Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Abandon de la neutralité du Net aux USA

Wed, 20 Dec 2017 13:27:51 +0000 - (source)

Paris, le 21 décembre 2017 - Nous publions ici la version intégrale d'une tribune sur la neutralité du Net publiée par Benjamin Bayart dans Libération le 14 décembre dernier, avec leur autorisation.

L'autorité de régulation des télécoms américaine est en train de renoncer à défendre la neutralité du Net. Ajit Pai, qui est à la tête de cette autorité, la FCC (Federal Communication Commision), a d'ailleurs été mis à ce poste par l'administration Trump précisément avec cette mission. Ce programme fait beaucoup de bruit, des deux côtés de l'Atlantique, dans le petit monde de l'Internet. Voyons rapidement pourquoi.

Le principe est souvent présenté de manière assez complexe, quand ce n'est pas incompréhensible, alors qu'il est en fait relativement simple. Le métier d'un fournisseur d'accès à Internet est de transporter les données des abonnés. Parce que, oui, c'est bien l'abonné qui a demandé les données, et pas YouTube qui a décidé tout seul d'envoyer une vidéo. Le principe de neutralité consiste à transporter ces données sans discrimination. Sans favoriser le diffuseur de vidéos qui a un accord avec l'opérateur, accord actionnarial ou commercial par exemple, contre le diffuseur qui n'a pas un tel accord.

Pourquoi ?

Philosophiquement, parce que l'abonné est le client. Parce que l'opérateur doit être au service de son abonné. Si un diffuseur peut passer un accord avec l'opérateur pour favoriser sa plateforme, quel est l'objet de cet accord ? L'abonné. Il perd sa position de sujet pour devenir un objet, une marchandise, que l'opérateur vend à la plateforme.

Économiquement, la conséquence est qu'une plateforme en position de force pourra payer cette redevance, là où un nouvel acteur économique ne pourra pas. L'effet économique est d'empêcher les nouveaux venus, et d'assurer la pérennité des positions de force acquises, tuant l'innovation et la concurrence. L'effet politique est de créer un levier que les États peuvent utiliser pour stériliser toute expression dissidente.

Quel sera l'effet aux États-Unis de la fin de la neutralité du Net ? Cela donnera de la force aux grands opérateurs, déjà en situation de monopole (dans une ville américaine, quand il y a deux opérateurs, ce sont celui qui fait de l'ADSL, et celui qui fait du câble, et encore, pas partout). Ces grands opérateurs, qui sont très en retard technologiquement, en espèrent un surplus de revenus sans avoir à investir, en prélevant une part des revenus des géants comme Google, Facebook ou Netflix. L'effet second, ce sera de renforcer la position dominante de ces géants : étant les seuls à pouvoir payer la rente demandée par les opérateurs, il seront protégés.

En Europe, nous avons des bases légales plus solides pour protéger la neutralité du Net. Un règlement européen, loi directement applicable dans toute l'Union sans attendre une lente transposition par les parlements nationaux. C'est bien plus solide qu'une règle établie par une autorité administrative. Bien entendu, nos grands opérateurs continuent de s'attaquer à cette règle. Par le lobbying politique, bien entendu. Par le lobbying technique, aussi.

Il y a deux réactions possibles de l'Europe. Ou bien elle cède lentement aux sirènes des opérateurs, elle rabote petit à petit la neutralité du Net, retirant un bout au nom de la sécurité, retirant un bout au nom de l'alignement avec le marché américain, etc. Et alors nous entérinons solidement le fait qu'il n'y aura pas de nouveaux modèles économiques. Nous assurons que les seuls géants possibles sont les géants américains actuels. Et en creux, nous admettons que les « valeurs européennes » sont une farce, la vraie règle étant celle du marché, et surtout celle du marché américain. Bref, la première piste c'est de renoncer. Renoncer à la protection des données personnelles, renoncer au fait que le réseau soit la marchandise et donc accepter que ce soit l'utilisateur qui serve de marchandise.

L'alternative, c'est que l'Europe s'appuie au contraire sur ses valeurs, et sur les règles qu'elle a mises en place (la neutralité du Net, le règlement européen sur les données personnelles, etc). En défendant ces positions, nous avons alors une chance : les nouveaux venus américains auront un handicap, un réseau non-neutre. Les entreprises innovantes européennes en revanche, auront un accès facile à un grand marché, une Europe de 500 millions de citoyens qui ont des droits. Et une Europe forte, capable d'imposer ses règles aux grands groupes américains. Bref, nous avons là une opportunité intéressante, que l'Europe devienne un terreau plus favorable à l'innovation sociale, et économique, par la protection des citoyens.

Certes, c'est considérer que la cause est perdue pour nos frères américains. Mais si nous échouons à les aider à sortir de cette impasse, il ne me semble pas souhaitable de couler dans leur naufrage juste par solidarité.


Mise en demeure de WhatsApp : l'espoir d'un bouleversement

Wed, 20 Dec 2017 10:01:22 +0000 - (source)

Paris, le 20 décembre 2017 - Avant-hier, la CNIL a annoncé mettre en demeure WhatsApp de corriger son système de transfert de données personnelles à Facebook. L'entreprise a un mois pour ce faire, sous peine d'être sanctionnée (le montant maximal de l'amende est de 3 millions d'euros). La CNIL considère ce transfert illicite car se fondant sur le consentement forcé des utilisateurs, ceux-ci ne pouvant s'y opposer qu'en renonçant à utiliser le service. La Quadrature du Net se réjouit de l'analyse faite par la CNIL, car c'est exactement celle qu'elle défend depuis des années. Les conséquences en seront particulièrement importantes.

La décision publiée avant-hier par la CNIL fait directement suite à un autre événement décisif, survenu la semaine dernière : le G29 (groupe de travail réunissant les CNIL européennes) a publié un projet de lignes directrices détaillant la façon dont la notion de « consentement » sera interprétée par les CNIL européennes dans leur application du règlement général sur la protection des données (RGPD) à partir du 26 mai prochain.

Ces lignes directrices reprennent dans une large mesure les mêmes positions que celles défendues par La Quadrature du Net depuis des années, en rendant explicites certaines interprétations du RGPD que de nombreuses entreprises et gouvernements refusaient jusqu'ici d'accepter. Ces interprétations sont d'autant plus utiles qu'elles contrent directement certaines positions dangereuses dans le débat législatif en cours sur le règlement ePrivacy.

La mise en demeure de WhatsApp n'est ni plus ni moins que la stricte application de ces lignes directrices.

La liberté et la spécificité du consentement

Depuis la semaine dernière, le G29 explique parfaitement que « le RGPD prévoit que si la personne concernée n'a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n'est pas valide »1, ce qui est une clarification importante à la fois du RGPD2 et des positions passées du G293.

Le G29 souligne une des conséquences fondamentales de cette notion : « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d'un contrat »4. Le Parlement européen avait d'ailleurs déjà commencé à prendre le même chemin le mois dernier, en décidant que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».

Soulignons qu'il y a bien un type de traitement que l'utilisateur peut être obligé d'accepter pour utiliser le service : les traitements qui sont techniquement indispensables pour fournir le service (tels que des traitements de sécurité ou, s'agissant de services payants, de facturation). Cette « exception » ne fait pas débat, étant assez logique.

Enfin, le G29 rappelle que le consentement doit aussi être « spécifique », ce qui implique que les utilisateurs « devraient être libres de choisir quelle finalité [de traitement] ils acceptent, plutôt que d'avoir à consentir à un ensemble de finalités de traitement »5. Il s'agit d'une conséquence directe du caractère libre du consentement : on ne doit pas être contraint de consentir à une chose (être fiché, par exemple) au motif qu'on souhaite consentir à une autre (la transmission de ses communications à ses amis, par exemple).

Un consentement qui n'est ni libre ni spécifique n'est pas valide et ne peut autoriser aucun traitement de données personnelles.

Le cas WhatsApp

Le cas de WhatsApp est probablement le premier cas d'application aussi clair de ces exigences.

Comme expliqué dans ses conditions générales d'utilisation (CGU), WhatsApp transfère à Facebook (qui l'a racheté en 2014) diverses données personnelles. Les CGU ne détaillent pas la nature de ces données, mais WhatsApp a expliqué à la CNIL qu'il s'agirait de « l’identifiant du compte WhatsApp de l’utilisateur, des informations relatives à l’appareil utilisé et des informations relatives à l’utilisation de l’application » (p. 3 de la décision de la CNIL). Les CGU expliquent vaguement l'objectif du transfert de ces données : « aider [Whatsapp] à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser [ses] Services et [ceux de Facebook] ». Enfin, WhatsApp explique à la CNIL que ce transfert serait licite car les utilisateurs y ont consenti en acceptant ces CGU.

D'une part, comme la CNIL l'explique très bien, alors que l'objectif du transfert n'est en rien indispensable à la fourniture du service WhatsApp, « le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application WhatsApp » (p. 7). La CNIL en conclut logiquement que ce consentement n'est pas libre.

D'autre part, la CNIL souligne que l'utilisateur « consent de façon générale à la politique de confidentialité de la société », sans pouvoir choisir de consentir à certains traitements (ceux liés à la sécurité typiquement) tout en en refusant d'autres (ceux visant à améliorer le service). Les utilisateurs ne pouvant donc consentir de façon spécifique, leur consentement est encore invalide.

La CNIL donne un mois à WhatsApp pour permettre à ses utilisateurs de refuser librement et spécifiquement le transfert de leurs données à Facebook. À défaut, ce transfert devrait tout simplement prendre fin, puisqu'il ne pourrait être autorisé par aucun consentement valide.

Des conséquences considérables

Appliquées à d'autres services que WhatsApp, ces exigences auront des conséquences colossales.

Prenons directement le cas de la société mère de WhatsApp, Facebook, et de son réseau social. Actuellement, les utilisateurs de ce réseau n'ont qu'une seule façon d'échapper au fichage et au ciblage publicitaire qui y a lieu : en supprimant leur compte. En acceptant les CGU de Facebook, au moment de leur inscription, les utilisateurs n'y ont donc pas consenti librement (c'était tout ou rien). Or, puisque Facebook ne peut justifier ce fichage et ce ciblage qu'avec le consentement de ses utilisateurs, et que ce consentement n'est pas valide, ces activités sont illicites. Si Facebook ne veut pas être interdit dans l'Union européenne, il devra permettre à ses utilisateurs de continuer à utiliser son réseau social tout en échappant à cette surveillance.

On peut légitimement se demander comment Facebook pourra continuer à financer l’infrastructure sur laquelle repose ses services et comment, concrètement, il pourra survivre. La conclusion est simple : si Facebook ne trouve aucune source de financement ne reposant pas sur l'exploitation forcée des données personnelles de ses utilisateurs, il devra fermer son réseau social en Europe. Les mêmes conséquences peuvent être dessinées pour Google, Twitter, Amazon... et WhatsApp, comme on l'a vu.

Cette conclusion, aussi impressionnante peut-elle paraître pour certains, est en vérité l'objectif précisément recherché par le G29 et la CNIL dans leurs récentes positions. C'est aussi celui poursuivi par La Quadrature : empêcher la subsistance de modèles économiques fondés sur l'exploitation forcée d'une liberté fondamentale.

