ses opposants, et de monitorer l'ensemble des communications sur Internet ainsi que les réseaux de téléphonie mobile et satellite en Libye.

Oui, tout à fait. Aujourd’hui, n’importe quel dictateur, tout comme n’importe quel shérif de comté américain, peut acheter sur étagère des dispositifs d’interception des télécommunications. Des personnes, des bibliothèques, des institutions, des pays. Il y a un véritable complexe militaro-industriel qui s’est mis en place, y compris plein de contractants privés – Snowden en était un. C’est un business qui n’existait pas du tout à ce niveau-là avant 2001. Donc, pour en revenir à votre question, on parle démesurément des Etats-Unis et de la NSA, mais c’est parce-que paradoxalement, c’est un pays qui a une culture de méfiance envers les institutions, il y a des choses comme les lanceurs d’alertes et le droit à déclassifier des documents. On peut se permettre de dénoncer les pratiques du gouvernement, aux Etats-Unis. Ce n’est pas le cas en Russie, ni en Chine… ni en France ou en Grande Bretagne, qui pourtant violent la loi exactement de la même façon ou au moins en sont fortement soupçonnés. Donc, c’est paradoxal : les Etats-Unis, c’est une grande démocratie, avec de gens qui veulent défendre les droits individuels, et c’est pour ça qu’on arrive à avoir ces documents ; ailleurs on n’a pas cette chance, faute de documents, on ne sait pas vraiment quel est l’ampleur de la surveillance chez nous. Une des leçons Snowden est probablement qu’en ce sens-là, les Etats-Unis sont une meilleure démocratie que la France.

Francesca Musiani : Dans mes propres recherches, je m’intéresse de plus en plus à la « privatisation » de la gouvernance de l’Internet, le rôle accru que joue l’industrie, volontairement ou obligatoirement, dans la régulation du contenu et de la liberté d’expression. A part Amesys, est-ce un thème que vous rencontrez dans vos enquêtes, et comment ?

Dès le début des années 2000, on parlait déjà d’auto-régulation, à la fois par la société civile et les acteurs privés. Un exemple intéressant en France était le Forum des Droits de l’Internet (FDI), où justement on réunissait des représentants des ministères avec la société civile et des industriels. Et cela a permis d’éviter de faire certaines erreurs, et qu’un certain nombre de projets de loi ne soient pas débattus que par des députés qui, souvent, ne comprennent pas le fonctionnement ni la portée des technologies qu’ils veulent “réguler”. Depuis, on a fermé le FDI, et créé la Hadopi...

Francesca Musiani : Le modèle multi-parties-prenantes est également celui du Forum sur la Gouvernance de l’Internet. L’idée est justement qu’on ne fait « que » dialoguer, mais que ce dialogue…

Empêche de faire des bêtises ! OK, le FDI a servi à bien plus qu’à ne pas faire des bêtises, mais comme disait l’un de nos invités pour le documentaire, « ceux qui parlent ne se balancent pas des bombes ». Si on parle, on va éviter la vision complètement caricaturale de l’autre – ce qui ne s’est pas passé, par exemple, lors des déclarations de notre ancien Président qui voulait « civiliser Internet ». Comment peut-on penser que ce point de vue colonisateur est applicable à l’Internet ? La mesure de cette impossibilité est bien mise en lumière par les effets pratiques de la loi Hadopi. Une condamnation, à 150 euros d’amende, et ce n’était même pas la faute de l’individu condamné, mais de son ex-femme qui avait utilisé la connexion à son insu. Il suffisait que l’abonnement soit à son nom.

Francesca Musiani : C’est d’ailleurs l’un des points que les ingénieurs auditionnés lors du parcours parlementaire Hadopi avaient mis en lumière : ce n’est pas possible, pour les utilisateurs, que d’avoir la certitude technique et matérielle qu’ils ont bien sécurisé leur connexion Internet…

Oui, c’est ce que j’avais dit aussi : votre projet de loi ne tiendra pas parce qu’on ne peut pas demander à quelqu’un d’avoir les compétences techniques pour vraiment sécuriser sa connexion. Des entreprises spécialisées et avec les grands moyens n’y arrivent pas. La réponse qu’ils m’ont donné a été : puisqu’on est une économie capitaliste, on va créer un marché, et les entreprises vont trouver une solution. Or, quatre ans après, dans cette économie de marché, il n’y a pas encore une solution de sécurisation qui a été labellisée par la Hadopi. Il semblerait que ce soit plus complexe qu’une vision ultra-libérale et capitaliste de l’Internet.

Francesca Musiani : Après WikiLeaks, notamment, le métier du journaliste d’enquête et du « whistleblower », le lanceur d’alerte, semble être entré dans une nouvelle ère. Est-ce le cas ? Je pense notamment à une problématique croisée entre journalisme et recherche, celle du rapport aux sources. Comment abordez-vous cette question dans votre travail ?

Depuis 1999-2000, j’ai commencé à faire des « modes d’emploi » pour sécuriser mes sources. Je n’ai pas eu tant que ça besoin de le déployer. Par contre, un certain nombre d’informations et de scoop que j’ai pu avoir, c’est parce que je savais comment protéger mes sources, elles avaient confiance en moi et elles savaient comment me contacter en toute confidentialité et sécurité. Ce que WikiLeaks a changé consiste surtout en deux aspects : primo, ça a relancé le journalisme d’investigation, en premier lieu sur papier. Avant, les patrons de presse nous expliquaient qu’à cause d’Internet, où tout est gratuit, il y a moins d’argent pour les journaux. Julian Assange et WikiLeaks arrivent, proposent d’avoir accès à des documents, et le Guardian, le New York Times, etc. arrivent à mobiliser des dizaines de journalistes pendant des mois pour travailler avec WikiLeaks et compléter l’investigation. A cause d’Internet, le journalisme d’enquête ne marchait plus ; maintenant, grâce à Internet, c’est reparti. Secundo, on a vu la montée en puissance du data journalism. C’est d’ailleurs ce qui m’est arrivé, je suis devenu journaliste parce que j’ai commencé à traiter des données, même si l’étiquette n’existait pas encore. Là encore, c’est la relance du journalisme d’enquête, des lanceurs d’alerte, et j’espère qu’il y aura de plus en plus de ces derniers, parce que nos démocraties en ont grand besoin.
A un moment, dans notre documentaire, Assange reprend l’expression d’un lanceur d’alertes de la NSA qui expliquait qu’on est à un « turning point », à un moment charnière, et qu’il n’y a plus qu’à tourner la clé. Et si on tourne la clé, on passe dans une société totalitaire, parce que toutes les technologies, tout le système, est en place. Si Snowden n’avait pas fait ce qu’il a fait, on peut raisonnablement penser que dans deux, cinq, dix ans, ils auraient été dans la position de surveiller absolument tout. Ce qui relevait d’une légende hollywoodienne, aux temps de « Ennemi d’Etat », devient de plus en plus concret : aujourd’hui, on a tous un petit dispositif de traçage dans nos poches – le smartphone. Traquable par les services de renseignement, traquable par les policiers, traquable par les entreprises parce qu’on leur a donné la permission de le faire. C’est le rêve de la Stasi ! Voilà toute l’importance de ce qu’ont fait Assange et Snowden. Le premier peut être enfermé dans une ambassade à Londres, mais il a provoqué un débat mondial et a eu des effets géopolitiques importants, notamment dans le printemps arabe ; à deux, ils ont révolutionné les pratiques journalistiques ; les journalistes reprennent le quatrième pouvoir, qui est celui de demander des comptes. L’éthique d’Assange et de Snowden est en fait la philosophie des hackers, celle qui a été conceptualisée au début des années 80 aux Etats-Unis : hacker, c’est militer pour la vie privée des citoyens, et pour la transparence des institutions, pour pouvoir les contrôler plutôt qu’être contrôlés et manipulés par elles : les institutions sont à notre service, pas le contraire. Ce programme est au cœur de ce qu’est WikiLeaks, et de ce qu’il veut aider les journalistes à faire.

Francesca Musiani : Est-ce quelque chose a changé dans l’éthique du journaliste, face à cette pléthore de données et de sources ?

Je ne sais pas si cela change quelque chose à l’éthique des journalistes. Moi, j’ai eu des problèmes éthiques quand je me suis trouvé à manipuler, avec WikiLeaks, les mails syriens. Là, j’étais vraiment un peu comme la NSA : c’était quand même des millions de mails de citoyens syriens. Mais je n’ai pas trouvé grand-chose, à part les blagues que Bachar el Assad envoyait à son assistante...
Sinon, récemment, j’ai changé mon statut sur Twitter et je me présente comme « journaliste hacker » : il y a quelques années, je n’aurais pas pu faire ça. Maintenant, on peut se qualifier comme hacker et dire qu’on fait des choses bien. J’ai quand même souvent la question « mais alors, tu es hacker, cela veut dire que tu peux pirater les boîtes aux lettres ? » alors que je n’ai rien fait d’illégal sinon ce qu’ont fait des autres journalistes d’investigation, du recel – avoir des informations que je ne suis pas censé avoir. Mais c’est mon boulot. Je suis l’éthique des hackers, je ne sais même pas trop ce qu’on enseigne à l’école de journalisme d’ailleurs en termes d’éthique. Peut-être qu’avec les Big Data, avec toujours plus d’informations à disposition, le journalisme va être confronté à encore de nouveaux défis éthiques.
Ce qui est intéressant est que cette situation donne plus de pouvoir aux développeurs et aux hackers. Et donc il y a aussi un débat pour savoir si un hacker qui va travailler pour les services de renseignement « passe du côté sombre de la force ». Mais travailler pour la NSA, est-ce que c’est du bien ou du mal ? C’est compliqué. A priori, si l’on est américain, c’est légitime de créer un service de renseignement dont les informations vont servir à protéger les américains. Mais est-ce que pour cela c’est légitime d’espionner tout le monde ?
Les profils des hackers sont de plus en plus recherchés, à la fois par les gouvernements et les entreprises, surtout à la suite de l’affaire Snowden, et c’est sûr que cela confronte le hacker à sa propre éthique.

Francesca Musiani : Comme vous le savez, cet entretien se déroule dans le cadre d’un numéro sur le « piratage ». Comment l'appellation « pirate » entre-t-elle dans les questions qui vous préoccupent ? Quelles pratiques y sont associées, aussi bien du côté des pratiques réprimées que de celles appropriées, voire récupérées (par les gouvernements, les entreprises, à travers l'espionnage, la surveillance, etc.) ?

Pendant quelques années, j’ai fait un cours à la fac de Nanterre dans un département où l’on formait des juristes aux enjeux Internet. J’avais la mission de les sensibiliser sur les usages et sur leur perception d’Internet. La première question que je posais aux étudiants était la suivante : « Que ceux qui n’ont jamais piraté un logiciel, ‘rippé’ un DVD, téléchargé MP3, lèvent la main. » Il n’y avait qu’un seul qui levait la main – le gendarme qui était envoyé là en formation continue. Personne d’autre. Et moi : « Bienvenue sur Internet. Si on ne comprend pas ça, on ne peut pas comprendre ceux qu’on appelle les pirates informatiques : on est tous des pirates informatiques. » On est tous des pirates, ou on l’a tous été.
En 2005, le Parlement a voté la loi DADVSI, dans le but de lutter contre le piratage – cette loi punissait le fait de contourner les DRM, les méta-fichiers qui empêchent de copier des contenus numériques. J’ai pensé que c’était hallucinant : j’utilise Linux depuis des années, donc je ne peux pas lire les DRM pour lesquels on doit passer par Microsoft ou Apple, donc si je veux lire un DVD que j’ai légitimement acheté, le seul moyen que j’ai pour le faire, c’est de le pirater. Cette loi fait de moi un pirate, alors qu’à priori, je suis un utilisateur de logiciel libre, et que je fais donc partie de cette petite minorité de gens qui ne “piratent” jamais de logiciels...
Donc à ce jour, on ne peut pas comprendre Internet, la société du partage et l’accès à la connaissance, si on ne prend pas conscience de ça. La quasi-totalité des gens, sur Internet, s’est trouvée à un moment ou à l’autre à violer la loi, ce qui est quand même un phénomène inédit dans l’histoire de l’humanité. Et si on interdit quelque chose sur Internet, il réapparaît généralement ailleurs, autre part, autrement. Bien sûr, on peut à nouveau parler de l’Hadopi, qui a pensé que pour faire sécuriser leurs ordinateurs aux gens il fallait « créer un marché ».
Le terme de pirate, c’est fort. C’est du criminel, c’est du violent, c’est du sanguinaire… et de l’illégal. En même temps, dans quelle mesure Gutenberg a été harcelé par les autorités quand il a sorti l’imprimerie ? Est-ce qu’il a eu autant de soucis ? Je pense que celui qui en parle le mieux, c’est Eben Moglen. Pour lui, ceux qui luttent contre le piratage, luttent aussi pour l’ignorance, l’analphabétisme, la pauvreté, l’interdiction de solutions alternatives, de résolution de problèmes en mode bottom-up. C’est l’interdiction économique avant l’empowerment économique. Comme l’Internet permet de faire autant de choses, les Monsanto, les Vivendi et les Sarkozy de ce monde le lisent comme une perte du pouvoir qu’ils ont (encore) à ce moment. Mais je ne vois pas comment on pourrait faire marche arrière : on ne pourra pas empêcher aux gens de se renseigner et de partager, quitte à pirater des fichiers – ce qui, souvent, s’avère plus simple que de les acheter.
Après il y a aussi le côté sexy du pirate, et je pense que les hackers ont joué sur ça, sur le côté du jeu et de l’adolescent. Mais au fond, on peut vraiment résumer à ça : sur Internet, on est tous pirates, et ça c’est bien.

