Étiquette : Internet

« Nos agences se sont clairement égarées »

Tels étaient les mots prononcés par Eric King, le directeur de Privacy International, une Organisation Non Gouvernementale (ONG) espionnée par le GCHQ, équivalent britannique de la NSA américaine ou de nos services du renseignement, dans cette bonne vieille France.

Mercredi dernier, l’IPT (Investigatory Powers Tribunal), un tribunal britannique chargé d’enquêter sur la légalité des pratiques des services du renseignement, admettait que certaines ONG étaient illégalement surveillées, Amnesty International faisant partie des ONG espionnées.

Retour sur les faits

Mercredi donc, le président de l’IPT a envoyé un mail à Amnesty International, mail dans lequel il explique que des documents ont été portés à sa connaissance depuis le premier jugement et qu’ils viennent modifier ladite décision du Tribunal, rendue le 22 juin 2015.

La première décision rendue par le tribunal faisait suite à une plainte déposée par dix ONG, où le tribunal, dans sa décision initiale, déclarait que deux ONG étaient illégalement surveillées : L’Egyptian Initiative for Personal Rights et le Legal Resources Centre in South Africa.

Dans sa seconde décision, celle du 22 juin, le tribunal déclare qu’il s’est trompé et que ce n’est pas L’Egyptian Initiative for Personal Rights qui était illégalement surveillée, mais bien Amnesty International.

Le GCHQ garde sa ligne de communication

Du côté du GCHQ, la communication ne bouge pas : il n’y a surveillance que lorsque qu’il y a une menace sérieuse sur le pays, la surveillance ne sert qu’à cette finalité, dans le respect de la loi.

On peut se demander en quoi une organisation comme Amnesty International représente une « menace sérieuse pour le pays », leurs méthodes sont éloignées de toute forme de violence, ils préfèrent l’échange et la communication et c’est tout à leur honneur.

La réponse est apportée par la décision du Tribunal : rien ne justifie la surveillance d’Amnesty International, puisque le Tribunal juge cette dernière illégale.

La réaction d’Amnesty

Elle est assez vive, comme vous pouvez l’imaginer : « Il est inacceptable de constater que ce qui est présenté comme étant du domaine des dictatures puisse exister sur le sol anglais, instauré par le gouvernement anglais. »

Au-delà de la vive réaction d’Amnesty International, ces révélations pourraient avoir un impact très négatif sur les relations qu’entretient l’ONG avec d’autres organisations et d’autres individus.

« Comment mener à bien un travail crucial, à travers le monde, si les défenseurs des droits de l’Homme et les victimes d’abus encourent le risque de voir nos échanges confidentiels tomber dans les mains du gouvernement ? »

Le fonctionnement de l’IPT

Les copains de Next Inpact l’expliquent très bien : « Le tribunal n’a l’obligation de révéler une surveillance donnée à la personne morale ou physique que s’il conclut au caractère illicite du processus. »

En résumé : si le GCHQ n’a avait pas commis des erreurs, constatées ensuite par l’IPT, les ONG n’auraient jamais été informées qu’elles étaient sous surveillance et que cette surveillance n’était pas légale et cela aurait perduré, des années qui sait.

Sans sombrer dans la paranoïa, on peut tout de même imaginer que d’autres personnes, d’autres groupes ou ONG sont également surveillées. Que cette surveillance est tout autant illégale que la surveillance d’Amnesty International, à la différence que le GCHQ n’a pas fait la même erreur.

Qu’est-ce qui me prouve que le GCHQ n’espionne pas d’autres personnes ou d’autres ONG ? Rien.
Nous savons qu’Amnesty International était espionné à cause d’une erreur et j’imagine que des erreurs, c’est rare.

On peut imaginer que la Fédération Internationale des ligues Droits de l’Homme (FIDH) est espionnée, que RSF l’est, que n’importe quelle organisation l’est, en fait.

Les déclarations du GCHQ sont des mensonges, comment leur faire confiance pour la suite ?

Et en France ?

La loi sur le renseignement est actuellement au conseil constitutionnel pour une quadruple saisine (Assemblée Nationale, Président du Sénat, Président de la République et AFDEL) mais, dans les finalités de ladite prochaine loi, des choses similaires au fonctionnement du GCHQ existent.

Ainsi, il n’est pas inconcevable d’imaginer que les services du renseignement français se mettent à espionner une ONG. Si ce n’est pas une organisation terroriste, il n’en reste pas moins que certaines ont une influence politique. Il suffira de dire que telle ONG est surveillée pour tel motif afin qu’elle n’en sache jamais rien et que tout ceci soit jugé conforme à la loi.

ONG, membres d’associations, sortez couverts.

GoLeaks : les leaks de l’Ouest.

J’ai décidé de vous parler de GoLeaks, une plateforme de leaks comme son nom l’indique, suite à une conférence très intéressante lors du festival « Pas Sage en Seine 2015 », où j’ai rencontré @Datapulte, hacker en charge de la partie technique du projet.

Le projet semble bien parti, solide et pas décidé sur un coup de tête. Les personnes qui vont s’occuper du projet sont fiables et de confiance.

La première plateforme régionale de récolte et de diffusion d’information, de « leaks », par des sources anonymes, va donc prochainement voir le jour.

Petit tour d’horizon de GOLeaks.

Le GO, c’est pour Grand Ouest, les leaks porteront sur l’ensemble de la Bretagne et on peut déjà imaginer des leaks en lien avec Notre-Dame-des-Landes par exemple, mais pas que. De la fuite très locale, du village à la ville, de l’élu local à beaucoup plus, il y a là, à mon avis, beaucoup de choses à récupérer.

Ce sont ces raisons qui ont entrainé la création de GOLeaks.

Le projet

Le besoin est le suivant : partager une information sensible ou compromettante, une information qui mérite d’être connue du grand public. Cette information, en raison de son caractère sensible, ne peut pas être partagée via des outils « classiques », par mail, SMS, au téléphone …

Il faut être capable de protéger et d’anonymiser au maximum la source de l’information, clef de la réussite des sites de leaks. Nous reviendrons sur ce point un peu plus loin dans le billet.

Protection des sources, travail avec les journalistes et les maisons de presse, gestion des échanges entre source et journaliste pour sécuriser au maximum la source, telles sont les ambitions du projet.

Techniquement

La plateforme est découpée en deux parties, l’une servant de vitrine, l’autre étant la réelle plateforme d’échange.

« Les deux sites sont séparés et hébergés à des endroits différents, chez un opérateur de confiance, afin de sécuriser au maximum les plateformes. S’il y a une faille de sécurité sur un site, elle ne permettra pas de remonter jusqu’à l’autre », m’explique @Datapulte, hacker en charge du projet.

Sur le site web « classique », on découvre les raisons du projet ainsi que ses ambitions. D’ici à son lancement, la vitrine de Goleaks changera, pour indiquer aux utilisateurs qu’il faut un protocole de connexion et de contact spécifique pour déposer une information sur la plateforme.

La plateforme centrale sera un service caché dans le réseau TOR (avec une adresse qui se termine en .onion pour faire plus clair). De facto, il faudra obligatoirement utiliser TOR afin de pouvoir envoyer une information au site, @Datapulte m’explique…

« on ne veut pas mettre en danger une source, nous allons donc forcer l’utilisation de TOR pour sécuriser un peu plus les échanges. Notre but est de servir de plateforme de leaks mais pas n’importe comment et surtout pas en compromettant des sources désireuses d’échanger des informations sensibles ».

Qu’on se le dise, @Datapulte sait où il veut mener le projet, ce qui est très rassurant aux vues du projet.

Une fois un leaks déposé sur le site, il sera mis à disposition de journalistes afin qu’ils puissent traiter l’information, nous y reviendrons. Les échanges avec les journalistes exigeront le même protocole de connexion que celui des sources : TOR.

GOleaks permettra aussi l’envoi de mails chiffrés, à la source et au journaliste, en servant d’intermédiaire. « Nous avons choisi d’être l’intermédiaire entre une source et un journaliste pour sécuriser au maximum les échanges. Une source souhaite contacter un journaliste, un mail chiffré est envoyé par Goleaks au journaliste, qui doit passer par la plateforme d’échange afin de pouvoir répondre à la source. ».

Pourquoi servir de plateforme centrale et incontournable ?

A cette question, @Datapulte me répond « nous pensons qu’il est préférable qu’un journaliste et une source ne soient pas directement en contact. En procédant ainsi, s’il y a un problème, la source ne met pas en danger le journaliste et vice-versa. Dans le pire des cas, si une source est grillée ça ne pourra remonter que jusqu’à Goleaks, idem si c’est un journaliste, la piste ne pourra remonter que jusqu’à Goleaks. Nous sommes conscients de notre rôle de fusible ».

Je trouve ce point très positif, dans les explications fournies, je sens réellement la volonté de minimiser les risques et dangers, « le risque zéro n’existe pas, mais on cherche à s’en approcher le plus possible ».

Rajoutons que Goleaks tourne sous Globaleaks, une plateforme open-source dédiée aux leaks. Globaleaks est développé par “Hermes Center for Transparency and Digital Human Rights”, Globaleaks est, par exemple, utilisé par « Le Monde » via https://secure.sourcesure.eu.

C’est un projet très suivi, régulièrement mis à jour et assez sécurisé, considéré comme une excellente initiative par de nombreux journalistes et hackers, comme ceux du CCC ou Jacob Applebaum par exemple.

Serveurs séparés, hébergés chez un acteur de confiance, passage par TOR requis, mails chiffrés, plateforme qui s’impose un niveau de sécurité élevé… les outils ne manquent pas pour faire de Goleaks une réussite.

Reste le problème des sources et de l’utilisation des outils, parfois compliquée pour des utilisateurs néophites.

A nouveau, @Datapulte a les idées claires sur le sujet : « concernant les leaks, nous pensons qu’il peut y avoir beaucoup d’informations, si nous arrivons à faire connaître le projet, clef de notre réussite. Côté formation, nous avons déjà des contacts avec des journaux locaux pour les former à utiliser TOR et nous allons mettre, sur la vitrine publique du site, des informations et explications claires pour pouvoir déposer un leak ».

Le traitement de l’information sera assuré par les journalistes, « nous travaillons déjà avec des journalistes afin d’établir des partenariats. Lors du dépôt d’un leak, le lanceur d’alerte pourra choisir à qui envoyer l’information. Goleak enverra une alerte aux journalistes choisis, qui devront passer par TOR et un lien à usage unique afin de récupérer l’information transmise. »

On s’y met ?

« Pour l’instant, tout n’est pas encore prêt et nous avons besoin de soutiens et de visibilité avant de nous lancer. »

Je ne sais pas de quoi l’avenir est fait, mais Goleaks possède les clefs pour qu’il soit bon.

En revanche, je sais qu’ils auront prochainement besoin d’un financement pour faire tourner la plateforme, @Datapulte m’informe « qu’une campagne de financement verra prochainement le jour, d’ici septembre. »

Souhaitons-leur bon courage.

Vous pouvez retrouver toutes les informations de Goleaks à cette adresse https://goleaks.org/, @Datapulte sur Twitter et @R0aming_, un rédacteur en chef Web, lui aussi impliqué dans le projet Goleaks.

Vous pouvez également retrouver GOLeaks sur Twitter : http://twitter.com/goleaks_

Les bases d’une dictature ?

Avec l’arrivée de la loi sur le renseignement qui, ne vous y trompez pas, passera à l’assemblée nationale et au sénat, je m’interroge…

L’arrivée de ces futurs outils – présentés par beaucoup comme disproportionnés – ne constitue-t-elle pas l’instauration des premières fondations d’une dictature ?

J’ai conscience de la portée de ce mot et souhaite, avant de commencer, clarifier certains points :

  • Non, nous ne sommes pas en Iran ou en Chine, où il faut vous annoncer à la police locale lorsque vous arrivez dans un nouveau quartier, sous peine d’avoir des ennuis.
  • Non, nous ne sommes pas à nouveau en Chine, où votre professeur d’histoire, à la fin d’un cours, vient vous dire « fais attention à ce que tu fais sur Internet et à où tu vas, comme par hasard le lendemain d’une visite sur un site que le gouvernement chinois n’apprécie pas.
  • Non, nous ne sommes pas dans un pays qui emploie deux millions de personnes pour censurer Internet (chiffre de 2013, communiqué du gouvernement chinois).
  • Si 5000 personnes visitent mon blog, qui est manifestement un blog opposé à l’Etat, je n’irai pas en prison, en Chine, je peux.
  • Non, je ne vis pas dans la peur de dire quelque chose à la mauvaise personne, qui travaille pour un des géants de la censure chinoise, je peux parler librement, sans trop de craintes.

On se calme tout de suite, je mesure mes propos, mesurez les vôtres. Ne comparez pas ce qui n’est pas comparable, dire que nous sommes pire qu’en Chine, ou même juste en Chine, c’est une insulte envers les activistes et autres qui risquent leur vie, chaque jour, pour dénoncer la censure de leur pays.

Cependant, comme expliqué, je m’interroge… n’y a-t-il pas un risque qu’un jour, nous soyons dans ce système ? Est-ce moi qui m’inquiète pour rien ou alors assistons-nous à la lente mise en place de tout ce qu’il faut pour instaurer une dictature ?

Côté politique : qu’est-ce qui différencie une république démocratique d’une dictature ?

La suite du billet est inspirée de « Qu’est-ce que la démocratie ? », article rédigé par « Rubin », un juriste, sur un blog de l’Express.

Revenons-en à la question : qu’est-ce qui différencie une république d’un régime totalitaire ou d’une dictature ?

Les élections ?

Non. L’Iran vote pour son président et pourtant, je doute que l’Iran soit une démocratie.

Les partis opposés au gouvernement ?

Non, en Chine par exemple, il existe des partis opposés au gouvernement. Beaucoup même, certes ils sont observés de très près, certes ils sont minuscules et ont des problèmes s’ils commencent à faire trop de bruit, mais ils existent.

La liberté de s’exprimer ?

Non. Des quotidiens chinois se montrent parfois très critiques avec leur gouvernement. Ils sont retirés des kiosques un temps, mais ils existent encore et reviennent après.

Le droit ?

Non. Une dictature ou un régime totalitaire ne signifie pas une absence totale de droit, même en Corée du Nord ils ont des droits et je défie quiconque de dire que la Corée du Nord est une démocratie.

Dans les faits, ce qui différencie une démocratie d’une dictature ou d’un état totalitaire, ce n’est qu’une seule chose : la séparation des pouvoirs et l’application du droit d’une manière très factuelle et très froide, les deux allant généralement ensemble.

Malheureusement…

Malheureusement, j’ai l’impression que cette séparation des pouvoirs est en train de s’effondrer, lentement certes, mais surement.

Prenons par exemple le recours de plus en plus important à l’autorité administrative…

« L’autorité judiciaire, gardienne de la liberté individuelle« , comme le disait la constitution, dans son article 66 il me semble…

Les récentes lois ont introduit l’autorité administrative bien plus loin que là où elle était avant, la faisant rentrer dans ce qui peut s’apparenter à, justement, des libertés individuelles. Mais, au gouvernement, personne ne semble s’en soucier, puisque dans le prochain projet de loi sur le renseignement, il sera encore question de l’autorité administrative, comme il en était question dans la loi sur le terrorisme, dont les premiers effets commencent à peine à se faire sentir.

Si, dans les faits, nous nous rappelons que la justice n’est pas forcément synonyme de garantie des libertés, l’impossibilité d’en appeler à un juge en cas de besoin constitue une grave menace pour nos liberté individuelles.

Et les membres de notre gouvernement, nos députés, nos représentants, loin d’être des ignares, le savent parfaitement. C’est peut-être ça, qui m’inquiète le plus.

Est-ce que, malgré toutes ses bonnes intentions, l’État peut-il se dispenser de la justice ainsi ?

Ne vous y méprenez pas, notre gouvernement n’est pas secrètement en train de comploter pour tous nous asservir ou pour dominer le monde, non, ils pensent sérieusement que ce qu’ils font, c’est la bonne solution, ou au moins « la moins pire », parce que « merde le terrorisme quoi, il faut faire quelque chose ».

Si bien que même au niveau des représentants de l’État, le débat tombe bas, bien bas même.

Je ne doute pas un instant de la bonne volonté de Patrick Trannoy, conseiller régional du limousin, mais en arriver aussi rapidement à ce non argument est assez significatif de l’opposition entre citoyen et élu, ça ne sert rien, ni personne.

M. Trannoy, si vous lisez ce billet et que vous souhaitez échanger, je suis ouvert au débat mais pas sur Twitter, il n’est pas possible débattre en 140 caractères.

La séparation des pouvoirs. Derrière ces quelques mots, c’est toute la démocratie, c’est toute la république, dont il est question, ne vous y trompez pas.

Avec la prochaine loi sur le renseignement qui, je vous parie une bière (et j’espère vraiment me tromper), passera, cette séparation deviendra encore plus floue qu’actuellement : l’Etat sera en capacité de pouvoir tout savoir, tout voir, tout entendre de sa population.

« en capacité » ne signifie pas pour autant qu’il le fera, ni même qu’il compte le faire, mais simplement qu’il dispose des capacités techniques pour le faire. Cela représente une très lourde menace pour la protection de la vie privée de chaque citoyen.

Et le droit à la vie privée, c’est une liberté individuelle, c’est donc au pouvoir judiciaire de décider de nous priver de cette liberté, pas au pouvoir exécutif, indirectement représenté par l’autorité administrative et rien ne justifie ce recours de plus en plus fréquent à cette autorité.

Le projet de loi sur le renseignement va confier à un seul pouvoir les missions de contrôle et d’application des règles dudit projet. Dans des mains différentes, mais toutes deux liées au pouvoir exécutif, comment ne pas considérer cela comme une vaste blague ?

Comment garantir l’application des bonnes règles lorsque celui qui la contrôle et l’applique sont la même personne ? Ce n’est pas possible.

J’étais déjà inquiet il y a quelques mois, lorsque j’expliquais que le principe de séparation des pouvoirs n’était plus franchement respecté. Je le redis encore ici, aujourd’hui : je suis de plus en plus inquiet et ce projet de loi sur le renseignement n’arrange rien, puisque, comme je le disais, il remet en question le principe de séparation des pouvoirs en excluant le pouvoir judiciaire, au profit de l’autorité administrative, née de l’exécutif.

Mais… rassurez-vous mes amis, l’État fait tout ceci pour votre bien, je l’ai senti dans le dossier de presse de la loi sur le renseignement, ils sont presque en train de nous écrire « regardez, nous sommes gentils, nous voulons juste bien faire les choses »

« Ne jamais attribuer à la malveillance ce que la stupidité suffit à expliquer. »

Ce gouvernement, cet État, ne vous veut pas de mal.

Mais le prochain ?

Qu’arrivera-t-il si, un jour, c’est un parti avec des idées très extrêmes ou un dictateur qui prend le pouvoir ? Est-ce qu’il sera aussi gentil et sage que l’est notre gouvernement actuel ?

D’ailleurs, l’est-il vraiment ? Je m’interroge à nouveau. Les faits ont tendance à nous montrer que nos gouvernements abusent de leurs pouvoirs…

Comment ne pas penser aux différents scandales liés à la NSA, du côté des États-Unis d’Amérique ? Comment ne pas faire de rapprochements entre les deux situations ? Le juge pourrait peut-être me rassurer, s’il était ne serait-ce qu’inclus dans ces procédures, mais il ne l’est pas.

Je m’interroge donc réellement… ne sommes-nous pas en train de poser les premières pierres des outils d’une bonne dictature et, peut-être, d’en prendre le chemin avec cette séparation des pouvoirs qui s’effrite ?

 

Quelques observations sur La CNCTR…

Attention : je ne suis pas expert du droit, ce qui suit est potentielle une lecture erronée du projet de loi sur le renseignement.

Je remercie par avance les juristes qui passeront sur ce billet de corriger, si besoin est.

Le projet de loi sur le renseignement tuera la CNCIS pour créer la CNCTR, la Commission nationale de contrôle des techniques de renseignement.

Qu’est-ce que ça sera ?

La CNCTR sera composée de 9 membres :

  1. Deux députés et deux sénateurs
  2. Deux membres ou anciens membres du Conseil d’Etat
  3. Deux magistrats ou anciens magistrats hors hiérarchie de la Cour de cassation, nommés sur proposition conjointe du Premier président et du Procureur générale de la Cour de cassation.
  4. Une personnalité qualifiée pour sa connaissance en matière de communications électroniques, nommés sur proposition du président de l’ARCEP.

Point positif : la CNCTR dispose de plus de membres que la CNCIS actuelle, composée de trois membres.

Le rôle de la CNCTR sera identique à celui de la CNCIS : vérifier que les différents services de renseignement ne dépassent pas le cadre de la (future) loi, ni n’utilisent des moyens inappropriés à la situation. La CNCTR peut se voir saisie par « toute personne ayant un intérêt direct et personnel » dans une affaire.

Elle peut aussi s’autosaisir de dossiers afin de procéder elle-même à un contrôle des moyens mis en œuvre pour arriver à une certaine finalité, définie elle aussi par la loi sur le renseignement.

Point positif à nouveau : la CNCTR peut être saisie et peut s’autosaisir d’un dossier.

Pour pouvoir prendre une décision, il faudra au moins quatre membres présents sur les neufs prévus, Article L. 832-3. Première fausse note pour moi : quatre, sur neuf, ce n’est pas la majorité absolue. La CNCTR pourra donc prendre un avis et ce même si plus de la moitié de ses membres sont absents.

Si ce choix s’explique facilement (il faut que la CNCTR puisse avancer et ce même si elle n’est pas complète), je regrette qu’il ne faille que quatre membres sur les neuf pour pouvoir prendre une décision.

En cas de réclamation formulée à la CNCTR, et après analyse de la réclamation par cette dernière, si elle constate une irrégularité elle « procède conformément aux dispositions de l’article L. 821-6. »

Que dit cet article ?

Actuellement, voici la proposition faite pour cet article :

« Si la commission estime qu’une autorisation a été accordée en méconnaissance des dispositions du présent livre ou qu’une technique de renseignement a été mise en œuvre en méconnaissance des mêmes dispositions, elle adresse au service concerné ainsi qu’au Premier ministre une recommandation tendant à ce que la mise en œuvre de la technique concernée soit interrompue et les renseignements collectés détruits.

« Le Premier ministre informe sans délai la commission des suites données à ses recommandations.

« Lorsque le Premier ministre ne donne pas suite à ses recommandations ou lorsqu’elle estime que les suites qui y sont données sont insuffisantes, la commission peut, à la majorité absolue de ses membres, décider de saisir le Conseil d’Etat.

Pour traduire : si la CNCTR est saisie afin de vérifier la bonne application de la loi et que cette CNCTR se rend compte que la loi n’est pas respectée, elle n’adresse qu’une recommandation pour que cela cesse. Par la suite, si les réponses ne sont pas satisfaisantes, elle sera en capacité de saisir le Conseil d’Etat, reconnu comme compétent pour la suite… mais ça prend du temps, beaucoup de temps.

Une recommandation n’a « aucun poids », la personne à qui la recommandation est faite n’est pas tenue de la suivre.

Si la CNCTR constate une irrégularité dans les techniques de renseignement, pourquoi ne pas faire une obligation d’arrêt des techniques utilisées ?

Ce trouve ce passage assez léger, une simple recommandation ne me semble pas appropriée. N’étant pas spécialiste du droit je me trompe peut-être, mais je trouve que c’est assez important comme point : les moyens mis en œuvre pour faire un recours ne me semblent pas adaptés, face aux moyens disproportionnés de la surveillance.

La problématique est d’autant plus importante que le projet de loi fait référence à cet article L. 821-6 à chaque réclamation ou chaque observation de la CNCTR.

La surveillance face à une petite recommandation.

Pour finir, bien que la CNCTR soit composée de neuf membres, soit six de plus que la CNCIS, les moyens mis en œuvre pour qu’elle puisse faire son travail ne me semblent pas appropriés également.

Est-ce que ces personnes seront compétences pour remplir leurs missions ?

Est-ce que les moyens mis à la disposition de la CNCTR seront suffisants ?

N’y-a-t-il pas un risque de débordement de la CNCTR ? Qu’elle ne soit qu’une excuse pour se défausser, un « cache sexe », un peu comme avec la CNCIS ?

Si des députés me lisent (et je sais que certains me lisent…), je suis ouvert à toute forme d’échange et de débat constructif autour du sujet, ici, par mail ou au téléphone en cas de besoin.

Où est Charlie ?

Après le renforcement des moyens mis à disposition pour surveiller la population, la mise en place de la Loi de Programmation Militaire (LPM) et la loi sur le terrorisme, le gouvernement revient à la charge, cette fois-ci avec un projet de loi sur le renseignement.

Ce projet de loi dit « Renseignement » propose d’étendre à nouveau les moyens de surveillance de l’État, déjà bien renforcés avec les précédentes lois. L’objectif se veut ambitieux : mettre à jour les règles qui encadrent les différentes pratiques des services de renseignement.

Le principal but de ce projet de loi est, bien évidemment, le renforcement de la sécurité de l’État et de ses concitoyens, à savoir nous.

Est-ce que projet de loi est une bonne nouvelle ? Qu’est-ce que ça représente, concrètement ? Dois-je m’inquiéter, moi, citoyen français ?

C’est ce que votre serviteur va tenter de vous expliquer.

La « police » administrative.

Ce projet de loi propose d’étendre les mesures administratives.

Pour résumer de la façon la plus juste possible, dès lors qu’on touche à nos libertés fondamentales, c’est au juge, seul garant de nos libertés fondamentales, d’intervenir.

Ce projet propose de se passer du juge dans les cas suivants :

  1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
  2. Les intérêts majeurs de la politique étrangère, l’exécution des engagements internationaux, la prévention de toute forme d’ingérence étrangère
  3. Les intérêts économiques ou scientifiques majeurs
  4. La prévention du terrorisme, des atteintes à la forme républicaine et à la stabilité des institutions, de la reconstitution ou du maintien de groupement dissous
  5. La prévention de la criminalité et de la délinquance organisées
  6. La prévention de la prolifération des armes de destruction massive
  7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique

A la lecture de ces cas, une chose ressort : c’est vaste. Très vaste. Et flou. Tellement que je ne vous cache pas mon inquiétude quant aux moyens qui seront mis en œuvre pour atteindre des objectifs. On décide de se passer du juge sur des cas où sa présence est fortement requise.

D’ailleurs, ces moyens, quels-sont-ils ?

C’est là que j’ai l’impression d’être dans 1984. Non, ne partez pas, lisez jusqu’au bout.

Premier moyen

La CNCTR, pour commission nationale de contrôle des techniques du renseignement. Elle remplace la CNCIS, complètement débordée par la charge de travail. CNCIS qui est composée de trois membres, c’est évidemment trop peu pour agir lorsque les agences de renseignement sortent du cadre de la loi. Cela semble être une bonne nouvelle mais dans les faits, je n’en suis pas certain. Tout dépendra de la façon dont la CNCTR sera utilisée, ainsi que de ses membres et de ses moyens que l’on sait déjà plus importants que ceux de la CNCIS.

Second moyen

Des équipements dont on ne sait rien, installés directement dans les locaux des opérateurs (dont les fournisseurs d’accès à Internet). Ces « boites noires » devront « détecter, par un traitement automatique, une succession suspecte de données de connexion ». Qu’est-ce que cela signifie, en clair ? Que l’État sera capable de capter et conserver l’ensemble des données qui transitent par ces opérateurs. En résumé, il sera donc en capacité de surveiller l’ensemble de sa population et plus encore, puisque nous ne sommes pas les seuls à utiliser ces opérateurs.

La notion de traitement automatique est au moins autant inquiétante. Automatique, ça se traduit assez facilement : tu es un suspect ou tu ne l’es pas. Même si les programmes de traitement automatiques sont crées par des humains, l’informatique reste ce qu’elle est : un outil con qui ne connaît que le vrai ou le faux.

Ce principe est à rapprocher de la théorie des 51% largement abordée dans les différents scandales liés à la NSA et à ses vastes opérations de surveillance à l’échelle du globe : si il y a 51% de chances que tu sois un terroriste, alors, tu es un terroriste. C’est le principe de départ qui justifie la mise en place, partielle certes, mais existante, d’une surveillance. L’informatique n’a pas la finesse d’analyse d’un humain, qui lui-même n’a pas la finesse d’analyse d’un groupe.

En clair : un programme « con » viendra analyser tout ce que vous faites et détectera que votre comportement est peut-être suspect. Dès lors, vous deviendrez quelqu’un « à surveiller ». Pensez-y la prochaine fois que vous vous intéressez un peu trop à un sujet, des cours de chimie, à l’apprentissage d’une langue étrangère ou je ne sais quelle autre activité.

A partir du moment où on installe des équipements directement chez l’opérateur afin de capter des données, on parle de DPI, dixit une Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free.

Le DPI, je ne reviendrai pas dessus, je crois que je l’ai déjà fait , là et un peu partout sur le blog. Le terme de DPI est connu puisque les pires dictatures du monde s’en servent pour surveiller leurs concitoyens. La France entrera dans la danse, ce projet passera, à n’en pas douter.

Autre point : cette captation de données sera réalisée sans aucun intermédiaire, les agences de renseignements pourront donc se servir « directement », sans rendre de comptes à personne. Pas de juge, pas d’intermédiaires, ça commence à faire beaucoup.

Troisième moyen

La levée de l’anonymat des données. Le projet de loi prévoit que ces données soient anonymisées et, qu’en cas de suspicion, cet anonymat puisse être levé. Dans le même temps, le même projet prévoit que les métadonnées soient, elles aussi, aspirées. Les métadonnées sont des éléments liés à la donnée, sans être la donnée directement : un appel, c’est une donnée. Le numéro qui appelle, celui qui est appelé, le temps de dialogue, les antennes utilisées pour passer cet appel et tout ce qui gravite autour de l’appel, ce sont des métadonnées donc, même si la donnée est anonyme, il est simple de savoir qui se cache derrière.

Petit état des lieux : pas de juge garant de nos libertés, pas d’intermédiaires pour aller collecter les données, pas de réel anonymat, le tout étant géré par des robots, donc quelque chose qui, par définition, est stupide.

Quatrième moyen

Les IMSI catchers. Ce dispositif, qui se place entre un appareil mobile (type téléphone portable) et une antenne relais, permet de capter les données qui transitent. Ce dispositif existe déjà et est déjà utilisé par les services du renseignement français. Le projet propose d’autoriser l’IMSI catcher à collecter « dans certaines conditions, le contenu des correspondances ».

Seul problème : un IMSI catcher ne vise pas une seule personne mais toutes les personnes à proximité du dispositif, ce qui signifie que l’ensemble des données, de l’ensemble des personnes, sera capté, ce qui présente un sérieux problème avec la loi qui garanti le secret des correspondances. D’autant plus que ces données numériques pourront être conservées par l’État, certaines pouvant être conservées plus longtemps qu’actuellement, c’est une autre mesure du projet.

Sans juge, sans intermédiaires, sans anonymat, le tout géré par de la stupidité et avec des données privées de gens qui « étaient là au mauvais endroit, au mauvais moment ».

Cinquième moyen

L’obtention des clefs de chiffrement. Le projet de loi veut en finir avec les connexions et les échanges chiffrés, comme David Cameron au lendemain des attentats contre Charlie Hebdo. Il propose d’utiliser les moyens mis en œuvre par la loi sur le terrorisme afin de casser un mot de passe d’accès à une messagerie, la clef de chiffrement d’une adresse mail ou tout système de chiffrement qui lui fera obstacle.

A titre d’information, dans https, le « s » est là car votre connexion est chiffrée. Certains logiciels de communication sont également chiffrés et avec les « révélations Snowden », de plus en plus d’opérateurs activent le chiffrement des données par défaut.

Qu’est-ce qui arrivera si vous chiffrez vos échanges, comme des mails par exemple ? A mon avis, vous ferez grimper le « terroriste-o-mètre », souvenez-vous, les 51% …

Mais, personne n’est contre ?

Ohhhhh, si, bien entendu :

  1. La CNIL fustige le projet sur le renseignement : « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence »
  2. Le Conseil National du Numérique déglingue le projet : « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. »
  3. L’ordre des avocats de Paris s’inquiète : « Projet de loi  sur le renseignement : opacité et danger pour les libertés ? »
  4. La Quadrature du Net s’oppose au projet : « Renseignement : désastreuse dérive du gouvernement Valls sur la surveillance !« 
  5. Le syndicat de la Magistrature de dit « préoccupé », sur Numerama.

J’en passe mais citons aussi le CSM, des associations, des hackers, des experts connus et reconnus, Reporter sans Frontière, la FIDH et bien d’autres, qui s’inquiétaient déjà lors des précédentes lois… Et j’oubliais la Cour de Justice de l’Union Européenne, qui a déjà tapé sur la France en raison de certaines dispositions de surveillance, considérées comme insatisfaisantes car dangereuses pour la protection de la vie privée.

Côté couverture nationale, comme internationale, ce n’est pas très beau à lire, dans le Washington Post, sur Techdirt qui n’y va pas de main morte, puis sur l’Obs, 01Net parle clairement d’un « Patriot Act » à la française, chez Reflets (ou se côtoient journalistes, hackers et hacktivistes)… même la BBC en parle, alors que le Royaume-Uni n’est pas un modèle de protection de la vie privée.

Mon avis

Bah oui, parce que c’est un peu mon blog, quand-même.

Souvenez-vous d’un billet précédent sur la dérive de l’État sécuritaire, ou lisez-le. Dans ce billet, j’avais pris la vision la plus négative et la plus sombre possible pour l’avenir et croyez-le ou non, j’ai tendance à voir les choses en noir assez souvent… j’étais loin d’imaginer que ce projet puisse ne serait-ce qu’être souhaité par quelqu’un.

Comment est-il possible, en moins de deux mois, de passer de « Je suis Charlie », symbole malgré lui de la liberté d’expression, à « Je vais doter mon pays d’un outil capable de mettre toute ma population sous surveillance comme dans les grandes dictatures » ?

Car c’est bien de dictature, ou d’état sécuritaire, ou peut-être d’état policier dont il est question, mais plus de démocratie.

Je déclarais, il y a peu : « Un état sécuritaire, c’est un des pouvoirs qui donne la priorité, de façon excessive, à la sécurité. Il bascule peu à peu dans une logique d’augmentation des moyens de surveillance, de contrôle et de répression. Dans les pires situations, cette dérive vers un état sécuritaire mène à la dictature.« , je crois que ce projet de loi est une bonne représentation de la direction que nos élites veulent faire prendre à notre pays.

A ce titre, je vous invite à lire le très bon « Qu’est-ce que la démocratie ?», qui fait le rapport avec la loi Renseignement.

Le projet de loi est lisible ici, si vous le souhaitez. Et vous le souhaitez, au moins un peu. Si si. J’insiste.

C’est quoi « SS7 » ?

La semaine dernière, lors du 31C3 (le Chaos Communication Congress), deux chercheurs en sécurité ont présenté leurs travaux sur SS7, ou plutôt les failles qui permettent d’exploiter SS7.

Alors, SS7, c’est quoi exactement ?

Derrière l’acronyme se cache une panoplie de protocoles de signalisation téléphonique, utilisée sur la quasi-totalité du globe par des opérateurs de téléphonie.

« SS » c’est pour Signaling System ou Système de Signalisation et 7, c’est parce qu’avant, il y avait SS6, puis SS5 …

SS7, c’est un ensemble de protocoles de signalisation téléphonique, en français : c’est un moyen que les éléments du réseau téléphonique utilisent pour échanger des informations, ni plus, ni moins.

Si c’est un peu nébuleux, voici quelques exemples plus explicites :

  • Vous tentez d’appeler quelqu’un qui est déjà en appel. SS7 le voit, demande à ce que l’appel soit libéré et à ce qu’on vous renvoie une tonalité d’occupation.
  • Vous tentez d’appeler quelqu’un d’autre. C’est SS7 qui annonce qu’un appel est tenté vers tel numéro. Pour vulgariser, il demande « où je dois envoyer l’appel s’il vous plait ? »

Dans les grandes lignes, le rôle de SS7 c’est : la signalisation d’appel, l’interconnexion des appels, des réseaux, l’échange d’informations entre les utilisateurs et plein d’autres choses, dont les messages.

Ah, j’oubliais un détail très important : SS7 a aussi pour rôle de faire passer un appel téléphonique à travers les réseaux.

Pour ce faire, il doit impérativement disposer d’un certain nombre d’informations :

  • D’où vient l’appel ?
  • Par quels équipements l’appel passe ?
  • Par quelles lignes téléphoniques l’appel passe ?
  • Vers où doit aller l’appel ?
  • Est-ce que le réseau est disponible ou non ? Et si ce n’est pas le cas, comment doit passer l’appel ?

SS7 est donc une importante source d’informations puisqu’il doit savoir qui fait quoi, quand, où, avec qui …

Voilà. Vous avez le réseau SS7 dans les (très) grandes lignes mais elles me semblent suffisantes pour la suite.

Reprenons donc… Au 31c3, deux chercheurs venaient présenter leurs travaux sur SS7. Le 29 décembre, le journal Le Monde, via sa chronique Pixels, publiait un article intitulé « Le SS7, le réseau des opérateurs qui permet de surveiller vos téléphones portables ».

Première « erreur » : SS7 ce n’est pas un réseau. C’est un ensemble de protocoles, comme nous avons pu le voir. Bon c’est tout bête comme erreur, mais c’est dommage. J’ai d’abord pensé que c’était compliqué d’expliquer, mais puisque je viens de le faire je pense que c’est accessible.

Que dit cet article ?

Un petit peu trop anxiogène à mon gout, l’article dit qu’il est possible de se faire localiser d’une façon très précise, de se faire intercepter ses SMS et ses appels… Bref, de se servir de ce que fait SS7 à la base.

Les chercheurs ont souligné un point bien plus dérangeant en revanche : l’accès « open bar » à SS7, c’est là qu’il faut s’alarmer, sans pour autant basculer dans la paranoïa, il faut simplement comprendre :

  • les fonctions de SS7 n’ont rien de dérangeant en soi : pour fonctionner, SS7 doit localiser d’une façon très précise un terminal, il doit faire transiter des messages et des appels, il est donc possible de les intercepter, puisque les messages transitent grâce à ce SS7
  • le fait qu’un utilisateur lambda ou qu’autre chose qu’un opérateur puisse se servir de SS7, là, c’est une autre histoire, bien plus dérangeante.

Cet open bar, c’est volontaire ?

Oui et non.

Non car techniquement parlant, SS7 est très ancien, il date de 1975. Depuis, de nombreuses (r)évolutions ont vu le jour et le protocole ne s’est pas spécialement adapté. C’est techniquement faux mais on pourrait dire que SS7 est un protocole de 1975 avec plein de rajouts.

Oui car à l’époque, il y avait une sécurité suffisante avec SS7. Oui également car cette ouverture permet de faciliter bien des choses sur le plan technique.  Pour les opérateurs, qui ont moins de contraintes. Pour faciliter la rapidité des échanges également. Puis c’est pratique pour ceux qui ont besoin d’aller mettre leur nez dedans.

Et ça se corrige ?

A nouveau, oui et non.

Non, ça ne se corrige pas car il faudrait presque repenser un nouveau protocole et que c’est très compliqué, puisque la quasi-totalité des opérateurs téléphoniques passent à un moment ou à un autre avec SS7.

Oui, ça se corrige, mais l’actuel blocage est plus politique et financier que technique. Pourquoi investir des milliards pour refaire quelque chose qui fonctionne actuellement ? Les états, opérateurs et j’en passe n’iront pas investir tant qu’ils n’y seront pas obligés et les pouvoirs politiques n’ont aucune raison de forcer les opérateurs à le faire.

On pourrait également dire qu’à terme, avec l’arrivée de la 4G, SS7 serait de moins en moins utilisé. Les réseaux 4G ne se servent pas de SS7 pour la signalisation téléphonique, mais de SIP, un autre protocole. C’est techniquement faux, puisqu’il y aura toujours SS7 derrière… mais sur le papier, ça serait une jolie solution.

Rajoutons à cela que pour voir cette solution arriver, il faudrait que tout passe par le réseau 4G, tout le temps, sans jamais basculer en 3G ou 2G ou GSM. Autant dire que c’est impossible.

Et je dois être parano ?

Très sincèrement ? Non. Ces accès « open bar » ne datent pas d’hier, un article du Washington Post en parlait déjà au mois d’aout (EN) et, à mon humble avis, ils existaient bien avant.

Ce n’est pas SS7 qui pose problème, c’est sa facilité d’accès, certainement utilisée par des particuliers curieux, par des agences de renseignement, CIA, NSA et j’en passe, qui me dérange. A nouveau, il convient de ne pas sombrer dans la paranoïa, ce n’est pas parce qu’ils peuvent le faire qu’ils espionnent l’ensemble de la planète.

Résumons donc : SS7 est un ensemble de protocoles qui fait ce qu’on lui demande : faire de la signalisation d’appel. Ces protocoles fonctionnent mais l’accès à SS7, lui, est un peu trop ouvert parce que c’est vieux et que ça n’a pas bougé depuis et ça, ce n’est pas génial.

Problème assez sérieux qui ne sera hélas pas corrigé demain, ni dans un an, peut-être même pas dans 10…