Cet objectif ne vise pas à interdire tout traitement de données personnelles (il en existe une myriade d'utiles pour la société, c'est évident), mais à empêcher qu'une industrie ne survive sur leur exploitation économique massive. Les seuls traitements légitimes de données personnelles sont ceux reconnus comme tels collectivement (par la loi) et ceux acceptés de façon désintéressée par les personnes concernées. Cette logique s'oppose en théorie au maintien d'une industrie tirant sa richesse de traitements massifs de données personnelles.

« La Quadrature du Net se réjouit de la décision publiée avant-hier par la CNIL : elle laisse espérer un bouleversement dans l'équilibre d'Internet, qui ne cessait jusqu'ici de se concentrer autour d'acteurs hégémoniques tirant leurs forces de l'exploitation injustifiable des libertés de tous les internautes. Nous espérons que la CNIL sera cohérente avec cette décision et en appliquera la logique contre l'ensemble des services des géants de l'Internet, pour commencer - à défaut de quoi chacune d'entre nous devra l'y pousser, par des plaintes auprès d'elle ou en saisissant les tribunaux », conclut Arthur Messaud, militant à La Quadrature du Net.


Encore besoin de vous : La Quadrature du Net prolonge sa campagne de soutien

Mon, 18 Dec 2017 12:13:00 +0000 - (source)

Paris, le 18 décembre 2017 - La Quadrature du Net a décidé de prolonger sa campagne annuelle de soutien lancée le 14 novembre dernier. En effet, l'objectif des 320 000 euros qui lui sont nécessaires pour fonctionner en 2018 est loin d'être atteint, puisque seuls 50% sont assurés à ce jour. Pour qu'elle vous aide à défendre vos droits dans le monde numérique, soutenez La Quadrature du Net : donnez, partagez, faites tourner !

Comme tous les ans, et comme beaucoup d'associations qui tentent de rester indépendantes, La Quadrature du Net a lancé il y a un mois sa campagne de dons individuels pour recueillir le montant qui lui permettra de continuer à défendre nos droits et nos libertés à l'ère du numérique. Et sur le sujet 2018 s'annonce plein de défis intéressants.

Entre les attaques régulières sur la neutralité du Net, notamment aux USA et les nombreuses remises en cause du chiffrement, nous devons rester vigilant-es et s'assurer qu'Internet reste l'outil fondamental d'émancipation et d'accès à l'information qu'il est encore.

Au niveau européen, nous allons poursuivre avec la fédération FDN et d'autres réseaux associatifs européens le travail de suivi entamé sur le Paquet télécom et notamment le code européen des communications électroniques. Face à la pression des États et des lobbies de télécommunications nous défendrons les contre-pouvoirs que sont les modèles alternatifs, décentralisés et démocratiques.

La Quadrature continuera aussi à se faire le relais de nos vives inquiétudes concernant le futur règlement ePrivacy sur la confidentialité des communications, afin de pousser les parlementaires européens et le gouvernement français à protéger ce principe fondamental, qui fait obstacle aux volontés hégémoniques des géants du numérique.

En parallèle à ce « front de défense » sur le règlement ePrivacy, le règlement général sur la protection des données, adopté l'an dernier par l'Union européenne, offrira dès mai prochain (moment de son entrée en vigueur) de nouvelles et entousiasmantes opportunités d'ouvrir un « front d'attaque » contre les géant du Net. La Quadrature affutera ses nouvelles armes pour que nous puissons construire un Internet libre, conforme à nos valeurs de respect de la vie privée, de libre participation au débat public et d'émancipation vis-à-vis des « algorithmes » qui visent à déshumaniser nos rapports sociaux.

En France, la surveillance illégitime de la population poursuit son chemin, que ce soit par les futurs textes sécuritaires promis par le gouvernement ou bien par le refus de ce dernier, depuis maintenant presque un an, d'abroger les règles contraires au droit de l'Union européenne en matière de conservation des données de connexion de l'ensemble de la population. Encore un point où La Quadrature ne se contentera pas de rester sur la défensive, mais a déjà entrepris de ralier le plus grand nombre possible d'acteurs du Net à son refus de collaborer de façon illicite à une surveillance de masse injustifiable.

En plus de ces combats, La Quadrature du Net va aussi s'attacher à la sécurisation juridique des alternatives libres et décentralisées qui existent, ainsi que se pencher sur divers points liés à son fonctionnement :


Les compteurs, intelligents ou débilitants ?

Fri, 15 Dec 2017 09:17:42 +0000 - (source)

Paris, le 15 décembre 2017 - Nous publions ici sous forme de tribune, un extrait de l'intervention de Philippe Aigrain, membre fondateur de La Quadrature du Net, lors d'une table ronde à l'Assemblée nationale le 14 décembre 2017 sur le thème des compteurs intelligents. La vidéo de cette table ronde organisée par la commission des affaires économiques et l’Office parlementaire d'évaluation des choix scientifiques et technologiques (OPECST) est disponible sur le site de l'Assemblée nationale.

Depuis quarante ans que je participe aux débats sur les enjeux sociétaux des techniques, une situation m’est devenue familière. Des personnes ou plus souvent des organisations développent une solution technique pour tenter d’optimiser un certain paramètre (par exemple le lissage des pointes de consommation d’électricité, mais ce n’est qu’un exemple parmi des dizaines). Pour obtenir les fonds nécessaires au déploiement de cette solution, ils en font miroiter aux décideurs internes ou politiques d’autres avantages (par exemple l’exploitation possible des données présentées comme l’or noir du 21e siècle). Ils tentent autant que possible de contrôler le contexte de déploiement de cette solution par des mécanismes de propriété, législatifs ou par le choix d’architectures techniques. Apparaissent des oppositions de la part de personnes qui s’estiment impactées par ces systèmes déployés sans eux ou en ne les consultant que sur des options secondaires. Ces opposants invoquent des raisons multiples de rejet, dont la nature et la multiplicité paraissent aux yeux des promoteurs de ces systèmes résulter d’une volonté caractérisée d’empêcher le progrès. Pour décrédibiliser les oppositions, les promoteurs se saisissent des critiques avancées qui leur paraissent les plus aisées à réfuter ou à confiner, souvent celles portant sur les risques pour la santé (par exemple les effets des champs électromagnétiques créés par des communications par courant porteur de ligne).

Loin de disparaître, les oppositions se renforcent et retrouvent ou commencent à cerner des motifs plus essentiels, ceux qui relèvent des rapports de pouvoir, de la dépossession des instruments utilisés pour des enjeux de la vie quotidienne et de la violence de l’intrusion dans la sphère intime. Voilà exactement où nous en sommes en ce qui concerne le déploiement des compteurs qu’on a nommé intelligents pour mieux masquer la dépossession qu’ils infligent aux usagers traités en objets de contrôle et d’une surveillance pudiquement appelée analyse des comportements ou production des données. Il ne faut donc pas s’étonner que les compteurs jugés intelligents par leurs concepteurs soient considérés par ceux qui ne les ont pas choisis comme des compteurs débilitants.

Si vous voulez sauver les compteurs de nouvelle génération, ou tout au moins ne pas avoir à les installer de force, il faudra donc accepter de rouvrir le débat sur les relations de pouvoir et les capacités qu’ils donnent respectivement aux distributeurs et producteurs d’énergie et aux usagers et citoyens. Ce n’est pas qu’un problème de données personnelles. Dans ce domaine comme tant d’autres, les personnes acceptent de fournir des données bien plus intimes, par exemple sur l’alimentation et la santé, pour des études, à condition d’être associées à la définition de leurs buts et à leur mise en œuvre et que des garanties d’indépendance à l’égard des grands intérêts économiques existent, ce qui est hélas rarement le cas.

La réouverture de ces débats sur les pouvoirs d’agir de chacun, loin d’être une perte de temps, est la seule chance d’en gagner, même si cela passe par la mise à la poubelle d’une génération de Linkys et Gazpars. Attention, il ne s’agit pas que de calmer des peurs jugées irrationnelles par les techniciens. Il s’agit de prendre en compte qu’il y a un enjeu démocratique essentiel, une condition d’exercice des droits fondamentaux lorsqu’on déploie des dispositifs informatisés dans la sphère intime, celle du foyer ou celle des comportements quotidiens. Il s’agit de prendre conscience que le fait qu’un compteur appartienne au distributeur et soit sous son contrôle - qui était presque universellement accepté lorsqu’il s’agissait d’un dispositif « bête » - devient intolérable lorsqu’il incorpore une « intelligence » (des algorithmes aussi élémentaires soient-ils) conçue par d’autres dont on ne partage pas nécessairement les buts. La technique est une composante essentielle de la vie humaine, mais elle ne remplace pas la démocratie.


États-Unis : fin de la neutralité du Net ?

Tue, 12 Dec 2017 13:04:49 +0000 - (source)

Paris, 12 décembre 2017 — Le 14 décembre, la Federal Communication Commission (FCC, l'autorité américaine de régulation des télécoms) s'apprête à imposer de nouvelles règles qui vont briser la neutralité du Net, le principe selon lequel tout trafic Internet doit être traité de manière égale, sans discrimination.

En 2015, sous le gouvernement Obama, la FCC avait obtenu de nouvelles règles lui permettant d'interdire aux fournisseurs d'accès Internet (FAI) d’entraver l’accès des utilisateurs aux contenus. Fin novembre dernier, le nouveau président de la FCC, Ajit Pai, annonçait souhaiter annuler ces règles pour revenir au cadre réglementaire antérieur à 2015, soumettant la régulation du FAI aux règles générales du droit de la consommation et de la concurrence, parfaitement inadaptées et éliminant dans les faits toute protection.

Ces changements suivent la pression mise sur la FCC et le Congrès par les principaux FAI des États-Unis (AT&T, Verizon, Comcast) pour obtenir l'autorisation de ralentir l'accès à certains sites. Les sites en question seraient ainsi obligés de payer les FAI pour que leurs utilisateurs puissent y accéder facilement, sans ralentissement. Ces FAI doivent être stoppés dans leur tentative de vouloir décider quel contenu est accessible à quel utilisateur et à quel prix. Par conséquent, il est indispensable que le régulateur américain garantisse la neutralité du Net et que les FAI demeurent de simples transmetteurs d'informations afin que tous les utilisateurs, quelles que soient leurs ressources, puissent accéder au même réseau, que ce soit pour consulter ou diffuser les informations et services de leur choix.

Une initiative de Fight for the future a été mise en place. Pour montrer à la FCC qu'on ne peut pas porter atteinte à la neutralité du Net, Break The Internet propose de « casser l'Internet » en affichant un message simulant la réduction d'accès ou de débit que provoquerait l'adoption de ces mesures. Le message incite les états-uniens à appeler les membres du Congrès pour défendre la neutralité du Net.

La Quadrature du Net soutient cette initiative. Si vous souhaitez également agir en ce sens, Battle for the net détaille les actions possibles et chacune est libre d'en inventer d'autres.