Francesca Musiani : A quoi doit-on s’attendre en termes des évolutions de la surveillance, selon vous, dans les prochaines années ? Est-ce que l’information – la capacité de s’en approprier, de l’agréger, de la contrôler, d’en « faire sens » – est désormais, comme le président américain Barack Obama a affirmé il y a quelques jours, l’arme du 21ème siècle ?

A moyen terme, je pense qu’on peut espérer une redéfinition du paysage légal, et de ce que les services de renseignement peuvent faire. Ça, ce n’est que les américains qui peuvent le décider, malgré les « pressions » que l’Europe et les autres peuvent faire. On peut aussi s’attendre à une redéfinition, dans l’IETF et les autres instances de gouvernance de l’Internet, des normes de sécurité et de protection de la vie privée pour qu’il y ait plus de privacy by design, voire de security by design. Pas seulement à cause de Snowden, mais simplement parce que de plus en plus de choses dépendent de notre connexion à l’Internet et du fait qu’elle soit sécurisée. Il y a le SCADA, tous ces systèmes industriels qui sont connectés via les réseaux, et cela pose d’énormes problèmes, parce que si on coupe l’électricité et donc la connexion, on pourra aussi couper l’approvisionnement d’eau ou d’autres infrastructures critiques. On assiste à une militarisation d’Internet, pas seulement la surveillance, mais aussi au travers de ce qu’on appelle la “lutte informatique offensive”, et donc le piratage de systèmes à des fins d’espionnage, voire de destruction. On parlait depuis des années des risques de la cyberguerre, je pense qu’on y est en plein à présent.
Assange est renfermé à Londres, Manning a pris trente-cinq ans, plusieurs hackers proches d’Anonymous ont écopé de plusieurs années de prison, sans oublier le suicide d’Aaron Swartz, qui avait devant lui une machine politico-légale qu’il ne pensait pas pouvoir contrer. En face on a un président américain Prix Nobel de la paix dont l’administration a lancé une véritable “chasse aux sorcières” contre les lanceurs d’alerte. Mais ma conviction reste quand même que les hackers ont déjà gagné. Au sens où, même si on est encore minoritaires, même si on est encore diabolisés, on a gagné parce le sens de l’Histoire ne peut plus être inversé, et l’éthique hacker est là comme jamais auparavant.

Pour en savoir plus

Aigrain, P. (2010). Declouding Freedom: Reclaiming Servers, Services and Data. In 2020 FLOSS Roadmap (2010 Version/3rd Edition).

Auray, N. (1997). Ironie et solidarité dans un milieu technicisé : Les défis contre les protections dans les collectifs de hackers. Raisons pratiques, 8: 177-201.

Brevini, B., Hintz, A. & McCurdy, P. (coord., 2013). Beyond WikiLeaks. Implications for the Future of Communication, Journalism and Society. Londres: Palgrave-Macmillan.

Campbell, D. (1988). Somebody’s Listening. New Statesman, 12 août 1988.

Cavoukian, A. (coord., 2010). Special Issue: Privacy by Design: The Next Generation in the Evolution of Privacy. Identity in the Information Society, 3 (2).

Garnier, J.-P., Manach, J.-M., Martenot, A.-L., Thorel, J. & Treguier, C. (2008). Big Brother Awards : Les surveillants surveillés. Paris: Zones.

Himanen, P. (2001). L’éthique hacker et l’esprit de l’ère de l’information. Paris: Exils.

Jesiek, B. (2003). Democratizing software: Open source, the hacker ethic, and beyond. First Monday, 8 (10).

Manach, J.-M. (2010). La vie privée, un problème de vieux cons? Limoges: FYP Editions.

Moglen, E. (2010). Freedom In The Cloud: Software Freedom, Privacy and Security for Web 2.0 and Cloud Computing. Discours aux Rencontres de l’Internet Society (ISOC), New York, 5 février 2010.

Musiani, F. (2013). Nains sans géants. Architecture décentralisée et services Internet. Paris: Presses des Mines.

Musiani, F. (2011). Privacy as Invisibility: Pervasive Surveillance and the Privatization of Peer-to-Peer Systems. tripleC, 9 (2): 126-140.


Une entreprise de terrorisme médiatique (notamment)

Mon, 15 Sep 2014 13:00:59 +0000 - (source)

120px-Terrorisme_insideL'examen, au Parlement, du Projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme soulève un tollé du côté des défenseurs des libertés, notamment sur Internet. L'examen de ces principaux articles révèle en effet une instrumentalisation de la menace terroriste (cyber)djihadiste visant non pas tant -ou pas seulement- à lutter contre les dérives auxquelles on assiste en ce moment en Syrie et en Libye et les effets de bord que cela pourrait avoir, en France, mais à élargir les pouvoirs d'écoute et d'investigation des services en charge de la lutte contre la délinquance et la criminalité organisée, "notamment".

Au lendemain des attentats du 11 septembre 2001, la presse du monde entier relaya un article qui révélait que Ben Laden était passé maître dans l’art d’utiliser la cryptographie, et que les terroristes islamistes cachaient leurs messages secrets dans des photos... pornos. Une affirmation pour le moins étonnante concernant des personnes connues pour imposer le port du niqab ou de la burqa, et interdire aux femmes de laisser transparaître les formes de leurs corps.

A l'époque, dans une contre-enquête intitulée Terrorisme : les dessous de la filière porno, j'avais tenté d'expliquer qu'il s'agissait plus probablement d'une tentative de désinformation, et m'étonnait de voir le crédit porté à cette histoire véhiculée par un journaliste qui, interrogé sur la notion d'objectivité journalistique, n'hésitait pas à déclarer : "Je ne peux séparer ma foi de ma profession", et de préciser :

« Je pense que c’est un don, les histoires tombent comme ça sur mes genoux quand je suis en phase avec Dieu. C’est probablement parce que Dieu sait que je suis trop bête pour sortir et les trouver par moi-même. C’est tout bonnement incroyable. »

Jack Kelley, le journaliste en question, n'en fut pas moins viré en 2004 lorsque son employeur, USA Today, découvrit qu'il bidonnait, depuis des années, ses reportages, y compris celui qui avait failli lui valoir un Pulitzer en 2001.

Plus c'est gros, plus ça passe

En attendant, cette histoire de terroristes islamistes adeptes de photos porno (plus c'est gros, plus ça passe) contribua à diaboliser la cryptographie en particulier, et l'Internet en général, contribuant à l'adoption de mesures sécuritaires prises dans la foulée des attentats de 2001. La Loi sécurité quotidienne (LSQ), adoptée dans la foulée et sous le coup de l'émotion, en octobre 2001, obligea en effet les fournisseurs d'accès à conserver les traces de ce que font leurs abonnés sur Internet... quand bien même il n'a jamais été démontré que les terroristes du 11 septembre 2001 s'en étaient servis pour préparer leurs attentats.

En matière de cryptographie, elle entraîna la création d'un Centre Technique d'Assistance (ou CTA) visant à permettre aux services de renseignement d'essayer de décrypter les mails chiffrés qu'ils auraient interceptés. La LSQ considéra par ailleurs l'utilisation de logiciels de chiffrement comme une circonstance aggravante, la loi prévoyant en effet de punir de trois ans d'emprisonnement et de 45 000 euros d'amende "le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités".

A l'époque, nous avions tenté d'expliquer aux parlementaires qu'un terroriste préférerait passer trois ans en prison pour refus de déchiffrer un mail que de risquer la prison à vie en le déchiffrant... rien n'y fait. Un sénateur socialiste, Michel Dreyfus Schmidt, tenta de rassurer l'opinion publique en déclarant qu'"il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003".

Le Parlement espérait en effet en avoir fini avec le terrorisme en 2003, et prévu que ces mesures attentatoires à la "légalité républicaine" feraient l'objet d'un rapport d'étape, et qu'elles seraient réexaminées tous les 3 ans. De fait, la conservation des données de connexion a depuis été renouvelée tous les 3 ans, sans qu'aucun rapport d'étape ne vienne cela dit nous permettre de mesurer sa pertinence, ni son efficacité.

Plus c'est gros, plus ça passe, et repasse : un attentat terroriste, c'est très pratique pour permettre aux responsables politiques de bomber le torse, montrer qu'ils mesurent l'ampleur du problème, et faire passer, de façon très opportuniste, des mesures qu'il aurait été probablement très difficile de faire adopter autrement.

Le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme, débattu à l'Assemblée ce 15 septembre, en est une nouvelle et parfaite illustration.

Un coup de com'

Prenons l'une des mesures phares du projet de loi, qui permettra de bloquer l'accès à des sites djihadistes. D'un point de vue technique, c'est très compliqué, voire irréaliste (voir L'impossible et controversé blocage des sites Internet djihadistes). D'un point de vue antiterroriste, ce pourrait être contre-productif, dans la mesure où la fréquentation de ces sites peut précisement permettre aux services de renseignement d'identifier des apprentis terroristes, avant qu'ils ne passent à l'acte, ou qu'ils ne reviennent en France.

En réponse à la publication de l'avis (très critique) du Conseil National du Numérique, le cabinet du ministre de l'Intérieur explique que "chaque demande de blocage sera émise après avis des services spécialisés, lorsqu'ils n’en seront pas eux même à l’origine".

Nous voilà rassurés : c'est donc un coup de com', voire un pis aller, une manière de détourner l'attention qui ne changera donc pas grand chose en matière de lutte contre le terrorisme mais qui agite beaucoup les médias (c'est probablement l'article qui fait le plus de bruit dans ce projet de loi), tout en permettant opportunément de détourner l'attention sur d'autres articles, autrement plus problématiques.

Ces 8 affaires qui paralysent la Justice

L'article 11 du projet de loi, relative à "la mise au clair de données chiffrées", propose quant à lui de permettre aux officiers de police judiciaire de requérir eux-mêmes une personne qualifiée dans le décryptage de données informatiques, opération qui relève à ce jour de la seule compétence des magistrats. L'objectif affiché : gagner du temps, dixit : "Si l’OPJ disposait du pouvoir d’adresser lui-même la réquisition, cela permettrait un gain de temps dans le traitement des demandes".

Or, l'étude d'impact du projet de loi révèle que "pour l’année 2013, les saisines du CTA s’élevaient à 31, contre 26 en 2012" :

« 8 dans le cadre d’affaires de terrorisme, 4 pour des homicides, 5 pour du vol et recel de vol, 3 pour de la pédopornographie, 2 pour escroqueries, 3 pour du trafic de stupéfiants, 1 pour une affaire de viol et 5 pour des infractions diverses). Pour la période de janvier à juin 2014, les saisines du CTA s’élèvent à 13 affaires. »

Les magistrats sont peut-être débordés, mais il est permis de douter, vu le nombre de cas, de douter que cet article fera gagner énormément de temps aux policiers. A contrario, on peut raisonnablement estimer que cela permettra aux policiers de demander à décrypter des données sans contrôle judiciaire, et pas que dans des affaires de terrorisme. Une mesure clairement opportuniste, qui n'a pas grand chose à voir avec la menace terroriste.

Terroriser #Anonymous

Rappelant que "les attaques informatiques réalisées contre les systèmes de traitement automatisé de données mis en œuvre par l’Etat sont des armes que peuvent utiliser les terroristes" :

« Ce « cyberterrorisme » peut alors revêtir plusieurs formes : atteintes à la disponibilité des réseaux ou des services (attaques en « déni de service » ou « saturation d’un réseau »), à la confidentialité (cyberespionnage) ou à l’intégrité des données ou des matériels (modifications de programmes, suppressions de données…). »

L'article 12 espère ainsi "renforcer le caractère dissuasif des incriminations actuelles" et "appliquer le régime de la criminalité organisée à ces infractions aggravées lorsqu’elles sont commises en bande organisée et au préjudice de traitement mis en œuvre par l’Etat".

L'étude d'impact avance ainsi que les statistiques du casier judiciaire révèlent que, "en 2008, 111 infractions de cette nature avaient donné lieu à condamnation", contre "182 infractions de cette nature" en 2012 :

« Cette augmentation significative traduit bien évidemment la multiplication de cette forme de délinquance.
On peut néanmoins relever à l’examen des condamnations que les infractions le plus souvent associées aux STAD sont les faux et les escroqueries ce qui consolide l’analyse faite par les praticiens. »

On parle bien là d'"infractions", pas du tout de terrorisme... sauf à imaginer vouloir ainsi criminaliser #Anonymous et les faire passer pour des "cyberterroristes". On est, une fois de plus, bien loin des cyberdjihadistes qui recrutent sur Facebook.

De l'identification des terroristes simples délinquants

L'étude d'impact prend acte, par ailleurs, du fait que "les services d’enquête éprouvent à l’heure actuelle une grande difficulté à obtenir des éléments d’identification des délinquants sur internet" :

« L’identification d’une personne par son adresse IP devient en effet de plus en plus difficile, en raison notamment des techniques d’anonymisation utilisées par les internautes. L’utilisation de l’enquête sous pseudonyme est parfois la seule possibilité d’identifier un délinquant. »

L'article 13 du projet de loi entend ainsi "généraliser cette technique d’enquête à l’ensemble des infractions relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste". Une fois de plus, on agite la menace cyberdjihadiste pour, en fait, étendre les pouvoirs de police en matière d'identification des "délinquants".

"Y compris donc les infractions à caractère terroriste"

L'article 14 propose quant à lui d'étendre les captations des données informatique, limitées aujourd'hui à la collecte des images apparaissant à l’écran et aux frappes sur le clavier, à la captation du son et des images émis ou reçus par un ordinateur, et donc de pouvoir espionner les conversations sur Skype & Cie.

