Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

Plus de deux années après leur création dans la loi, les équipements permettant aux services de renseignement d’analyser de grands volumes de données semblent fonctionnels. Continuer la lecture de Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

Le garde fou des services du renseignement se déclare dépassé

La CNCTR, fameuse Commission Nationale du Contrôle des Techniques de Renseignement, se déclare dépassée et partiellement opérationnelle. Retour sur un problème plus que prévisible. Continuer la lecture de Le garde fou des services du renseignement se déclare dépassé

Le Parlement Européen, la surveillance et Snowden.

Pendant qu’en France, nos « représentants de la nation » votent des lois décriées par de très nombreuses associations, l’Europe s’inquiète.

Dans un communiqué de presse publié le 29 Octobre 2015, le Parlement Européen (PE) demande à la Commission Européenne de « veiller à ce que tous les transferts de données vers les États-Unis soient soumis à un niveau efficace de protection et demandent aux États membres de l’UE d’accorder une protection à Edward Snowden, en tant que « défenseur des droits de l’homme ». »

Deux informations sont à prendre en compte : la gestion des données personnelles de l’ensemble des citoyens européens suite à la chute du « Safe Harbor » d’un côté et la protection du lanceur d’alerte Edward Snowden, à qui nous devons toutes les révélations sur l’espionnage planétaire des agences du renseignement, NSA en tête de liste.

A cela s’ajoute l’inquiétude du parlement sur « des lois de surveillance dans plusieurs pays de l’UE », qui fait référence au projet de loi relatif au renseignement, au projet de loi de surveillance des communications internationales et à d’autres projets de loi, dans d’autres pays de l’Union.

Concernant le « Safe Harbor » ou « Sphère de sécurité », (administration oblige), le Parlement reste sur la défensive, presse la Commission de s’assurer que les données personnelles des citoyens de l’Union soient réellement protégées et que le transfert de nos données vers les Etats-Unis d’Amérique soit strictement encadré.

Bonne nouvelle, une résolution approuvée d’extrême justesse (285 pour, 281 contre) appelle les états membres de l’Union à « abandonner toute poursuite contre Edward Snowden, à lui offrir une protection et à empêcher en conséquence son extradition ou sa restitution par une tierce partie, en signe de reconnaissance de son statut de lanceur d’alerte et de défenseur international des droits de l’homme. »

Certes, ce n’est qu’un « appel à abandonner » les charges et à protéger Edward Snowden, il faut donc relativiser.

C’est une déclaration, ce sont des mots, les états membres ne sont pas obligés de répondre à cet appel. Je salue donc la déclaration du Parlement, qui ne prend tout de même pas trop de risques avec cette déclaration. J’attends de voir ce qui sera fait au sein de l’Union, dans l’avenir, pour la protection des lanceurs d’alertes comme Assange ou Snowden.

La suite ?

C’est là que ma joie est bien plus mitigée. Le Parlement Européen déclare de bien jolies choses, ses idées, intentions, sa vision… tout ceci mérite le plus grand respect mais, dans les faits, qu’est-ce que cela change ?

Actuellement, rien.

Les états membres continuent de voter des lois particulièrement liberticides, Assange et Snowden ne sont toujours pas en odeur de sainteté au sein desdits pays, les 281 opposants à la résolution en témoignent.

Le Parlement et les eurodéputés pourront continuer d’écrire et de déclarer de bien jolies choses, si elles ne sont pas suivies d’actions, cela revient à « pisser dans un violon ».

Bref, rien de bien nouveau dans notre bonne vieille Europe.

[En bref] Loi renseignement et surveillance internationale : pas tous égaux.

L’article L. 854-1 – III de la proposition de loi relative aux mesures de surveillance des communications électroniques internationalesje sais, c’est très pompeux comme entrée en matière – est ainsi rédigé :

« Les personnes qui exercent en France un mandat ou une profession mentionné à l’article L. 821-7 ne peuvent faire l’objet d’une surveillance individuelle de leurs communications à raison de l’exercice du mandat ou de la profession concernée. »

Il est bon de se rappeler l’article L. 821-7, puisque le L. 854-1 – III en fait mention :

« Les techniques de recueil du renseignement mentionnées au titre V du présent livre ne peuvent être mises en œuvre à l’encontre d’un magistrat, d’un avocat, d’un parlementaire ou d’un journaliste ou concerner leurs véhicules, bureaux ou domiciles que sur autorisation motivée du Premier ministre prise après avis de la commission réunie.»

En décodé , l’article dont il est question dans mon billet dit donc la chose suivante :

les magistrats, avocats, parlementaires ou journalistes ne peuvent être surveillés que si le premier ministre l’autorise et que ladite autorisation est dite « motivée », argumentée si vous préférez. Il lui faudra également l’avis de la Commission Nationale du Contrôle des Techniques du Renseignement (CNCTR), que j’ai surnommé la « commission du oui » pour anticiper l’avenir…

Condition importante : il faut que ces professions « protégées » soient exercées en France. Dans le projet de loi relatif à la surveillance des communications électroniques internationales, ce n’est pas le cas.

Pour faire plus simple et moins pompeux : pour surveiller des magistrats, des avocats, des parlementaires ou des journalistes à l’étranger, servez-vous, c’est open bar.

La vision est assez binaire, j’en conviens, mais tout ce qui n’est pas inscrit dans la loi est dans le champ du possible.

Seulement…

Bien, ce point-là me dérange profondément. Non pas que les autres ne me dérangent pas, loin de là, très loin même, rassurez-vous.

Il me dérange car il crée une rupture d’égalité pour des personnes qui exercent le même métier, qui ont besoin des mêmes protections, qui ont les mêmes exigences que leurs confrères du sol français.

Dans ces métiers, il existe de très nombreuses connexions internationales, certains avocats de l’étranger gèrent des dossiers pour des clients français, certains journalistes étrangers communiquent avec d’autres français et ainsi de suite…

Pourtant, le projet de loi ne prévoit pas de protéger ces professions si elles sont exercées hors du territoire français.

Une nouvelle fois, j’ai honte de cette loi qui fait honte à notre pays et aux valeurs que nous sommes censés défendre plus que tout : liberté, égalité, fraternité.

Comment pouvons-nous encore avoir l’égalité comme devise lorsque la loi s’efforce de rompre ce qu’il reste de cette valeur déjà bien massacrée ?

Comment peut-on se faire avoir à ce point ?

Ces protections pour quelques métiers sont insuffisantes et inefficaces :

  • insuffisantes car d’autres métiers méritent d’être protégées, comme les médecins et le secret médical par exemple
  • inefficaces car pour ne pas surveiller un avocat, un journaliste … il faut déjà l’avoir identifié et pour l’identifier, il faut qu’il ait déjà été l’objet d’une surveillance.

Pour faire plus simple : si, sur une autoroute, j’ai l’obligation de laisser passer toutes les conducteurs qui portent un chapeau vert, il faut que j’observe chaque conducteur, y compris ceux qui portent ce chapeau « sésame ».

Pour ne pas surveiller les professions protégées, il faut que je tombe dessus pour dire « ah, non, lui ce n’est pas possible, c’est Marc Rees, de Next INpact, c’est un journaliste, on ne peut pas le surveiller, arrêtez tous, les mecs ! », donc, l’espace d’un instant déjà bien trop long, je l’ai surveillé.

Vous voyez le problème je pense, non ?

Quel dommage que les rédacteurs de la « rustine » suite à la toute petite claque du conseil constitutionnel ne le voient pas….

Lettre ouverte à Bernard Cazeneuve, M. le ministre de l’Intérieur.

Cher M. Cazeneuve, dans votre discours de clôture du colloque des Attachés de Sécurité Intérieure, vous avez tenu les propos suivants :

« Tous ceux qui parlent fort et d’ailleurs généralement de façon incongrue, comme s’il y avait une corrélation entre le nombre de décibels qu’on utilise et l’incongruité des propos que l’on tient sur ces sujets, ont été contre toutes les décisions législatives que nous avons arrêtées : contre le blocage administratif des sites, contre l’entreprise individuelle terroriste, contre la loi Renseignement, contre l’interdiction administrative de sortie du territoire… Comme si toute la stratégie consistait à rendre impossible le travail des services, par des mesures législatives opportunes, pour mieux constater la difficulté dans laquelle les services se trouvent d’accomplir leurs missions et mieux pouvoir ensuite théoriser qu’il n’y a qu’une seule et unique solution, qui consiste à organiser la suspicion autour des musulmans de France de telle sorte à pouvoir les stigmatiser, les accuser alors que l’immense majorité d’entre eux, sur le territoire national, pratiquent leur religion dans le respect profond des principes et des valeurs de la République. »

Afin de mettre au clair un certain nombre de points qui me semblent importants, je me permets de vous écrire cette lettre et j’invite chaque internaute qui lira cette lettre et partagera mes idées à vous la faire suivre également.

Tout d’abord, j’imagine que vous visez la Quadrature du Net lorsque vous parlez de « ceux qui parlent fort et d’ailleurs généralement de façon incongrue ». Permettez-moi de vous signaler que cette remarque est au mieux inexacte et au pire, qu’elle est la manifestation de la plus mauvaise foi possible.

Prenons par exemple les débats de la loi sur le renseignement, puisque vous y faites vous-même référence : la Quadrature du Net n’était pas seule mais suivie par de nombreuses organisations, des avocats, des juristes, des ONG connues et reconnues pour leurs compétences et leur travail depuis de nombreuses années et ce dans le monde entier.

Lorsque vous vous exprimez ainsi, vous ne « tapez pas » uniquement sur la Quadrature, vous méprisez également le Syndicats de Magistrats, l’ordre des avocats, Reporters Sans Frontières, la Fédération Internationale de la ligue des Droits de l’Homme et bien d’autres encore, vos propos sont indignes d’un ministre, indignes d’une démocratie, indignes d’une république.

Est-ce là l’estime que vous portez à ces associations, à ce contre-pouvoir fondamental dans toute démocratie ?

Doit-on considérer que vous aimeriez qu’il n’y ait aucune critique, aucune inquiétude, aucune remarque ?

Monsieur le ministre, un pays dans lequel la contestation n’existe pas n’est pas une démocratie, mais la pire des dictatures.

Doit-on considérer que ces propos sont dignes d’un tyran, dérangé par des citoyens et des associations inquiétées par un certain nombre de lois qui touchent aux libertés individuelles ?

Vous déclarez ensuite « comme s’il y avait une corrélation entre le nombre de décibels qu’on utilise et l’incongruité des propos que l’on tient sur ces sujets ».

Monsieur le ministre, entre nous, qui espérez-vous berner ?

Votre déclaration suggère que nos propos sont déplacés et que c’est pour cette raison que nous hurlons. Vous jouez avec l’imaginaire collectif qui imagine alors que quelqu’un qui hurle est quelqu’un qui se trompe ou qui utilise l’agressivité comme arme pour asseoir des propos.

Non, monsieur le ministre. Si certains finissent par perdre patience, c’est simplement parce qu’ils sont humains.

Comment ne pas perdre patience face à un ministre qui témoigne aussi peu de respect à des organisations citoyennes ?

Comment ne pas perdre patience face à un ministre qui refuse tout dialogue constructif, tout échange, qui rejette toute idée contraire à sa propre vision des choses ?

A nouveau, pensez-vous que votre posture soit digne d’un ministre ? Je comprends votre désir de faire partie des « grands » de la cinquième république en ayant d’excellents discours, mais je suis au regret de vous dire que cela n’arrivera pas.

La maîtrise du verbe ne fait pas tout, le mépris que vous nous témoignez finira par avoir raison du respect que nous vous témoignons. Pour autant, rassurez-vous, jamais nous n’irons jusqu’à tenir vos propos.

Ce que nous souhaitons et qui semble vous déplaire au plus haut point, c’est débattre. Simplement débattre et avancer, ce que vous refusez de faire.

Si parfois, nous finissons par perdre patience, c’est parce que votre comportement est tout simplement inadmissible, que vous refusez tout dialogue, que vous jouez avec le verbe.

Je ne suis d’ailleurs pas certain que nous reléguer au rôle de «ceux qui parlent fort et d’ailleurs généralement de façon incongrue » soit une réelle invitation à apaiser le « débat ».

Monsieur le ministre de l’Intérieur, nous ne sommes pas vos ennemis, il serait peut-être temps de le comprendre.

Nous sommes des citoyens, des informaticiens, des « civils », des juristes, des avocats, des charpentiers, des plombiers, des joueurs, des techniciens, des conseillers, des vendeurs, des commerciaux, nous sommes la société civile et sommes simplement inquiets de la tournure que vous faites prendre à la loi.

Nous ne sommes pas vos ennemis, ni formellement opposés à toutes ces lois dont vous parlez, nous souhaitons simplement qu’elles soient bien rédigées, équilibrées, qu’elles conjuguent liberté et sécurité que vous vous efforcez à opposer. Nous pensons qu’une autre solution est possible, nous pensons qu’instaurer des « boites noires » extrêmement critiquées par « ceux qui savent » ne sont pas la bonne solution, nous pensons qu’un juste milieu existe et souhaitons simplement trouver ce juste milieu.

En guise de réponse, nous obtenons de vous des moqueries, des critiques, nous n’obtenons aucun débat constructif et, monsieur le ministre, je trouve ça extrêmement dommage, tant pour vous que pour votre carrière, que pour nous, la société civile, la démocratie en souffre et vous en êtes au moins partiellement responsable.

C’est par vos attitudes et votre comportement que beaucoup baissent les bras, que « le peuple » s’intéresse de moins en moins à la politique, qu’il vote de moins en moins.

A quoi bon puisque vous n’écoutez rien, ni personne ?

Face à votre déclaration, je m’interroge. Votre parcours professionnel dénote une sensibilité au droit et une intelligence certaine, vous sortez de l’Institut d’études politiques de Bordeaux, êtes ancien juriste, ancien conseiller de secrétaires d’Etat, avocat au barreau de Cherbourg en 2003, vous êtes une personne que j’imagine intelligente.

C’est encore plus effrayant, en fait. J’aurais aimé vous imaginer sot, dénué de toute réflexion, j’aurais pu vous pardonner vos écarts, vos discours anxiogènes, vos critiques infondées… mais non. Vous êtes intelligent, vous êtes pleinement conscient de ce que vous déclarez, cela en devient presque une circonstance aggravante, tant d’intelligence pour un si piètre résultat, c’est tout de même dommage.

Revenons à l’essentiel, monsieur le ministre : nous ne sommes pas vos ennemis, ni fermement opposés au fond des textes dont vous parlez, nous sommes opposés à la forme de ces textes, au fait qu’ils soient votés dans l’urgence, au fait qu’ils souffrent de failles et de lacunes, notamment lorsqu’il s’agit de protection des libertés individuelles.

Enfin, monsieur, parlons brièvement de ceci :

« qui consiste à organiser la suspicion autour des musulmans de France de telle sorte à pouvoir les stigmatiser, les accuser alors que l’immense majorité d’entre eux, sur le territoire national, pratiquent leur religion dans le respect profond des principes et des valeurs de la République. »

Seriez-vous en train de sous-entendre que, si nous sommes contre vos textes, alors nous sommes racistes et vouons une profonde haine autour des musulmans de France ?

D’ailleurs, mes excuses, mais comment ces musulmans sont arrivés ici, dans votre discours ? Etes-vous en train de vous servir de ces musulmans comme d’un faux prétexte, un « bouclier » ?

J’ose espérer que ce n’est pas un argument fallacieux pour faire taire tout débat et jeter l’opprobre sur quiconque oserait à nouveau critiquer le moindre texte estampillé « made in Bernard Cazeneuve » ? Ce n’est pas le cas, n’est-ce pas ?

Je reconnais cependant là votre style : faire d’une chose éminemment complexe un débat absolument binaire où d’un côté il y a les gentils dont vous faires partie et, de l’autre, les méchants.

C’est la même ligne de défense que lors des débats sur la loi sur le renseignement.

Monsieur Cazeneuve, la vie n’est pas binaire, elle est composée d’une multitude d’éléments qui font que vous ne pouvez ni ne devez adopter de tels comportements.

Pensez-vous que nous faire passer pour des racistes soit une chose saine ? Utile au débat ?

Finalement, j’ai l’impression que la seule personne à parler fort et de façon incongrue, ici, c’est vous.

Vous parlez tellement de nous, tellement souvent, vous nous critiquez tellement souvent que j’en viens à me demander si, secrètement, vous ne nous aimez pas.

Nous citer aussi souvent, c’est flatteur. Je vous remercie donc de penser aussi souvent à nous.

En revanche, la prochaine fois, ayez la décence de ne plus tenir de tels propos en parlant de la société civile, elle ne demande qu’à vous aider, ne la méprisez pas.

En vous remerciant du temps que vous ne consacrerez certainement pas à lire cette lettre ouverte.

TextSecure ou SMSSecure ?

Récemment, de nombreux échanges au sein de la communauté du Libre et dans les scènes hacktivistes tournent autour de la même question :

Faut-il utiliser TextSecure ou SMSSecure ?

Et une chose est sure, la réponse n’est pas simple. J’ai décidé de faire le point, en partant « de la base ».

TextSecure, SMSSecure, c’est quoi ?

Ces deux applications, disponibles sous Android, permettent de chiffrer les messages, SMS ou MMS, envoyés depuis l’appareil.

Les deux applications sont pensées pour s’intégrer parfaitement à votre utilisation quotidienne, remplaçant sans le moindre problème le logiciel SMS « par défaut » d’Android. Si vous préférez, vous n’avez pas besoin d’être un expert en informatique pour utiliser ces applications, elles sont pensées pour être utilisées par tout le monde.

TextSecure dispose d’un équivalent sous iOS : Signal. SMSSecure, quant à lui, n’existe que sous Android.

SMSSecure est ce qu’on appelle un « fork » de TextSecure, c’est-à-dire qu’il a été créé à partir du code source de TextSecure. Si son ambition est équivalente à celle de TextSecure, les deux applications fonctionnent différemment.

Comment ça fonctionne ?

TextSecure et SMSSecure ont deux fonctions : ils chiffrent la base de SMS stockée dans votre appareil et, par défaut, la protègent par un mot de passe que vous définissez. Ce mot de passe permet également d’accéder à l’application, sans ce dernier, impossible d’envoyer des messages.

Leur seconde fonction est l’envoi de messages sécurisés : les SMS sont chiffrés de l’expéditeur au destinataire, on appelle ça du « end-to-end encryption ». Avec ce mode d’envoi, seul le destinataire du SMS est capable de déchiffrer le message. Même si votre message passe par un serveur intermédiaire, ce dernier ne pourra pas le lire.

Je ne rentrerai pas dans le détail du chiffrement, sauf si vous le souhaitez, cela fera alors l’objet d’un article spécifique.

La grande différence réside dans le transport des messages : TextSecure fait transiter les messages par Internet, via ses serveurs, alors que SMSSecure fait transiter les messages par le réseau mobile, sans passer par Internet.

Et alors ?

Afin de tenir la charge pour l’envoi des messages, TextSecure a fait le choix suivant : utiliser GCM, Google Cloud Messaging, seul outil capable de gérer les millions d’utilisateurs TextSecure à travers le monde.

Si une alternative est en cours de développement, il faut pour l’instant composer avec cette forte dépendance à Google, renforcée par le fait que GCM demande impérativement l’installation du Google Play.

SMSSecure, lui, ne fait pas passer les messages par Internet, ces derniers passent sur le réseau mobile, comme n’importe quel autre SMS. Il gère donc le chiffrement mais pas le transport des messages.

Pour faire plus clair : TextSecure gère le chiffrement et le transport des messages, SMSSecure ne gère que le chiffrement. TextSecure est dépéndant de Google pour acheminer les messages, SMSSecure non, il n’est dépendant que du réseau mobile.

Avantages, inconvénients …

Chaque solution a un certain nombre d’avantages… et certains inconvénients :

  • TextSecure et SMSSecure chiffrent les messages, avec des protocoles considérés comme solides, les deux offrent donc un niveau de sécurité parfaitement acceptable. Il faut en revanche que le destinataire de votre message dispose de la même application pour que le message puisse être chiffré. Si votre destinataire ne dispose pas de TextSecure ou SMSSecure, le message envoyé sera un « simple » SMS, l’échange ne sera ni chiffré, ni protégé.
  • TextSecure fait transiter ses messages par Internet, ce qui est à la fois un avantage et un inconvénient.
  • L’avantage : votre message ne passe pas par le réseau mobile, votre opérateur n’a donc aucun trace de votre message, ne sait pas avec qui vous communiquez, quand, comment, combien de fois… il est aveugle et ne peut plus récupérer de métadonnées sur vos messages.
  • L’inconvénient : vous devez passer par Internet, il faut donc avoir un forfait data, être sous couverture data, il y a une dépendance à Google. Si vous n’avez plus de data où que vous êtes dans un pays sans data, vous serez complètement paralysé.

Sur ces avantages et inconvénients, SMSSecure est l’exact opposé de TextSecure :

  • L’avantage : vous passez par le réseau mobile, votre message arrivera, avec ou sans data. Où que vous soyez, tant que vous avez du réseau, votre message arrivera et vous pourrez en recevoir.
  • Inconvénient : vous passez par le réseau mobile, votre opérateur sait donc que vous envoyez des messages, à qui vous les envoyez, quand, il peut savoir avec qui vous communiquez le plus et, pour résumer, est capable d’accéder à toutes les métadonnées liées à un SMS.

Une question de choix…

Choisir SMSSecure, c’est s’assurer une complète indépendance vis-à-vis de Google, c’est aussi s’assurer que cela fonctionnera dans de nombreuses situations, puisqu’il suffit d’avoir du réseau. Hélas, c’est aussi choisir de laisser trainer ses métadonnées dans la nature

Si vous êtes journaliste par exemple, il sera possible de savoir avec qui vous communiquez et donc, d’identifier vos sources assez rapidement.

Choisir TextSecure, c’est s’assurer que vos échanges seront invisibles pour votre opérateur. Si vous êtes journaliste, il devient très compliqué voire impossible de savoir avec qui vous échangez des messages.

En revanche, c’est être dépendant d’un accès à Internet et être dépendant d’un outil mis en ligne par Google, un monstre bien trop curieux.

Au final, le choix entre TextSecure ou SMSSecure se résume donc à une question de protection et de sécurité.

Pour conclure, afin de choisir, il faut bien définir votre besoin, bien définir les menaces auxquelles vous êtes exposés selon vos activités ou votre profession…

Si vous souhaitez de plus amples explications ou apporter des corrections, les commentaires sont là pour ça.