PROJET AUTOBLOG


BUG BROTHER

Site original : BUG BROTHER

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

L’ARMÉE “ACCRO” À MICROSOFT ?

mardi 18 octobre 2016 à 13:44

Cash Investigation diffusera ce soir une enquête sur le contrat, qualifié d’« open bar », passé entre Microsoft et le ministère de la défense, et basé sur des documents que j’avais rendu publics en 2013 sur le site du Vinvinteur, une émission de télévision quelque peu déjantée qui m’avait recruté, mais dont le site web a disparu. Je me permets donc de republier ladite enquête, consultable sur archive.org, qui archive le web, mais qui n’est pas indexé par Google (& Cie). Il eut été dommage de laisser cette enquête disparaître… Ceux qui voudraient en savoir plus peuvent aussi consulter le site de l’association April de promotion des logiciel libres, qui suit et documente ce contrat depuis des années.

« L’armée capitule face à Microsoft » : confirmant une information du site PCInpact -qui avait levé le lièvre dès 2008-, le Canard Enchaîné a révélé mercredi dernier que l’armée française était sur le point de reconduire un contrat, sans appel d’offres, avec Microsoft. Problèmes : il « coûte cher, augmente les risques d’espionnage et se négocie… dans un paradis fiscal » .

L'armée capitule face à Microsoft

L’association April de défense des logiciels libres, qui dénonce depuis des années l’opacité de ce contrat, et aujourd’hui le fait que l’OTAN imposerait Microsoft et les backdoors de la NSA au ministère de la Défense, vient de recevoir une version censurée de certains des documents évoqués par le Canard Enchaîné. Le Vinvinteur, qui avait ces documents depuis des mois, et qui avait déjà évoqué cet étrange pacte de l’armée française avec Microsoft, a donc décidé de les rendre publics.

1304microsoftmilcensure

En 2007, Microsoft proposait au ministère de la Défense de centraliser les multiples contrats passés entre l’éditeur de logiciels américain et l’armée française. En 2008, un groupe de travail constitué d’une quinzaine d’experts militaires était chargé d’analyser la « valeur du projet » de Microsoft.

Leur rapport, intitulé « Analyse de la valeur du projet de contrat-cadre avec la société Microsoft » et que le Vinvinteur a décidé de rendre public, déplorait que la procédure, passée sans appel d’offres, écartait de facto tout autre concurrent, contrairement à l’esprit et à la lettre du code des marchés publics. Les experts pointaient également du doigt le risque d’ « accoutumance » , de « dépendance » et même d’ « addiction » aux produits Microsoft.

1304addiction

Ils constataient la situation de « monopole confirmé » de l’éditeur, mettant l’armée « à la merci de la politique tarifaire » de l’éditeur de logiciels, et constataient qu’en cas de non-renouvellement du contrat, le ministère de la Défense devrait s’acquitter d’un « droit de sortie équivalent à 1,5 années de contrat » .

1304monopole2

Les experts militaires déploraient également le risque de « perte de souveraineté nationale » et de « contrôle par une puissance étrangère » des systèmes informatiques de nos armées. Evoquant le fait que la NSA, le très puissant service de renseignement américain chargé de l’espionnage des télécommunications, « introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels » , le rapport estimait que le système informatique de l’armée française serait dès lors « vulnérable car susceptible d’être victime d’une intrusion de la NSA dans sa totalité » …

1304souverainete2

Les auteurs du rapport concluaient enfin que « la seule certitude » de l’offre de Microsoft était qu’elle « entraînera un accroissement de 3 M€/an des dépenses de logiciel » , sans qu’aucun gain n’ait été identifié au profit du ministère en matière de retour sur investissement. Et tout en contribuant à un « affaiblissement de l’industrie française et européenne du logiciel » …

1304accroissement2

Pour les experts militaires, l’offre de Microsoft « est la solution qui comporte le plus de risques rédhibitoires » :

Non contents de constater que l’offre Microsoft (S2) comportait « dix risques rédhibitoires » , les experts militaires pointaient également du doigt « trois critères destructifs » , censés se caractériser par « un seuil au delà duquel le scénario est rejeté » .

1304destructifs

En conséquence de quoi, le groupe de travail concluait son rapport en qualifiant l’offre faite par Microsoft de « scénario le plus risqué » , avec un « ROI (retour sur investissement -NDLR) incertain » , ce pourquoi il concluait en écrivant que « ce scénario est donc fortement déconseillé » .

1304redhibitoire2

L’armée française et le paradis fiscal irlandais

En dépit de cette « analyse de la valeur » particulièrement sévère de la proposition de contrat, l’armée française n’en signait pas moins un « acte d’engagement » portant sur un marché de « maintien en condition opérationnelle des systèmes informatique exploitant des produits de la société Microsoft avec option d’achat » avec… la filiale irlandaise de l’éditeur américain. Les mauvaises langues disent que cela aurait permis à l’éditeur de logiciels, qui dispose pourtant d’un siège à Paris, juste en face des studios de TF1, d’échapper à la fiscalité française.

1304marche
1304contrat

Vers « un parc pérenne en solutions Microsoft »

Un courrier estampillé « diffusion restreinte » , signé du général Patrick Bazin, qui commande la Direction interarmées des réseaux d’infrastructure et des systèmes d’information (DIRISI), et daté de janvier 2013, explique ce pour quoi le ministère de la Défense a décidé de renouveler le contrat.

1304diffrestreinte

On y apprend ainsi que « le premier contrat cadre du ministère de la défense avec la société Microsoft a pris fin le 22 décembre 2012 » , et que le marché, arrivant à terme en mai 2013, le comité des achats du ministère de la défense mandaté la DIRISI, en février 2012, « pour négocier avec la société Microsoft un nouvel accord-cadre » .

On y découvre également que le choix de solutions Microsoft ne conduit pas « à une dépendance vis-à-vis de cet éditeur » , mais également que « les solutions dites libres n’offraient pas de gain financier notable » .

Dit autrement : le contrat avec Microsoft coûte quand même plus cher que si l’armée avait opté pour des logiciels libres, mais la différence n’est pas suffisamment notable pour que le ministère de la Défense fasse le choix de ne pas renouveler le contrat avec l’éditeur américain.

La DIRISI explique en effet que « les contraintes opérationnelles et d’interopérabilité avec nos alliés imposent des choix Microsoft » , dans la mesure où « l’OTAN a fait le choix des solutions Microsoft pour ses postes de travail » . Et c’est, de même, « dans un souci d’interopérabilité et d’économie » , que la DIRISI demande « d’utiliser les applications de l’OTAN » , ce pour quoi les nouveaux Systèmes d’Information Opérationnels et de Communication (SIOC) français « sont développés et sont en cours de déploiement sur des technologies Microsoft » .

1304otan21

L’argument est pour le moins étonnant, l’interopérabilité désignant précisément la capacité que possède un système informatique à fonctionner avec d’autres produits ou systèmes informatiques, existants ou futurs, et quels que soient les systèmes d’exploitation et logiciels utilisés.

On imagine sans peine les cris d’orfraie que pousseraient militaires, marchands d’arme, sans parler des politiques, des médias et de l’opinion publique, si d’aventure le responsable des achats de l’armée française décidaient de ne plus acheter que des armes made in USA, au motif que la France fait désormais partie de l’OTAN.

Dans le même temps, la DIRISI révèle également dans ce document que plusieurs ministères ou organismes ont « affiché leur volonté d’adhérer au contrat en préparation » , à savoir les ministères du travail et de la santé, ainsi que le Commissariat à l’énergie atomique, la Cour des Comptes et la Direction générale des finances publiques.

Après avoir vérifié auprès de la Direction des Affaires Juridiques (DAJ) « que les conditions d’exclusivité de la société Microsoft étaient toujours réunies, la DIRISI a conduit une négociation en gré à gré » avec Microsoft, ce qui lui permet de nouveau de ne pas procéder à un appel d’offres public.

L’article 35-II-8 du Code des Marchés Publics précise en effet que « les marchés et les accords-cadres qui ne peuvent être confiés qu’à un opérateur économique déterminé pour des raisons techniques, artistiques ou tenant à la protection de droits d’exclusivité » peuvent en effet être négociés « sans publicité préalable et sans mise en concurrence » .

Evoquant des « raisons de confidentialité industrielle et de finalisation des négociations« , le document ne fournit pas d’éléments chiffrés, mais précise néanmoins qu’ « après quatre tours de négociation, la DIRISI est sur le point d’obtenir une réduction des prix de 49% par rapport au tarif SELECT D (en tenant compte d’une remise additionnelle de 20% sur ce dernier, ce qui reste actuellement la meilleure offre constatée pour l’administration) » , ce qui permettra au ministère de disposer d’ « un parc pérenne en solutions Microsoft » .

1304elementschiffres2

La transparence de la « grande muette »

Signes supplémentaires de l’opacité de ce contrat, le cabinet du ministre de la Défense a expliqué au Canard Enchaîné n’avoir jamais entendu parler du rapport du groupe d’experts militaires qui avaient « fortement déconseillé » l’offre de Microsoft.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’autorité nationale en matière de sécurité et de défense des systèmes d’information, en charge des questions de cyberdéfense, n’a quant à elle pas été sollicitée pour émettre un avis concernant la pertinence de ce contrat.

La Direction interministérielle des systèmes d’information et de communication (DISIC), chargée de coordonner les actions des administrations en matière de systèmes d’information (notamment en matière d’interopérabilité, et de sécurité), mais également d’encourager les ministères à l’adoption des logiciels libres, nous a expliqué n’avoir elle non plus pas été sollicitée.

Enfin, la gendarmerie nationale, que nous avions sollicité pour expliquer, devant les caméras du Vinvinteur, ce pour quoi elle avait décidé de migrer son parc informatique sur des logiciels libres, entraînant une réduction du budget de 70%, tout en garantissant son indépendance vis-à-vis de tout éditeur, a préféré décliné notre invitation, évoquant un contexte « un peu trop sensible » …

Nous avons tenté de comprendre ce pour quoi un tel contrat, si vertement critiqué par les experts militaires, a pourtant été signé. Pourquoi il a été signé avec Microsoft Irlande, et pas avec sa filiale française. Pourquoi il va être renouvelé, alors que sous couvert d’anonymat, de nombreux militaires le qualifient de « scandale » . Pourquoi le ministère de la défense s’enferre à acheter des logiciels propriétaires, alors que Jean-Marc Ayrault a signé, en septembre dernier, une circulaire (.pdf) dressant les orientations en matière d’usage des logiciels libres dans l’administration. Pourquoi l’armée française, dont le budget, sur fond de crise et de politique d’austérité, est le seul à avoir été sanctuarisé, préfère enrichir une société américaine plutôt que de faire des économies budgétaires, tout en contribuant au développement d’une industrie française des logiciels libres.

Et le moins que l’on puisse dire, c’est que cette affaire soulève plus de questions qu’elle n’apporte de réponses…

Jean-Marc Manach (@manhack sur Twitter).

Voir aussi le Vinvinteur 25 consacré à cette question, les interviews de l’ancien député Bernard Carayon, de Jeanne Tadeusz, de l’APRIL, et tous les liens du Vinvinteur 25.

Les documents

Plusieurs documents avaient déjà été mis en ligne, en 2011, sur un site créé pour analyser la politique de Microsoft en matière d’interopérabilité (cf French Defense IT system under US company control & MS and Public Procurement – Files). A l’exception de PCInpact, qui avait rendu public le rapport (très critique) de la Commission des marchés publics, ils avaient jusque là été injustement ignorés :

Analyse de la valeur du projet de contrat-cadre avec la société Microsoft

Maintien en condition opérationnelle des systèmes informatique exploitant des produits de la société Micros…

Projet de contrat cadre avec la société Microsoft

Pour en finir avec la « surveillance de masse »

mardi 13 septembre 2016 à 11:43

ViveLaFranceLa loi renseignement, adoptée dans la foulée des révélations Snowden sur la « surveillance de masse« , a été présentée par ses opposants comme permettant « une interception de l’ensemble des données des citoyens français en temps réel sur Internet« . La DGSE espionne-t-elle tous les Français ? En a-t-elle le droit, les moyens techniques, et financiers ? #Oupas…? [tl;dr : non]

C’est le sujet du dernier n° de What The Fact, la websérie qu’IRL (la chaîne des « nouvelles écritures » de France Télévisions) m’a proposé de consacrer au fact-checking.

La vidéo, diffusée sur Rue89, dure 6’30, mais la complexité du sujet, je ne pouvais pas (vu le format, la durée) y partager toutes les informations (et liens) que j’avais compilé à ce sujet, ce que je vais donc tenter de faire dans ce billet.

Les (très nombreux) opposants à la loi renseignement dénonçaient une « surveillance généralisée d’Internet« , et plus particulièrement une « surveillance massive de l’ensemble de la population » française, au motif que « le projet de loi Renseignement contient deux articles qui permettent une interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet, dans le but de faire tourner dessus des outils de détection des comportements ‘suspects’« .

De fait, je fus l’un des tous premiers journaliste à avoir mentionné les deux articles en question, dans un article intitulé « Pourquoi le projet sur le renseignement peut créer une « surveillance de masse » (j’avais alors mis en gras les passages litigieux) :

Le nouvel article 851-3 du code de la sécurité intérieure autoriserait ainsi, « pour les besoins de la détection précoce d’actes de terrorisme, la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces« .

L’article 851-4 prévoit de son côté, toujours « pour les seuls besoins de la prévention du terrorisme« , de pouvoir « imposer » (sic) aux intermédiaires et opérateurs techniques la mise en œuvre « sur les informations et documents traités par leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste« .

Dit autrement, il s’agit de pouvoir installer des « boîtes noires » -pour reprendre l’expression formulée au Figaro par des conseillers gouvernementaux- au coeur des réseaux de télécommunications, chargées d’identifier les « comportements suspects« … expression vague s’il en est.

Tout juste sait-on que l’article 851-4 précise que « si une telle menace est ainsi révélée, le Premier ministre peut décider de la levée de l’anonymat sur les données, informations et documents afférents« .

De la « surveillance de masse » à la « paranoïa généralisée »

130705BigBrotherLeMondeDans la foulée des révélations Snowden, Le Monde avait déjà affirmé, en « Une », que « la Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l’étranger : la totalité de nos communications sont espionnées« , ce que j’avais alors fact-checké, pour en arriver à la conclusion qu’une telle « surveillance de masse« , sur le territoire national, serait techniquement improbable, financièrement impossible, et légalement interdite (nonobstant le fait que la DGSE est en charge de l’espionnage… à l’étranger).

Depuis, j’ai été amené à effectué cinq autres factchecks d’autres « Unes » du Monde tendant à valider différentes formes de « surveillance de masse » des Français, qui toutes se sont révélées être fausses, en tout cas biaisées, pour en arriver à la conclusion que les révélations Snowden sur la « surveillance de masse » avaient également eu pour contre-coup de créer un climat de « paranoïa généralisée« , qui n’avait pas forcément lieu d’être (cf De la surveillance de masse à la paranoïa généralisée).

Je n’en ai pas moins continuer à creuser, pour tenter de comprendre si la loi renseignement pouvait permettre, comme l’affirmaient ses opposants, l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , #oupas.

55M d’internautes, 70M de cartes SIM, 9327 grandes oreilles

ARCEPtraficMobileLa France compterait quelques 55 millions d’internautes, près de 37 millions de lignes de téléphonie fixe, plus 70 millions de cartes SIM, dont 22 millions de cartes 4G, permettant de surfer sur Internet depuis son mobile, et dont le succès est tel que le volume de données consommées a presque doublé l’an passé (source ARCEP).

Pour mieux mesurer l’ampleur que représenterait une telle tâche, il faut savoir que le volume de données échangées sur Internet, en France, correspondait à l’équivalent du contenu de 4 milliards de DVD (par an), 308 millions (par mois), soit près de 422 346 DVD (par heure), que le trafic de données mobiles, de son côté, représentait l’équivalent de 13 millions de DVD (par mois), ou 148 millions de SMS (par seconde). A quoi il faudrait rajouter le trafic téléphonique… celui qui, accessoirement, intéresse le plus les « grandes oreilles« .

Parlons-en, des « grandes oreilles » : d’après l’académie du renseignement, la DGSE dénombrerait quelque 6000 employés, 3200 à la DGSI, et 127 au Groupement interministériel de contrôle (le GIC, chargé de procéder aux « interceptions administratives« , du nom donné aux écoutes téléphoniques effectuées à la demande des services de renseignement).

Admettons que tout ce beau monde, faisant fi de la vague d’attentats qui touchent la France (notamment) depuis janvier 2015, ainsi que de toutes les autres menaces qu’ils sont pourtant censés tenter de contrer, décide de ne plus surveiller les terroristes (et plus si affinités) à l’étranger, de ne plus écouter djihadistes, dealers et proxénètes en France, pour se focaliser sur l' »interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« .

Dans l’hypothèse improbable où ils travailleraient 24h/24 7j/7, ils devraient, chacun, surveiller 5 896 internautes, et se taper le contenu de 45 DVD, par heure, ou de 15 868 SMS, par seconde… S’ils ne travaillaient qu’aux 35h, ils devraient, chacun, surveiller 28 300 internautes, et vérifier l’équivalent de 216 DVD par heure, ou 76 166 SMS par seconde. Une paille, pour nos SuperDupont.

Les « boîtes noires » n’existent (toujours) pas

superdupontCielCertes, ce qui intéresse le plus les services de renseignement, ce sont les méta-données (qui communiquent avec qui, d’où, quand ?), et la surveillance pourrait être automatisée. Encore faudrait-il que les services puissent intercepter, stocker et analyser toutes ces données. Sauf qu’en France, le trafic Internet est particulièrement décentralisé. En l’espèce, et pour pouvoir surveiller tout le trafic Internet en France, il faudrait, « au bas mot« , déployer… 50 000 « boîtes noires« .

MaJ : réagissant à la mise en ligne de la vidéo, ledit ingénieur précise que « Ça dépend vraiment de ce que tu veux capter. Disons qu’en 12 points tu chopes 70%, le reste est diffus« . Ce qui reste à fact-checker, nonobstant le fait que surveiller massivement 70% du trafic Internet franco-français coûterait une blinde (le placement sous surveillance des télécommunications internationales via la vingtaine de câbles sous-marins aurait coûté quelque 500M€), serait a priori illégal, sauf à passer par les fameuses « boîtes noires, qui… n’existent toujours pas (voir plus bas), qui sont limitées à la seule lutte anti-terroriste (contrairement aux systèmes de « collecte de masse » sur les câbles sous-marins), et qui ne permettent de désanonymiser que des « menaces » avérées (contrairement -bis- aux systèmes de « collecte de masse » sur les câbles sous-marins).

Cherchant à estimer le coût d’untel système bouzin, un ingénieur travaillant au cœur des réseaux avait calculé que, pour pouvoir surveiller -et stocker- 1% du trafic Internet français, il faudrait investir, sur 10 ans, quelque 6 milliards d’euros en matériels de stockage, électricité, sondes d’interception, datacenter… et hors frais de personnel. Pas de soucis : le budget annuel de la DGSE est de 700 millions d’euros (dont 60% en frais de personnel), et puis c’est pas comme si c’était la crise.

<script async src="//platform.twitter.com/widgets.js" charset="utf-8">

Depuis les révélations Snowden, la « surveillance de masse » fait certes peur, mais elle est aussi et de plus en plus rendue impossible, le trafic Internet étant de plus en plus chiffré : Google vient ainsi de révéler que 90% des requêtes effectuées depuis la France étaient chiffrées, tout comme 86% des messages gmail à destination d’autres fournisseurs (et 100% des messages d’utilisateurs de Gmail à d’autres utilisateurs de Gmail), et donc a priori indéchiffrables par la NSA, la DGSE & Cie…

Nonobstant le fait que, et au-delà de ces défis logistiques et techniques, une note de bas de page du rapport 2015 de la délégation parlementaire au renseignement (DPR), publié en février 2016, précise que « les techniques de suivi en temps réel des personnes préalablement identifiées comme présentant une menace et de l’algorithme » (les fameuses « boites noires« ) sont « très compliquées à mettre en oeuvre et (qu’)actuellement, aucun de ces deux instruments n’est mis en oeuvre« … information confirmée par Le Monde, qui écrivait

L’an passé, des milliers d’articles ont été consacrées à ces fameuses « boîtes noires« , qui avaient cristallisé l’opposition au projet de loi renseignement. Le fait qu’elles « n’étaient pas encore opérationnelles » n’a eu les faveurs que de deux articles : un dans Le Monde, un autre dans NextInpact, après que la mission d’information sur les moyens de Daech a elle-même appris que « ces algorithmes destinés à filtrer les communications sont en cours d’élaboration par les services« .

6 mouchards, en 5 ans

SubmarinecablemapLa DGSE dispose bien, cela dit, de systèmes de « collecte de masse » déployés sur la vingtaine de câbles sous-marins qui relient les réseaux de télécommunication français à l’étranger, afin de pouvoir surveiller les communications internationales), via un système mis en place à partir de 2008 et qu’avait très bien décrit le journaliste Vincent Jauvert, dans L’Obs. Il est en effet plus simple de surveiller les communications lorsqu’elles sont ainsi centralisées que d’installer 50 000 « boîtes noires« , et puis c’est moins coûteux : 500M€, quand même…

La loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, qui légalise la « surveillance des communications qui sont émises ou reçues à l’étranger » prévue par la loi renseignement, n’en précise pas moins que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

La question reste de savoir comment, et plus particulièrement de savoir si ces procédures de « minimisation » sont réellement efficaces. Un rapport vient ainsi de révéler que le BND, le pendant allemand de la DGSE, filtrait bien les n° de téléphone commençant par +49 et les adresses mails de type .de, mais qu’elle serait incapable de proprement « minimiser » les données des Allemands utilisant des serveurs situés à l’étranger, avec des adresses en .com ou .org, et communiquant en anglais… Reste que, et comme l’a montré la prétendue « affaire » de surveillance de Thierry Solère, la DGSE a bien identifié, et mis un terme, à ce qui constituait un « détournement frauduleux des moyens techniques » de la DGSE.

La loi renseignement légalisait par ailleurs l’installation de mouchards, ou logiciels espion, par les services de renseignement, à l’instar de ceux qui avaient été légalisés en 2011 avec la LOPSSI de Nicolas Sarkozy, mais à l’époque pour le seul bénéfice des officiers de police judiciaire. Or, une autre note de bas de page du rapport de la DPR précise que ce dispositif « n’a été que très rarement mis en oeuvre (…) en effet, le passage préalable devant une commission administrative pour autoriser les logiciels entraîne des délais tels que ce dispositif n’a été mis en oeuvre que six fois depuis 2011« . 6 fois, en 5 ans… ça ne nous dit pas combien de logiciels espions ont été exploités par les services de renseignement, mais ça relativise aussi quelque peu la « surveillance de masse« .

Pouvoir surveiller « tout le monde », ou « n’importe qui » ?

GIClogoEnfin, le rapport 2014 de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée d’autoriser (#oupas) les écoutes téléphoniques « interceptions administratives » réclamées par les services de renseignement, explique que « dans son souci de conserver un caractère exceptionnel aux interceptions de sécurité, le législateur a opté pour une limitation sous forme d’un encours maximum, protecteur des libertés publiques, dans le but d’ «inciter les services concernés à supprimer le plus rapidement possible les interceptions devenues inutiles, avant de pouvoir procéder à de nouvelles écoutes »« , et qui prend la forme d’un quota, ou « contingent maximum« , de cibles écoutables, fixé par le Premier ministre.

De 1180 lignes écoutables en simultané en 1991, ce quota est passé à 1540 en 1997, 1670 en 2003, puis en 2008 à 1840 « cibles » (une « cible » pouvant correspondre à plusieurs cartes SIM utilisées par un seul et même individu), 2190 en 2014 et, suite aux attentats de janvier 2015, à 2700 cibles écoutables en simultané. La CNCIS n’en précisait pas moins que « le nombre d’abonnés à des services mobiles en France était de son côté passé de 280 000 en 1994 à 78,4 millions en juin 2014« , mais également qu' »il convient en outre de souligner l’absence de cas récent de l’emploi de la totalité du contingent général« . En clair : le quota n’a jamais été atteint, sinon dépassé.

En moyenne, ces dernières années, on dénombre ainsi un peu plus de 6000 « interceptions administratives« , par an, et encore : plusieurs d’entre-elles sont des renouvellements, les autorisations étant de 4 mois renouvelables. On est, là encore, bien loin d’une « surveillance de masse« .

En juin dernier, alors que l’on venait tout juste de tourner le module vidéo, Reflets & Mediapart révélaient que le GIC avait déployé, dès 2009, plusieurs milliers de « boîtes noires« . J’en avais entendu parler, mais je n’avais pas réussi à le recouper.

Leur nom de code, « Interceptions Obligations Légales » (IOL), laisse entendre qu’elles seraient encadrées, sinon par la loi, tout du moins par la désormais fameuse jurisprudence créative » de la CNCIS, expression qualifiant ce qu’elle a vérifié, et validé, quand bien même aucun texte de loi, discuté au Parlement, ne l’ait autorisé : je ne peux que le déplorer, et n’ait de cesse de tenter de le documenter, mais en matière de renseignement (ainsi que de fichiers policiers), les « techniques de renseignement » sont généralement mises en oeuvre avant que d’être légalisées.

En tout état de cause, ni la loi renseignement, ni l’infrastructure décentralisée de l’Internet en France, ne permettent (techniquement et financièrement) ni n’autorisent (légalement) une « interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet« , a fortiori par la DGSE, chargée de l’espionnage à l’étranger.

Pour autant, et comme j’ai tenté de l’expliquer en commentaires d’un autre article de Reflets consacré à IOL, une chose est de se doter des moyens susceptibles de permettre au GIC de pouvoir « surveiller n’importe qui« , une autre est de vouloir « surveiller tout le monde« … La vidéosurveillance n’a pas pour vocation de faire de la « surveillance de masse« , et je ne vois pas ce pourquoi les techniques de renseignement en iraient autrement.

Pourquoi la DGSI surveille peut-être votre papa (#oupas)

En juillet dernier, une énième loi anti-terroriste a autorisé le recueil en temps réel des données de connexion des personnes, non seulement « préalablement identifiée comme présentant une menace » comme ce fut le cas avec la loi renseignement, mais aussi des personnes « préalablement identifiée (comme) susceptible d’être en lien avec une menace« .

La question n’est plus de savoir si l’on a « rien à cacher » : il suffit en effet de communiquer avec quelqu’un qui communique avec une « cible » pour pouvoir être surveillé. De N+1, on passe à N+2 -la NSA allant, de son côté, jusqu’à N+3 (voir Pourquoi la NSA espionne aussi votre papa (#oupas)).

Texte alternat

Comme expliqué sur Slate, l’expression « trois hops » signifie que la NSA peut s’intéresser aux communications de la personne ciblée, plus celles de ses contacts (premier hop), de leurs contacts (two hops), et de ceux qui sont en contact avec ces personnes de 3e niveau (three hops).
Voir aussi le très instructif graphique interactif du Guardian.

« Surveillance de masse » VS « collecte de masse »

Depuis des années, je n’ai de cesse de déplorer la diabolisation d’Internet en général (cf Les internautes, ce « douloureux probleme », ou notre documentaire, Une contre-histoire de l’internet), et du chiffrement en particulier (cf Les terroristes sont des internautes comme les autres, ou Crypto: pourquoi l’ex-chef de la NSA défend Apple).

Je ne peux de même que déplorer la diabolisation des services de renseignement. Pour le coup, et depuis les révélations Snowden, je vois autant de propos biaisés et caricaturaux au sujet du chiffrement que de propos plutôt parano au sujet des services de renseignement.

La notion de « surveillance de masse » a pu laisser entendre que les services de renseignement surveillaient, massivement, des pans entiers de la population. C’est probablement vrai sur certains théâtres d’opération et zones de guerre, quand bien même il est raisonnablement difficile d’imaginer que quelques milliers de personnes puissent réellement surveiller des dizaines de millions d’internautes et d’utilisateurs de téléphone portable.

Ce qui intéresse vraiment les services de renseignement, ce n’est pas de surveiller massivement la population, mais de disposer de systèmes de « collecte de masse » leur permettant de pouvoir « surveiller n’importe qui« , ce « n’importe qui » étant par ailleurs et bien souvent des ordinateurs, plus que des êtres humains.

Bernard Barbier, l’ex-directeur technique de la DGSE, l’explique très bien dans la conférence qu’il avait accordé à Supélec en juin dernier, et où il expliquait notamment comment, en 2008, il avait reçu 500M€ et pu recruter 800 ingénieurs afin de déployer le système français de surveillance de l’Internet, profitant de « la capacité de stocker pas cher, et de calculer pas cher« , ce qu’il qualifie de « bon technologique absolument fondamental » :

« Ce qu’on appelle le ‘Big Data’ amène une capacité d’intrusion énorme sur les citoyens : on peut savoir quasiment tout ce que vous faites avec vos téléphones portables et ordinateurs; effectivement, on est un ‘Big Brother’. Maintenant, c’est aux hommes politiques, et aux citoyens, de décider ce que l’on veut faire.

Moi, en tant qu’ingénieur, j’ai expliqué aux politiques ce que l’on peut faire : jamais l’homme n’a eu une capacité d’intrusion telle, qui n’a jamais existé dans l’histoire de l’humanité, après c’est à vous de décider quelle est la balance entre votre vie privée et votre sécurité. »

« Une des solutions, c’est la guerre informatique »

Dans l’interview parue dans Libé qu’il avait accordée à Pierre-Olivier François pour son documentaire « Cyberguerre, l’arme fatale ? » (que vous pouvez toujours voir sur YouTube et auquel, full disclosure, j’avais contribué), Barbier expliquait que « les Chinois ont bon dos : beaucoup de pays se font passer pour des Chinois !« . Et c’est précisément au sujet des Chinois que vient l’un des passages les plus intéressants. A 49’30, interrogé sur la menace que représenterait la Chine en matière de cyber-attaques, il revient sur ce pourquoi la Chine, au-delà du Big Data, s’était elle aussi lancée dans la guerre et l’espionnage informatique :

« Tout est écrit. Un colonel de l’armée chinoise a écrit un mémoire en 1995 qui explique que la Chine n’arrivera pas à dépasser les Américains, en matière de course à l’armement, avant 50-60 ans, au vu de leur avance technologique, et du coût gigantesque que cela représente.

Or, l’informatique devient quelque chose de prégnant dans tous les systèmes militaires, et une des solutions pour revenir au niveau des Américains, c’est la guerre et l’espionnage informatique, parce que le coût est faible, parce qu’il faut des cerveaux, et qu’il y en a beaucoup plus en Chine qu’aux USA.

L’armée populaire de Chine a donc créé une cyber-army à partir des années 1997-1998. Ils se sont aperçus que les Américains étaient très mal protégés, ils ont recruté des milliers de hackers, et ils ont lancé des attaques extrêmement massives sur toutes les sociétés d’armement. Pour la petite histoire, ils ont par exemple complètement espionné Areva. »

Étrangement, on voit que la vidéo a été coupée à cet instant précis (52’20), sans que l’on sache s’il s’est agi d’un problème technique, ou d’une coupe motivée par les propos tenus par Bernard Barbier, et qui ne sauraient être rendus publics. L’attaque d’Areva avait été révélée le 29 septembre 2011 par L’expansion, qui évoquait alors une « origine asiatique » et, pire, qu’elle durait depuis deux ans.

Je pense que ‘Grandes oreilles’ c’est mieux que ‘Big Brother’ aka ‘Le problème de l’Internet’

Plus tard, un étudiant lui demanda si la DGSE avait repéré l’attaque visant Areva en surveillant Areva : « Non, ce n’est pas en surveillant Areva : si vous avez des « grandes oreilles », vous voyez passer tous les paquets IP, vous prenez les méta-données, que vous analysez pour pouvoir remonter à des attaques informatiques, à des signatures » :

« Beaucoup de malwares (logiciels malveillants -NDLR), pour faire fuir les informations en toute discrétion, vont établir un tuyau avec un serveur de command and control (CC) et les faire remonter de façon chiffrée. Or, le fait de chiffrer les informations apporte une signature, et quand vous avez ces signatures dans votre ‘Big Brother système’, dans vos pétaoctets de données, vous savez que ce malware a été injecté dans un ordinateur à tel endroit.

Quand vous prenez une fibre optique qui transporte des millions de communications, vous prenez toute la fibre optique, donc vous voyez tout passer; après il peut y avoir un débat, nous notre rôle c’était de traiter et d’analyser ces méta-données pour identifier ce qui pouvait représenter une menace pour la France.

Le problème de l’Internet, c’est que les flux IP, ils passent n’importe où, avec les routeurs, le protocole BGP, donc si vous voulez avoir une capacité importante, il faut quasiment tout prendre, et pour la cyberdéfense c’est extrêmement important parce que vous voyez tous les flux qui viennent vous attaquer. »

C’est la première fois qu’est ainsi décrit, succintement mais publiquement, le système de surveillance de l’Internet mis en place par la DGSE, qualifié de « Big Brother » par celui-là même qui l’a mis en place, en 2008, même si, comme il l’explique à 1’05’10, « Je pense que ‘Grandes oreilles’ c’est mieux que ‘Big Brother’ : je suis très très fier d’avoir créé ces ‘grandes oreilles’ françaises parce que c’est quelque chose de fondamental actuellement. »

« On ne conserve que les méta-données »

Revenant sur l’attaque informatique de l’Elysée, Bernard Barbier raconte également qu’alertée par son responsable informatique (un ancien de la DGSE), la direction technique y avait placé des « sondes » sur la passerelle (« gateway« ) reliant le réseau élyséen à Internet, qu’elle y observa des « choses anormales, de faux paquets IP« , et qu’elle y reconnu la signature d’un logiciel espion (« malware« ) qu’elle avait déjà identifié lors d’une précédente attaque informatique visant la Commission européenne, en 2010.

A l’époque, ses équipes de rétro-ingénierie avaient conclu, au vu de la complexité de l’attaque, qu’elle ne pouvait provenir que des Américains ou des Russes. Entre-temps, explique Barbier, les capacités d’interception des flux Internet de la DGSE avait augmenté :

« Dans le système, ce qui est assez redoutable, c’est que quand vous interceptez massivement, vous ne conservez pas le contenu, c’est impossible, avec les conversations téléphoniques, y’a trop de mégabits, on ne conserve que les métadonnées, qui expliquent tout ce que vous faites sur Internet.

Avec ce stock de données, on peut faire plein de choses, et on a pu retracer la signature de ce malware, les pays où il avait été utilisé, et j’en ai conclu, compte tenu de sa complexité, que ça ne pouvait être que les Etats-Unis. »

Der Spiegel a depuis révélé, en 2013, que l’attaque émanait en fait du GCHQ, le partenaire et homologue britannique de la NSA, avec qui il partage cette suite de logiciels espions, qu’Edward Snowden nous a permis de découvrir qu’elle répondait au nom de code Quantum.

En tout état de cause, le système présenté par Barbier s’apparente plus au système XKeyscore de la NSA, à savoir un système de « collecte de masse » des méta-données permettant aux analystes du renseignement de rechercher des signatures, des traces, des identifiants, qu’à un système de « surveillance de masse » de la population, façon « Big Brother« .

Placés dans de mauvaises mains, détournés par des individus mal intentionnés, de tels systèmes pourraient bien évidemment être utilisés pour espionner des quidams lambda. Il est à ce titre plutôt étonnant de voir qu’il a fallu attendre ce mois d’août, trois ans après le début des révélations Snowden, pour que The Intercept publie la première histoire d’un quidam lambda espionné par la NSA, au motif qu’il participait à des réunions pro-démocratie aux îles Fidgi.

« Rien à cacher » ?

Les révélations Snowden montrent l’ampleur des moyens techniques déployés par la NSA et ses pairs pour pouvoir « collecter » un maximum de données, à la manière des « experts » de la police technique et scientifique, pas qu’elles « surveillent » massivement des pans entiers de la population façon « Big Brother« .

Ce que n’expliquent pas, ou mal, les révélations Snowden, c’est que si la NSA ou la DGSE peuvent être ainsi amenées à chercher, de leurs propres chefs, les « signatures » de tels ou tels ordinateurs ou malwares, impliqués dans des attaques cyber telles que celle qui avait visé le réseau informatique de l’Élysée, les êtres humains qui sont « ciblés » (et donc surveillés, voire espionnés) par les services de renseignement, le sont parce qu’ils ont été désignés comme tels par leur hiérarchie et, in fine, par le pouvoir exécutif.

Dit autrement : le problème, ce n’est pas tant la NSA, ou la DGSE, que ce que les pouvoirs publics leur demandent de faire. En l’espèce, le Parlement a donc autorisé, en juillet dernier, nos services de renseignement à surveiller les N+2, et donc ceux qui communiquent avec ceux qui communiquent avec les « cibles » validées par les autorités.

Pour autant, il ne s’agit pas d’une « surveillance massive de l’ensemble de la population » française, de façon indiscriminée. Mais d’une potentielle « surveillance de masse » des méta-données de tous ceux qui communiquent avec des personnes qui communiquent avec les quelque 20 000 personnes fichées S, voire plus si affinités, les « cibles » des services de renseignement ne se bornant pas aux seuls « fichés S« .

Reste que la probabilité que vous communiquiez avec quelqu’un qui communiquerait avec une « cible (ou) menace) » résidant à l’étranger est moindre que celle que vous communiquiez avec une « cible » résidant sur le territoire national, que vous risquez donc plus d’être surveillé par la DGSE que par la DGSI, et que vous risquez encore plus d’être surveillé par la NSA, le GCHQ & Cie (qui n’ont pas à respecter le droit français), et encore plus d’être espionné par vos conjoints, employeurs, collègues et parents qui, eux, disposent d’un accès physique à vos ordinateurs et téléphones, et pourraient donc y installer un logiciel espion.

Mai 2008, mon tout premier tweet : « Vous êtes en état d’interception. Toutes vos télécommunications pourront être retenues contre vous. »

<script async src="//platform.twitter.com/widgets.js" charset="utf-8">

2015, la dernière planche de ma BD, « Grandes oreilles et bras cassés » (voir les bonnes feuilles) :
Amesys Futuro 106 copie

Les terroristes sont des internautes comme les autres

samedi 30 juillet 2016 à 12:41

La parabole de la paille et de la poutre

La parabole de la paille et de la poutre

Les terroristes djihadistes qui ont frappé en France ont acheté des armes dé- puis re-militarisées, des couteaux, mais aussi des pizzas, de l’essence, des billets d’avion… Ils ont aussi loué des voitures, un camion, des chambres d’hôtel, reçu et envoyé SMS, appels téléphoniques, utilisé la messagerie instantanée Telegram, Twitter et Facebook, et donc souscrit des abonnements téléphoniques et Internet. Certains percevaient même des allocations sociales.

Il est possible que certains aient utilisé des logiciels de chiffrement afin de sécuriser leurs télécommunications, mais rien n’indique que cela ait pu jouer un rôle clef dans la préparation de leurs attentats, ni que cela ait pu empêcher les autorités de les anticiper, et entraver.

The Grugq, l’un des plus fins observateurs des moyens utilisés par les djihadistes pour sécuriser leurs télécommunications (#oupas, en fait), n’a de cesse de documenter le fait qu’ils ne s’y connaissent pas vraiment en matière de sécurité informatique, et qu’ils privilégient surtout le fait d’utiliser des téléphones portables à carte prépayée et non reliés à leur identité.

Pour autant, et depuis le massacre de Charlie Hebdo, politiques & médias n’ont de cesse de fustiger Internet en général, et les logiciels de chiffrement en particulier. Olivier Falorni, député divers gauche, vient ainsi de déclarer que « les géants du Net sont complices tacites, collaborateurs passifs de Daech« , et qu' »on a l’impression qu’un certain nombre d’applications sont devenus des califats numériques » (sic)…

Je n’ai jamais entendu dire que les loueurs de voiture et de chambres d’hôtel, les opérateurs téléphoniques et fournisseurs d’accès Internet, les vendeurs de pizzas, de couteaux et d’armes démilitarisées payaient des gens pour lutter contre le terrorisme, contrairement à Google, Facebook et Twitter qui, eux, paient certains de leurs salariés pour surveiller voire effacer des contenus incitant à la haine (qu’elle relève du terrorisme, du harcèlement ou du racisme).

En quoi les « géants du Net » seraient-ils plus des « califats numériques complices tacites, collaborateurs passifs de Daech » que les loueurs de voiture ou de chambres d’hôtel, opérateurs téléphoniques, fournisseurs d’accès Internet, vendeurs de pizzas, de couteaux et d’armes démilitarisées ?

Pourquoi ceux qui fustigent de la sorte Internet en général, et certaines app’ en particulier (a fortiori lorsqu’elles sont étrangères), ne s’offusquent-ils pas de même du fait que les terroristes ont pu louer, en toute impunité, voitures et chambres d’hôtel, acheter des téléphones et s’abonner auprès de fournisseurs de téléphonie (a fortiori alors qu’il s’agit là d’opérateurs français opérant sur le territoire national qui, et contrairement à Google, Facebook & Twitter, ne paient personne pour lutter contre le terrorisme) ?

Et n’est-il pas un tantinet ironique de voir que ces mêmes contempteurs des internets voudraient que des entreprises privées, de droit (généralement) américain, se substituent à la Justice française en censurant des contenus de manière préemptive, au risque de les voir censurer des comptes tout à fait légitime ?

Les internautes, ce « douloureux problème »

Il y a quelques années, j’avais écrit que « les internautes sont les « bougnoules » de la république« , que « le problème des internautes, c’est ceux qui n’y sont pas ou, plus précisément, ceux qui s’en défient et n’en ont qu’une vision anxiogène, ceux pour qui les blogs et réseaux sociaux du « web 2.0 » sont la « banlieue du Net, une cité de la peur« où ne peuvent aller que ceux qui y ont grandi… et encore » :

« Encore plus précisément, le problème ce sont tous ces décideurs politiques et relais d’opinions médiatiques qui n’ont de cesse de faire du FUD, acronyme de Fear Uncertainty and Doubt (littéralement « peur, incertitude et doute), technique de « guerre de l’information » initiée par IBM et consistant à manipuler l’opinion en disséminant des informations négatives, biaisées et dont l’objet est de détourner l’attention de ce que la technologie en question offre de perspectives constructives. »

Adel Kermiche, l’un des deux tueurs du prêtre de Saint-Etienne-du-Rouvray, utilisait ainsi Twitter et Facebook, mais ce qui semble aujourd’hui intéresser les médias, c’est Telegram, parce qu’il s’agit d’une messagerie instantanée permettant -par ailleurs- de communiquer de façon sécurisée, parce que chiffrée.

Corinne Audouin, sur France Inter, explique ainsi qu' »il y communiquait avec 200 personnes, grâce à des messages chiffrés qui ne passent pas par un serveur« … quand bien même la FAQ de Telegram précise que les messages partagés en groupes (« jusqu’à 200 membres« ) y sont chiffrés sur le « cloud » (et donc les serveurs) de Telegram, contrairement aux « chat secret » qui, eux, sont effectivement chiffrés sur les téléphones portables de leurs utilisateurs…

Rien n’indique par ailleurs qu’Adel Kermiche ait communiqué via ce genre de « secret chat« , son utilisation de Telegram se bornant (à ce stade de l’enquête) au fait de partager ses états d’âme sur un « groupe » qui, censé être sécurisé et permettre des conversations auto-destructibles, n’a pas empêché L’Express d’en publier des copies d’écran

Les terroristes sont des internautes comme les autres. Ils cherchent donc à protéger leur vie privée, à l’instar des 100 millions d’autres utilisateurs mensuels de Telegram, ou encore de ces responsables politiques qui, eux aussi, et comme le soulignait récemment L’Express, utilisent Telegram pour se protéger d’une éventuelle interception des communications.

Les logiciels de chiffrement sont devenus mainstream « grand public » depuis les révélations Snowden. Il y a un avant et un après Snowden, et il serait temps d’en prendre la mesure : seule une infime minorité des utilisateurs de messageries chiffrées se réclament de l’État islamique.

Est-il besoin de rappeler que l’ANSSI, en charge de la cyberdéfense en France, recommande de sécuriser et de chiffrer ses données ? Ou encore que plusieurs hauts responsables du renseignement, dont l’ex-chef de la NSA, prirent la défense d’Apple dans son combat contre le FBI, au motif qu’il est impératif de pouvoir chiffrer -et donc sécuriser- ses données ?

Quand le sage regarde la lune, le singe regarde le doigt. La paille, la poutre… Ce que j’ai tenté d’expliquer sur France Info, qui voulait m’interviewer à cet effet. L’article qu’ils en ont tiré ne reflétant pas les subtilités de ce que j’essayais d’expliquer, en voici la version in extenso (si le player ne se lance pas, vous pouvez allez l’écouter sur archive.org) :

Accessoirement, il faudrait aussi rappeler que, et contrairement à ce que l’on entend ici ou là, le darknet est trop compliqué pour les terroristes, et ils ne s’en servent guère, comme l’expliquait récemment Mireille Ballestrazzi, directeur central de la police judiciaire, auditionnée à l’Assemblée : « le dark web, qui apparaît peu adapté au prosélytisme de masse, est, de ce fait, relativement peu utilisé par l’organisation« .

Si les terroristes s’y connaissaient vraiment en sécurité informatique, ils n’utiliseraient pas Telegram, mais plutôt WhatsApp ou, mieux, Signal. En tout état de cause, et si vous désirez les utiliser de façon sécurisée, suivez les conseils de thegrugq pour correctement paramétrer Telegram, WhatsApp et Signal.

InstantMessagingCastle

Voir aussi les bonnes feuilles de ma BD, « Grandes oreilles et bras cassées« , et sur ce blog :
#SolereGate : s’il vous plaît… dessine-moi un espion !
Le darknet est trop compliqué pour les terroristes
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Valls tragique à Milipol : 100 morts (pour l’instant)
De la surveillance de masse à la paranoïa généralisée
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)

Les terroristes sont des ratés comme les autres

#SolereGate : s’il vous plaît… dessine-moi un espion !

mercredi 20 avril 2016 à 16:12

BYmYLrlUne semaine après que Le Monde ait révélé que la DGSE a « surveillé » et même « espionné » Thierry Solère en mars 2012, lorsqu’il fut exclu de l’UMP pour avoir osé se présenter contre Claude Guéant, qui était à l’époque ministère de l’Intérieur, l’affaire commence à faire pschitt. Il suffit en effet de comparer les titres avec le contenu des articles du Monde pour voir que l’affaire a été pour le moins survendue. Elle n’en soulève pas moins plusieurs questions (voir aussi la MaJ suite au classement sans suite de l’enquête judiciaire).

Dans son enquête intitulée « Comment la DGSE a surveillé Thierry Solère« , Le Monde précisait en effet que « des moyens de la DGSE ont été utilisés, hors de tout contrôle, pour surveiller M. Solère, candidat dissident« , mais également que « la surveillance n’a été interrompue qu’après la découverte fortuite de son existence par la direction technique (DT) de la DGSE (qui) a les moyens de remonter la piste de toutes les requêtes« , tout en laissant entendre que ce n’était pas la DGSE en tant qu’administration qui avait espionné le futur député, mais un (ou plusieurs) bras cassés de sa direction du renseignement qui auraient intercepté « les communications de Français – ce qui leur est interdit« .

L’article précise à ce titre que « Pascal Fourré, le magistrat attaché à la DGSE, prend parti pour la direction technique, et milite aussi pour que ces interceptions sur les citoyens français ne puissent plus être faites « en premier rang », c’est-à-dire sans être soumises à la Commission nationale de contrôle des interceptions de sécurité (CNCIS)« , ce que confirme dans la foulée Erard Corbin de Mangoux, directeur de la DGSE qui, toujours d’après le quotidien, « tranche en faveur de la direction technique et de M. Fourré« , et bloque la possibilité technique de pouvoir surveiller des identifiants français.

Premier pschitt : l’article explique donc le contraire de ce qu’avance le titre. La DGSE, en tant qu’administration, n’a pas « surveillé Thierry Solère« , mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« .

Un « détournement frauduleux des moyens techniques » ?

Le lendemain, dans un article intitulé « Comment la DGSE a pu espionner des Français« , Le Monde se faisait d’ailleurs encore plus clair, évoquant cette fois un « détournement frauduleux des moyens techniques de ce service de l’Etat« , et la découverte, par la direction technique de la DGSE, que « des officiers de la direction du renseignement peuvent procéder à des interceptions d’identifiants français, sans contrôle et sans justification« , en entrant sur leurs recherches « des 06 et des adresses françaises, une pratique qui a pu être détournée au profit de surveillance n’ayant aucun rapport avec leur mission« .

La DGSE est en effet, et comme son nom l’indique, en charge du renseignement extérieur. Et l’on peine en effet à comprendre pourquoi et comment Claude Guéant (qui nie toute implication dans cette affaire), aurait pu faire une telle requête auprès de la DGSE (qui n’a de compétence qu’à l’international, et relève du ministère de la défense), et non aux renseignements généraux de la préfecture de police de Paris, ou à la DGSI (alors dirigée par le fidèle Squarcini), seuls compétents sur le territoire national et dépendants, eux, du ministère de l’Intérieur… et donc de Claude Guéant.

L’article du Monde se conclue en notant qu' »au terme d’un vif débat interne à la DGSE, la direction technique installera, à la fin de l’été 2012, des filtres sur les consultations informatiques interdisant d’y introduire « en première requête », des identifiants français« . Or, ladite DT, dont les techniques de renseignement utilisées sur le territoire nationale doivent être validées par la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée de contrôler les demandes d’écoute émanant des services de renseignement, et contrôlées par le Groupement interministériel de contrôle (GIC), en charge des interceptions administratives (les écoutes téléphoniques réclamées par les services de renseignement), avait mis en place de tels filtres dès 2008, comme l’avait souligné le journaliste Vincent Jauvert dans l’Obs lorsqu’il avait révélé, en juillet 2015, que la DGSE avait à cette date déployé un système de surveillance des télécommunications internationales.

Evoquant un accord passé entre la DGSE et la CNCIS, un « officiel » alors interrogé par Jauvert expliquait que « si, par le hasard des routes internet, on tombe sur un échange entre des interlocuteurs ayant des identifiants (numéro de téléphone, adresse IP…) français, cette communication est automatiquement rejetée du système. Si l’un d’eux seulement est dans ce cas et s’il intéresse les services, la DGSI prend le relais de l’écoute après autorisation de Matignon et de la CNCIS« . L’Obs soulignait cela dit qu’il était « impossible de savoir si cette clause est respectée, ni même si la commission de contrôle est capable de vérifier qu’elle l’est« .

L’article du Monde montre que la DT n’en aurait pas moins détecté une utilisation frauduleuse du système, en 2012. Et la loi relative à la surveillance internationale, adoptée en novembre dernier, entérine cette pratique qui, jusqu’alors, n’était encadrée que par un décret secret, précisant à ce titre que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

#SolereGate VS journalisme moutonnier

Le Monde évoquait également l’article 20 de la loi de 1991 sur les écoutes téléphoniques, qui excluait du champ de compétence de la CNCIS « la surveillance et le contrôle des transmissions empruntant la voie hertzienne« , laissant entendre que la DGSE pouvait surveiller « des numéros français ou des adresses Internet rattachées à la France« . Or, la jurisprudence de la CNCIS était très claire, et ce depuis la fin des années 1990 : en aucun cas l’article 20 de la loi de 1991 ne peut être invoqué pour recueillir les données personnelles non plus que des « communications individualisables« , comme l’avait rappelé Jean-Paul Faugère, directeur de cabinet de François Fillon, fin 2010 après que la DCRI s’en soit servi pour accéder aux fadettes de Gérard Davet, le journaliste du Monde qui enquêtait sur les affaires Woerth-Bettencourt.

Or, et c’est le deuxième effet pshitt, si ce que d’aucuns qualifient de « SolereGate » a entraîné des tombereaux d’articles dans la presse, aucun journaliste ne semble avoir fait l’effort de demander à Thierry Solère quel était, à l’époque, son opérateur téléphonique. Il suffisait pourtant de le lui demander, et pour le coup, il s’agit d’Orange, tout comme Gérard Davet.

Et il serait d’autant plus douteux et improbable que les responsables des obligations légales d’Orange, qui venaient d’avoir eu chaud aux fesses pour avoir accepté, dans le dos de la CNCIS et du GIC, de confier les fadettes de Davet à la DCRI, aient pu ainsi accepter de collaborer de la sorte avec la DGSE, alors même que Bernard Squarcini venait précisément d’être mis en examen, en octobre 2011, soit quelques mois avant l’affaire Solère, pour « atteinte au secret des correspondances », « collecte illicite de données » et « recel du secret professionnel » dans l’affaires des fadettes de Davet (il a depuis été condamné à 8000€ d’amende pour « collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite », passible d’une peine maximale de cinq ans de prison et 300 000 euros d’amende, et n’a pas fait appel).

La remise en contexte du timing est d’autant plus importante que, début décembre 2011, Le Monde avait également révélé que l’inspection générale des services (IGS) avait elle aussi exploité les fadettes de Gérard Davet et de… Jacques Follorou, le journaliste du Monde à l’origine de l’affaire Solère, rendant d’autant plus improbable un éventuel détournement de l’article 20 de la loi de 1991 en mars 2012.

Une source proche des services de renseignements a déclaré la semaine passée à l’AFP que les services extérieurs français « vont faire preuve de toute la transparence et l’ouverture nécessaire » dans l’enquête ouverte par le parquet de Paris après les révélations du Monde, et même que « la DGSE se réjouit de l’ouverture de cette enquête (et) espère que toute la lumière sera faite et l’exacte vérité rétablie« .

Mieux : la DGSE qui, après vérification dans ses fichiers, nie en bloc, « espère que les conclusions de cette enquête conduiront chacun à rendre compte de ses propos, au besoin devant la justice« , sans que l’on sache si c’est Le Monde qui, accusant la DGSE au premier chef, avant d’évoquer un « détournement frauduleux des moyens techniques de ce service de l’Etat« , serait visé, ou bien tous ceux qui, dans la foulée, ont bêtement copié/collé son titre erroné et sensationnaliste, sans rappeler que la DGSE n’a ni demandé ni obtenu de placer Thierry Solère sous surveillance mais bien, dixit Le Monde lui-même, mis précisément un terme à cette surveillance.

Les questions qui restent en suspens

Reste donc, cela dit, à savoir comment cette surveillance, illégale, aurait été techniquement rendue possible sans que le GIC ni la CNCIS ne s’en rendent compte, jusqu’à ce que la DT de la DGSE n’y mette un terme.

Mais aussi pourquoi ni le GIC ni la CNCIS n’en auraient alors été tenues informées.

Pourquoi les filtres et mécanismes censés écraser les communications des identifiants français n’auraient pas fonctionné, et ce qui aurait changé suite à cette affaire, voire depuis l’adoption de la loi sur la surveillance internationale.

Et, comme vient de le souligner le Canard Enchaîné, pourquoi Matignon n’a pas voulu saisir l’Inspection des services de renseignement (ISR) dont la création, en 2014, s’inscrivait pourtant dans « un processus visant à garantir l’équilibre entre les objectifs de sécurité et le respect des libertés individuelles et de la vie privée« , soit précisément ce que révèle aussi en creux cette affaire Solère.

Le Canard révèle également que Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR, qui a succédé à la CNCIS) allait elle aussi mener des investigations à ce sujet, « pour s’assurer que les faits allégués par Le Monde ne peuvent pas se produire aujourd’hui« . On en saura donc plus lors de la publication de son premier rapport, à l’automne prochain.

MaJ : En réponse à un recours des éxégètes amateurs portant sur la « surveillance secrète par la DGSE (2008-2015), le ministère de la défense vient de prétendre (.pdf) qu' »aucun décret non publié relatif aux mesures de surveillance des communications internationales n’a été édicté, que ce soit antérieurement ou postérieurement à l’adoption de la loi n° 2015-1556 du 15 novembre 2015« … Je peine à croire que la DGSE ait pu déployer de tels systèmes de « collecte de masse » sans se border par un texte signé par les responsables politiques d’alors (aka Nicolas Sarkozy).

L’avocat de Thierry Solère, de son côté, vient d’annoncer qu’il allait porter plainte.

MaJ : l’enquête à été classée sans suite le 30 novembre 2016 pour « absence d’infraction », au motif que « les investigations approfondies (…) n’ont démontré l’existence d’aucune surveillance technique de Thierry Solère par la Direction générale de la sécurité extérieure » (DGSE).

La question reste donc de savoir pourquoi Le Monde s’était-il d’abord fait l’écho d’un placement sous surveillance de Thierry Solère par la DGSE, avant d’évoquer, le lendemain, un « détournement frauduleux » de ses moyens techniques, auquel la DGSE avait mis un terme…

Ladite « absence d’infraction » pose également la question de savoir s’il y a bien eu « détournement frauduleux », dans la mesure où l’on peine à croire que, s’il a eu lieu, il n’ait pas été sanctionné en interne, voire notifié à la CNCIS et/ou au Conseil d’État.

Parce qu’en l’espèce, cette « absence d’infraction » peut se traduire de deux façons : soit Le Monde a monté en épingle un incident ne pouvant être qualifiée d’infraction, soit la DGSE (voire la CNCIS, et le Conseil d’État) a fait le ménage en interne de sorte d’éviter que ledit incident ne puisse être qualifié d’infraction devant la justice… l’un n’excluant pas forcément l’autre.

Force est cela dit de constater que, et contrairement à ce qui se passe en Grande-Bretagne et aux Etats-Unis par exemple, les précédents rapports de la CNCIS ne comportaient aucune information concernant les mésusages des techniques de renseignement, qu’il s’agisse de détournements frauduleux ou d’erreurs par inadvertance ou inattention. La CNCTR gagnerait à être plus transparente à ce sujet, et permettrait de répondre à ces questions.

Voir aussi les analyses de Jean Guisnel, « A qui profite cette fable ?« , et Jean-Dominique Merchet, pour qui, « Boulevard Mortier, on reste très interrogatif sur cet article, jugé à la fois « faux » et « insultant » » et, sur ce blog :
De la surveillance de masse à la paranoïa généralisée
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Le darknet est trop compliqué pour les terroristes
DDAI, la discrète cagnotte des « fonds spéciaux »
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)

Le darknet est trop compliqué pour les terroristes

vendredi 1 avril 2016 à 17:31

Tor project« Ceux qui nous frappent utilisent le Darknet et des messages chiffrés pour accéder à des armes qu’ils acquièrent en vue de nous frapper », affirmait récemment Bernard Cazeneuve à l’Assemblée. Or, Cryptopolitik and the Darknet, une étude de Thomas Rid et Danny Moore, respectivement professeur et thésard en cybersécurité au département de la guerre du King’s College London, vient tempérer ce genre d’affirmations péremptoires.

Après avoir développé un robot pour analyser et indexer les « services cachés » en .onion uniquement accessibles grâce au navigateur et réseau sécurisé Tor, les deux chercheurs ont découverts que la majeure partie de ces sites web anonymes (2 482) étaient inaccessibles ou inactifs, 1021 n’avaient rien d’illicite, 423 relevaient du trafic de drogue, 327 du blanchiment d’argent, de fausse monnaie ou de n° de CB volés, 140 d' »idéologies extrêmistes« , 122 de pornographie illégale, 118 de portails indexant les sites accessibles en .onion, et 42 la vente d’armes.

« La chose la plus surprenante fut de découvrir une si faible présence des militants et extrêmistes« , a déclaré Thomas Rid au magazine Quartz. De fait, l’une des découvertes les plus notables de leur étude est précisément « notre confirmation de la quasi-absence de l’extrémisme islamique sur les services Tor cachés, avec moins d’une poignée de sites actifs ».

Pour les deux chercheurs, cette faible présence s’explique par le fait que les terroristes sont des internautes comme les autres et que « les djihadistes utilisent internet comme tout le monde », comme le soulignait récemment David Thomson.

« Les services cachés sont lents, et pas aussi stables qu’on pourrait l’espérer. Ils ne sont pas si faciles à utiliser, et il existe d’autres alternatives« , explique Rid à Quartz. « En terme de propagande et de communication, ils sont moins utiles que d’autres alternatives« .

De plus, et contrairement aux réseaux sociaux et aux sites web classiques, ils ne touchent pas grand monde, on ne peut pas les trouver par hasard ou via Google.

43% des sites en .onion n’ont rien d’illicite

Reste que sur les 2723 sites actifs, 1547 relevaient de contenus illicites, soit 57%. Ce qui signifie aussi, et à rebours de ce que l’on entend d’ordinaire dès qu’il s’agit du darknet, que 43% des sites en .onion n’ont rien d’illicite…

Otakuthon_2014_(14850728278)Une autre étude, plus récente, portant sur 13 000 sites, révélait que seule la moitié relevait d’activités illégales, déconcertant là aussi son auteur : « Cela nous a vraiment surpris. On pensait que ce serait bien pire« , expliquait Eric Michaud, CEO de Darksum, une entreprise spécialisée dans la surveillance du darknet, qui a également découvert que les services cachés étaient régulièrement utilisés par des communautés cherchant des espaces ultraprivés pour se socialiser, évoquant notamment des forums de fandom furry, qui aiment se déguiser en animaux à fourrure :

« Ces gens veulent rencontrer des personnes partageant les mêmes intérêts, sans qu’ils puissent être reliés à leurs véritables identités, parce que cela pourrait se retourner contre eux. Par exemple, il existe des forums pour les trans’, qui y partagent les détails de leurs vies quotidiennes.« 

Un documentaire sur le Darknet qui sera prochainement diffusé sur France 4 fait de même parler une journaliste arabe qui ironise sur la diabolisation qui est faite du Darknet, dans la mesure où c’est précisément là que vont se réfugier militants ou personnes LGBT notamment, de sorte de pouvoir converser sans risquer d’être arrêtés et inculpés, comme ils pourraient l’être s’ils discutaient « en clair« .

Le fait que, en octobre 2014, Facebook ait lancé son propre https://facebookcorewwwi.onion/, accessible uniquement via TOR, n’est donc qu’un des nombreux exemples illustrant le fait que, suite notamment aux révélations Snowden, de plus en plus de gens ont besoin de pouvoir rester anonymes pour se socialiser, discuter et échanger. Reste qu’on ne pourra plus réduire le Darknet à ses seules utilisations illégales ou illicites.

Maj, 10/11/2016 : Researchers Claim the Darknet Has More Legal Sites Than Illegal Ones.