L'étude d'impact précise à ce titre que "les captations de données informatiques sont possibles pour l'ensemble des infractions relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste". Il s'agit donc là aussi d'une mesure opportuniste prise au nom de la lutte contre le terrorisme, mais qui vise in fine à élargir les possibilités de mise sur écoute et d'installations de logiciels espions dans le cadre d'affaires "relevant de la criminalité organisée, y compris donc les infractions à caractère terroriste".

+82% d'écoutes téléphoniques depuis 1991

Evoquant l'article 15, qui vise à allonger la durée de conservation des enregistrements des interceptions de sécurité (du nom donné aux écoutes téléphoniques et Internet effectuées pour le compte des services de renseignement), l'étude d'impact explique que "le volume des communications à exploiter a augmenté sous l’effet conjugué de plusieurs facteurs", à commencer par l'augmentation des quotas d'interception (du nom donné au nombre de cibles que les services de renseignement sont autorisées -par le Premier ministre- à mettre sur écoute en simultané), passés de 1180 en 1991 à 1840 en 2009, puis à 2150 cette année (soit +82% depuis que la loi encadrant les écoutes a été adoptée, en 1991).

De plus, souligne l'étude d'impact, la doctrine a changé : depuis 2010, "ce contingent s’applique à des "cibles", c'est-à-dire des personnes visées par une interception, et non plus à des lignes téléphoniques" comme c'était le cas auparavant :

« La plupart des « cibles » disposent aujourd'hui de deux à trois moyens différents de communication qui doivent être interceptés. Il en résulte une augmentation sensible de la quantité de communications à exploiter.

En outre, internet, qui représente aujourd’hui 14 % des demandes d’interceptions, génère un volume de communications considérable (échanges de messages, réseaux sociaux, etc), nécessitant un temps d’exploitation accru par rapport à de simples conversations téléphoniques. »

Ce pour quoi l'article 15 propose donc d'étendre à 30 -et non plus 10- le nombre de jours avant que les enregistrements des écoutes soient automatiquement détruits.

A toutes fins utiles, le rapport rappelle qu'"en 2012, 6 145 interceptions de sécurité ont été sollicitées (4 022 interceptions initiales et 2 123 renouvellements)" et que, "au total, 6095 interceptions de sécurité ont été autorisées". On est loin d'une surveillance généralisée.

Il n'en reste pas moins que cette demande d'"accroissement des informations à traiter s’effectue dans un contexte global marqué par une activité accrue des services, notamment en matière de prévention du terrorisme avec le suivi d’un nombre, en plein essor et hors de toute proportion avec des références antérieures, d’individus impliqués dans des filières terroristes notamment".

34 "notamment", 13 "y compris"

Le mot "notamment" revient 34 fois dans l'étude d'impact, "y compris" 13 fois. Or, les porteurs de ce "projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme" ne parlent, eux, que du seul "terrorisme", n'hésitant pas à évoquer, avec beaucoup de trémolos, les décapitations d'otage (notamment).

Il eut été intéressant d'avoir un vrai débat, avec des policiers, des responsables des services de renseignement, mais aussi et surtout au Parlement, évoquant la réalité de ce dont il est question : un accroissement des pouvoirs d'écoute et d'investigation (notamment) à destination des policiers et membres des services de renseignement en charge de la lutte anti-terroriste (notamment).

Las : vous n'entendrez probablement parler que des seuls (cyber)djihadistes, et de ces atrocités qui ont lieu en ce moment en Irak et en Syrie. Fort pratiques, j'en conviens, pour faire passer la pilule plus simplement. Cynique, aussi. Notamment. Une véritable entreprise de terrorisme médiatique consistant à faire peur aux gens en espérant détourner l'attention de ce dont il est réellement question.

Je ne sais pas en quelle mesure ce projet de loi facilitera la tâche aux policiers, civils et militaires engagés dans la lutte contre le terrorisme. Je sais par contre qu'il servira aussi et surtout à élargir les pouvoirs des enquêteurs n'ayant strictement rien à voir ni à faire avec le terrorisme.

Pour en savoir plus, vous pouvez également aller consulter le site presumes-terroristes.fr, créé par la Quadrature du Net, voire téléphoner à votre député grâce à leur PiPhone pour lui en parler, et réclamer que le débat porte sur ce dont il est réellement question : un accroissement des pouvoirs d'écoute et d'investigation en matière de lutte contre la criminalité organisée, notamment.

Voir aussi:
CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET
Scanners : terrorisme, sexe et démagogie
La NSA n’espionne pas tant la France que ça
Les terroristes sont des ratés comme les autres
Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA


CONFIDENTIEL — NE PAS DIFFUSER SUR INTERNET

Wed, 20 Aug 2014 12:51:20 +0000 - (source)

FredRaynalgameboy"pappy" a des pudeurs de jeunes filles. Fin mai, il s'étonnait, sur Twitter, de découvrir que Google avait répertorié 1150 fichiers .pdf à "ne pas diffuser" sur les sites en .gouv.fr, et invitait l'ANSSI (l'agence en charge de la cyberdéfense) et TadaWeb (une plateforme de veille qui permet d'automatiser, très facilement, l'extraction et le filtrage de documents disponibles en ligne, voir ljourne mode d'emploi) à creuser le filon :



Ne cherchant pas particulièrement à voir son identité mentionnée dans Le Canard Enchaîné -qui a publié, début août, un article à ce sujet-, "pappy" y est pudiquement décrit comme "un internaute facétieux". Co-fondateur du SSTIC et de MISC, le symposium et le magazine de référence, en France, en la matière (je vous conseille ses éditos truffés de calembours et de bons mots), Frédéric Raynal — son vrai nom –, est aussi et surtout un vieux briscard de la sécurité informatique, ex-responsable R&D en sécurité informatique chez EADS puis Sogeti, passé par l'École de Guerre Economique, avant de créer QuarksLab, une entreprise de sécurité informatique défensive "et" offensive, choisie pour auditer la sécurité de Chatsecure, la messagerie instantanée sécurisée d'IOS.

Sur le millier de documents qu'il a pointé du doigt, aucun ne révèle de secret d'État. Il n'empêche : plusieurs dizaines d'entre eux n'auraient jamais du se retrouver, ainsi, "à poil sur le web", et quelques-uns ont d'ailleurs été prestement retirés du www suite à l'intervention de votre serviteur. Petit tour d'horizon.

"Document de travail à usage interne, ne pas diffuser"

En 2007, l'Agence française de sécurité sanitaire des aliments consacrait un rapport à la "Place des lipides dans l'alimentation" recommandant de "réduire de 30% au moins la consommation de certains aliments contributeurs d’acides gras trans (viennoiseries, pâtisseries, produits de panification industriels, barres chocolatées, biscuits) de faible intérêt nutritionnel". Signe du caractère sensible de ce dossier, chacune des 51 pages de ce rapport était estampillée, en rouge, "Document de travail, ne pas diffuser", et tamponnée d'un énorme "Document à usage interne".

NePasDiffuserLipides2

Il n'en est pas moins librement téléchargeable sur le site web du ministère de la santé, tout comme un questionnaire sur les personnes en situation de handicap âgées de 40 ans et plus, une grille d'évaluation interne des établissements d'hébergement pour personnes âgées dépendantes (EHPAD), ou encore un rapport du groupe de travail du Conseil supérieur d’hygiène publique de France sur le "Risque de contamination horizontale au sein de collectivité d'enfants en cas de présence d'un porteur du virus de l'hépatite B (VHB) et opportunité de vacciner la population contact", eux aussi estampillés "Document de travail, ne pas diffuser".

Le ministère de la Santé n'est pas le seul à baver de la sorte. Il suffit en effet de chercher "ne pas diffuser" site:gouv.fr filetype:pdf dans Google pour faire remonter des centaines de fichiers .pdf, disponibles sur les sites web de l'administration française.

On trouve ainsi, sur le site web du ministère de l'économie, une "Version provisoire, ne pas citer, ne pas diffuser " d'une étude sur "les véritables moteurs de la croissance" en Chine, un rapport de la DATAR sur les systèmes urbains de proximité truffé de "cartes de travail non définitives à ne pas diffuser", une "Enquête sur les pratiques de jeux d’argent et de hasard en ligne" siglée, en rouge et en exergue de chacune de ses 23 pages : "CONFIDENTIEL Ne pas diffuser", ou encore des communiqués de presse de Pierre Moscovici sur la cession par l'Etat de titres Safran, EADS et Airbus estampillés, en lettres majuscules, en italique et en gras : "NE PAS DIFFUSER NI DISTRIBUER NI PUBLIER AUX ETATS-UNIS, AU JAPON, EN AUSTRALIE OU AU CANADA" (sic - MaJ : en commentaire, un "spécialiste de la finance" précise que cette expression "se retrouve dans la quasi-totalité des documents de bourse publiés en France car non enregistrés ou non conformes aux lois de ces pays").

NePasDifuserDatar2

Pas bégueule, le site de l'Observatoire des Territoires de la Savoie propose un document encore plus curieux, puisqu'on y trouve une carte du périmètre de protection des captages d'alimentation en eau potable de la forêt de la Caisse des écoles présentée, en vert, comme un "document destiné à la consultation du public", mais qui n'en précise pas moins, en rouge, qu'il s'agit là de "Données sensibles, ne pas diffuser"...

NePasDiffuser1

Google a également répertorié un "Document à usage interne" sur la "Surveillance des maladies à caractère professionnel" en Auvergne, un "Etat des lieux de la pauvreté en Poitou-Charentes" mentionnant, en haut de ses 114 pages, "Document de travail" et, en bas, "Ne pas diffuser", un "Document confidentiel" de la CFTC sur la Responsabilité sociale des entreprises (RSE) (qualifiée d'"enjeu primordial parce qu’à l’instar des théories de Karl Polanyi et de Mark Granovetter, nous considérons que l’entreprise est encastrée dans la société"), une "NOTE SUCCINTE A USAGE INTERNE" sur l'option pelote basque du Brevet d'Etat d'éducateur sportif, ainsi qu'une vingtaine de rapports de commissaires aux comptes estampillés "DOSSIER CONFIDENTIEL", "NE PAS DIFFUSER" ou "[A usage interne]" sur le site web du Journal Officiel... (MaJ : en commentaire, un responsable de la DILA -en charge de la publication du JO, notamment-, précise qu'il "ne fait qu'assurer son obligation de publier les comptes des associations dans l'état où ils sont transmis et sans retirer aucune mention").

Plus exotiques, mais néanmoins estampillés "CONFIDENTIEL", citons aussi une liste des canalisations en Franche-Comté, l'organigramme des services du Conseil Général du Cantal, le cahier des charges du label rouge des "Betteraves rouges cuites sous vide", un avis de traitement obligatoire de la mouche du brou en Rhône-Alpes, ainsi que la présentation de projets de serres en verre photovoltaïque dont les pages n'en sont pas moins surmontées d'un "CONFIDENTIEL — MERCI DE BIEN VOULOIR NE PAS DIFFUSER SUR INTERNET"... mais dont on se demande bien pourquoi ils sont présentés comme "CONFIDENTIEL".

ConfidentielPlateauRatatouille

Contacté, le créateur du "Plateau Ratatouille" n'a pas réagi, contrairement à l'Agence nationale de traitement automatisé des infractions (ANTAI) -dont le patron avait démissionné en octobre 2013 après que Mediapart ait révélé qu'il se faisait rembourser ses PV-, et qui a fait retirer du site web de la préfecture du Vaucluse, après en avoir été informé (mais sans lui adresser de PV), la "Présentation aux collectivités territoriales" du procès-verbal électronique (PVE), tamponnée "Document strictement confidentiel, réalisé à l’usage exclusif de l’ANTAI".

1408ConfidentielPVE

"Diffusion restreinte aux seuls destinataires"

En France, la mention "Diffusion Restreinte" (DR) n'est pas à proprement parler un "niveau de classification" (type "Secret Défense"), mais une "mention de protection" dont l'objectif principal est de "sensibiliser l'utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention".

L'arrêté du 30 novembre 2011 "portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale" précise ainsi qu'une information classifiée DR "ne doit pas être rendue publique et ne doit être communiquée qu'aux personnes ayant besoin de la connaître dans l'exercice de leurs attributions", mais également que l'auteur d'une éventuelle divulgation "s'expose à des sanctions disciplinaires ou professionnelles".

diffusion restreinte

Google n'en a pas moins répertorié -et archivé- une trentaine de documents estampillés "Diffusion restreinte", dont la liste des correspondants "canicule" de la préfecture de Haute-Savoie -y compris les n° de téléphones mobiles de la directrice de la Direction Départementale de la Protection des Populations, et de son adjoint-, la description technique d'un logiciel de sécurité informatique développé pour l'Agence nationale des titres sécurisés (ANTS), deux anciens "formulaires d'acceptation d'un rôle de confiance" destinés aux employés du ministère de la Justice chargés de la délivrance des cartes et certificats d'authentification et de signature électronique, ou encore le Plan départemental de prévention de la délinquance du Val de Marne de 2007 -"PDPD" (sic) qui dresse la liste des quartiers à "forte délinquance endogène".

La palme revient cela dit au Conseil général des Yvelines, qui avait partagé sur son site web une bonne dizaine d'annexes "à diffusion restreinte" de délibérations comportant les noms, prénoms et domiciliations d'Yvelinois à qui il avait attribué des bourses (avec leur montant), mais également de personnes endettées à qui il avait consenti une remise grâcieuse de dettes... ou pas.

Où l'on découvre qu'une bonne partie des personnes "endettées" à qui le Conseil général des Yvelines a réclamé un "trop-perçu" sont en fait les héritiers de personnes âgées décédées, qui n'en ont pas moins continué à percevoir quelques centaines d'euros d'allocations le temps que l'administration s’aperçoivent qu'elles étaient mortes, et enterrées...