Sauvons la neutralité du Net


Mahjoubi et Villani doivent prendre position sur le chiffrement

Wed, 06 Dec 2017 08:20:36 +0000 - (source)

Paris, le 6 décembre 2017 -- En cette fin d'année 2017, les attaques contre le chiffrement se font plus agressives et proviennent de tous les côtés. D'une part, les États font de la surenchère pour l'empêcher ou le contourner. D'autre part, les opérateurs tentent avec des arguments fallacieux de limiter le chiffrement au niveau des standards d'Internet, en passant via l'Internet Engineering Task Force (IETF). La Quadrature du Net dénonce ces attaques et appelle MM. Mahjoubi, secrétaire d'État au Numérique, et Villani, député et chercheur spécialiste du chiffrement, à prendre leurs responsabilités politiques.

Les attaques des États

La semaine dernière, le ministre de l'Intérieur allemand a annoncé vouloir des « portes dérobées » (ou backdoors) dans tous les appareils numériques afin d'accéder aux données. Cette position radicale est contraire à toute expertise un peu sérieuse de sécurité informatique1 et aux récentes positions parfaitement explicites du Parlement européen2. Toutefois, à défaut d'être sensé, le gouvernement allemand a le mérite de l'honnêteté.


Mme May et M. Macron, déclaration commune du 13 juin 2017

Le jeu a longtemps été plus trouble en France. M. Macron avait bien déjà dénoncé lors de la campagne présidentielle les « messageries instantanées fortement cryptées » qui permettent selon lui d'échapper aux services de sécurité. Mais il se gardait bien de préciser son intention. Son futur secrétaire d'État au numérique, Mounir Mahjoubi (qui s'était résolument engagé en faveur d'un chiffrement fort lorsqu'il présidait encore le CNNum) s'était alors empressé de tenter de rassurer experts et citoyens, sans grand succès - l'absurdité des propos de M. Macron lui laissant peu de marge de manœuvre. Le Président semble n'avoir d'ailleurs pas retenu la leçon puisque, à peine élu, lors d'une déclaration commune avec Theresa May en juin, il annonçait encore vouloir « améliorer les moyens d’accès aux contenus cryptés, dans des conditions qui préservent la confidentialité des correspondances, afin que ces messageries ne puissent pas être l’outil des terroristes ou des criminels », sans être plus précis.

La position du gouvernement français s'est récemment révélée. Comme nous l'expliquions le mois dernier, le Parlement européen vient d'introduire une nouvelle obligation dans le règlement ePrivacy : tout prestataire de communications doit, quand il le peut, protéger les messages qu'il achemine par un chiffrement de bout en bout3.

Pour les convaincre de ne pas adopter cette obligation, le gouvernement français avait envoyé aux eurodéputés français une lettre, que nous publions ici. Il s'oppose frontalement au chiffrement de bout en bout4, exigeant que les prestataires de services puissent avoir accès au contenu des communications (et, par eux, que la police et les services français y aient aussi accès).

Bref, pour réaliser la surveillance de masse (le chiffrement de bout en bout n'empêchant en rien la surveillance ciblée), M. Macron veut mettre les entreprises dans une situation technique où elles pourront surveiller et réguler nos communications.

Les attaques de l'industrie numérique

Le 10 octobre dernier, Kathleen Moriarty, de Dell, et Al Morton, de AT&T5, ont proposé une Request for Comments (RFC). Les RFC décrivent les aspects techniques d'Internet pour parfois devenir des standards. Cette RFC s'attaque au « chiffrement omniprésent » qui poserait problème aux opérateurs pour acheminer correctement le trafic. Avec des arguments fallacieux, les opérateurs font activement leur lobbying et tentent d'obtenir la possibilité de mettre fin à la neutralité du Net et au chiffrement. Une pierre deux coups contre nos libertés.

Les arguments avancés sont extrêmement mauvais. Ils varient de flous à fallacieux, quant ils ne sont pas carrément techniquement faux. Les opérateurs visent le chiffrement, pour leur permettre d'une part la remise en cause de la neutralité du Net (pour faire payer plus les utilisateurs et fournisseurs de services), et d'autre part pour avoir accès aux communications et pouvoir y injecter des informations (l'exemple cité dans la RFC est celui de certains opérateurs mobiles qui transmettent l'identité de l'abonné au site visité). Les attaques contre la neutralité du Net, très virulentes aux États-Unis depuis l'élection de Donald Trump, arrivent ainsi sournoisement à l'IETF, instance informelle mais internationale. Le chiffrement, outil de confidentialité, gêne donc les opérateurs qui peuvent moins facilement manipuler le réseau à leur guise, y compris pour porter atteinte de manière directe à la confidentialité des échanges, ou pour contourner la neutralité du Net.

Le texte de ce projet de RFC est écrit de manière particulièrement pernicieuse. Il décrit certaines pratiques des gros opérateurs, supposant que parce qu'elles existent elles sont légitimes. On introduit ici un premier biais : nombre de ces pratiques sont brutalement contraires au droit européen sur la neutralité du Net ou sur la vie privée. Plus insidieusement, le texte implique que ces pratiques sont inévitables et pour tout dire souhaitables, avec des arguments parfois très étranges.

Ainsi, les industriels qui sont à la manœuvre font croire que le chiffrement des communications empêche la gestion du réseau. C'est bien évidemment faux. Les en-têtes techniques (IP, TCP - qui permettent l'acheminement et la gestion des communications) ne sont jamais chiffrés, seul le contenu l'est. Par exemple dans une communication HTTPS (connection à un site de façon sécurisée), tout le contenu est chiffré, y compris les informations techniques sur la requête (cookies, mots de passe, informations sur la navigateur, etc). L'opérateur qui transporte le flux d'information n'a pas à savoir ce qui circule, c'est précisément l'objet de la neutralité du Net. La seule opération de gestion du réseau qui devient alors impossible est celle qui consiste à traiter différement la communication en fonction de son contenu. Précisément l'opération interdite par les textes européens. Ces industriels nous disent donc « Nous sommes hors la loi [en tout cas en Europe], considérons que c'est souhaitable, et voulons continuer à l'être ».

Même type de mensonges sur le Deep Packet Inspection (DPI)6. Le texte nous explique que le DPI est utilisé par le support technique pour aider à résoudre les pannes des utilisateurs finals. La vaste blague.

Cette attaque contre le chiffrement est une attaque déguisée contre la neutralité du Net et contre le respect de la vie privée et du secret des communications électroniques. Dans une sorte d'alliance de fait avec des États qui seraient ravis de voir cette brêche technique être imposée et assumée par d'autres.

Appel à MM. Mahjoubi et Villani


Mounir Mahjoubi

Cédric Villani

MM. Mahjoubi et Villani ont, par le passé, avant d'être aux affaires, chacun pris des positions utiles et puissantes sur le chiffrement. L'un en tant que président de Conseil national du numérique, s'opposant aux envolées autoritaires et insensées de l'ancien gouvernement. L'autre en tant que mathématicien, s'interrogeant de longue date sur la place politique des mathématiques et ayant d'ailleurs spécifiquement dédié un de ses ouvrages de vulgarisation7 à la question du chiffrement.

Nous les appelons donc vivement, comme membre du gouvernement pour l'un et représentant de la Nation pour l'autre, à prendre publiquement position sur le chiffrement de bout en bout face aux positions de l'administration française ainsi que sur ce projet de RFC. Puisse la raison dont ils ont fait preuve par le passé s'exprimer de nouveau pour ramener un peu de sens à un débat que l'irresponsabilité et le mensonge semblent aujourd'hui dominer.

Fichier attachéTaille
macron-may.jpeg32.45 Ko
villani.jpg118.66 Ko
kaa.gif1.44 Mo
mahjoubi.jpeg183.82 Ko
position_france_pe_11_juillet_2017.pdf230.29 Ko

Google, Amesys, même combat

Mon, 04 Dec 2017 17:34:33 +0000 - (source)

Paris, le 5 décembre 2017 — La Quadrature du Net publie ci-dessous une tribune d'Okhin

Du 21 au 24 novembre dernier, à Villepinte (région parisienne), se tenait le salon Milipol (pour Militaire/Police), « l'événement mondial de la sécurité des États ».

En plus des habituels trafiquants marchands d'armes qui font la fierté de l'industrie française (ayons une pensée émue pour Michèle Alliot-Marie qui exporta en Tunisie notre savoir-faire en matière de maintien de l'ordre), il y a, depuis quelques années maintenant, des marchands de matériel informatique et de solutions de supervision des populations.

Vous avez forcément entendu parler d'Amesys, de Qosmos, de Palantir et autres Hacking Team qui se sont spécialisés dans le développement de solutions clef en main d'espionnage et de surveillance de la population. Et, les affaires étant les affaires, la plupart d'entre eux vendent à toute personne désirant acheter du matériel, qu'il s'agisse des dictatures libyenne ou syrienne, ou des démocraties sociales occidentales compatibles avec l'économie de marché (France, Allemagne, Royaume-Uni). On parle dans ces cas de capitalisme de la surveillance, c'est-à-dire de mesurer la valeur des choses grâce à la fonction de surveillance.

La surveillance se base sur la connaissance. En épidémiologie par exemple, c'est connaître le vecteur infectieux, le documenter, savoir comment il se propage et se transmet, mesurer son temps d'incubation éventuel, déterminer ses symptômes pour comprendre son fonctionnement et trouver éventuellement un remède.

Dans le cadre de la surveillance des personnes, cela se traduit par la connaissance de ces personnes, leur identification dans le temps et l'espace, connaître leurs habitudes et leurs façons de réagir, mesurer leur sensibilité à telle ou telle idée. La surveillance c'est la connaissance. Et la connaissance c'est ce qui permet de définir les choses, de les identifier. Le capitalisme de la surveillance est donc un capitalisme de la connaissance, de l'identité. Ce que vendent Amesys, Palantir ou autres à leurs clients c'est l'assignation d'une identité définie par eux ou par leur client à un groupe de personnes en fonction de mesures et d'observations, i.e. de données.

Dans le cas des États, cette assignation identitaire amène à des conséquences qui peuvent être extrêmement violentes pour certaines populations, amenant à des répressions fortes, une suppression d'un certain type de personnes d'un certain quartier, à de l'injustice prédictive basée sur des statistiques biaisées par des biais racistes - le racisme structurel - et qui donc ne peuvent que renforcer ces biais. Les smart cities, dans leur version la plus extrême, sont les étapes finales de ce processus, l'identification permanente, fixiste, en tous points de tous les individus, l'impossibilité de bénéficier des services communs et publics sans révéler son identité, sans donner aux surveillants encore plus de connaissances sur nos vies et nos identités, pour leur permettre de mieux définir nos identités, de mieux vendre aux États la détermination, l'essentialisation, la réduction des complexités de nos vies à des étiquettes : terroriste, migrant, réfugié, musulman, femme, queer, bon citoyen.

Dans cette analyse qui est faite, on parle très vite, très souvent d'algorithmes ou d'intelligence artificielle. On les accuse de tous les maux, d'être racistes, de faire l'apologie du génocide, d'être sexistes, de censurer les discours d'éducation à la sexualité, d'invisibiliser les minorités sexuelles, comme si les intelligences artificielles, les algoritmes, disposaient de conscience, émergeaient de nulle part, avaient décidé d'être néo-nazi. Pardon, alt-right. Mais, au final, personne ne dit ce que sont les algorithmes, ou les intelligences artificielles. On va commencer par la seconde. L'intelligence artificielle est un algorithme doté d'une grande complexité et utilisant de grosses quantités de données pour donner l'illusion d'une intelligence, mais d'une intelligence ne comprenant pas ce qu'est un contexte et non dotée de conscience. Reste à définir ce qu'est un algorithme donc.

Appelons le wiktionnaire à la rescousse. Un algorithme est une « méthode générale pour résoudre un ensemble de problèmes, qui, appliquée systématiquement et d’une manière automatisée à une donnée ou à un ensemble de données, et répétant un certain nombre de fois un procédé élémentaire, finit par fournir une solution, un classement, une mise en avant d’un phénomène, d’un profil, ou de détecter une fraude ». C'est donc une formule mathématique, ne prenant pas en compte les cas particuliers, et qui a pour but d'analyser des données pour trouver une solution à un problème.

Ces algorithmes ne sont pas en charge de collecter les données, de définir le problème ou de prendre des décisions. Ils analysent des données qui leur sont transmises et fournissent une classification de ces données en fonction de critères qui ont été décidés par les personnes qui les écrivent, qui les configurent et qui les utilisent. L'ensemble des problèmes sur la reconnaissance faciale qu'ont rencontrés la plupart des entreprises de la Silicon Valley résulte du jeu de données utilisé pour identifier une personne et la reconnaître, car il ne contenait que des images de personnes blanches. Le chat bot de Microsoft - Tay - s'est avéré tenir des propos négationnistes ou appelant au meurtre et à l'extermination. Non pas parce que Tay a une conscience politique qui lui permette de comprendre les propos qu'elle tient, mais parce que des personnes l'ont inondée de propos racistes ou négationnistes, fournissant un corpus de données servant de base aux interactions du chat bot, l'amenant donc à écrire des propos racistes et négationnistes. Microsoft a rapidement retiré ce chat bot de la circulation et l'entreprise a depuis promis d'être plus « attentive » .

Parallèlement, nous entendons également, et de plus en plus, parler d'économie de l'attention. De capitalisme de l'attention. Ce qui aurait de la valeur serait ce à quoi nous faisons attention, ce que nous regardons. Sous entendu, nous, utilisatrices de ce système, sommes capables de faire le choix de ce que nous voulons regarder et lire, de faire le choix de la connaissance à laquelle nous avons accès. Internet permet, en théorie, un accès non discriminé à l'intégralité des informations et des données, et donc de la connaissance, du savoir. Après tout, la connaissance est une information à laquelle j'accède pour la première fois. Et cette acquisition de connaissance me permet de comprendre le monde, de me positionner par rapport à lui, et donc de me définir et de le comprendre, exactement ce que font les systèmes de surveillance massive utilisés par les États.

Réguler l'accès à l'information et choisir quels contenus montrer à quelle personne permet donc, également, de contrôler comment vont se définir les personnes, comment elles vont comprendre le monde. L'économie de l'attention est basée sur ce principe. Pour garantir que vous interagissiez avec la connaissance qui vous est proposée, qui est la façon dont ces nouveaux capitalistes mesurent la valeur, il est important de vous surveiller, de vous mesurer, de vous analyser, de vous assigner des identités. Et donc de contrôler la connaissance à laquelle vous avez accès et celle que vous produisez.

Les gigantesques plateformes financées par les GAFAM1 servent exactement à ça. Facebook vous empêche activement d'accéder à l'ensemble de l'information présente sur leur réseau, vous demandant de vous connecter pour accéder à d'autres plateformes que la leur, ou vous pistant partout une fois que vous êtes connectés, leur permettant ainsi de récolter encore plus de connaissances à votre sujet, d'augmenter leur capacité de surveillance et donc d'identification et de contrôle. Remplissant dans ce cas exactement la même fonction que les systèmes répressifs des régimes étatiques.

Notamment car Facebook, Apple, Google, Amazon, Microsoft décident ce qu'il est moral de faire, quelles identités doivent être renforcées ou au contraire dévaluées. Par exemple, Youtube, en supprimant la possibilité pour un contenu parlant de sexualités de rapporter de l'argent aux créatrices, envoie un message assez clair aux personnes faisant de l'éducation sexuelle, ou parlant de problématique touchant les personnes queer : votre production de connaissance n'est pas bienvenue ici, nous ne voulons pas que des personnes puissent s'identifier à vous. Il en va de même avec Facebook et son rapport à la nudité ou Apple qui filtre également tout ce qui pourrait parler de sexe, quitte à censurer le contenu des musées. En dévalorisant certaines connaissances, en la supprimant de certaines plateformes, les personnes à la tête de ces entreprises permettent d'effacer totalement de l'espace public des pans entiers de la société, de supprimer les voix des minorités, d'empêcher la contradiction de leurs valeurs et permettent donc de renforcer les biais des personnes consommant la connaissance disponible, amenant à une polarisation, une simplification et à une antagonisation du monde.

Alors effectivement, Facebook en soi ne mettra personne dans les geôles de Bachar el-Assad, du moins pas dans une complicité active, mais l'entreprise fait partie d'un système disposant de deux faces. Une face violente, répressive, alimentant les délires paranoïaques des États d'une part, et une face « douce » et insidieuse, utilisant les publicitaires et la restriction de l'accès à la connaissance pour permettre aux entreprises conservatrices de nous imposer leur vision bipolaire du monde, renforcement les sentiments d'appartenance à un groupe identitaire, avec les conséquences violentes que l'on connaît.

Et pour s'en persuader, il suffit de regarder les liens entre ces deux faces. Peter Thiel, fondateur, avec Elon Musk, de PayPal et qui détient maintenant 7% de Facebook est également le fondateur de Palantir Technologies, entreprise qui a, notamment, obtenu le marché public des boîtes noires en France, tout en étant aussi l'outil officiel de la NSA. Thiel a également participé aux nombreux procès qui ont fait mettre à Gawker la clef sous la porte suite à la révélation de l'homosexualité de P. Thiel par Gawker. Thiel, enfin, est l'un des influents soutiens des républicains nord américains, il a notamment participé à la campagne de Ted Cruz avant de rejoindre l'équipe de Trump et de participer à la transition à la maison blanche. Il a de fait nécessairement discuté, échangé et parlé avec Robert Mercer, l'un des directeurs de Cambridge Analytica, une entreprise dont le but est de cibler les électeurs grâce à de nombreux points de collectes, principalement récupérés par Facebook afin de pouvoir les cibler directement et influencer leurs votes.

Alors oui, lorsque l'on pose la question de démanteler Google, la question de démanteler Palantir se pose aussi, et celle consistant à vouloir privilégier les seconds car ils représentent un danger plus important pour la sécurité des uns et des autres. Mais sans l'omniprésence des systèmes d'identification, sans les exaoctets de données récoltées sans notre consentement dans le but d'individualiser le contenu auquel nous avons accès - selon des critères sur lesquels nous n'avons aucun contrôle - la mise en place de la surveillance et de l'identité devient complexe, coûteuse et impossible.

Il faut démanteler les systèmes capitalistes identitaires si l'on veut détruire les systèmes d'oppressions basés sur l'identité ou sur l'accès biaisé à la connaissance. Il faut s'affranchir des moteurs de ce système que sont la publicité, le pistage et l'identification permanente. Il faut questionner et démanteler le racisme, le néo-colonialisme, le sexisme des entreprises de la Silicon Valley au lieu de s'étonner que leurs algorithmes soient racistes. Car ils sont devenus omniprésents et nous empêchent de nous définir, de vivre, d'exister comme nous l'entendons, avec nos cultures complexes et nos identités changeantes.


Facebook poursuit son ambition de remplacer l'État

Wed, 29 Nov 2017 14:43:53 +0000 - (source)

Une tribune d'Arthur Messaud

Paris, le 29 novembre 2017 -- En deux jours, coup sur coup, Facebook a annoncé déployer ses outils de surveillance de masse pour détecter les comportements suicidaires puis pour lutter contre le terrorisme. La concomitance de ces annonces révèle parfaitement la politique de fond du réseau social hégémonique : se rendre aussi légitime que les États et, avec l'accord bien compris des « démocraties libérales », remplacer celles-ci pas à pas.

Hier, Facebook a détaillé la mise en œuvre de sa lutte automatisée contre les contenus à caractère terroriste, qu'il avait déja annoncée en juin dernier. Il explique fièrement que « 99% des contenus terroristes liés à Al-Qaeda et ISIS retirés de Facebook sont des contenus détectés avant que qui que ce soit ne les ait signalés et, dans certains cas, avant qu'ils ne soient publiés »1. Facebook n'a ainsi plus aucune honte à avouer ses intentions : la lutte contre la parole terroriste en ligne n'est plus du ressort de l'État -- Facebook est bien plus efficace ! Cette lutte n'est plus fixée selon des normes débattues démocratiquement, mais laissée à l'unique volonté politique d'entreprises capitalistiques, qui n'ont aucun compte à rendre au peuple.

Et c'est exactement ce à quoi appelaient Macron et May l'été dernier : les géants du Net doivent prendre à leur charge la régulation de leurs réseaux hégémoniques (Facebook explique d'ailleurs que les contenus retirés automatiquement ne sont en principe pas transmis aux autorités publiques, qui pourraient en poursuivre les auteurs2, la séparation des rôles étant ainsi totale et quasiment hermétique).

Le cynisme de la situation est d'autant plus fort que la partie de la lutte que l'État prend encore à sa charge (la détection des individus dangereux) use des mêmes outils que ceux déployés par le secteur privé. Les « algorithmes » dont Facebook vante aujourd'hui l'efficacité reposent sur la même logique que les « boîtes noires » autorisées en France en 2015, et sont développés par la même industrie, qui partage l'exacte même idéologie (Palantir Technologies a été fondée par Peter Thiel, qui détient également 7% de Facebook).

Par ailleurs, avant-hier, Facebook annonçait déployer ses outils de surveillance de masse pour détecter des comportements suicidaires afin d'apporter l'aide nécessaire aux personnes en détresse. La démarche ne serait pas si critiquable si elle n'était pas automatisée, si les utilisateurs pouvaient choisir d'échapper à l'analyse (ce n'est pas le cas) et s'il ne s'agissait pas d'une simple expérimentation pour des usages bien plus larges. Comme s'est empressé d'expliquer Mark Zuckerberg, « dans le futur, l'IA sera davantage capable de comprendre la subtilité du langage et sera capable d'identifier différents problèmes au-delà du suicide, notamment détecter rapidement davantage de cas de harcèlement ou de haine »3.

En vérité, en se plaçant comme défenseur de ses utilisateurs (sans l'avis de ceux-ci), Facebook espère repousser ses nombreux détracteurs qui lui reprochent des atteintes injustifiables à la vie privée de toute la population, à la qualité du débat public et à la vie démocratique dans son ensemble.

Ainsi, de façon parfaitement insidieuse, Facebook prétend que son outil d'aide aux personnes suicidaires sera déployé partout dans le monde... sauf dans l'Union européenne. Il sous-entend là clairement que l'Union européenne prévoirait des règles de protection des données personnelles trop contraignantes pour lui permettre de « protéger la population ». Cette prétention est évidemment fausse : le règlement général sur la protection des données pourrait autoriser une telle pratique de multiples façons 4. Ce mensonge n'a qu'un but : opposer la sécurité des personnes à la protection de leur vie privée (principal obstacle à la pérennité économique de Facebook). Cette opposition est d'ailleurs directement reprise de la bouche des États déployant une surveillance de masse au nom de la sécurité : récupérer leurs pouvoirs implique sans surprise d'en reprendre les mensonges.

En conclusion, ces deux annonces dessinent un discours général assez net : soumettez-vous à Facebook, car lui seul peut vous protéger (ne comptez pas sur l'État, qui lui a délégué ce rôle). L'entreprise ne se prive d'ailleurs pas d'expliquer être « confiante que l'IA va devenir un outil plus important dans l'arsenal de protection et de sécurité sur l'Internet »5. Internet est dangereux, prenez refuge sous l'hégémonie de multinationales totalitaires, vite !

L'arrogance avec laquelle Facebook affiche ses ambitions de contrôler Internet révèle la volonté partagée des « démocraties libérales » et des entreprises hégémoniques de transférer les pouvoirs régaliens des premières vers celles-ci. Nous devons toutes et tous refuser définitivement la légitimité politique que ces entreprises entendent prendre. Seul le peuple est légitime pour décider collectivement des contraintes lui permettant de se protéger contre le terrorisme, les discours de haine, les tendances suicidaires ou n'importe quel autre danger. Dans la continuité ultra-libérale de ses prédécesseurs, Macron déconstruit l'État, pour le pire, en confiant ce rôle à des acteurs privés.


Pour le Parlement européen, nos données personnelles ne sont pas des marchandises !

Tue, 21 Nov 2017 16:02:29 +0000 - (source)

Paris, le 21 novembre 2017 -- Ce matin, le Parlement européen a adopté sa position sur une nouvelle directive qui encadrera les « contrats de fourniture de contenu numérique ». Il y a inscrit un principe fondamental, déjà esquissé il y a quelques semaines dans le règlement ePrivacy : « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».

Le 26 octobre dernier, le Parlement européen a adopté sa position sur le règlement ePrivacy, en précisant que « nul utilisateur ne peut se voir refuser l’accès à un service [...] au motif qu’il n’a pas consenti [...] à un traitement de ses données à caractère personnel [...] non nécessaire à la fourniture du service » (voir article 8, paragraphe 1 bis, du rapport LIBE).

Cette disposition faisait directement écho au Règlement Général sur la Protection des Données (RGPD) adopté l'an dernier, qui prévoie (article 7 et considérant 43) que « le consentement est présumé ne pas avoir été donné librement [...] si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».

Aujourd'hui, le Parlement européen est allé encore plus loin en déclarant que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises »1 (considérant 13 du rapport adopté aujourd'hui). Nous pouvons seulement regretter que le Parlement n'ait pas eu le courage de tirer toutes les conséquences légales de sa position et n'ait pas clairement interdit les contrat de type « service contre données ». Il se refuse à explicitement « décider si de tels contrats devraient ou non être autorisés et laisse aux lois nationales la question de la validité de ces contrats »2. Mais il a aussi précisé que sa position « ne devrait, en aucun cas, donner l'impression qu'elle légitime ou encourage des pratiques basées sur la monétisation des données personnelles »3 (voir considérant 13).

Le texte adopté aujourd'hui (tout comme celui adopté le mois dernier sur ePrivacy) devra encore être débattu par les États membres, qui pourront affaiblir entièrement ces nouvelles précisions.

Toutefois, aujourd'hui, le Parlement a pris un autre pas décisif vers la reconnaissance d'un principe fondamental, pour lequel La Quadrature du Net se bat depuis des années : que le droit à la vie privée et à la protection des données, tout comme n'importe quel autre droit fondamental, ne puisse être vendu.


Renseignement : derrière le brouillard juridique, la légalisation du Deep Packet Inspection

Wed, 15 Nov 2017 09:30:13 +0000 - (source)

Analyse de Félix Tréguer, membre fondateur de La Quadrature du Net et chercheur.

Ça y est, les boîtes noires sont activées !

Après avoir fait couler beaucoup d'encre en 2015 lors de l'adoption de la loi renseignement, ces sondes dédiées à la surveillance en temps réel des communications Internet de millions de résidents français sont désormais employées légalement par les services dans le but de repérer certaines communications « suspectes ». C'est ce qu'a annoncé Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR) lors d'un colloque mardi 14 novembre à Grenoble.

Sauf que cette annonce est l'arbre qui cache la forêt. On nous explique que le « contenu » des communications n'est pas concerné, et que le secret des correspondances est donc sauf. Mais lorsqu'on lit entre les lignes de la loi et que l'on suit les quelques journalistes d'investigation qui planchent sur le sujet, il est clair que le droit français cherche depuis 2013 à légaliser l'usage des techniques de « Deep Packet Inspection », lesquelles constituent en fait le point d'articulation entre différentes logiques du renseignement technique contemporain.

Jusqu'à présent, chez les défenseurs des libertés publiques intéressés par le renseignement – militants, juristes, universitaires, etc. –, nous étions nombreux à suspecter le recours à de telles techniques de surveillance sans comprendre précisément comment elles pouvaient s'inscrire dans le cadre juridique. En réalité, certaines ambiguïtés légistiques faisaient obstacle à la compréhension de l'articulation droit/technique, faute de transparence sur la nature des outils techniques utilisés par les services et leurs usages.

Or, compte tenu des informations révélées par Reflets.info et Mediapart l'an dernier sur des sondes DPI installées dès 2009 chez les grands fournisseurs d'accès français, on peut raisonnablement penser que les « boîtes noires » sont en réalité déjà expérimentées depuis longtemps.

Certes, l'efficacité opérationnelle de tels outils reste à démontrer, compte tenu notamment de l'augmentation du trafic Internet chiffré ces dernières années. Mais depuis 2013, et plus encore depuis 2016, le droit français autorise ces sondes à scanner le trafic d'une grande part de la population pour « flasher » depuis les réseaux des opérateurs télécoms français certains « sélecteurs » : il peut s'agir de données de connexion traitées par les FAI (notamment l'IP d'origine, l'IP de destination), mais aussi toutes sortes de métadonnées décelables dans ce trafic et traitées par les serveurs consultés, notamment les « protocoles » associés à certains services en ligne et des identifiants non chiffrés (pseudos, hash de mots de passe, etc.). À travers cette analyse du trafic Internet, les services peuvent repérer des cibles, voire même dresser des graphes sociaux détaillés (qui communique avec qui, quand, à l'aide de quel service en ligne, etc.).

Le mécanisme juridique qui permet ces formes de surveillance sur le territoire repose sur l'exploitation stratégique par les services de renseignement de la distinction entre métadonnées et contenu des communications : au lieu de considérer les identifiants associés aux services en ligne comme le contenu des communications acheminées par les FAI – ce qu'ils sont au plan technique –, ces identifiants contenus dans les paquets conservent le statut juridique de métadonnées, et peuvent ainsi être collectés à l'aide d'outils DPI.

Inaugurée en 2013 par la LPM (Loi de programmation militaire) et reconduite par la loi renseignement pour la lutte antiterroriste, cette surveillance en temps réel des identifiants contenus dans les communications Internet permet aux services de massifier la surveillance, en contournant les quotas prévus en matière d'interceptions de sécurité (plafond de 2000 interceptions simultanées, pour cette technique qui permet de collecter les métadonnées et le contenu des messages).

Ce texte revient sur cette construction juridique en lien avec l'évolution des techniques de renseignement, et tente d'illustrer la manière dont elle permet de combiner une surveillance automatisée et exploratoire à travers des outils Big Data et des interceptions « ciblées » de l'ensemble du trafic de cibles précisément identifiées. Mais avant d'entrer dans le vif du sujet, revenons sur certains éléments de contexte.



OOOoops
Serveurs du Groupement Interministériel de Contrôle, basé aux Invalides (Bruno Coutier - L'Obs)


1. Éléments de contexte

1.1 Le renseignement et l'exploitation des failles juridiques

D'abord, il faut bien avoir en tête que les services sauront s’immiscer dans n'importe quelle petite faille juridique pour trouver une assise juridique à des outils techniques et des pratiques policières très contestables, mais sur lesquelles – faute d'un Snowden à la française (et malgré certaines enquêtes journalistiques qui ont fait sensation) – même les gens qui suivent le sujet d'assez près se heurtent au secret d'État.

On a donc tendance à se rendre compte bien tard de ces failles juridiques et de la manière dont elles sont exploitées au plan opérationnel, et on se demande alors comment on a pu passer à côté tout ce temps-là. Cette mauvaise articulation des raisonnements entre droit et outils techniques contribue à ce que les droits fondamentaux aient toujours plusieurs trains de retard sur les pratiques de surveillance.

Il y a plein d'exemples de ce que je décris ici, comme la surveillance hertzienne inaugurée en 1991. Je vais en détailler un autre, parce qu'il est essentiel à la démonstration, et il est central pour les enjeux contemporains de la surveillance en France. Il concerne l'accès administratif aux informations et documents détenus par les opérateurs télécoms et hébergeurs.

1.2 L'exemple de l'accès aux métadonnées

Pour rappel, l'obligation de conservation des données de connexion (souvent synonyme d'un autre terme bien plus vague sur lequel on va revenir, celui d'« informations et documents » détenus par les intermédiaires technique) date au plan législatif de 2001 pour les opérateurs, de 2004 pour les fournisseurs de services en ligne (c'est-à-dire des personnes physiques ou morales qui mettent à disposition du public des services de communication au public en ligne et stockent des données : hébergeur, réseau social, forum, site de eCommerce, fournisseur public de messagerie, etc.).

Rappelons aussi quelques unes des données concernées par ces obligations de conservation – c'est important pour la suite.

Pour les opérateurs télécoms et FAI :

Pour les hébergeurs / fournisseurs de service en ligne :

L'accès à ces données de connexion a été ouvert aux services en 2006 pour la seule lutte antiterroriste et pour les seuls opérateurs télécoms. Des techniciens au fait de ces histoires nous expliquaient que les opérateurs ne conservaient pas les IP consultées. Cet accès aux données de connexion était donc uniquement censé permettre d'identifier des suspects de terrorisme dont on aurait récupéré l'adresse IP, en demandant au FAI les noms et prénoms correspondant à cette IP. Pas si choquant me direz-vous. C'est vrai, surtout en comparaison des choses révélées ces dernières années, notamment par Snowden.

Mais dans un rapport de l'Assemblée nationale publié en mai 2013, soit juste avant le début des révélations Snowden, il était écrit que pour contourner cette restriction du décret de 2006 et accéder aux métadonnées pour d'autres motifs que l'antiterrorisme, les services s'appuyaient sur une disposition, l'article L. 244-2 du code de la sécurité intérieure, créé en 1991.1

1.3 La LPM : blanchiment législatif de l'illégal

C'est précisément ce détournement que la LPM a permis de légaliser, quelques mois plus tard, en élargissant drastiquement la manière dont les services pouvait accéder à ces données : non plus pour la seule lutte antiterroriste, mais pour l'ensemble de leurs missions. Première rupture juridique.

Citons la loi, c'est important :

Pour les finalités énumérées à l'article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications [cet article a été repris par la loi renseignement et est aujourd'hui à l'article L. 851-1 du CSI.

À quoi renvoie ce terme d'« informations et documents » ? On s'en est beaucoup inquiétés à l'époque de l'examen de la LPM, car nous trouvions l'expression extrêmement vague. Mais le gouvernement et les parlementaires qui soutenaient le texte tentaient de nous rassurer en disant qu'il s'agissait un vocable ancien, datant de la loi de 1991, qu'il renvoyait simplement aux métadonnées, et non pas aux informations ou documents contenus dans les messages.

Résumons donc cette deuxième rupture juridique : les services peuvent désormais accéder non plus aux données des seuls opérateurs télécoms, mais aux « informations et documents » non seulement conservés mais également « traités » par les opérateurs télécoms ou fournisseurs de service, notamment des données relatives aux « identifiants de connexion » (des log-in, typiquement) ou à la géolocalisation des terminaux.

Ces données sont donc « recueillies » sur demande des services, notamment via ce qui constitue la troisième rupture juridique introduite par la LPM : il ne s'agit plus seulement d'accéder a posteriori aux données conservées par les intermédiaires techniques (FAI et hébergeurs donc), mais également « en temps réel » sur « sollicitation du réseau » :

Art. L. 246-3.-Pour les finalités énumérées à l'article L. 241-2, les informations ou documents mentionnés à l'article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l'article L. 246-2 ».

Là encore, cela nous avait beaucoup inquiété, sans qu'on réussisse bien à comprendre ce qui se jouait là.

Un an plus tard, en catimini le 24 décembre 2014, le gouvernement fait paraître le décret d'application. Ouf ! Les « informations et documents » sont bien limités aux métadonnées, leur définition n'est pas élargie par rapport aux décrets de 2006 et 2011, comme la loi pouvait pourtant y inviter.  En effet, le décret précise (R. 241-1 CSI ) :

Pour l'application de l'article L. 246-1, les informations et les documents pouvant faire, à l'exclusion de tout autre, l'objet d'une demande de recueil sont ceux énumérés aux articles R. 1013 et R. 10-14 du code des postes et des communications électroniques et à l'article 1 er du décret n° 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.

Une autre disposition précise qu'il peut s'agir aussi de données de gélolocalisation des terminaux. Quant à la notion de « sollicitation en temps réel » du réseau, là encore, la CNIL – consultée pour avis sur le décret, se dit satisfaite. Marc Rees écrit à l'époque :

Le décret prévoit ici que cette sollicitation « est effectuée par l'opérateur qui exploite le réseau », et non pas par les autorités elles-mêmes. La CNIL estime dès lors que cette formulation « interdit toute possibilité d'aspiration massive et directe des données par les services concernés et, plus généralement, tout accès direct des agents des services de renseignement aux réseaux des opérateurs, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes. »

À ce moment-là, les opposants à la LPM sont en quelque sorte rassurés – le décret pose plein de problèmes, mais la surveillance massive semble désormais impossible.

1.4 Le coup de toilette de la loi renseignement

Six mois plus tard, la version promulguée en juillet 2015 de la loi renseignement reprend le vocable de la LPM mais réorganise l'accès aux métadonnées comme suit :

À bien des égards, la loi renseignement apporte des garanties supplémentaires par rapport à la LPM : « normalisation » des procédures de contrôle préalables sous l'égide de la CNCTR pour l'accès aux métadonnées (plus simplement une personnalité qualifiée qui autorise), restriction de l'accès en temps réel et des boîtes noires à la seule lutte antiterroriste. Comme si les responsables des services avaient eu peur de ce que la loi les autorisait à faire… Ou comme si certains au sein de l'État avaient voulu remettre un peu de mesure dans l'utilisation de dispositifs de surveillance extrêmement intrusifs.

2. De la difficulté de comprendre comment le droit marche en pratique

Depuis le vote de la loi renseignement, les Exégètes amateurs (groupe d'action contentieuse commun aux associations La Quadrature du Net, FDN et Fédération FDN) ont déposé plusieurs recours devant le Conseil d'État qui touchent à l'ensemble de la loi.

Après une QPC remportée sur la question de la surveillance hertzienne en octobre 2016, le Conseil constitutionnel nous a donné gain de cause sur un autre recours relatif à l'accès en temps réel aux données de connexion. La disposition avait déjà été validée dans la décision du Conseil sur la loi renseignement en juillet 2015, mais un an plus tard, après les attentats de Nice, elle a été élargie non seulement aux personnes susceptibles d'être en lien avec une menace, mais à leur entourage, et aux personnes en lien avec cet entourage (les « n + 2 »). Les n+2 de 11 000 fichés S, ça fait potentiellement des centaines de milliers de personnes. Beaucoup de monde donc.

2.1 L'exemple de la QPC sur la surveillance en temps réel

Ce à quoi nous nous heurtions dans nos raisonnements dans ce dossier, c'est la manière dont le droit est mis en musique au plan opérationnel.  Par exemple, on comprenait bien l'intérêt pour la surveillance en temps réel des métadonnées téléphoniques, et en soi, c'est déjà extrêmement intrusif. En gros, la loi donne accès en temps réel au journal d'appel détaillé des personnes visées. Plutôt que de s'embêter à faire une interception ciblée, on recueille en temps réel les métadonnées et on fait le graphe social de la personne – qui elle appelle, qui l'appelle, à quelle heure, combien de temps –, le tout étant automatisé grâce à des outils Big Data. Cela nécessite moins de ressources que d'éplucher le détail des conversations téléphoniques, et c'est donc d'une certaine manière plus efficace.

Mais pour Internet, on était moins sûr. On réfléchissait généralement de cette manière (un raisonnement analogue vaudrait pour les boîtes noires du L. 851-3 CSI) :

S'agissant des boîtes noires, le ministre Jean-Yves Le Drian avait par exemple indiqué lors de l'examen parlementaire de la loi renseignement qu'il s'agissait de repérer des communications suspectes. Bertrand Bajolet, qui a quitté il y a quelques mois la direction générale de la DGSE, avait été plus disert à l'époque: « Il s’agit de détecter certaines pratiques de communication. L’objectif n’est pas de surveiller des comportements sociaux, tels que la fréquentation de telle ou telle mosquée par telle ou telle personne. Mais nous connaissons les techniques qu’emploient les djihadistes pour dissimuler leurs communications et échapper à toute surveillance : ce sont ces attitudes de clandestinité qu’il s’agit de détecter afin de prévenir des attentats (…). »

Sur les attitudes de clandestinité, l'allusion évoque assez directement l'utilisation de solution de chiffrement. Au hasard l'utilisation du réseau Tor.

Mais ce qu'on ne comprenait pas, c'est comment les boîtes noires installées sur les réseaux des FAI pouvaient permettre de déceler ce type de comportements. Il nous semblait que les seules choses que la loi autorisait de faire, c'était de flasher les données de connexion du FAI : l'IP d'origine et éventuellement l'IP consultée, l'adresse MAC, ainsi que d'autres infos dans l'entête des paquets.

On comprenait d'autant moins que dans la jurisprudence constitutionnelle du 24 juillet 2015, suscitée par le tout premier recours des Exégètes, le Conseil constitutionnel avait limité le champ de la notion d'« information et documents » aux articles déjà existants issus des décrets de 2006 et de 2011. Une décision qui semblait aller dans notre sens. Elle rappelle notamment que les données de connexion concernées ne peuvent en aucun cas «  porter sur le contenu de correspondances ou les informations consultées », ce qui du point de vue des opérateurs télécoms semble de nature à exclure le DPI.

Et puis dans le même temps, le ministre de l'Intérieur d'alors, un certain Bernard Cazeneuve, nous jurait qu'il était « hors de question » d'utiliser du DPI. Il faut croire qu'on a eu envie de lui laisser le bénéfice du doute.

2.2 Ce qu'on sait des pratiques : DPI or not to be

Pour ma part, c'est la lecture cet été d'un article d'un spécialiste du SIGINT qui tient un blog appelé Electrospaces qui m'a fait tilter. Il y explique que la police néerlandaise, en chasse contre des hackers russes qui faisaient de la fraude bancaire sur Internet, ont recouru à des techniques de Deep Packet Inspection sur l'infrastructure d'un gros hébergeur hollandais utilisée dans le cadre de ces infractions.  La nature de l'outil pose question, puisque le DPI permet de rentrer en profondeur et donc de voir le contenu non chiffré des communications – de toutes les communications, y compris celles de personnes sans lien avec l'infraction. Mais c'est la logique qui est intéressante : pour retrouver leurs cibles, les policiers néerlandais sont partis de plus de 400 identifiants utilisés par des cybercriminels russes déjà connus pour voir s'ils les retrouvaient dans le trafic de l'hébergeur.

Or, ces identifiants, quels sont-ils ? Ce sont des logs-ins, ou des pseudos, utilisés par les suspects sur un service de messagerie instantanée appelé ICQ. Les sondes DPI permettaient donc de déceler ces identifiants dans le trafic de l'hébergeur. Ce sont bien des métadonnées qui sont visées : pas celles des opérateurs néerlandais, ni celles de l'hébergeur en question, mais celles de services utilisés en sous-couche dans les paquets de données traités par l'hébergeur.

C'est suite à cela que je suis retourné voir les révélations faites l'an dernier par Mediapart et Reflets.info sur des sondes DPI du prestataire Qosmos qu'auraient fait installer les services intérieurs de renseignement français sur l'infrastructure des quatre grands FAI français (programme IOL, sachant que dans le même temps, la DGSE installait un système similaire sur les câbles internationaux, le marché avec Qosmos portant cette fois le nom de Kairos).

Citons en détail un article paru sur Reflets :

Selon des documents que Mediapart et Reflets ont pu consulter et les personnes qui ont accepté d’évoquer IOL, il s’agit d’un projet d’interception « légale » chez tous les grands opérateurs, soit  à peu près 99% du trafic résidentiel. Ce projet a été imaginé en 2005. Le cahier des charges terminé en 2006 et le pilote lancé en 2007. La généralisation à tous les grands opérateurs s’est déroulée en 2009. Dans le cadre de IOL, des « boites noires » avant l’heure étaient installées sur les réseaux des opérateurs, mais ceux-ci n’y avaient pas accès. Il s’agissait d’écoutes administratives commandées par le Premier ministre et dont le résultat atterrissait au GIC.

Selon un document interne de Qosmos, dimensionné pour permettre de l’interception sur 6000 DSLAM [équivalent du central téléphonique pour l'ADSL], IOL, pour Interceptions Obligatoires Légales, pouvait analyser jusqu’à 80 000 paquets IP par seconde. Un DSLAM pouvant accueillir à l’époque entre 384 et 1008 lignes d’abonnés, c’est entre 2,3 et 6,04 millions de lignes qui étaient alors concernées par ce projet pour la seule société Qosmos. Du massif potentiel (…).

Dans le cas d’IOL, l’outil décrit permettrait d’intercepter les communications électroniques d’un quartier, d’une ville, d’une région ou un protocole spécifique. Ce n’est pas du systématique, comme le fait la NSA, mais c’est une capacité d’interception qui peut très vite glisser vers du massif qui a été installée en cœur de réseau chez tous les grands opérateurs. Les mots ont un sens… « Quelques faucons dans les cabinets ministériels se sont dit qu’il y avait matière à mutualiser l’infra existante pour faire de l’analyse de trafic à la volée, ils ont vu que dans la série « 24 heures » ça se faisait… », indique un brin acide un responsable d’un opérateur qui a vécu l’installation du projet.

Sur Mediapart, Jérôme Hourdeaux insiste bien sur le fait que, malgré le terme d'« interception », ce sont les métadonnées qui sont visées par ces outils, sans toutefois pouvoir préciser lesquelles (mais Qosmos se vante du fait que ces sondes permettent de flasher toutes sortes de protocoles et de données qui donnent des informations extrêmement détaillées sur les activités des internautes, et notamment les sites visités ou l'utilisation de Tor). Le journaliste ajoute également : « L’ancien haut cadre d’un opérateur nous confirme que le programme était bien encore actif en 2013-2014. En revanche, le dispositif a de fortes chances d’être ensuite devenu obsolète, tout d’abord pour des raisons techniques liées à l’évolution du réseau internet. Ensuite en raison du vote de la loi sur le renseignement, instituant le dispositif des boîtes noires. »

Le propos se veut rassurant, mais la source ne semble pas avoir été très disserte sur le sujet… Reflets.info relaie les mêmes informations. Toujours selon leurs sources :

Cette infrastructure était inopérante pour du massif. Pour plusieurs raisons : « L’une étant l’évolution des infrastructures, une autre étant le volume important du trafic chiffré et enfin, la dernière étant qu’il existe une grosse différence entre un démonstrateur (une maquette) et la vraie vie.

Ailleurs dans l'article, la question de l'état actuel de cette infrastructure de surveillance reste ouverte. Selon Reflets : « Qosmos indique s’être retirée du marché de l’interception légale en 2012. Qui entretient aujourd’hui l’infrastructure technique IOL mise en place ? Mystère… ».

Résumons : dans les DSLAM des grands opérateurs télécoms, des sondes DPI ont été expérimentées pour intercepter des métadonnées « piochées » dans le trafic. Or, au départ, en 2009, ces engins semblent avoir été autorisés en vertu de la mesure de surveillance réputée la plus intrusive autorisée en droit français : les interceptions de sécurité (et donc l'interception de tout le trafic d'une cible, métadonnées et contenu compris, l'équivalent d'une écoute téléphonique pour Internet qui, rappelons-le, englobe bien plus que des communications interpersonnelles, mais dont une partie du trafic est effectivement chiffré). Comme le remarquent à l'époque les journalistes, il s'agit bien de sollicitation du réseau en temps réel, et donc de ce qu'a légalisé en 2013 la LPM. Sauf que dans la LPM, il n'est plus question d'interceptions de sécurité, mais de l'accès aux « seules » métadonnées.

Cela pose deux questions :

2.3 Repérer les métadonnées des hébergeurs dans le trafic des opérateurs

Du coup, mon interprétation est la suivante. Les services peuvent, directement depuis les réseaux des FAI et via ces sondes installées dans les DSLAM, scanner légalement l'ensemble du trafic à la recherche de ces identifiants, ou « sélecteurs », comme dans l'exemple néerlandais.

Pour passer de l'interprétation « naïve » à la seconde interprétation, il a suffit de se rendre compte que la loi est suffisamment ambiguë pour permettre aux services de rechercher les métadonnées des hébergeurs dans le trafic des opérateurs. Ou, en d'autres termes, que la loi ne va pas clairement dans le sens de l'interprétation dominante calée sur la réalité technique, à savoir que les métadonnées des hébergeurs sont en réalité le contenu du trafic des opérateurs. Pour user d'une analogie postale, la loi n'interdit pas que l'« enveloppe » gérée par les hébergeurs soit accessible depuis les réseaux des opérateurs, quand bien même celle-ci représente pour eux du contenu qu'ils ont pour mission d'acheminer d'un point à l'autre de leurs réseaux.2

Tout le monde – ou presque : des gens comme l'ancien ministre Jean-Jacques Urvoas, le Conseil d'État ou le Conseil constitutionnel font encore de la résistance – considère aujourd'hui que surveiller les métadonnées, ça n'est pas en tant que tel moins intrusif que de surveiller du contenu. De plus, la métadonnée, c'est une notion toute relative. Le plus souvent, la métadonnée d'un intermédiaire technique constitue le contenu des communications acheminées par un autre.

La faille juridique béante à côté de laquelle nous sommes passés jusqu'à présent tout en tournant autour en permanence, c'est le fait que la loi ne dit pas clairement à quel endroit de l'infrastructure les services peuvent accéder à quelles métadonnées. Il est ainsi possible de cibler des identifiants associés à un service en ligne, qu'il va s'agir de repérer à la volée dans le trafic à l'aide d'une sonde installée dans un DSLAM – par exemple, quelle IP utilise tel protocole de chiffrement suspect, au hasard Tor. Avouons que c'est quand même beaucoup plus pratique, et moins cher, de traiter directement avec quatre opérateurs télécoms (peut-être un peu plus) pour surveiller en temps réel l'ensemble des données de connexion des hébergeurs, plutôt que d'avoir à s'adresser à des entreprises américaines les unes après les autres.

2.4 Le gouvernement gourmand

Après avoir débattu avec les amis Exégètes de cette lecture, ils sont retournés lire les décrets d'application de la loi renseignement. Et ils se sont rendus compte que, plutôt que de résoudre l’ambiguïté législative, le gouvernement avait choisi de l'exploiter jusqu'au bout. Ainsi, à travers le décret n°2016-67, a été créé l'article R. 851-5-1. Cette disposition réglementaire se départit des décrets de 2006 et de 2011 pour définir les données de connexion accessibles en temps réel ou via les boîtes noires (article L. 851-2 et L. 851-3). Ces données sont celles :

Rien que ça… Le gouvernement réintroduit des définitions des catégories de données concernées encore plus vagues qu'avant (la CNCTR elle, refuse d'en dire plus sur ce que recouvre précisément ces catégories, invoquant le secret défense), il fusionne deux régimes réglementaires qui étaient auparavant définis de manière distincte, et là encore, tout le monde ou presque était passé à côté (et ce même si la volonté du gouvernement d'élargir le champ des données de connexion était apparue au détour d'un avis de la CNCTR sur les décrets et avait fait débat).

Grâce aux Exégètes, on verra prochainement si le Conseil d'État estime cette disposition réglementaire conforme à la Constitution. Mais cette nouvelle découverte, qui sera détaillée dans un mémoire en cours de finalisation, tend à confirmer la lecture proposée ici : tout en jouant de l’ambiguïté, la LPM puis la loi renseignement, et plus encore un des décrets d'application de celle-ci, ont eu pour but de légaliser l'usage des sondes DPI pour le trafic Internet français. Et ce décret, en fusionnant les deux catégories de métadonnées (FAI / hébergeurs), a pour effet de conforter l'interprétation de la loi selon laquelle les métadonnées traitées par les hébergeurs peuvent être scrutées à partir du réseau des FAI via ces sondes (pour les services, cela a le mérite de la clarté, notamment au cas où un FAI ou un hébergeur s'opposerait à l'installation du DPI sur son réseau en arguant du fait qu'il n'est tenu de permettre l'accès qu'à « ses » métadonnées).

2.5 Qu'est-ce qu'une cible ?

Cette interprétation du couple droit/technique est également confortée par la découverte d'une autre faille juridique de la loi renseignement, dont je ne crois pas qu'elle ait été abordée jusqu'ici, et qui pourrait nous réserver des surprises à l'avenir.

Selon Reflets, toujours sur les sondes Qosmos :

Si la bonne utilisation était, selon les documents de Qosmos, plutôt de définir une cible, et de donner pour instruction à l’ensemble des sondes de repérer et collecter le trafic de cette cible, était-elle, forcément humaine ? Si la cible est par exemple un réseau social ou un type de comptes mails (Yahoo Mail, Gmail,…), ou encore un protocole (IRC, SIP, Jabber…), on peut très vite franchir une ligne rouge.

D’autant que le document de Qosmos précise qu’il est possible de définir comme cible… des plages d’adresses entières. Et pas seulement des plages de 254 adresses IP…  Le document évoque des classes B, soit 65 534 IPs simultanées. Insérer une telle fonctionnalité (qui permet du massif) pour ne pas s’en servir semble pour le moins incongru.

Là, l'auteur fait l'hypothèse que la notion de cible a pu renvoyer à l'interception de tout le trafic en direction d'un gros fournisseur de service, par exemple Gmail, à l'échelle d'un ou plusieurs DSLAM (dont le trafic Gmail de milliers de personnes). Il rappelle à cet égard que, dans le paramétrage de ces outils, il était possible de scanner le trafic non pas d'un seul abonné (défini par son adresse IP), mais de dizaines de milliers d'abonnés simultanément.

Or, il y a un bout dans la loi renseignement dont on n'a pas assez parlé : dans le 6° de l'article L. 821-2 qui décrit ce que doivent contenir les demandes d'autorisation envoyées pour avis à la CNCTR pour toute mesure de surveillance, il est écrit que chaque demande doit préciser « la ou les personnes visées ».

Juste en dessous, il est précisé : « pour l'application du 6°, les personnes dont l'identité n'est pas connue peuvent être désignées par leurs identifiants ». La manière dont on lit ça d'habitude, en mode naïf, c'est que les services ont obtenu d'une manière ou d'une autre soit nom et prénom, soit une adresse IP. Sur cette base, ils obtiennent ensuite une autorisation d'interception correspondant à cet abonné, puis vont poser une « bretelle » pour intercepter son trafic dans le DSLAM le plus proche de son point d'accès. Et effectivement, cela peut correspondre à plusieurs personnes, puisque dans le cas d'une entreprise, d'une association, ou tout simplement d'un foyer, plusieurs personnes utilisent le même abonnement. D'où cette idée qu'une demande de surveillance ciblée puisse viser plusieurs personnes. Circulez il n'y a rien à voir.

Vraiment ?

Une autre lecture est possible. Selon cette lecture, dans les autorisations, la ou les cibles peuvent être désignées par un ou plusieurs « identifiants » – en pratique des métadonnées traitées soit par les FAI – par exemple une adresse IP ou une adresse MAC –, soit par les fournisseurs de service – des protocoles spécifiques, voire une adresse mail, un pseudo, un mot de passe, etc. Ces identifiants sont autant de « sélecteurs » permettant de viser non pas des personnes véritablement, mais des patterns de communication dignes d'intérêt pour les services. En renvoyant à des identifiants plutôt qu'à des abonnés, la loi permet d'élargir la logique exploratoire des boîtes noires aux interceptions, et d'ainsi contourner la limitation de la disposition « boîtes noires » à la lutte antiterroriste.

En résumé, avec cette lecture, qui abolit la distinction métadonnées du FAI / métadonnées des hébergeurs, autorise le recours au DPI :

Bref, cette lecture permet d'expliquer beaucoup de choses qui restaient un peu floues, même si bien des questions demeurent sur l'interprétation précise des dispositions (par exemple, quelle est la jurisprudence de la CNCTR concernant la nature ou le nombre maximal de cibles pouvant être désignées dans une autorisation ? Pour les interceptions de sécurité « exploratoires », une seule autorisation suffit-elle pour rechercher ces sélecteurs dans l'ensemble des sondes ou faut-il une autorisation par DSLAM/opérateur/… ?).

Ce qui est sûr, c'est que lu à cette lumière, le droit français contredit l'esprit de la jurisprudence de la Cour européenne des droits de l'Homme. Cette dernière indique en effet dans une affaire récente (affaire Zakharov) que « le contenu du mandat d’interception doit désigner clairement la personne précise à placer sous surveillance ou l’unique ensemble de locaux (lieux) visé par l’interception autorisée par le mandat » (§264). Elle ajoute en outre que le contrôle des autorisations « doit être à même de vérifier l’existence d’un soupçon raisonnable à l’égard de la personne concernée, en particulier de rechercher s’il existe des indices permettant de la soupçonner de projeter, de commettre ou d’avoir commis des actes délictueux ou d’autres actes susceptibles de donner lieu à des mesures de surveillance secrète, comme par exemple des actes mettant en péril la sécurité nationale » (§260).

3. Illustrations : hypothèses sur le fonctionnement du couple droit/technique

À partir de tous ces développements, j'essaie dans cette partie d'illustrer les conséquences techniques et opérationnelles de cette interprétation du droit, en tâchant de garder à l'esprit la contrainte que représente l'augmentation du trafic chiffré ces dernières années, puisqu'il tend à masquer un grand nombre de métadonnées très signifiantes pour les services (notamment celles des grandes plateformes).

3.1 Scénario hors lutte antiterroriste

Les services envoient leur demande d'autorisation au premier ministre, qui saisit la CNCTR pour avis. Ils indiquent en substance que les perquisitions effectuées sur le matériel informatique d'un individu condamné pour violence volontaire contre les forces de l'ordre lors des manifestations contre la loi Travail montrent qu'il a communiqué avec X via Signal. « On suspecte X de prendre part à un groupe de black bloc et on a de fortes raisons de penser qu'il est situé dans une zone géographique proche d'un de ces 20 DSLAM, qui correspondent à la ville dans laquelle le groupe en question se réunit. »

En réponse à cette demande d'autorisation, la CNCTR délivre vingt autorisations d'interceptions de sécurité « exploratoires », soit une par DSLAM sur la zone considérée, sachant que chaque sonde peut être paramétrée pour surveiller des milliers d'IP. Grâce aux sondes installées dans ces DSLAM, les services cherchent des adresses IP ayant pour caractéristiques d'utiliser fréquemment les protocoles Signal et Tor et de consulter plusieurs serveurs caractéristiques des milieux visés. Ils identifient ainsi rapidement trois adresses IP suspectes.

Une autorisation de la CNCTR permet de procéder à l'identification des abonnés correspondant à ces 3 adresses IP (accès administratif aux données de connexion du FAI qui a atttribué les IP en question). Elles relèvent toutes les trois du même abonné (IP dynamique). Le suspect est identifié comme Camille George, habitant au 3 rue de la Libération à Nantes. Après avoir envisagé d'aller sonoriser l'appartement du suspect – pratique légalisée par la loi renseignement –,  les services préfèrent procéder à une nouvelle interception. Cette fois, on connaît précisément la cible, et ce n'est plus une surveillance exploratoire mais une interception détaillée de ses communications téléphoniques et Internet. Deux autorisations d'interceptions sont délivrées par la CNCTR pour quatre mois renouvelables.

3.2 Scénario lutte antiterroriste

Les services ont arrêté deux individus suspectés de projeter un attentat dans un quartier de Marseille. Ils ont saisi leur matériel informatique et ont récupéré des pseudos des contacts Facebook avec lesquels ils ont échangé des messages instantanés. Ils ont des raisons de penser que certains de ces individus leur ont apporté un soutien en France, tandis que d'autres sont en Syrie et ont rejoint l'EI. Ces communications Facebook passent toutes par des serveurs de l'entreprise situés hors du territoire national, et entrent donc dans le champ des communications transfrontalières visées dans les dispositions sur la surveillance internationale (lesquelles permettent à la DGSE d'intercepter largement le trafic IP transfrontalier et d'exploiter tant les métadonnées que le contenu des messages, le cas échéant après l'avoir déchiffré).

Déjà autorisée à surveiller toutes les communications des personnes situées en Syrie en direction des serveurs de Facebook aux fins de lutte contre le terrorisme, la DGSE met immédiatement en place une surveillance exploratoire visant à repérer les communications stockées et déchiffrées impliquant ces identifiants, pour tenter de repérer toutes les communications mentionnant ces pseudos, ainsi que toutes les autres métadonnées associées à ces paquets IP (adresses mails, compte Twitter, etc.). Grâce aux outils Big Data mettant en rapport ces différents sélecteurs, la DGSE dresse rapidement le graphe social de ces personnes.

Cela confirme que plusieurs de ces identifiants correspondent à des personnes situées en Syrie. Grâce au trafic intercepté et déchiffré, la direction technique de la DGSE est capable de faire ressortir le contenu de plusieurs messages Facebook échangés par ces personnes avec leurs correspondants. Ces messages laissent notamment appraître un identifiant utilisé sur un forum prisé des milieux terroristes, mais aussi les noms et prénoms de quatre personnes résidant en France.

Pour ces résidents français, c'est la DGSI qui prend le relais. Après l'envoi de requêtes aux principaux FAI français, on dispose désormais des noms, prénoms et adresses de ces quatre abonnés suspects. L'IP d'une de ces personnes a déjà été repérée à plusieurs reprises comme ayant voulu se connecter à des sites censurés par l'OCLTIC3 (le blocage du site permet en effet de rediriger l'ensemble des requêtes de consultation vers un serveur du ministère de l'Intérieur, et donc de relever des IPs suspectes). Pour cette IP là, la DGSI demande au Ministre qui sollicite l'avis de la CNCTR pour pouvoir passer directement à une interception détaillée de ses communications téléphoniques et Internet.  Accordé.

Pour les trois autres abonnés, on passe alors à une surveillance en temps réel du trafic Internet et téléphonique des abonnés. En quatre mois, une seule de ces IP laisse apparaîre des identifiants caractéristiques des milieux terroristes, notamment le protocole du service de messagerie Whatsapp combiné à des IP de serveurs dont on sait qu'ils hébergent des sites faisant l'apologie du terrorisme.

La DGSI veut se concentrer sur les communications Whatsapp de cet abonné. Grâce à une nouvelle autorisation « boîtes noires » (L. 851-3), les sondes à travers le territoire sont paramétrées pour retrouver d'autres paquets contenant le « protocole Whatsapp » de même taille que ceux émis par la cible, et ainsi les corréler rentre eux. On arrive ainsi à repérer certaines des IP correspondant à 12 résidents français avec qui la cible communique via Whatsapp, dont l'un d'entre eux est fiché S. La DGSI demande une interception ciblée du trafic Internet et téléphonique de ce dernier, qui ne fait plus l'objet d'une surveillance active depuis plusieurs mois.

Les 11 autres personnes sont mises sous surveillance en temps réel pendant quatre mois (la loi autorisant la surveillance des n+2 depuis juillet 2016, la CNCTR n'a plus de bonne raison de s'opposer à cette surveillance). Une seule de ces 11 lignes laisse apparaître des communications « suspectes ». Pour l'abonné en question, une interception ciblée est pratiquée. Pour les 10 lignes restantes, la DGSI ne renouvelle pas les autorisations et arrête donc la surveillance, mais conserve à toutes fins utiles les métadonnées récoltées pendant trois ans, tel que la loi l'autorise, dans les bases de données moulinées par les algorithmes de Palantir (le prestataire Big Data de la DGSI depuis fin 2016, notamment pour faire sens des masses de données issues des perquisitions réalisées dans le cadre de l'état d'urgence).

Conclusion

Cette interprétation du droit montre que les boîtes noires soi-disant opérationnelles depuis un mois ne sont pas sorties d'un chapeau. De fait, le renseignement français expérimente depuis des années les logiques de surveillance exploratoires, sondant en profondeur le trafic pour repérer des métadonnées suspectes, et s'est même taillé des règles juridiques sur mesure pour s'y adonner « légalement » sans trop éveiller l'attention.

Au plan juridique, cette analyse permet de comprendre pourquoi le contournement de la jurisprudence de la CJUE sur les métadonnées – laquelle confirme que la surveillance des métadonnées constitue une ingérence différente mais qui n'est pas de moindre ampleur que celle induite par la surveillance du contenu des correspondances – constitue une véritable affaire d'État (Macron a été immédiatement sensibilisé au dossier une fois arrivé au pouvoir, et le Conseil d'État en 2014 allait jusqu'à conseiller d'adopter un protocole interprétatif à la Charte des droits fondamentaux pour contourner cette jurisprudence de la juridiction suprême de l'UE). La CJUE s'oppose également au fait de surveiller  – même « passivement » – les communications de personnes sans lien avec une infraction. Là encore, cela s'oppose aux logiques décrites ci-dessus.

De même, au plan technique, on comprend mieux pourquoi le chiffrement déployé ces dernières années par les gros fournisseurs de services pose tant de problème au renseignement, et pourquoi après chaque attentat, le droit au chiffrement est mis en cause –  avec en ligne de mire, notamment l'objectif de forcer ces plateformes (Google, Facebook, Twitter et compagnie) à ajuster leurs pratiques en la matière pour ne pas gêner ces formes de surveillance exploratoire (par exemple en s'assurant que les métadonnées qu'ils traitent restent en clair ?).

Bien sûr, compte tenu du secret et des informations parcellaires dont nous disposons, les déductions proposées ici doivent être prises avec des pincettes, et surtout discutées, corrigées, affinées. En pratique, ces systèmes ne sont peut être pas au point pour fonctionner en « grandeur nature » sur un réseau décentralisé comme le réseau IP français, avec désormais plus de la moitié du trafic chiffré, mais qu'en sera-t-il à l'avenir ?

Cela montre en tout cas l'urgente nécessité de faire la transparence sur la nature des outils utilisés par les services de renseignement en matière de surveillance, mais aussi sur l'interprétation que font les services et les autorités de contrôle du droit existant.


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles