Comment le FBI, le PS et Estrosi ont mis le Net sous surveillance
Le décret sur la "conservation des données de connexion" est la conclusion logique d’une dérive sécuritaire entamée il y a 10 ans maintenant, au lendemain des attentats du 11 septembre 2001. En voici l'histoire.
Vous imaginez une démocratie où la loi oblige les opérateurs de transport en commun et sociétés autoroutières à installer mouchards et caméras pour garder la trace, pendant un an, des endroits que les gens ont visités, de comment ils y sont allés, des personnes qu’ils ont rencontrées, et de ce qu’ils ont pu échanger ou partager ? Ce pays, c’est la France de 2011.
Un décret publié au JO le 1er mars contraint les fournisseurs d’accès à l’internet, les hébergeurs et prestataires de services web et de réseaux sociaux à conserver les données permettant d’identifier qui sont les gens qui vont sur l’internet, ce qu’ils y font, quand, et comment.
Ce décret Big Brother “relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne“, est la conclusion somme toute logique d’une histoire commencée il y a près de 20 ans et qui s’est formidablement accélérée au lendemain des attentats du 11 septembre 2001.
Une demande pressante du FBI
L’histoire de la surveillance des internautes commence en 1993, alors que le web est en train d’exploser. En juin de cette année, on dénombrait 130 sites Web, et 623 en décembre. Les premiers navigateurs, Lynx, puis NCSA Mosaic, font exploser les usages, qui croissent à un rythme annuel de 341 634 %.
Cette même année, les autorités américaines commencent à mener une intense activité diplomatique afin de persuader les pays européens et l’OCDE de déployer des mesures de surveillance et d’interception des télécommunications, sous les auspices d’une organisation d’experts européens et américains, ILETS (pour Interception Law Enforcement Telecommunication Seminar).
Fondée par le FBI, son existence fut révélée par Duncan Campbell, dans le rapport que le parlement européen lui avait demandé de consacrer, en 1999, au réseau Echelon anglo-saxon d’interception des télécommunications.
Ses travaux débouchèrent, en 1995, sur l’adoption d’une résolution européenne relative à l’interception légale des télécommunications, largement inspirée du Communications Assistance to Law Enforcement Act (CALEA) américain, adopté en 1994, là aussi à l’initiative du FBI, afin d’imposer aux compagnies téléphoniques et aux fournisseurs d’accès internet de modifier leurs infrastructures pour faciliter la surveillance des réseaux.
Dans la foulée, ENFOPOL (pour “ENFOrcement POlice“), groupe de travail réunissant les ministères de l’intérieur des pays membres de l’Union considéré par certains comme la réponse européenne à l’organisation anglo-saxonne ECHELON, tente de définir les modalités techniques et standards de cette surveillance préventive des télécommunications.
Après avoir notamment proposé d’imposer la communication aux autorités des mots de passe des internautes, ou encore la présences de “backdoors” (portes dérobées) dans les logiciels et systèmes de cryptographie, le Parlement européen décida finalement de s’opposer à la conservation des traces de connexion, en juillet 2001, au motif que cela reviendrait à “donner carte blanche dans l’intrusion dans la vie privée des citoyens, en dérogation des droits de l’homme et des libertés fondamentales“, comme le rapporta alors ZDNet :
Le comité du Parlement européen a notamment précisé que des mesures de surveillance électronique doivent être «entièrement exceptionnelles, basées sur une loi spécifique et autorisées par une autorité judiciaire compétente dans le cas de personnes individuelles». Toute forme de surveillance électronique sur une large échelle devrait être interdite, tranche le comité.
“Légalité républicaine” vs “ère du soupçon”
Deux mois plus tard, les attentats du 11 septembre 2001 allaient tout changer, dans le monde entier, entraînant nombre de pays à renforcer leurs boîtes à outils sécuritaires, au nom de l’anti-terrorisme.
En France, le gouvernement socialiste qui, depuis 1997, cherchait à border la droite sur le terrain de la lutte contre l’”insécurité“, modifiait ainsi dans l’urgence son projet de loi relative à la sécurité quotidienne (LSQ), pour notamment contraindre les fournisseurs d’accès à l’internet à stocker, pendant un an, les traces (“logs“) de ce que font les internautes sur les réseaux, et ce quand bien même il n’a jamais été formellement prouvé que les terroristes avaient utilisés le Net pour communiquer (voir Terrorisme : les dessous de la filière porno).
De nombreuses associations avaient alors dénoncé des “mesures d’exception” instaurant une ère du soupçon faisant de tout citoyen un “présumé suspect” qu’il convenait de placer, par principe, sous surveillance.
Signe de la fébrilité des parlementaires, le sénateur socialiste Michel Dreyfus-Schmidt avait d’ailleurs vendu la mèche, avec un lapsus lourd de sous-entendus admettant que la France sortait du cadre de la “légalité républicaine” :
« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».
Conscient du fait que les législations anti-terroristes se doivent d’être sévèrement encadrées, l’article 22 de la LSQ précisait en effet que les mesures anti-terroristes rajoutées en urgence dans la foulée des attentats, et donc ce placement sous surveillance des internautes, ne devaient courir que jusqu’au 31 décembre 2003, date à laquelle un “rapport d’évaluation sur l’application de l’ensemble de ces mesures devait permettre au Parlement de statuer sur leur prorogation, ou non.
Quand l’exception devient la norme
Le Parlement n’eut pas le temps de demander ni d’examiner quelque rapport d’évaluation que ce soit. Le 21 janvier 2003, un amendement déposé par Christian Estrosi, après avis favorable de Nicolas Sarkozy, à son projet de Loi sur la sécurité intérieure (LSI, ou “Loi Sarkozy II“), dont il était le rapporteur, grave dans le marbre, sans aucun débat et en moins d’une minute, le principe de surveillance préventive des internautes. Verbatim :
M. Christian Estrosi, rapporteur. Prorogation ou pérennisation ? Dans l’article 17 du projet du Gouvernement, il n’est question que de proroger. Dans mon amendement, par contre, je propose de pérenniser certaines des dispositions visées, celles qui touchent à la conservation et au déchiffrement des données informatiques, c’est-à-dire à l’utilisation des nouvelles technologies de l’information et de la communication par la cybercriminalité.
Je vous ai soumis précédemment un amendement tendant à instituer de nouveaux délits pour donner à la police des moyens d’action dans la lutte contre la cybercriminalité et les réseaux qui s’y rattachent.
Il me paraît justifié de profiter de l’examen de cet article pour pérenniser des dispositions qui seront de plus en plus utiles à l’avenir, aux forces de l’ordre pour mener à bien leurs investigations en matière de lutte contre toutes les formes de trafics : drogue, armes, pédophilie, prostitution, blanchiment d’argent.
M. le président. Quel est l’avis du Gouvernement ?
M. le ministre de l’intérieur, de la sécurité intérieure et des libertés locales. Favorable.
M. le président. Je mets aux voix l’amendement n° 86.
(L’amendement est adopté.) “
Avec l’adoption de l’amendement Estrosi, soulignait ainsi la Ligue Odebi dans ses Logs pour les nuls, “la mesure d’exception consistant initialement à enregistrer tous les faits et gestes des internautes à des fins de lutte anti-terroriste, pour les mettre à disposition de l’autorité judiciaire, est devenue une mesure définitive, donc totalement séparée de l’existence ou non d’une menace terroriste“.
Extension du domaine des écoutes
En 2004, la loi pour la confiance dans l’économie numérique LCEN) étend l’obligation de conservation des données de connexion aux hébergeurs et responsables des sites et services web, qui doivent détenir et conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“.
En janvier 2006, la loi relative à la lutte contre le terrorisme (LCT), présentée par le ministre de l’intérieur, Nicolas Sarkozy, élargit l’obligation de conservation des “données de trafic” aux cybercafés, et prévoit de permettre aux services anti-terroristes de pouvoir y accéder en dehors de tout contrôle de l’autorité judiciaire, mais après avis d’une personnalité qualifiée placée auprès (et dépendant) du ministre de l’intérieur.
Le 15 mars 2006, une directive européenne sur la conservation des données définit la liste de ce que les fournisseurs de services de communications électroniques doivent logguer, suivie, en France, le 24 mars 2006 d’un décret “relatif à la conservation des données des communications électroniques“. Les FAI et les opérateurs de téléphonie sont désormais tenus de pouvoir tracer et identifier :
- la source et l’utilisateur de chaque communication
- son ou ses destinataires
- la machine utilisée pour communiquer
- le type, la date, l’heure et la durée de la communication
- les “données relatives aux équipements terminaux de communication utilisés (et) aux services complémentaires demandés ou utilisés et leurs fournisseurs“
- la géolocalisation des équipements de communication mobile utilisés.
En 2007, le ministère de l’intérieur mettait en place, en toute discrétion (dixit Le Figaro) et entre les deux tours des présidentielles, une nouvelle plate-forme d’interception, en temps réel, des données de connexion des mails et des textos, à l’intention des services de renseignement :
Qu’il s’agisse d’un appel sur mobile, d’un courriel envoyé par Internet ou d’un simple texto, les « grandes oreilles » de la République peuvent désormais savoir qui a contacté qui, où et quand.
“L’internet est un moyen de se cacher”
Problème : de plus en plus de connexions sont chiffrées, empêchant les grandes oreilles de savoir qui fait quoi sur les réseaux, comme l’expliquait l’an passé Bernard Barbier, “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE).
A son arrivée dans les services spéciaux en 1989, “l’objectif, c’était le téléphone” : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (”un million de communications simultanées, c’est pas beaucoup pour nous”), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte, car seuls les diplomates, les militaires ou les services secrets chiffraient leurs communications, “et notre job était de les casser, et on devait traiter entre 100 et 1000 documents par jour”.
Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale, le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.
Dans le même temps, souligne Bernard Barbier, “même les méchants se mettent à communiquer” : souvent jeunes, instruits, “tous les apprentis terroristes utilisent la crypto : pour eux, l’internet est un moyen de se cacher : ils savent qu’ils peuvent être écoutés, et donc se cachent dans la masse des utilisateurs de l’internet”, ce qui fait que “les cibles ont changé” :
“Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme. Aujourd’hui, nos cibles sont les réseaux du grand public, parce qu’utilisés par les terroristes.”
Parallèlement, et au vu de l’explosion du volume des télécommunications, les services de renseignement et de police judiciaire s’intéressent plus au contenant qu’au contenu, afin de savoir qui communique avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée :
“Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau.”
“Nous stockons tous les mots de passe”
“La mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe“, expliquait également Bernard Barbier, ce qui peut s’avérer très pratique pour identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms, sur les réseaux sociaux :
Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.
On comprend mieux pourquoi le décret sur la conservation des données “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne“, publié 6 ans après l’adoption de la LCEN auquel il se réfère explicitement, prévoit précisément la conservation, non seulement des noms, prénoms, pseudos, identifiants, n° de téléphone, adresses postales et électroniques de ceux qui s’expriment sur le Net, mais également de leurs “mots de passe ainsi que des données permettant de les vérifier ou de les modifier“.
Les services de police et de gendarmerie ont en effet de plus en plus recours à des logiciels d’analyse criminelle (ANACRIM) afin, “par exemple, de rattacher les appels téléphoniques à des abonnés, les abonnés à leurs correspondants, les correspondants à leurs autres relations et ainsi de suite“.
C’est ainsi que les statisticiens, spécialistes du datamining, sont parvenus à exploiter des centaines de milliers de CDR (Call Data Recording), les fiches contenant toutes les données relatives à un appel téléphonique, afin d’identifier le café où se réunissaient les terroristes de l’attentat de Madrid en 2004.
C’est également ce pour quoi les mots de passe pourront donc aussi servir à identifier des internautes, comme le souligne Guillaume Champeau sur Numerama :
Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.
Les services anti-terroristes, qui ont le droit d’accéder aux données sans contrôle judiciaire, pourront ainsi plus facilement s’infiltrer sur les réseaux. Encore que : les terroristes n’utilisent guère les sites et réseaux sociaux hébergés en France, de même qu’ils passent rarement par des fournisseurs d’accès français, et l’obligation de conservation, et de transmission, des données de connexions prévus dans le décret ne s’applique pas aux forums et réseaux sociaux étrangers.
Il n’est, par contre, qu’à se souvenir de l’affaire Tarnac pour imaginer sans trop de difficulté les problèmes que cela pourrait engendrer dès lors que des policiers s’en serviraient pour infiltrer des “organisations de nature subversive susceptibles de se livrer à des actes de terrorisme ou d’atteinte à l’autorité de l’Etat“, notion pour le moins floue mais dont la surveillance fait explicitement partie des missions de la Direction Centrale du Renseignement Intérieur (DCRI), le service de contre-espionnage français qui a fusionné les RG et la DST.
En attendant de tels éventuels dérives et dommages collatéraux, on aurait tort de verser dans la paranoïa, ne serait-ce que parce que conservation des données de connexion date donc de 10 ans maintenant et, comme le souligne Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie, “d’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur“.
A contrario, il n’est pas vain de rappeler pour autant que normalement, dans un État de droit, on ne place sous surveillance que les individus soupçonnés d’avoir commis un crime ou un délit. Dans nos démocraties sécuritaires, tout citoyen est a contrario un suspect en puissance, qu’il convient de surveiller, de manière préventive, “au cas où“. Le problème est politique. Il en va de la “légalité républicaine“.
Photographies CC leg0fenris.
Laisser un commentaire