1408DRrefus

Contacté, le cabinet de Pierre Bédier -qui a récupéré la présidence du Conseil général des Yvelines en avril dernier, à l'issue de sa condamnation à six ans d'inéligibilité, dans une affaire de corruption- reconnaît avoir fait "une erreur" et a fait retirer ces documents de son site web.

Une telle divulgation de données personnelles, "commise par imprudence ou négligence", est passible de trois ans d’emprisonnement et de 100 000 € d’amende.

La liste des autres documents "DR" répertoriés par Google :

Voir aussi :
Plus de fichiers = plus de fuites
« Les écoutes made in France », ma 1ère BD
La NSA n’espionne pas tant la France que ça
Internet & données personnelles: tous fichés ?
Pour la CNIL, 18% des Français sont « suspects »


Le 11 septembre 2001 fut un « cadeau fait à la NSA », dixit… le n°3 de la NSA

Sun, 01 Jun 2014 15:48:19 +0000 - (source)

aff snowden pte- ALEn introduction de son livre -passionnant- consacré à "L'affaire Snowden : comment les Etats-Unis espionnent le monde", Antoine Lefébure -un des rares experts français en la matière- explique que ce qui l'a poussé à l'écrire, c'est "l'insupportable métaphore de la « botte de foin »" utilisée par le général Keith Alexander, ex-patron de la NSA. Une métaphore brillamment résumée au Washington Post par un ancien responsable du renseignement américain :

« Plutôt que de chercher l'aiguille dans la botte de foin, son approche était de ramasser toute la botte de foin, de tout ramasser, classer, stocker... pour ensuite pouvoir espérer y retrouver ce que vous cherchez. »

Dans un extrait inédit de son interview à la NBC, Edward Snowden rappelle à ce titre que les services américains avaient des informations qui leur auraient permis d'empêcher les attentats du 11 septembre 2001, mais qu'ils n'ont pas su les exploiter, faute de pouvoir comprendre "cette botte de foin que nous avions collectée".

Début janvier, dans une lettre ouverte à Obama, quatre autres lanceurs d'alerte également issus de la NSA dénonçaient eux aussi le fait que la NSA, le FBI et la CIA disposaient d'informations précises qui, si elles n'avaient été noyées sous la masse, auraient pu -et du- empêcher les attentats, qualifiés de "cadeau fait à la NSA" par... le n°3 de la NSA.

« La NSA aurait pu empêcher les attentats »

Plutôt que de chercher l'aiguille dans la botte de foin, la NSA a donc décidé de collecter toutes les bottes de foin, ce que démontre l'un des documents révélés dans le nouveau livre de Glenn Greenwald, Nulle part où se cacher.

Sniff it all, Know it all, Collect it all, Process it all, Exploit it all, Partner it all

"Sniff it all, Know it all, Collect it all, Process it all, Exploit it all, Partner it all"

Trop d'infos tue l'info : pour autant, et à tout vouloir espionner, la NSA n'a pas été en mesure d'empêcher les attentats de 2001, pas plus que ceux qui, depuis, ont visé les USA, comme l'a expliqué Edward Snowden à la NBC, qui n'avait initialement diffusé qu'une seule des quatre heures d'interview qu'il lui avait accordé, fin mai.

La chaîne TV vient de rendre publics d'autres extraits, dont un où il évoque la faillite du renseignement américain au regard des attentats du 11 septembre 2001 en particulier, et de la "surveillance massive" telle que pratiquée par la NSA et son homologue britannique (le GCHQ) en général.

Snowden y revient sur le fait que la commission en charge des attentats du 11 septembre 2001 (9/11 -ndlr) avait découvert, post-mortem, en consultant tous les documents classifiés des différents services de renseignement, qu'ils disposaient pourtant de "toutes les informations susceptibles de détecter ce complot" :

« Nous avions des informations sur des appels téléphoniques depuis ou vers les États-Unis. La CIA connaissait ces gars. Le problème, ce n'était pas la collecte de l'information, le fait de ne pas pouvoir les mettre en relation ("have enough dots", en VO), non plus que le fait de ne pas avoir la botte de paille, mais le fait que nous ne comprenions pas cette botte de paille que nous avions collectée.

Sommes-nous en train de gaspiller de l'argent pour une "solution magique" qui, non contente de brader notre sécurité, brade aussi nos droits et notre mode de vie ("way of life", en VO) ? »

Le problème, avec la "surveillance de masse" telle qu'elle est pratiquée par la NSA, c'est qu'elle revient aussi et surtout à empiler toujours plus de bottes de paille dans le ou les entrepôts de bottes de paille que la NSA ne sait pas vraiment analyser, et exploiter.

Cherchant à illustrer ce pour quoi ces programmes "ne nous protègent pas", Snowden évoque ainsi le fait que les informations partagées par les services de renseignement russes au sujet des (futurs) auteurs de l'attentat terroriste du marathon de Boston n'ont pas permis aux services US d'empêcher ledit attentat.

Pour en revenir à 9/11, on avait ainsi découvert que la NSA ne partageait pas les informations qu'elle avaient interceptées et analysées avec la CIA, et vice versa; Mark Rossini, un agent de liaison du FBI en poste dans la cellule de la CIA dédiée à la traque de Ben Laden, n'avait ainsi pas eu le droit de transmettre à ses collègues le fait que deux des terroristes qui allaient organiser l'attentat suicide venaient d'atterrir aux USA (voir L’espion qui aurait pu empêcher le 9/11); le FBI, par ailleurs, avait reçu des informations évoquant la préparation d'attentats, au moyen d'avions lancés sur plusieurs villes aux USA, mais avait aussi demandé à ses traducteurs de ralentir leurs traductions dans l'espoir de... voir son budget augmenter.

« 9/11 est un cadeau fait à la NSA », dixit... le n°3 de la NSA

En janvier 2014, 4 lanceurs d'alerte issus de la NSA rendaient publique une lettre ouverte à Barack Obama, dénonçant la logique de la surveillance massive pratiquée par leur ex-employeur, au motif qu'elle ne permettrait pas d'empêcher un nouvel attentat type "9/11", mais également pour lui expliquer que "la NSA disposait de suffisamment d'informations pour empêcher 9/11, mais préféra s'asseoir dessus plutôt que de les partager avec le FBI" :

« Nous le savons : nous y étions. Nous avons été les témoins de nombreux comportements bureaucratiques indignes qui rendent la NSA au moins aussi coupables que les autres agences US de la faillite du renseignement américain d'avant-9/11. »

William Binney, Thomas Drake, Edward Loomis et Kirk Wiebe connaissent bien la NSA : au total, ils y ont travaillé pendant 144 années, au plus haut niveau, avant d'en démissionner suite aux orientations, dysfonctionnements et pratiques illégales perpétrées par la NSA suite aux attentats du 11 septembre 2001.

Rappelant que Keith Alexander, le directeur de la NSA, s'était d'abord vanté d'avoir contrecarré 54 attentats, avant de reconnaître, finalement, que la NSA n'avait en fait déjoué qu'un seul... virement, les lanceurs d'alertes notaient également qu'elle n'avait pas non plus anticipé les attentats de Boston, Times Square, pas plus que celui du terroriste au slip (voir Les terroristes sont des ratés comme les autres et Scanners : terrorisme, sexe et démagogie).

THINTHREAD (fil mince, en VF), le système d'écoute et d'alerte conçu par Loomis, Binney et Wiebe, bien plus respectueux de la loi et de la vie privée, bien moins cher aussi, et bien plus contrôlé par les autorités, avait été écarté, par les pontes de la NSA, qui préférèrent privilégier la surveillance massive à la surveillance ciblée... trois semaines avant les attentats de 2001.

A les en croire, une des raisons pour lesquelles leur programme fut délaissé, au profit d'un autre projet, TRAILBLAZER, bien plus intrusif et onéreux (un véritable gouffre financier qui ne marcha jamais et qui fut finalement abandonné) tenait au fait qu'il ne coûtait pas assez cher, et qu'il ne rapportait pas assez d'argent aux sous-traitants privés de la NSA. En clair : le complexe militaro-industriel aurait corrompu les autorités US et responsables de la NSA, et cette "corruption" se serait aggravée après les attentats.

Dans une interview passionnante, intitulée Tout savoir sur tous accordée à Daniel Mermet dans Là-bas si j'y suis, Thomas Drake raconte comment, au sortir de la guerre froide, la NSA s'était retrouvée sans ennemi facilement identifiable à écouter, et révèle que son supérieur direct, n°3 de la NSA, lui avait dit que "le 11 septembre est un cadeau fait à la NSA : maintenant, nous avons un ennemi".

Il revient également sur la mentalité du complexe militaro-industriel, pour qui les gros problèmes ne peuvent être résolus sans gros contrats ("big problems, big bucks, big contracts !").

Thomas Drake explique aussi avoir découvert que la NSA disposait de nombreuses informations concernant les futurs auteurs de 9/11 -dont le contenu de sept appels téléphoniques passés par Khalid al-Mihdhar, l'un des terroristes du 9/11, à l'un des centres d'Al Qaeda au Yémen-, mais qu'elle ne les avait pas partagées avec les autres services de renseignement, et même que ces révélations, qu'il avait faite à la commission d'enquête sur 9/11, a été effacée de leur rapport...

Dans le second épisode de Tout savoir sur tous, Bill Binney explique lui aussi que si son programme THINTHREAD avait été activé avant le 11 septembre 2001, il aurait pu prévenir les attentats, et qu'ils décidèrent finalement de quitter la NSA, le 31 octobre 2001, en raison de "la violation de la Constitution, la corruption, les malversations, les fraudes entre prestataires de service et la NSA".

Les vétérans y expliquent également que la NSA ne surveillait pas Internet avant les attentats, parce que "tout y circule en clair" et qu'on ne devait pas y trouver, a priori, d'informations si sensibles que ça, mais que le 11 septembre 2001 lui a permis de pouvoir surveiller "toute la botte de foin" : les marchands d'armes de surveillance lui fournissaient la technologie, et l'administration Bush lui en donnait le droit, quitte à violer la loi, au mépris de la Constitution.

Qui surveillera les surveillants ?

Il est certes facile de refaire le match, et rien ne permettra jamais de savoir si, effectivement, une NSA moins paranoïaque, moins dépendante du complexe militaro-industriel, moins motivée par la collecte de toutes les bottes de foin que par l'analyse du renseignement, aurait pu prévenir les attentats.

Il n'en reste pas moins que les trois lanceurs d'alerte -et vétérans- de la NSA interviewés par Daniel Mermet applaudissent ce qu'a fait Edward Snowden, qu'ils le considèrent comme un véritable patriote, et que ce qui les réunit, aussi, c'est la dénonciation de la paranoïa institutionnalisée de la NSA. Non seulement parce qu'elle viole la Constitution américaine, mais également parce que ça ne marche pas, et que les seuls à qui elle profite sont les néo-cons, et le complexe militaro-industriel, ce qu'évoquait également Edward Snowden dans l'extrait diffusé sur NBC :

« Je prends la menace terroriste au sérieux, et je pense que nous le faisons tous. (Mais) je pense que c'est vraiment malhonnête de la part du gouvernement d'invoquer voire d'instrumentaliser nos souvenirs, et d'exploiter le traumatisme national dont nous avons tous souffert, afin de justifier des programmes qui n'ont jamais démontré qu'ils pouvaient assurer notre sécurité, alors qu'ils nous en coûtent en matière d'atteintes aux libertés, que nous ne devrions pas avoir besoin d'abandonner, et auxquelles notre Constitution dit que nous ne devrions pas renoncer. »

Ces lanceurs d'alerte ne sont pas "contre" la NSA, ni la surveillance des télécommunications, Binney, Loomis et Wiebe ayant même contribué à bâtir l'architecture de ses systèmes d'interception. La question n'est pas d'être "pour" ou "contre" le fait que des espions espionnent, mais de savoir "qui surveillera les surveillants", et comment.

Ce pour quoi, comme le soulignait à juste titre Franck Burlinge -autre spécialiste du renseignement-, "il est urgent et important que nos dirigeants acquièrent une meilleure pratique du renseignement", et pas que nos dirigeants : les services de renseignement suscitent moult fantasmes, et on ne peut pas débattre sérieusement sur des choses que l'on ne connaît pas, ou mal.

Or, reconnaissait récemment Glenn Greenwald, "il s'est dit tellement de choses dans les médias depuis un an à propos d'Edward Snowden et des documents, et beaucoup de ces choses étaient simplement fausses" (cf, à ce titre, mon fact-checking de certaines des "révélations" du Monde).

On ne compte plus, en effet, le nombre de médias, journalistes, blogueurs, Twittos et Facebookés qui amalgament à l'envi ce que peuvent faire -en théorie- la NSA, le GCHQ & Cie, et ce que l'on sait qu'elles font vraiment. Alors que d'aucuns qualifiaient rapidement de "paranoïaques" ceux qui -avant les révélations Snowden- s'inquiétaient de la montée en puissance de la société de surveillance, (trop) nombreux sont ceux qui, aujourd'hui, sont prompts à affirmer (sur la foi de documents Snowden, souvent mal-interprétés) que Big Brother serait devenu réalité, et que la NSA (& Cie) n'aurait rien à envier à la STASI.

#WAIT : Obama n'est pas Staline, et si son administration a bel et bien lancé une véritable traque visant les whistleblowers (voir Snowden et la nouvelle « chasse aux sorcières »), la paranoïa des USA n'en est pas (encore) arrivée au niveau de celle qui prévalait alors en RDA (mais ça pourrait, et c'est précisément tout l'intérêt des révélations d'Edward Snowden).

« La police nous écoute, écoutons la police »

aff snowden pte- ALLa lecture du livre d'Antoine Lefébure, "L'affaire Snowden : comment les Etats-Unis espionnent le monde", est à ce titre doublement recommandée. D'une part parce qu'il n'extrapole, n'exagère ni ne sur-interprète les révélations basées sur les documents fournis par Edward Snowden, contrairement à ce qu'on lit parfois dans les médias.

D'autre part parce qu'il contextualise ces révélations : une partie non négligeable de son essai est ainsi consacrée à l'histoire de la NSA, du GCHQ, & de la DGSE -leur équivalent français.

On ne peut pas mesurer l'ampleur du problème, ni comprendre ce pour quoi Snowden et les autres lanceurs d'alerte de la NSA tirent la sonnette d'alarme si on ne connaît pas l'histoire technique et géopolitique du renseignement d'origine électromagnétique (ROEM), non plus que celles de ces journalistes qui avaient commencé, dès les années 70, à enquêter à ce sujet, à l'instar de Duncan Campbell, le journaliste d'investigation britannique à l'origine des révélations sur l'existence du système anglo-saxon Echelon.

Le parcours atypique d'Antoine Lefébure (@segalen sur Twitter) explique aussi la pertinence de son analyse des documents (et de la saga) Snowden. Journaliste, puis responsable des nouvelles technologies et directeur de la prospective chez Havas dans les années 80 (où il contribua à la création de Canal +), il devient consultant en stratégie Internet dans les années 90.

Devenu historien des médias, il écrit plusieurs ouvrages, dont une sur les Conversations secrètes des Français sous l'Occupation, basé sur les interceptions des courriers papiers et communications téléphoniques effectuées par les "grandes oreilles" du régime de Vichy.

Lefébure fut aussi l'un des premiers, en France, à faire le lien entre la contre-culture des années 70 et la montée en puissance de ces technologies.

Étudiant à Nanterre, il participa en effet à toutes les manifestations du mouvement du 22 mars, et bien évidemment aux événements de mai 1968, où il fréquenta Sartre, Virilio, Baudrillard, Godard...

"Spectateur assidu" des principaux rassemblements de l'époque (Woodstock, île de Wight, festival Actuel d'Amougies, en Belgique), il partit ensuite à Berkeley -autre haut lieu de la contestation dans les années 1970- pour y étudier la communication, avant de revenir à la Sorbonne pour y boucler une maîtrise d’Histoire contemporaine sur "Le rôle de la radio en France pendant la seconde guerre mondiale", puis un doctorat sur "Le monopole d’Etat et l’histoire du télégraphe et du téléphone en France".

InterferencesAyant donc très tôt associé les mouvements de libération et les systèmes de télécommunications, il y consacra une revue, Interférences, au mitan des années 1970, qui publiera des textes de Jean Baudrillard, Paul Virilio, William S. Burroughs, Philip K. Dick, Richard Pinhas, Maurice Ronai, Norman Spinrad, Philippe Aigrain...

Sous-titrée "pour une critique des appareils de communication", Interférences révéla dans son n°1 les plans secrets du nouveau réseau téléphonique gouvernemental français Régis, traita dans son n°2 de l'informatisation de la police aux États-Unis, des sabotages informatiques, puis de l'espionnage (et de la surveillance, et de la pollution) électronique, de la cryptographie, de la protection du secret en France et aux États-Unis, de l'"irruption du techno-imaginaire"... ainsi que de la NSA, en 1976.

NSA_AL

Lefébure fut aussi, logiquement, l'un des pionniers de ces radios que, à l'époque, on qualifiait de "pirates", contribuant à la création de Radio Verte en 1977, la première des "radios libres" à émettre ouvertement -depuis l'appartement de Jean-Edern Hallier- sur la bande FM, défiant ainsi le monopole de l'État sur les ondes. Elle continuera à diffuser ses émissions, en toute illégalité, jusqu'en 1981, malgré les brouillages de la DST.

Lefébure se fit aussi remarquer en se faisant passer pour le garde du corps de Brice Lalonde qui, sur le plateau d'Antenne 2, exhiba un petit transistor afin de faire écouter, devant 5 millions de téléspectateurs, un bêtisier se moquant de RTL, soi-disant diffusé sur Radio Verte (mais en fait pré-enregistré sur un magnétophone et diffusé depuis un petit émetteur par le faux garde du corps), piratage (et coup) médiatique qui contribua à lancer le débat sur la libération des ondes.

Passé par Libération, il découvrit aussi l'intérêt d'écouter les communications de la police "pour être au courant de tout avant tout le monde" et, à la grande fureur des autorités, fit la promotion de ce genre de hobby, écrivant dans les colonnes du quotidien "La police nous écoute, écoutons la police".

On ne saurait mieux résumer l'intérêt de sa démarche, et donc aussi de la lecture de son essai. Voir aussi sa tribune libre, sur leMonde.fr, Réglementons l'activité des services secrets, et la pétition qu'il vient de contribuer à lancer, avec 53 autres personnalités, appelant la France à accorder le statut de réfugié politique à Edward Snowden.

PS : si quelqu'un a une copie de l'article de Libération, ou des premiers n° d'Interférences, je serais grand preneur/-)

Voir aussi :
La NSA n’espionne pas tant la France que ça
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
DGSE/Orange : joue-là comme SuperDupont (#oupas)
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis


DGSE/Orange : joue-là comme SuperDupont (#oupas)

Tue, 20 May 2014 13:14:48 +0000 - (source)

ViveLaFranceLe Sénat organise ce jeudi 22 mai 2014 un colloque intitulé "Numérique, renseignement et vie privée : de nouveaux défis pour le droit" (et qui sera retransmis en direct sur le site du Sénat). Le secret entourant le fonctionnement des services de renseignement est prompt à générer fantasmes & paranoïa. A défaut de pouvoir participer concrètement au débat, j'ai voulu poursuivre mon fact-checking (contre-enquête, en VF) de certaines des révélations du Monde en cherchant à contextualiser celles portant sur la coopération entre Orange, la DGSE et le GCHQ (l'équivalent britannique de la NSA) d'une part, la "mutualisation" des services de renseignement d'autre part et, enfin, le fait que les services de renseignement ne sont toujours pas, en France, clairement bordés par la loi, au point que les parlementaires chargés de les contrôler ont du s'auto-censurer (voir aussi les épisodes précédents : La DGSE a le "droit" d'espionner ton Wi-Fi, ton GSM et ton GPS aussi, et La NSA n’espionne pas tant la France que ça).

Des "liaisons incestueuses"

"France Télécom est un acteur important du système de surveillance en France", avançait en effet Le Monde, en mars dernier, dans un article sur les "relations incestueuses" entre Orange et la DGSE qui, par son intermédiaire, disposerait, "à l'insu de tout contrôle, d'un accès libre et total à ses réseaux et aux flux de données qui y transitent". Un second article affirme même que "Les services secrets britanniques ont accès aux données des clients français d'Orange".

Une chose est d'avoir accès à "des" données, une autre est de toutes les espionner... nonobstant le fait que, et par ailleurs, les réseaux de France Télécom-Orange qui intéressent le plus les services de renseignement ne sont pas tant en France qu'à l'étranger.

140321leMondeUne

Les révélations du Monde reposent sur un document interne du GCHQ (le service de renseignement britannique en charge de l'interception, du piratage et du déchiffrage des télécommunications, et principal partenaire de la NSA), dont le Guardian avait révélé l'existence en novembre 2013 (mais que ni le quotidien britannique ni Le Monde n'ont rendu public).

Dans un article intitulé "GCHQ and European spy agencies worked together on mass surveillance" (le GCHQ et les services de renseignement européens travaillent ensemble à la surveillance de masse, en VF), le quotidien britannique écrivait alors que les services allemands, français, espagnols et suédois avaient développé des méthodes de surveillance massive du trafic téléphonique et Internet, notamment via la surveillance des câbles sous-marins, et que le GCHQ en avait bénéficié.

L'article révélait également que la DGSE avait accepté de travailler avec le GCHQ sur une base de "coopération et de partage", notamment pour ce qui est de la détection du trafic chiffré sur les câbles utilisant la fibre optique, mais aussi et surtout que la DGSE bénéficiait d'une relation privilégiée avec une entreprise de télécommunication française non identifiée, que les services britanniques avaient rencontré, par deux fois, en 2009. D'après Le Monde, ce partenaire privilégié serait France Télécom/Orange.

Dans un troisième article intitulé Les X-Télécoms, maîtres d’œuvre du renseignement, Le Monde évoque la figure tutélaire d'Henri Serres, qualifié de "père des moyens techniques dont disposent les services secrets français".

Directeur technique au ministère de la défense de 1980 à 1986, ce polytechnicien, passé par l'Ecole nationale supérieure des télécommunications, avait été chargé, en 1981, d'"auditer les services techniques" de la DGSE. En 1983, écrit Le Monde, il y crée une direction technique (DT), et l'équipe "d’ordinateurs puissants, de supercalculateurs capables de casser les codes" afin de "rattraper le retard de la France dans le domaine de l’interception".

"Dans son sillage, les X-Télécoms trustent cet univers depuis trente ans", plusieurs d'entre eux ayant effectué des "allers-retours constants entre la DGSE et France Télécom" :

«Les X-Télécoms et la DGSE, c’est la même conception de l’Etat», résume, aujourd’hui, un membre de cabinet ministériel.

D'après Le Monde, "les attentats du 11 septembre 2001 ont accru la coopération entre les services de renseignement et entraîné France Télécom dans cette mutualisation des moyens sur la collecte des données et le déchiffrement".

Les "grandes oreilles" étaient cachées aux PTT

On pourrait aussi faire remonter les "liens incestueux" entre les deux institutions à 1940, lorsque plusieurs polytechniciens, sous Vichy, "camouflèrent" les agents de l'ancêtre des "grandes oreilles" de la DGSE en les faisant passer pour des employés des PTT.

gcr11Dans un article passionnant sur l'histoire de l'interception des télécommunications par les services de renseignement français, le journaliste Roger Faligot écrivait en effet, en 2001, que le Groupement de Communications Radioelectriques (GCR, ancêtre de la direction technique -et donc des "grandes oreilles"- de la DGSE), créé en 1940, juste après la débâcle, par l'administration Vichy, "travaillait officiellement pour les Postes & télécommunications (P&T)", afin de donner une couverture à ses agents, et leur permettre de rester camouflés aux yeux des occupants nazis, ainsi que des collaborateurs français.

En 2010, le fils de l'un de ses responsables expliquait (.pdf) en effet que le GCR était "officiellement chargé d'écouter les émissions radio, militaires et civiles, nationales et internationales, pour les différents départements ministériels du Gouvernement de Pétain" mais aussi, et "officieusement", de "sauvegarder le potentiel d'écoutes radio de l'Armée française en vue de la reprise des hostilités contre l'envahisseur".

Paul Labat, qui dirigeait le GCR, orchestra cette "extraordinaire opération de camouflage" en faisant signer un accord secret avec le Directeur des télécommunications des PTT, pour que les officiers des Transmissions, bien que démobilisés, puissent continuer à y effectuer leur carrière, sans être estampillés comme militaires. En 1941, le GCR, "véritable opération de résistance institutionnelle", était ainsi rattaché au Secrétariat d'État à la Communication, comme les PTT.

Plusieurs de ses officiers figurèrent "parmi les tous premiers membres de l'Armée secrète", et très vite le GCR se mit au service de la Résistance et des Forces alliées, espionnant la Wehrmacht et la Gestapo au profit de la France libre, et du MI6 de l'Intelligence Service, à Londres.

Les écoutes au GCR d’Hauterive (Allier), en 1941 [Archives Roger RICHARD

Les écoutes au GCR d’Hauterive (Allier), en 1941 - Archives Roger RICHARD

Camouflés comme employés des PTT, les espions du GCR continuèrent leurs activités, malgré l'occupation de la "zone libre", certains préférant quand même passer dans la clandestinité. Traqués par la Gestapo à partir de 1943, 27 d'entre eux furent arrêtés, et déportés; seulement 9 y survivront.

Le GCR fut réactivé en 1945 : pas moins de ses 4 000 agents -en France et dans le monde- assuraient alors "chaque jour l'écoute de 600 émissions de radiophonie en 36 langues, de 30 émissions de radiotélégraphie en 10 langues, et de 92 émissions de trafic privé". Il sera rattaché en 1948 au Service de documentation extérieure et de contre-espionnage (SDECE), l'ancêtre de la DGSE.

Matthew M. Aid, spécialiste de la NSA, souligne dans un ouvrage consacré au renseignement technique pendant la guerre froide, que la France et le Royaume-Uni n'ont jamais cessé d'échanger des informations, même après le départ de la France de l'OTAN, en 1966. A contrario, les échanges entre le SDECE et la NSA cessèrent dans les années 60 parce que les USA soupçonnaient le SDECE d'avoir été infiltré par le KGB.

D'après Roger Faligot, Alexandre de Marenches, qui prit la tête du SDECE en 1970, profita cela dit de ses bons rapports avec les services de renseignement anglo-saxons pour recommencer à échanger du renseignement SIGINT (pour SIGnal INTelligence) avec la NSA et le GCHQ, et contribuer au pacte UK-USA "sans officiellement en faire partie".

Les relations entre la DGSE et les PTT d'une part, le GCHQ et la NSA d'autre part, n'ont donc, en soi, rien de très nouveau, même si elles ont connu des soubresauts, et qu'elles ne sont plus aussi "incestueuses" que du temps de l'Occupation.

« Le plus grand réseau voix/données au monde »

Interrogé par Le Monde, Stéphane Richard, le patron d'Orange, a indiqué que « des personnes habilitées secret-défense peuvent avoir à gérer, au sein de l'entreprise, la relation avec les services de l'Etat et notamment leur accès aux réseaux, mais elles n'ont pas à m'en référer. Tout ceci se fait sous la responsabilité des pouvoirs publics dans un cadre légal ».

Dans une interview aux Echos, il rétorque que "sur les écoutes, on n’a pas appris grand-chose" :

« Oui, nous avons des relations avec les services de l’Etat dans le strict cadre légal et sous le contrôle des juges. Je ne me sens pas visé, cela montre plutôt qu’Orange est une entreprise stratégique. »

Qualifiant les révélations du Monde d'"hypothèses farfelues", Stéphane Richard précisait, mi-mai, que "non, il n'y a pas de collecte de données massive par l'État", et qu'il fallait poser la question aux services secrets.

Sur Twitter, le service presse d'Orange précise, de façon laconique, avoir, "comme tous les opérateurs, des relations avec les services de l’État en charge de la sécurité du pays et des Français" :

« Ces relations se font dans le strict respect des lois et en toute légalité, sous la responsabilité de l’État et du contrôle des juges. »

Ce qui, in fine, proscrit donc toute surveillance massive de données en France... mais pas à l'étranger.

Or, les télécommunications relayées par Orange ont de quoi fortement intéresser la DGSE : implanté dans 21 pays d'Afrique et du Moyen-Orient (dont la Côte d'Ivoire, l'Irak, la Jordanie, le Mali, le Maroc, le Niger et la Tunisie, notamment), où le groupe revendique plus de 100 millions d'abonnés, ainsi que, via sa filiale Sofrecom, en Syrie, dans la Libye de Kadhafi, la Tunisie de Ben Ali, en Éthiopie (où Human Rights Watch vient de révéler l'existence d'un vaste réseau de surveillance des télécommunications), Orange se vante, via son autre filiale Business Services, d'avoir "le plus grand réseau voix/données sans couture au monde couvrant 220 pays et territoires", avec 231 millions de clients.

Carte-mondiale-des-cables-sous-marins-edition-avril-2012._820

De plus, France Télécom Marine, filiale à 100% d'Orange, dispose d'une flotte de 6 navires câbliers, et a installé, depuis 1975, près de 170 000 km de câbles sous-marins dans tous les océans -dont 140 000 en fibre optique-, soit 20% des 800 000 kilomètres de câbles sous-marins actuellement en service... de quoi attirer l'attention des services de renseignement.

Pour autant, ces câbles ne transitent pas que les seules communications des abonnés d'Orange. Or, les révélations du Monde ciblaient les seuls "clients français d'Orange"...

« Et toutes ces méta-données, on les stocke »

La question reste pour autant de savoir si la DGSE, comme l'affirme Le Monde, et au mépris de la loi, "puise massivement dans les données de l'opérateur historique français", et si "les services secrets britanniques ont accès aux données des clients français d'Orange". Au-delà de l'illégalité d'une telle opération, quelques points méritent d'être précisés.

Les volumes de données qui transitent sur les réseaux depuis la démocratisation de la téléphonie mobile et de l'Internet sont tels que ce qui intéresse de prime abord enquêteurs de police et services de renseignement, aujourd'hui, ce sont les méta-données : qui communique avec qui, à quelles fréquences, quand, pendant combien de temps, d'où, et donc de dresser le réseau -ou graphe- relationnel de leurs cibles.

Comme l'avait expliqué Bernard Barbier, alors directeur technique de la DGSE, dans une conférence à laquelle j'avais assisté (voir Frenchelon: la DGSE est en « 1ère division »), "le contenant devient plus intéressant que le contenu" :

« Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s'intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau. »

Patrick Calvar, directeur central du renseignement intérieur (DCRI, devenue depuis DGSI) depuis le 30 mai 2012, déclarait de son côté, lors d'un colloque l'an passé qu'"il faut le savoir, aujourd'hui, cela ne sert plus à rien à d'écouter une ligne téléphonique, sauf coup de chance, ce qui peut arriver" :

« Ça n'a qu'un seul intérêt, celui de la géolocalisation. Mais même cela est compliqué, puisqu'il faut des autorisations particulières. Donc la seule chose qui nous importe est de pouvoir pénétrer, sonoriser, attaquer l'informatique. C'est totalement exclus dans le droit français, sauf en matière judiciaire. »

De nombreux documents Snowden montrent à ce titre que les programmes d'interception et de surveillance massive de NSA et le GCHQ portent moins sur l'analyse du contenu des télécommunications (internet ou téléphoniques) que de leurs méta-données.

Si la DGSE faisait du massif avec le concours d'Orange, ce serait plus probablement sur les méta-données que sur le contenu des télécommunications.

Un « Big Brother » français ?

Ce n'est pas la première fois que Le Monde surestime les faits d'armes et capacités des services de renseignement technique, confondant notamment contenu et contenant, télécommunications et méta-données. Dans un article intitulé "Comment la NSA espionne la France", Jacques Follorou et Glenn Greenwald avaient ainsi révélé en octobre 2013 que « 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013 ». On a depuis appris qu'il s'agissait en fait de méta-données interceptées par les services de renseignement français, à l'étranger, et partagées avec la NSA (voir mon factchecking, La NSA n’espionne pas tant la France que ça).

superdupontCielEn juillet 2013, Le Monde avait également révélé, dans un article intitulé "Révélations sur le « Big Brother » français", que la DGSE espionnait "le flux du trafic Internet entre la France et l'étranger en dehors de tout cadre légal", ainsi que "la totalité de nos communications" :

« La Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l'étranger : la totalité de nos communications sont espionnées. L'ensemble des mails, des SMS, des relevés d'appels téléphoniques, des accès à Facebook, Twitter, sont ensuite stockés pendant des années. »

Les professionnels travaillant aux cœurs des réseaux de télécommunications que j'avais interrogés avaient alors émis de très sérieux doutes quant à la faisabilité technique d'une telle surveillance généralisée de nos télécommunications, en France qui, du fait de son réseau décentralisé, nécessiterait l'installation de systèmes d'interception dans près de 16 000 répartiteurs téléphoniques (propriétés exclusives de France Télécom), plus quelques 40 000 DSLAM (qui récupèrent le trafic transitant sur les lignes téléphoniques afin de router les données vers les gros tuyaux des FAI), pour la surveillance du trafic Internet, et ce, sans compter les boucles locales radio et de fibres optiques (voir La DGSE a le "droit" d'espionner ton Wi-Fi, ton GSM et ton GPS aussi)...

En août, Le Monde reconnaissait de fait que les services ne s'intéressaient "pas tant au contenu des messages qu'à leur contenant : qui parle à qui et d'où (les fameuses "métadonnées), et qu'"il est donc possible que la DGSE ne collecte pas "la totalité" des communications électromagnétiques mais elle en intercepte une très large part".

Ce qui pose la question de la surveillance des câbles sous-marins transitant par la France et gérés, pour une bonne part, par Orange.

La montée en puissance de la DGSI

La DGSE étant un service de renseignement extérieur, la quasi-totalité de ses cibles sont hors de nos frontières, et la DGSE a probablement autre chose à faire que d'analyser, dans son nouveau datacenter, les appels téléphoniques de l'ensemble des abonnés d'Orange France, a fortiori de les rerouter vers le GCHQ.

Une surveillance massive des méta-données voire des télécommunications passées en Libye, au Niger ou au Mali (par exemple), et donc -notamment- sur les réseaux ou câbles des filiales d'Orange, serait bien plus plausible, et intéressante pour un service de renseignement.

De plus, une telle opération d'espionnage des télécommunications, en France, déployée par le service de renseignement extérieur, dont les missions sont a priori cantonnées "hors du territoire national", pourrait déclencher une "guerre des services" avec la nouvelle Direction générale de la sécurité intérieure (DGSI, ex-DCRI, qui avait absorbé la DST et les RG du temps de Nicolas Sarkozy) qui, dans le cadre de ses missions, "contribue à la surveillance des communications électroniques et radioélectriques (...) sur l'ensemble du territoire de la République".

Signe de la montée en puissance de la DGSI : elle vient de se doter d'un "directeur technique", Jean-Luc Combrisson, un militaire, ingénieur de l'armement qui était jusque là responsable du pôle télécommunications et sécurité des systèmes d'information à la Délégation générale de l'armement (DGA), secondé du commissaire Stéphane Tijardovic, qui s'était illustré en accédant aux fadettes du journaliste du Monde et qui, pour accéder aux données interceptées par la DGSE, avait du y envoyer 10 de ses hommes, au risque de laisser les "cousins", comme l'écrivaient les auteurs de L'espion du président "deviner, en fonction des enquêtes, les sujets d'intérêt du moment à Levallois.

Ils auront pour mission d'organiser le renseignement technique à la DGSI, et notamment les interceptions menées au Département de Recherche Technique (DRT) de Boullay-les-Troux, le centre d'interception des télécommunications, et pôle d'investigation numérique, de la DGSI, ainsi que du Centre technique d'assistance (CTA), créé suite aux attentats de 2001 afin de pouvoir décrypter les communications chiffrées, et dont elle vient de récupérer la tutelle.

Autre signe de la montée en puissance de la DGSI en matière de renseignement technique : sa division des systèmes d'information a lancé une quinzaine de procédures de recrutement depuis janvier 2014, comme l'a récemment révélé IOL, dont un responsable de la sécurité des systèmes d'information (.pdf), un ingénieur sécurité expert des analyses "forensics" (.pdf) ou encore un technicien orienté investigation numérique (.pdf)...

De la "guerre" à la "mutualisation" des "services"

Auditionné, fin avril, par la commission des lois à l'Assemblée, Bernard Cazeneuve, le nouveau ministre de l'Intérieur, révélait par ailleurs que le plan anti-djihad du Gouvernement ne se réduira pas "à la création d’un numéro vert" :

« Les cyberpatrouilleurs ne peuvent aujourd’hui être assurés de l’efficacité de leur intervention lorsqu’ils s’introduisent sous pseudonyme dans les forums de discussion djihadistes. Notre plan comporte une mesure qui leur permettra d’enquêter en ligne sous pseudonyme.

De surcroît, afin de disposer du temps nécessaire pour conduire les enquêtes jusqu'à leur terme, nous proposerons au Parlement que les données recueillies par ce moyen ou grâce aux interceptions de sécurité puissent être conservées au-delà de dix jours et jusqu'à un mois, de manière à ce qu'elles puissent être exploitées de manière exhaustive, dans le respect rigoureux des libertés publiques et des textes en vigueur.

Enfin, la loi permettra l'interconnexion à distance entre nos services, de manière à disposer de la palette d’informations la plus large possible. »

Cette "interconnexion à distance fait furieusement penser à l'Infrastructure de mutualisation, la base de données de la DGSE, à laquelle ont accès les autres services de renseignement français, dont l'existence avait été révélée par Le Monde, et qu'avait évoqué la Délégation parlementaire au renseignement dans son rapport 2013 :

« La délégation rappelle aussi que la mutualisation des capacités techniques des services de renseignement répond à la fois aux nécessités d’optimisation de la ressource budgétaire et à des besoins opérationnels. Depuis 2008, des progrès ont été réalisés en matière de mutualisation des capacités, notamment en ce qui concerne le renseignement d’origine électromagnétique, opéré par la DGSE au profit de l’ensemble de la communauté du renseignement. »

Visitant la Direction du renseignement militaire en septembre 2013, Jean-Yves le Drian, ministre de la Défense, qualifiait par ailleurs ces "processus de mutualisation" de "maître mot du nouveau Livre blanc et de la LPM en ce qui concerne les services de renseignement et leurs moyens". Fin novembre 2013, un rapport sénatorial révélait par ailleurs récemment qu'"environ 80 % du budget annuel d'investissement de la direction technique de la DGSE financent des projets intéressant également d'autres organismes".

Un document budgétaire révélait par ailleurs que la direction du renseignement militaire (DRM) "poursuit les actions de mutualisation avec la direction générale de la sécurité extérieure (DGSE) et d’amélioration des capacités d’interception et de traitement dans les détachements avancés de transmissions" (DAT, les stations d'écoute installées dans les DOM-TOM et à l'étranger qu'elle a entrepris, depuis 2005 au moins, de mutualiser avec la DGSE, cf la carte des stations espions du renseignement français), et qu'elle "renforce en parallèle ses infrastructures de transport et d’hébergement de données, améliore leur interconnexion avec ses partenaires et réalise une salle de serveurs informatiques adaptés à ses besoins au cours des dix prochaines années".

Dans un article intitulé "Les services de renseignements ont enterré la hache de guerre", La Tribune écrivait, en mars 2013, que "l'articulation de ma direction générale avec la DCRI n'a jamais été aussi bonne, explique le patron de la DGSE. Nous avons désormais des relations très étroites, qui permettent des échanges quotidiens d'informations sur des cibles ou des individus signalés", et que "le meilleur exemple de décloisonnement des services est raconté par le patron de la DPSD, le général Bosser" :

« Nous suivons un garçon qui appartient aujourd'hui à la défense, dont le contrat va s'arrêter dans six mois, et qui a tendance à aller passer des vacances dans des endroits peu recommandables (Afghanistan, Pakistan, ndlr). Quand il quitte le territoire national, c'est la DGSE qui le prend en charge ; quand on s'interroge sur la façon dont il finance ses voyages, on s'adresse à TRACFIN ; quand il revient en France, c'est la DCRI qui le reprend et qui le suivra quand il aura fini ses services chez nous ».

Longue vie à l’espionnage du Net !

Un article intitulé Longue vie à l’espionnage du Net ! (accès payant), publié le 4 décembre dernier sur Intelligence Online (IOL), lettre d'information spécialisée sur le monde du renseignement, révélait qu'"en France, la régulation des interceptions effectuées sur le réseau Internet n'est pas pour demain" :

« La Délégation parlementaire au renseignement (DPR), présidée par le sénateur socialiste Jean-Pierre Sueur, est dans une impasse à propos des interceptions électroniques effectuées sur les câbles sous-marins transitant par la France, via Marseille et Penmarch notamment. »

IOL évoquait une réunion entre les parlementaires de la DPR, François Hollande et Alain Zabulon, le coordonnateur du renseignement (CDR), réunion qualifiée d'"entrevue de pure forme puisque les parlementaires ne sont pas autorisés à poser des questions sur les aspects opérationnels des échanges de métadonnées interceptées, pratiquées dans le cadre du protocole Lustre entre la direction technique de la DGSE, la NSA et le GCHQ".

1665715-superdupont_we_need_youD'après IOL, la Commission nationale de contrôle des interceptions de sécurité (CNCIS) aurait "haussé le ton", et réclamé "un cadre juridique mieux défini", de sorte de pouvoir contrôler la collecte et le stockage des données par la DGSE, et leur transmission à des services de renseignement étrangers, et ce "d'autant plus que ce service est dans l'incapacité de trier préalablement les communications interceptées pour déterminer si elles impliquent ou non des citoyens français" :

« Réaction des autorités politiques : impossible de satisfaire cette demande dans l'immédiat, au vu de l'ampleur du travail qu'impliquerait une telle régulation. »

A l'époque, l'attention médiatique était accaparée par le projet de loi de programmation militaire (LPM), qui visait notamment à légaliser des pratiques illégales (ou "a-légales", pour reprendre l'expression d'un des patrons d'une des agences de renseignement) en matière d'interceptions des télécommunications, et donc à légaliser l'"accès administratif" (par les services de renseignement, à distinguer des services de police judiciaire) aux données de connexion (les "traces" et "méta-données" de nos activités stockées par les opérateurs de télécommunications et de services en ligne).

Le projet de loi a depuis été adopté par le Parlement, et nombreux sont ceux qui, à l'aune des "révélations" Snowden, sont persuadés que la DGSE joue à la NSA.

Comme je l'avais alors écrit, la complexité du dossier, et les subtilités juridiques & syntaxiques du texte, ne permettent pas encore de savoir s'il est plus, ou moins, protecteur de nos libertés, et vies privées (cf Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander).

L'analyse d'IOL révèle cela dit que la LPM ne cherchait donc à encadrer que la partie émergée de l'iceberg, mais aussi que la "régulation" des "interceptions électroniques effectuées sur les câbles sous-marins transitant par la France" ne serait donc toujours pas clairement (et légalement) encadrée...

********************************

Le rapport (.pdf) relatif à l’activité de la délégation parlementaire au renseignement (DPR) pour l’année 2013 est à ce titre très instructif.

Evoquant "un cadre juridique en pleine évolution", la DPR y reconnaît en effet que "notre pays ne dispose pas à ce jour d’un véritable régime juridique complet définissant avec précision les missions et les activités des services de renseignement ainsi que les moyens d’actions dont ils disposent et prévoyant les modalités de leur encadrement et de leur contrôle".

Elle se félicite ensuite de l'adoption de la LPM, qui permet de "réintégrer dans le droit commun de la loi du 10 juillet 1991 relative au secret des correspondances (à présent codifiée dans le code de la sécurité intérieure) les opérations de collecte de données relatives aux contenants des télécommunications", et qui "prévoit également un contrôle renforcé en matière de géolocalisation, similaire à celui prévu pour les interceptions de correspondances" :

« Ce nouveau cadre juridique constitue ainsi un progrès indéniable. »

DPR_LPMIl reste encore cela dit quelques progrès à faire : suivent en effet deux pages anonymisées (voir la capture d'écran, ci-contre) qui, au vu de la conclusion du chapitre en question, montrent bien que le contrôle parlementaire, et juridique, des services de renseignement français, est encore loin de donner satisfaction, les parlementaires de la DPR ayant été contraints de s'auto-censurer :

« L’aboutissement de ces réflexions doit ainsi mener à poursuivre l’amélioration du dispositif juridique d’encadrement et de contrôle des services afin que, solide et bien accepté par nos concitoyens, il contribue à accroître la
confiance de ceux-ci dans l’action des services de renseignement, à diffuser cette « culture du renseignement » qui fait en partie défaut à notre pays et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques. »

La DGSE a-t-elle accès aux données des clients anglais de British Telecom ?

Enfin, si la DGSE travaille avec le GCHQ sur une base de "coopération et de partage", cela signifie-t-il qu'elle peut elle aussi accéder "aux données des clients anglais de British Telecom", ou encore à celles "des clients américains d'AT&T" dans le cadre de son partenariat avec la NSA ?

On imagine mal le GCHQ ou la NSA autoriser une telle surveillance généralisée de leurs propres concitoyens par le service de renseignement extérieur des froggies... Ce pour quoi je peine aussi à imaginer que la DGSE laisse le GCHQ piocher massivement dans les données des "clients français" d'Orange. Mais je peux me tromper.

Mise à Jour, 22/05/14 : en octobre 2013, Orange remportait plusieurs accords-cadres portant sur la fourniture de services de téléphonie fixe au ministère de l'Intérieur; en novembre, Orange remportait le marché de la téléphonie fixe et de l'accès à Internet du ministère des affaires étrangères; en janvier 2014, remportait aussi un marché de 15 millions d'euros, dans le cadre de l'accord cadre "astel G5" de fourniture de services de télécommunications mobiles, de téléphones mobiles et de leurs accessoires, à la Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information (DIRISI) du ministère de la Défense.

On peine, de même, à imaginer que le ministère de la Défense (et al.) utilise Orange pour communiquer... tout en facilitant l'espionnage desdites communications par des services de renseignement étranger.

NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j'ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s'amuser et rire un peu avec la DGSE), ou encore y découvrir la carte des stations d'interception des services de renseignement français que je viens d'y publier.

Illustrations du SuperDupont de Marcel Gotlib : Krinen & ComicVine; dites, vous saviez que le logo de son T-shirt s'inspirait de celui de la section antiterroriste des ex-Renseignements Généraux (à moins que ça ne soit l'inverse) ?

Et, sinon, le Musée d'art et d'histoire du judaïsme, à Paris, consacre précisément une exposition à Marcel Gotlib, et donc aussi à SuperDupont, ce "super héros" combattant l'"Anti-France"...

Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis


La NSA n’espionne pas tant la France que ça

Thu, 27 Mar 2014 12:35:59 +0000 - (source)

superdupont-FranceLa NSA n'a pas intercepté 70,3 millions de communications téléphoniques de Français fin 2012, contrairement à ce que Le Monde avait initialement révélé, en octobre dernier. Le journal avait ensuite reconnu qu'il s'agissait de méta-données collectées par les services de renseignement français à l'étranger, et partagées avec la NSA, mais cette rectification avait bien moins circulé que les premières révélations, et nombreux sont ceux (dont moi, jusqu'à il y a peu) à croire que la NSA avait ainsi massivement espionné les coups de fil des Français.

J'ai ainsi du rectifier le reportage diffusé dans l'émission Toutes les France, qui sera diffusé sur France ô ce samedi mais que l'on peut déjà voir en ligne, et où j'intervenais avec Alain Bauer, Eric Delbecque et Nicolas Arpagian au sujet de la surveillance massive des télécommmunications par les services de renseignement anglo-saxons (notamment). Je profite donc de l'occasion pour faire le point sur ce que l'on sait (ou pas) de l'espionnage des télécommunications de la France et des Français par la NSA.

Dans un article intitulé "Comment la NSA espionne la France", Jacques Follorou et Glenn Greenwald avançaient, le 22 octobre 2013, que "des millions de données ont été collectées sur la France par l'agence de sécurité américaine" :

« 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013. »

Ces "révélations sur l'espionnage de la France par la NSA américaine", reprises dans le monde entier, avaient fait la "Une" du quotidien Le Monde, qui y avait consacré son éditorial, "Combattre Big Brother", où l'on apprenait qu'"une équipe d'une dizaine de journalistes" avait procédé à "un examen minutieux et une analyse approfondie" des documents transmis par Snowden/Greenwald, "pour tenter de leur donner tout leur sens et leur valeur".

1310LeMonde

L'affaire souleva une vague d'indignation à droite comme à gauche, enflamma la presse américaine, entraîna quelques tensions diplomatiques, et poussa François Hollande et Laurent Fabius à dénoncer "des pratiques inacceptables" :

La journée du lundi 21 octobre restera dans les annales des relations franco-américaines comme une journée à oublier. Elle avait commencé par la très inhabituelle convocation de l'ambassadeur des Etats-Unis à Paris au Quai d'Orsay, après les révélations du Monde sur l'espionnage massif des communications réalisés à l'encontre de la France par l'Agence nationale de sécurité (NSA) américaine. Elle s'est achevée, peu avant minuit, par un coup de téléphone agacé de François Hollande au président Barack Obama. "Le chef de l'Etat a fait part de sa profonde réprobation à l'égard de ces pratiques, inacceptables entre alliés et amis, car portant atteinte à la vie privée des citoyens français", a indiqué l'Elysée dans un communiqué.

Le sujet a naturellement été au coeur de l'entretien entre le secrétaire d'Etat américain, John Kerry, avec son homologue Laurent Fabius, mardi 22 octobre au matin. Signe de l'embarras de Washington, Le Monde n'a pas été autorisé à poser une question à John Kerry sur cette affaire lors de sa conférence de presse, lundi soir, à l'ambassade américaine de Paris.

Le précédent allemand

Or, l'analyse de documents similaires, confiés par Edward Snowden à Glenn Greenwald et portant sur d'autres pays, montre que ce n'était pas les "communications téléphoniques", mais les "méta-données" qui avaient été interceptées, et qu'elles n'avaient pas été interceptées par la NSA, en France, mais par les services de renseignement français, à l'étranger, avant d'être partagées avec la NSA.

Les révélations du Monde reposaient sur une capture d'écran émanant du système "BOUNDLESS INFORMANT" (informateur sans bornes, en VF), utilisé par la NSA pour visualiser les volumes de méta-données auxquels elle peut accéder, et dont l'existence avait été révélée, en juin 2013, par Glenn Greenwald et Ewen MacAskill dans le Guardian (cliquez sur les images pour les afficher en pleine largeur).

boundless-informant-map

Cette capture d'écran avait alors révélé que, sur une période de 30 jours, en mars 2013, la NSA avait collecté 124,8 milliards de données téléphoniques (DNR, pour "Dial Number Recognition") et 97,1 milliards de données Internet (DNI, pour "Digital Network Intelligence") dans le monde entier, dont plus de 14 milliards en Iran, 13,5 au Pakistan, 12,7 en Jordanie, 6,3 en Inde, et 3 milliards aux USA.

En août, la documentariste américaine Laura Poitras (qui avait mis Edward Snowden et Glenn Greenwald en relation) révélait dans le quotidien allemand Der Spiegel que les services de renseignement allemand transmettaient des quantités massives de méta-données à la NSA, et publiait une capture d'écran de "BOUNDLESS INFORMANT" révélant que, pour le seul mois de décembre 2012, plus de 500 millions de méta-données avaient ainsi été partagées.

BoundlessInformantgermany

Interrogé par Der Spiegel, le Bundesnachrichtendienst (BND), le service de renseignement extérieur du gouvernement fédéral allemand, déclara qu'il s'agissait de données collectées par leur soin en Afghanistan et à Bad Aibling, en Bavière, où se trouve une station d'interception des télécommunications créée par la NSA, mais rétrocédée à l'Allemagne en 2004. Le BND expliqua également au journal allemand que ces méta-données, liées à la surveillance de cibles étrangères, étaient nettoyées avant d'être partagées avec la NSA :

« Avant d'être transmises, les métadonnées relatives à d'autres pays sont purgées, dans un processus passant par plusieurs étapes, de toutes les données personnelles qu'elles pourraient contenir au sujet de citoyens allemands. »

Dans la galerie photo associée à l'article, Der Spiegel publiait également, à titre de comparaison, des captures d'écran des informations relatives aux Pays-Bas, à l'Espagne, l'Italie et la France, issues de "BOUNDLESS INFORMANT", où l'on découvrait notamment que l'Allemagne était le seul pays à répertorier des DNI (données liées à Internet), la NSA ne recensant que des données DNR (téléphoniques) dans les autres pays.

BoundlessInformantFranceSpiegel

« Comment la NSA espionne la France »

Le 22 octobre, Le Monde révélait donc qu'il travaillait depuis le mois d'août avec Glenn Greenwald, et publiait une version plus complète de la capture d'écran publiée par Der Spiegel, révélant que la NSA avait eu accès, entre le 10 décembre 2012 et le 8 janvier 2013, à 70,2 millions de données téléphoniques (DNR), via deux techniques, "DRTBOX" et "WHITEBOX" totalisant respectivement 62,5M et 7,7M d'enregistrements ("records", en VO).

BoundlessInformantfrance

Étrangement, l'article du Monde, intitulé "Comment la NSA espionne la France", ne parlait pas, comme Der Spiegel, de "méta-données" collectées à l'étranger, mais de "communications téléphoniques des citoyens français", de "techniques utilisées pour capter illégalement les secrets ou la simple vie privée des Français", "d'enregistrements de données téléphoniques des Français effectués par la NSA" ou encore de "collecte si massive de données sur un territoire étranger, souverain et allié".

Evoquant les noms de code des programmes "DRTBOX" et "WHITEBOX" mentionnés dans le document, l'article reconnaissait que "leurs caractéristiques ne sont pas connues", tout en précisant cependant :

« Mais on sait que grâce au premier code, 62,5 millions de données téléphoniques sont collectés en France du 10 décembre 2012 au 8 janvier 2013. »

Or, et comme l'avait alors relevé Peter Koop, un Néerlandais expert des systèmes d'interception des télécommunications, qui passe des heures à "fact-checker" les révélations Snowden sur son blog electrospaces.net, "BOUNDLESS INFORMANT" ne recense que les seules "méta-données" collectées par (ou partagées avec) la NSA et non, comme l'affirmait Le Monde, les "communications téléphoniques", et encore moins les "secrets" relatifs à la "vie privée des Français" -ou de n'importe quelle autre nationalité.

Le déni de la NSA

Le 26 octobre, le Süddeutsche Zeitung révélait l'existence d'un accord de coopération sur la surveillance entre la France et les Etats-Unis connu sous le nom de « Lustre », mais dont on n'a pas appris grand chose depuis.

Auditionné par la Chambre des représentants le 29 octobre, le général Keith Alexander, le chef de la NSA, jura que les informations du Monde, ainsi que celles d'El Mundo, en Espagne, et de L'Espresso, en Italie, sur l'interception de communications de citoyens européens par la NSA, étaient « complètement fausses », que les documents émanant de BOUNDLESS INFORMANT avaient été « mal compris et mal interprétés » par les journalistes qui y avaient eu accès et qui n'auraient « pas compris ce qu'ils avaient devant les yeux », et enfin que les données en question avaient été "fournies à la NSA" par des partenaires européens :

« Pour être parfaitement clairs, nous n'avons pas recueilli ces informations sur les citoyens européens. »

Des sources anonymes précisèrent par ailleurs au Wall Street Journal que ces documents ne montraient pas des données interceptées par la NSA au sein de ces pays, mais des informations captées par les services de renseignement européens eux-mêmes, à l'extérieur de leurs frontières, et partagées avec la NSA.

C'était la première fois que la collaboration des services occidentaux avec la NSA était évoquée, même sous couvert d'anonymat, par des membres de l'administration américaine, qui n'avaient d'ailleurs pas nié les révélations du Spiegel sur le partage avec la NSA de méta-données interceptées par les services de renseignement allemand.

1665717-superdupontLe 30, évoquant des "informations recueillies auprès d'un haut responsable de la communauté du renseignement en France", Jacques Follorou reconnaissait qu'il s'agissait en fait de données collectées par la DGSE à l'étranger, "concernant aussi bien des citoyens français recevant des communications de ces zones géographiques que d'étrangers utilisant ces canaux", et confiées à la NSA par la DGSE, qui aurait établi "à partir de la fin 2011 et début 2012, un protocole d'échange de données avec les Etats-Unis". L'article évoquait également le fait que "les câbles sous-marins par lesquels transitent la plupart des données provenant d'Afrique et d'Afghanistan atterrissent à Marseille et à Penmarc'h, en Bretagne" :

« Ces zones stratégiques sont à la portée de la DGSE française, qui intercepte et stocke l'essentiel de ce flux entre l'étranger et la France.

« C'est un troc qui s'est institué entre la direction de la NSA et celle de la DGSE, explique la même source. On donne des blocs entiers sur ces zones et ils nous donnent, en contrepartie, des parties du monde où nous sommes absents, mais la négociation ne s'est pas effectuée en une fois, le périmètre du partage s'élargit au fil des discussions qui se prolongent encore aujourd'hui. »

Un haut responsable du renseignement français, joint, mercredi matin, a admis, sous couvert d'anonymat, l'existence de « ces échanges de données ». Il a néanmoins démenti « catégoriquement » que la DGSE puisse transférer « 70,3 millions de données à la NSA ».

La réponse de Greenwald

En novembre, le tabloïd norvégien Dagbladet révélait, lui aussi, que la NSA avait espionné 33 millions de télécommunications téléphoniques de Norvégiens, ce à quoi les services de renseignement norvégiens rétorquèrent, là encore, qu'il s'agissait en fait de méta-données qu'ils avaient collectées sur des théâtres d'opération à l'étranger, et confiées à la NSA.

Dans la foulée, le Danemark et l'Autriche reconnaissaient eux aussi partager avec la NSA des données collectées par leurs propres services de renseignement.

Dans un tribune publiée par Dagbladet, Glenn Greenwald contesta les dénis de la NSA et des services de renseignement espagnol et norvégien, qui expliquaient que ces données avaient été captées à l'étranger, et plus particulièrement en Afghanistan.

Greenwald relevait d'une part que la NSA n'avait pas nié l'article qu'il avait écrit pour le quotidien brésilien O Globo, où il révélait que la NSA avait collecté 2,3 milliards d'appels téléphoniques et emails, et qu'on ne pouvait pas soupçonner le Brésil d'avoir partagé avec la NSA des données qu'elle aurait elle-même interceptée.

Étrangement, Greenwald ne parlait pas de "données" ou d'"enregistrements" ("records", en VO, le mot utilisé dans les documents BOUNDLESS INFORMANT), mais d'"appels téléphoniques et emails".

Greenwald mentionnait d'autre part une capture d'écran de BOUNDLESS INFORMANT évoquant une moyenne de 1,2 à 1,5 millions de données collectées par jour en Afghanistan, contre 2,5 à 3,5 millions en Espagne, et 1,2 millions pour la Norvège, ce qui, d'après lui, suffit à invalider les arguments des chefs des services de renseignement.

Un pays = plusieurs SIGADs

Cherchant à vérifier ces affirmations, Peter Koop découvrit que les captures d'écran de BOUNDLESS INFORMANT pouvaient nous induire en erreur dans la mesure où elle ne portent pas tant sur tel ou tel pays que sur tel ou tel SIGAD (pour SIGINT Activity Designators, accronyme accolé aux 504 centres ou programmes d'interception des télécommunications), et qu'il peut y avoir plusieurs SIGADs pour un seul et même pays.

Une capture d'écran de la page d'accueil de BOUNDLESS INFORMANT publiée par Glenn Greenwald dans le quotidien indien The Hindu montre en effet que, sur la même période, le système aurait collecté, en Afghanistan, 2,3 milliards de données Internet, et près de 22 milliards de données téléphoniques, quand bien même la capture d'écran portant expressément sur l'Aghanistan ne mentionnait, elle, que 35 millions de données téléphoniques.

boundless-afghanistan-differences

La liste des SIGADs qu'il a compilé évoque ainsi plusieurs programmes visant la France : US-985D, qui avait été rendu public par Le Monde, mais également les programmes US-3136LO & US-3136UC, qui concerneraient des programmes d'espionnage d'ambassades françaises, ou encore US-3136OF & US-3136VC qui, eux, porteraient sur des programmes d'espionnage de missions diplomatiques françaises aux Nations Unies, mais qui n'étaient pas mentionnés dans la capture d'écran portant sur la France.

En tout état de cause, la capture d'écran publiée par Le Monde ne relevant que sur les données du SIGAD US-985D, elle ne mentionnait donc pas les données interceptées dans les ambassades et missions diplomatiques, pas plus que celles interceptées via les câbles sous-marins, logiciels espions, piratages d'applications pour smartphones type Angry Birds, sans parler des programmes PRISM, FAIRVIEW, MUSCULAR ou TEMPORA, et caetera.

N-ième signe que la capture d'écran publiée par Le Monde ne concerne pas l'ensemble des données interceptées par la NSA concernant des sujets français : elle ne porte que sur des méta-données téléphoniques; or, on sait que la NSA a aussi espionné des communications et meta-données Internet...

La piste DRTBOX

Quelques jours plus tard, Peter Koop révélait que DRTBOX, accronyme que l'on trouvait sur les captures d'écran de BOUNDLESS INFORMANT au sujet de la France, de l'Espagne, de l'Italie, de la Norvège et de l'Afghanistan n'était pas un terme propre à la NSA, mais le nom de code d'un système de surveillance des communications sans fil développé par une entreprise américaine, Digital Receiver Technology, Inc (DRT), rachetée par Boeing en 2008.

Utilisés par les forces de l'ordre et le renseignement américain, les systèmes DRT interceptent les appels téléphoniques, à la manière des IMSI Catcher, en se substituant aux bornes des opérateurs téléphoniques, et peuvent empêcher les appels "suspects" d'accéder aux réseaux grands publics.

Se basant sur plusieurs offres d'emploi émanant de la communauté militaire, des forces spéciales ou du renseignement américain, Peter Koop souligne qu'ils sont également très utilisés sur des théâtres d'opération militaire, afin d'intercepter les communications téléphoniques mobiles, notamment en Irak et en Afghanistan, mais qu'ils pourraient également être utilisés sur les stations espion installées sur les toits des ambassades américaines, et qu'ils auraient donc pu contribuer à l'espionnage du téléphone portable d'Angela Merkel.

BoundlessInformantZoomPCSOr, 62,5 des 70,2 millions (soit près de 89%) de données interceptées par les services de renseignement français, et confiées à la NSA, l'ont été grâce à des techniques labellisées DRTBOX, et regroupées sous l'intitulé PCS (pour Personal Communications Service, i.e. les télécommunications et échanges de données sans fil).

Les 11% restant le sont au titre d'un programme WHITEBOX dont on sait juste qu'il porte sur les réseaux PSTN (pour "public switched telephone network", ou Réseau téléphonique commuté -RTC- en français), et qui concernent tout à trac les réseaux de téléphonie fixe et mobile, commutateurs téléphoniques, faisceaux hertziens, ainsi que les câbles sous-marins, fibres optiques et satellites de télécommunication...

BoundlessInformantFranceZoom1

14-EYES et les "SIGINT Seniors Europe" (ou "SSEUR")

En décembre, Peter Koop découvrait, via une nouvelle capture d'écran publiée par El Mundo, que BOUNDLESS INFORMANT pouvait fournir bien plus d'informations que les captures d'écran publiées jusqu'alors ne le laissaient entendre, et que ces dernières, relayées par la presse européenne, offraient donc une vision biaisée ou en tout cas amputé de la réalité, et de ses fonctionnalités.

Non seulement parce que ces captures d'écran portent moins sur des pays que sur des SIGADs, mais également parce qu'elles ne portent que sur les systèmes d'interception des télécommunications (SIGINT), et non sur les programmes d'espionnage et de piratage mis en place par l'"Office of Tailored Access Operation" (ou TAO, le « bureau des opérations d'accès adaptées » dont on a depuis découvert qu'il aurait -notamment- piraté le réseau informatique et le système de gestion de l'un des principaux câbles sous-marin transitant par Marseille).

Dans la foulée, la chaîne de télévision suédoise SVT publiait de nouveaux documents Snowden révélant notamment que la France, l'Allemagne, l'Italie, la Belgique, les Pays-Bas, le Danemark, la Norvège et la Suède faisaient partie d'un groupe intitulé "14-EYES", considérés comme des partenaires de la NSA (l'Australie, le Canada, la Nouvelle Zélande, le Royaume-Uni et les USA faisant, eux, partie du cercle des "Five Eyes" de premier niveau), et bénéficierant donc d'accords bilatéraux régissant les échanges d'informations.

D'après Peter Koop, citant un article de l'historien Cees Wiebes, ces 14 pays, réprésentés par des "SIGINT Seniors Europe" (ou "SSEUR"), officiers de haut rang dans la hiérarchie du renseignement technique, échangeraient depuis une trentaine d'années données et informations au sein d'un "Signals Intelligence Data System (SIGDASYS)", un système informatique créé initialement pour sauvegarder leurs renseignements d'origine électromagnétique (SIGINT), et utilisé depuis pour les partager avec leurs partenaires "SSEUR".

Scandale aux Pays-Bas

1403Burum
Début février, aux termes d'une longue bataille politique, médiatique et juridique, le gouvernement des Pays-Bas reconnaissait finalement que, contrairement à ce que la presse néerlandaise avait initialement avancé, la capture d'écran de BOUNDLESS INFORMANT évoquant les "Netherlands" ne permettait pas de conclure qu'1,8 millions d'appels téléphoniques effectués par des Hollandais avaient été espionnés par la NSA, mais qu'il s'agissait bel et bien de "méta-données" collectées par les services de renseignement néerlandais au sujet d'appels, SMS et fax émanant ou à destination de pays étrangers, via sa station d'interception des télécommunications de Burum qui, le hasard faisant bien les choses, jouxte une station Inmarsat de télécommunications...

Début mars, de nouveaux documents révélaient que les télécommunications espionnées par les services néerlandais au large de la Somalie pour combattre (notamment) la piraterie (les Pays-Bas y dirigeaient la flotte de l'OTAN), étaient utilisées par les USA pour identifier des terroristes et tenter de les tuer avec leurs drones, tout en partageant, en retour, les données qu'ils avaient collectées en Somalie avec les services néerlandais.

Ironie de l'histoire, le ministre de l'Intérieur néerlandais avait initialement nié que les données avait été collectées par ses propres services, non pas pour les protéger, mais parce qu'il croyait ce que la majeure partie des médias avait relayé, à savoir la version biaisée laissant supposer qu'il s'agissait de télécommunications interceptées aux Pays-Bas par la NSA.

En tout état de cause, on ne sait pas combien de méta-données, et a fortiori de télécommunications, ont à ce jour été interceptées par la NSA, en France ou visant des Français, ni d'où proviennent celles que leur a confié la DGSE (je reviendrai, dans un second billet, sur les dernières révélations du Monde au sujet des "relations incestueuses" qu'elle entretiendrait avec Orange).

MaJ :A la décharge du Monde, on notera que ses journalistes ne disposaient pas, à l'époque, de toutes les captures d'écran qui sont depuis sorties dans la presse internationale, et qu'ils ne pouvaient donc pas, à l'époque, effectuer ce travail de "fact-checking".

MAJ, 04/06/2014 : rajout du passage sur les réactions médiatiques et politiques suscitées par ces "révélations".

NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j'ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s'amuser et rire un peu avec la DGSE).

& merci à Zone d'Intérêt (qui, à la manière de Peter Koop, analyse et fact-checke les révélations Snowden, et notamment celles concernant la France, de façon dépassionnée), pour sa relecture et ses remarques.

Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis


Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles