Bien décidé à renforcer le contrôle d’Internet, le gouvernement britannique souhaite s’attaquer à la cyberdélinquance. Problème, son coût est difficile à évaluer, et les quelques études sur le sujet laissent perplexes face aux résultats. La dernière en date, réalisée par le cabinet Detica, l’estimait à environ 33,5 milliards d’euros par an. Ce coût se répartit comme suit : 3,75 milliards pour les particuliers, autant pour l’État, et 26 milliards pour les entreprises.

Pour y voir plus clair, le ministère de la Défense à mandaté le professeur Ross Anderson, expert en sécurité informatique, assisté de sept autres spécialistes universitaires. Ils avaient pour mission de chiffrer le coût réel des délits commis sur le net, un travail dont ils ont présenté les résultats sous forme d’un rapport d’une trentaine de pages.

Dans le billet publié pour annoncer cette étude, Anderson entend “démystifier” la cyberdélinquance. Concernant les fraudes traditionnelles par exemple, les experts soulignent que des fraudes “traditionnelles” -comme le resquillage aux impôts ou aux aides sociales- s’effectuent de plus en plus par le biais de l’informatique. Il s’agit là de sommes considérables, mais les dépenses consenties pour s’en prémunir reste raisonnables pour les citoyens.

Lorsqu’il concerne les autres types de fraude en ligne, le bilan s’inverse. Avec le phishing, le spam ou les malwares, spécifiques à Internet, le coût direct est relativement faible. Bien inférieur en tout cas aux dépenses indirectes et de défense. Celles-ci incluent la sécurisation des réseaux et des ordinateurs, à grand renfort d’antivirus et de mesures de prévention des risques. Le chercheur regrette les investissements massifs dans ces dispositifs onéreux, menés en parallèle des politiques de surveillance de la population. Son conseil : donner à la police les moyens de s’attaquer directement aux délinquants qui sévissent sur le Net.

Riposte

Ce rapport intervient alors qu’outre-Manche, un projet de loi pour surveiller Internet est à l’étude. Ce que soulignait Owni début avril  :

L’idée est de mettre en pratique le rêve de toute agence de renseignement qui se respecte : un dispositif de surveillance généralisée et permanente de l’ensemble des communications électroniques et téléphoniques d’une population.

Cette initiative s’inscrit dans la continuité des politiques menées par nos voisins britanniques. En 2011, un plan d’investissement pour la cybersécurité a été lancé. Ce sont 810 millions d’euros qui sont alloués jusqu’en 2015, avec l’objectif afficher de “protéger et promouvoir le Royaume-Uni au sein du monde numérique.” Cette somme a été divisée comme suit :

Selon les chercheurs, cette répartition s’avère peu judicieuse. Favoriser le Government Communications Headquarters (GCHQ), l’une des trois agences de renseignement britannique au détriment de la police ne devrait permettre aucune avancée significative dans la lutte contre la cyberdélinquance.

Le nombre de pirates informatiques, de sites de phishing ou de malwares est sans cesse surévalué. Cela conduit certains services de police à croire que le problème est trop vaste et diffus pour s’y attaquer. En fait, seules quelques bandes sont à l’origine de la majorité des incidents. Une réponse de la police serait bien plus efficace que d’inciter le public à s’équiper de barres d’outils anti-phishing ou de logiciels antivirus.

Une riposte plus ciblée, voilà la solution avancée par le groupe d’universitaires. De l’autre côté de l’Atlantique par exemple, le gouvernement américain a pris des résolutions drastiques. En faisant pression sur les organismes bancaires, il avait fait interdire les dons d’argent à WikiLeaks.

Pour conclure son billet de présentation, Anderson privilégie une action à la source et préconise d’éviter la surenchère dans les dispositifs de prévention.

Plutôt que d’augmenter le budget du GCHQ alloué à la cybersécurité, le gouvernement devrait améliorer les moyens de lutte et d’expertise de la police face à la cyberdélinquence. Cela doit aussi s’accompagner mesures plus strictes pour la protection des internautes.

Ce constat ne fait bien sûr pas les affaires des éditeurs de logiciels spécialisés dans la sécurité. D’ordinaire, les données concernant la cyberdélinquance sont communiquées par les entreprises privées du secteur, à l’instar de Symantec, qui édite l’antivirus Norton. Comme on peut le constater sur la capture d’écran ci-dessous, les chiffres avancés semblent démesurés, pour ne pas dire fantaisistes.

Contradiction

Le renforcement de la sécurité sur Internet est un véritable enjeu pour nos voisins anglais, comme le rappelle l’équipe de chercheurs :

Le Royaume-Uni se place au second rang des pays qui enregistrent le plus de pertes causées par le phishing et le pharming (attaque via les serveurs DNS NDLR). Il est aussi le plus touché par les fraudes à la carte bancaire, qui touche 5% des internautes britanniques.

Au regard de ces chiffres, la lutte contre la cyberdélinquance a de beaux jours devant elle. Quand déjouer les actions menées par de petits groupes de pirates semble envisageables, réguler les agissements des états paraît bien plus hypothétique.

Internet est désormais utilisé dans le cadre de certains conflits. Pour freiner la course vers l’énergie atomique entamée par l’Iran, les États-Unis n’ont par exemple pas hésité à s’en prendre aux systèmes informatiques chargés de la gestion des programmes d’enrichissement d’uranium.

Barack Obama poursuit en ce sens la politique menée par son prédécesseur Georges W. Bush, ce qui n’est pas sans inquiéter outre-Atlantique.  La directrice executive du Bulletin of the Atomic Scientists faisait part il y a peu de ses craintes. Kennette Benedict redoute que les armes informatiques deviennent les armes nucléaires du 21e siècle.

Nous avons pris conscience peu à peu du danger que pouvaient faire peser les armes nucléaires sur nos sociétés et notre civilisation, mais nous n’avons pas encore compris comment des cyberguerres pourraient détruire notre mode de vie. Nous savons pourtant que les États-Unis ont beaucoup à perdre de ces attaques. A bien y regarder, ils sont hautement dépendants de l’information et des technologies de communications, et ce, dans tous les secteurs de la société. C’est pourquoi nous avons besoin d’engager un vaste débat public sur cette nouvelle classe d’armes.

A mesure qu’il lutteront face à la cyberdélinquance, les gouvernements devront prendre des précautions. De victime à coupable, il n’y a parfois qu’un clic.

Depuis le début du mois d’avril, des milliers d’emails de dirigeants du parti Ennahdha, au pouvoir en Tunisie, sont piratés et diffusés par les Anonymous. Hier, une nouvelle vague de fuites contenait des documents potentiellement embarrassants pour les dirigeants d’Ennahdha. Ces courriels proviennent du ministre de la l’Agriculture, Mohamed ben Salem.

On peut y lire en particulier un procès-verbal du bureau exécutif d’Ennahdha daté du 19 mars dernier (en arabe). Le document indique que les membres du bureau ont évoqué l’idée d’une opération de déstabilisation contre les institutions internationales qui participent au soutien financier de la Tunisie – soit le FMI, l’Union européenne et la BCE – avant de se rétracter.

Lors de cette même réunion, il a également été question de trouver des solutions pour intégrer des éléments de charia dans le droit tunisien. Même si publiquement le parti Ennahdha revendique la culture musulmane mais se défend de vouloir faire appliquer la charia.

Cette découverte en accompagne des dizaines d’autres. Jusqu’ici, 3 500 documents appartenant notamment au Premier ministre Hamadi Jebali ont été mis en ligne sur des serveurs des Anonymous. Dans ces listes de courriels, il est aussi question de fraudes électorales, de censure ou d’opérations financières.

Ennahdha, majoritaire à l’assemblée constituante, et le gouvernement démentent mordicus la véracité d’une partie des documents. De son coté Anonymous, assure de leur authenticité et promet de nouvelles révélations sur les coulisses du pouvoir de ces deux dernières années.

En octobre 2011, neuf mois après le départ de Ben Ali, qui profite désormais de sa retraite de dictateur dans une salle de sport en Arabie Saoudite, les premières élections libres ont eu lieu en Tunisie. Celles-ci ont pour but la création d’une Assemblée constituante qui devra rédiger la prochaine loi fondamentale du pays. Après décompte, les membres du parti islamiste Ennahdha  sortent très largement vainqueurs du scrutin et raflent 89 sièges sur les 217 que compte la nouvelle Assemblée.

WikiLeaks rend public aujourd’hui près de 1 100 documents internes, plaquettes commerciales et modes d’emploi des produits commercialisés par les industriels des systèmes de surveillance et d’interception des télécommunications.

Ces nouvelles fuites montrent un marché de la surveillance de masse représentant désormais cinq milliards de dollars, avec des technologies capables d’espionner la totalité des flux Internet et téléphoniques à l’échelle d’une nation. Les fleurons de ce marché s’appellent Nokia-Siemens, Qosmos, Nice, Verint, Hacking Team, Bluecoat ou Amesys. Les documents détaillant leurs capacités d’interception, contenant une multitude de détails technologiques, seront progressivement mis en ligne par WikiLeaks.

OWNI, partenaire de cette opération baptisée SpyFiles avec Privacy International et The Bureau of Investigative Journalism, deux ONG britanniques, ainsi que le Washington Post, The Hindu, L’Espresso, la chaîne allemande ARD, a tenté de visualiser cette industrie d’un genre nouveau, en créant une cartographie interactive sur un site dédié, SpyFiles.org. Et Andy Mueller-Maguhn, ancien porte-parole du Chaos Computer Club allemand (le plus influent des groupes de hackers au monde), également associé à cette enquête, y consacre un site, BuggedPlanet.info – traduisez “planète sur écoute”.

Marchand d’armes de surveillance

À ce jour, nous avons répertorié 124 de ces marchands d’armes de surveillance, utilisant des technologies d’interception, dont 32 aux États-Unis, 17 au Royaume-Uni, 15 en Allemagne, dix en Israël, huit en France et sept en Italie… À l’instar des marchands d’armes “traditionnels“, la majeure partie d’entre eux sont situés dans des pays riches, et démocratiques. 12 des 26 pays recensés font ainsi partie de l’Union européenne qui, au total, totalise 62 de ces entreprises.

87 vendent des outils, systèmes et logiciels de surveillance de l’Internet, 62 de surveillance du téléphone, 20 des SMS, 23 font de la reconnaissance vocale, et 14 de la géolocalisation GPS. Sept d’entre elles font également dans la “lutte informatique offensive“, et commercialisent donc des chevaux de Troie,rootkits et autres backdoors (portes dérobées) permettant de prendre le contrôle d’ordinateurs, à distance, et à l’insu de leurs utilisateurs. Ces systèmes espions ont ceci de particulier par rapport à ceux utilisés par les pirates informatiques qu’ils ne seraient pas repérés par la “majeure partie” des éditeurs d’antivirus et autres solutions de sécurité informatique.

Dans nos démocraties, la commercialisation, et l’utilisation, de ces systèmes de surveillance et d’interception des télécommunications est strictement encadrée. Mais rien n’interdit, en revanche, de les vendre à des pays moins regardants, même et y compris à des dictatures : bien que conçus à des fins d’espionnage, ils ne font pas partie de ces armes dont l’exportation est encadrée par les lois nationales, européennes ou internationales. Ce n’est donc peut-être pas moral, mais tout à fait légal, en l’état.

Et les marchands d’armes se font fort d’exploiter ce vide juridique, comme le reconnaissait récemment Jerry Lucas, l’organisateur d’ISS, le salon international qui rassemble tous les deux ou trois mois les professionnels de l’interception des communications :

Les systèmes de surveillance que nous exposons dans nos conférences sont disponibles dans le monde entier. Certains pays les utilisent-ils pour supprimer certaines déclarations politiques ? Oui, probablement. Mais ce n’est pas mon job de faire le tri entre les bons et les mauvais pays. Ce n’est pas notre métier, nous ne sommes pas des hommes politiques.

Notre business est de mettre en relation ceux qui veulent acheter ces technologies avec ceux qui les vendent. Vous pouvez bien vendre des voitures aux rebelles libyens, et ces voitures sont utilisées comme armes. General Motors et Nissan devraient-ils se demander comment leurs véhicules seront utilisés ? Pourquoi n’allez-vous pas également interroger les vendeurs de voiture ? C’est un marché ouvert. Vous ne pouvez pas enrayer la circulation de matériels de surveillance.

Interrogé par le Wall Street Journal, Klaus Mochalski, co-fondateur d’Ipoque, une société leader dans ce secteur, répondait de son côté que “c’est un dilemme, moral et éthique, auquel nous sommes constamment confrontés : c’est comme un couteau. Vous pouvez vous en servir pour trancher des légumes, mais vous pouvez également tuer votre voisin“… à ceci près que ces outils ne sont pas en vente libre dans n’importe quel magasin, et que les sociétés qui les commercialisent n’en font pas la promotion dans des foires commerciales ou marchés du coin, mais uniquement dans les salons réunissant marchands d’armes, et clients habilités à en acheter.

Silence radio

ISS interdit ainsi aux journalistes d’assister à ses conférences, et même d’entrer dans son salon. Et il était étonnant de constater, à visiter les nombreux stands spécialisés dans les technologies de surveillance présents au récent salon Milipol, qui s’est tenu à Paris en octobre dernier, que les représentants de ces derniers étaient bien plus frileux que les marchands d’armes traditionnels pour ce qui est de répondre aux questions des journalistes…

Contactée par OWNI, Amesys, la société française qui a vendu un système d’interception massive de l’Internet à la Libye de Kadhafi, se défausse ainsi auprès de son “client” :

Amesys est un industriel, fabricant de matériel. L’utilisation du matériel vendu (sic) est assurée exclusivement par ses clients.

A contrario, Thibaut Bechetoille, le PDG de Qosmos, une autre société française qui, à l’instar d’Ipoque, équipait ce même Big Brother libyen, et qui équipe également celui utilisé, actuellement, par les Syriens, a piteusement expliqué à l’agence Bloomberg que son conseil d’administration avait bien décidé de cesser ses activités en Syrie, mais que c’était “techniquement et contractuellement” compliqué…

A ce jour, quatre autres entreprises occidentales ont été identifiées comme prestataires de services des “grandes oreilles” syriennes : Area, une entreprise italienne qui a dépêché, en urgence, des équipes afin d’aider les services de renseignements syriens à identifier les (cyber) dissidents, Utimaco, filiale allemande de l’éditeur d’antivirus britannique Sophos – qui n’était pas au courant qu’Area utilisait ces systèmes en Syrie -, l’allemand Nokia Siemens, dont les équipements de surveillance de l’Internet auraient été transmis à la Syrie par son voisin iranien, et Bluecoat, une société américaine auquel le site reflets.info a consacré de nombreux articles.

On savait, depuis quelques années, que ces armes de surveillance étaient utilisées en Chine ou en Iran notamment, mais il a fallu attendre le printemps arabe, et les traces ou preuves laissées par ces marchands de surveillance (essentiellement occidentaux) en Tunisie, en Egypte, en Libye, à Bahrein ou en Syrie, pour en prendre toute la mesure.

La quasi-totalité de ces marchands d’armes de surveillance se targuent certes d’oeuvrer en matière de “lawful interception” (interceptions légales en français) et se vantent de travailler avec des ministères de la défense, de l’intérieur ou des services de renseignement. L’allemand Elaman, lui, va jusqu’à écrire, noir sur blanc, que cela permet aussi d’identifier les “opposants politiques” :

En matière de télécommunications, la notion de “rétention des données” porte généralement sur le stockage de toute information (numéros, date, heure, position, etc.) en matière de trafic téléphonique ou Internet. Les données stockées sont généralement les appels téléphoniques émis ou reçus, les e-mails envoyés ou reçus, les sites web visités et les données de géolocalisation.

Le premier objectif de la rétention des données est l’analyse de trafic et la surveillance de masse. En analysant les données, les gouvernements peuvent identifier la position d’un individu, de ses relations et des membres d’un groupe, tels que des opposants politiques.

Initialement développés afin de permettre aux services de renseignements d’espionner en toute illégalité, ces systèmes, outils, logiciels et autres “gadgets” conçus pour écouter, surveiller, espionner, traçabiliser ou géolocaliser quelqu’un “à l’insu de son plein gré“, sont aujourd’hui devenus un véritable marché. Interrogé par le WSJ, Jerry Lucas, l’organisateur d’ISS, expliquait ainsi que, parti de quasiment zéro en 2001, il avoisinerait aujourd’hui les 5 milliards de dollars de chiffre d’affaires, par an.

Les Spy Files sont publiés par WikiLeaks à cette adresse.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Ils sont poètes, journalistes, écrivains, historiens, intellectuels, et ont entre 50 et 70 ans. La plupart occupait un rôle clé dans les réseaux de l’opposition libyenne. Récemment, sept d’entre-eux vivaient encore en exil : quatre au Royaume-Uni, deux aux Etats-Unis, un à Helsinki. L’un d’entre-eux a été désigné, en août dernier, ambassadeur de Libye à Londres. Un autre faisait partie des 15 membres fondateurs du Conseil national de transition (CNT), créé en mars 2011 pour coordonner le combat des insurgés. Il a depuis été nommé ministre de la culture.

Tandis qu’elles résidaient en Grande-Bretagne ou aux États-Unis, les correspondances électroniques de ces personnalités ont toutes été espionnées par les systèmes de surveillance d’Amesys, un marchand d’armes de guerre électronique français intégré au groupe Bull.

Ainsi qu’OWNI l’a découvert en travaillant en partenariat avec l’organisation Wikileaks, qui dévoile ce jeudi près de 1 100 documents provenant des industriels de la surveillance massive et de l’interception des télécommunications auxquels la société Amesys appartient. Ces nouvelles fuites montrent un marché de la surveillance de masse apparu en 2001 et représentant désormais 5 milliards de dollars, avec des technologies capables d’espionner la totalité des flux internet et téléphoniques à l’échelle d’une nation. Ces matériels, pour l’essentiel, sont développés dans des démocraties occidentales et vendues un peu partout, notamment à des dictatures comme on a pu le découvrir à l’occasion du printemps arabe. Contactés dans le cadre de cette enquête, les responsables de la société Amesys nous ont adressé la réponse suivante :

Amesys est un industriel, fabricant de matériel. L’utilisation du matériel vendue (sic) est assurée exclusivement par ses clients. Amesys n’a donc jamais eu accès à l’exploitation faite du matériel vendu en Libye.

Cependant, les pseudos ou adresses e-mails de ces opposants libyens, ainsi que ceux de deux fonctionnaires américains et d’un avocat britannique, apparaissent nommément dans le mode d’emploi du système Eagle de “surveillance massive” de l’Internet, “à l’échelle d’une nation“, rédigé en mars 2009 par des employés d’Amesys.

OWNI avait révélé en juin dernier que ce système de surveillance de toutes les communications internet (mail, chat, sites visités, requêtes sur les moteurs de recherche…), avait été vendu à la Libye de Kadhafi, ce que le Wall Street Journal et la BBC avaient confirmé cet été, mais sans que l’on puisse alors en évaluer les conséquences.

La page 52 du manuel visait initialement à expliquer aux utilisateurs d’Eagle qu’on ne peut pas cartographier les relations de plus de 80 “suspects“. La capture d’écran associée, une fois désanonymisée, révèle ainsi une quarantaine de pseudonymes, adresses e-mail et numéros de téléphone ; la barre de défilement, à droite, laissant penser que le document d’origine en comportait au moins deux fois plus :

Nous avons mis plus de deux mois à identifier à qui correspondaient ces adresses e-mails et pseudonymes, et pour contacter leur propriétaire. Et, de fait, Annakoa, l’homme au plus de 80 contacts qui dépasse donc le nombre de “suspects” que peut traiter le logiciel Eagle, avait beaucoup de relations. Et pas n’importe qui.

Ici Londres

Annakoa est le pseudonyme de Mahmoud al-Nakoua, un intellectuel, journaliste et écrivain libyen de 74 ans, co-fondateur du Front national pour le salut de la Libye (NFSL), le mouvement d’opposition libyen le plus important, après celui des Frères musulmans. Considéré comme l’un des “pères fondateurs” de l’opposition libyenne en exil, il vivait en Grande-Bretagne depuis 32 ans, au moment où il était espionné par les systèmes d’Amesys. Il a depuis été nommé, en août dernier, ambassadeur de la Libye à Londres par le CNT.

Présent également dans cette liste de personnes surveillées, Atia Lawgali, 60 ans, fait partie des 15 membres fondateurs du comité exécutif du CNT, qui l’a depuis nommé ministre de la culture.

Également sous la surveillance des appareils d’Amesys, Aly Ramadan Abuzaakouk, 64 ans, qui anime une ONG de défense des droits de l’homme, libyaforum.org, basée à Washington, où il vivait en exil depuis 1977, a reçu 269 000 dollars du National Endowment for Democracy (NED), une ONG financée par le Congrès américain afin de soutenir ceux qui luttent pour la démocratie, qui le qualifie de “figure de proue du mouvement pro-démocrate libyen“.

Placé, en 1981, sur la liste des personnes à “liquider” par les nervis de Kadhafi, Abdul Majid Biuk avait lui aussi trouvé asile politique aux États-Unis, où il est aujourd’hui principal d’une école islamique. L’ONG qu’il avait créée, Transparency-Libya.com, a de son côté reçu 269 000 dollars du NED.

Lui aussi suivi à la trace par la technologie vendue à Kadhafi, Ashour Al Shamis, 64 ans, vivait en exil en Grande-Bretagne, d’où il animait Akhbar-libya.com, un site d’information anglo-arabe qui lui aussi par le NED, à hauteur de 360 000 dollars.

Sabotages et espionnages électroniques

Akhbar-Libya.com, tout comme Transparency-Libya.com, n’existent plus : les opposants libyens en exil ont ceci en commun qu’une bonne partie de leurs boîtes aux lettres électroniques ont été piratés, et que leurs sites ont tous été “détruits“, plusieurs fois, par des pirates informatiques à la solde de la dictature libyenne. Et c’est aussi pour “restaurer et sécuriser (leur) site web contre les attaques virtuelles destinées à les détruire” que le NED les avait financés.

Après s’être attaqué à leurs sites, et piraté leurs boîtes aux lettres e-mails, les services de renseignement de Kadhafi décidèrent d’aller encore un peu plus loin, en achetant à Amesys son système de surveillance de l’Internet, afin de savoir avec qui ils correspondaient. Ce pour quoi deux employées du NED apparaissent dans la liste des adresses e-mails ciblées : Hamida Shadi, en charge des subventions concernant la Libye, et Raja El Habti, qui était alors l’une des responsables du programme Moyen Orient & Afrique du Nord.

Désireux d’engager des poursuites contre les premiers piratages, Shamis était de son côté entré en contact avec Jeffrey Smele, un avocat britannique spécialiste de l’Internet et du droit des médias. Smele est aussi l’avocat du Bureau of Investigative Journalism (BIJ), une ONG britannique de journalisme d’investigation avec qui nous avons travaillé sur ces dernières fuites de WikiLeaks. Et c’est peu dire que nos confrères ont découvert avec stupeur que Jeffrey Smele figurait en deuxième position sur la liste verte des personnes surveillées pour avoir cherché à défendre Shamis contre les piratages libyens.

Les anglo-saxons ne sont pas les seuls à avoir pâti de cette surveillance électronique. Et plusieurs des Libyens, vivant en Libye et proprement identifiés dans la “liste verte“, ont été directement menacés du fait de leurs communications Internet :

Yunus Fannush, dont le frère fut pendu par Kadhafi, avait ainsi été personnellement convoqué par Moussa Koussa, l’ancien patron des services secrets libyens. Ce dernier lui montra plusieurs e-mails échangés avec des opposants à l’étranger, ainsi que la liste des pseudos qu’il utilisait pour écrire des articles publiés à l’étranger.

Ahmed Fitouri, un journaliste qui avait passé 10 ans dans les geôles libyennes, pour avoir fait partie du parti communiste, fut quant à lui arrêté par les autorités alors qu’il devait rencontrer une personne avec qui il n’était en contact que par e-mail.

Mohamed Zahi Bashir Al Mogherbi, qui avait fait ses études aux États-Unis, et qui dirigeait le département de sciences politiques de l’université de Benghazi, avait de son côté demandé à ses amis en exil de cesser tout contact Internet avec lui après avoir, lui aussi, été menacé par les autorités.

Ramadan Jarbou, écrivain, chercheur et journaliste installé à Benghazi, a eu plus de chance. Comme il l’avait raconté l’été dernier à Libération, il a “profité au maximum” de sa relation privilégiée avec l’un des fils de Kadhafi, qui l’avait approché pour faire partie de son équipe de réformateurs, pour feinter le régime et “écrire des articles sous pseudonyme publiés sur des sites de l’opposition en exil“, ceux-là même que finançaient le NED sans que, apparemment, il n’ait été inquiété.

Un système anti-WikiLeaks

Dans le communiqué de presse qu’Amesys avait publié début septembre, la filiale de Bull avait écrit que son système, installé en 2008, s’était contenté d’analyser “une fraction des connexions internet existantes” en Libye, et avait tenu à rappeler que :

Toutes les activités d’Amesys respectent strictement les exigences légales et réglementaires des conventions internationales, européennes et françaises.

En l’espèce, le manuel d’Eagle apporte la preuve qu’Amesys a, sinon violé les “exigences légales et réglementaires des conventions internationales, européennes et françaises“, en tout cas espionné des figures de l’opposition libyenne vivant, notamment, au Royaume-Uni et aux États-Unis, un avocat britannique et deux salariées d’une ONG financée par le Congrès américain… On est donc bien loin de l’analyse d’”une fraction des connexions internet existantes” en Libye.

En mars 2011, Amesys était par ailleurs fière d’annoncer le lancement de BullWatch, un “système anti-WikiLeaks unique au monde” de prévention des pertes de données destiné à “éviter la propagation non maîtrisée de documents sensibles“.

Pour le coup, Amesys n’a même pas été en mesure de protéger correctement ses propres informations sensibles. Dans le fichier interne à la société sur lequel nous avons travaillé, les références des personnes espionnées avaient été anonymisées, mais grossièrement. Pour parvenir à les faire émerger, nous n’avons pas eu besoin de recourir aux services de la crème des experts en matière de hacking. Il nous a suffit de cliquer sur les images “anonymisées” avec le bouton droit de sa souris, de copier lesdites images, puis de les coller dans un éditeur graphique… pour faire disparaître les caches apposées sur l’image. Ce que tout un chacun pourra vérifier en consultant le fichier (voir ci-dessous).

Amesys ne se contente pas de vendre à des dictatures ses appareils de surveillance tous azimuts d’Internet. En octobre dernier, OWNI racontait que cette entreprise très dynamique équipe aussi les institutions sécuritaires françaises. Les comptes-rendus des marchés publics montrent la vente d’au moins sept systèmes d’interception et d’analyse des communications. Mais ni Matignon, ni les ministères de la Défense et de l’Intérieur n’ont daigné répondre à nos questions.

La porte-parole de Bull est la fille de Gérard Longuet, ministre de la Défense qui, le 13 juillet 2001, a élevé Philippe Vannier, l’ex-PDG d’Amesys devenu celui de Bull, au grade de chevalier de la légion d’honneur“. Et cet été, le Fonds stratégique d’investissement (partiellement contrôlé par l’État) est arrivé au capital de la société.

Retrouvez notre dossier sur les Spy Files :

- La surveillance massive d’Internet révélée

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

La preuve : avec 514 813 demandes d’accès en 2009 aux données de trafic conservées par les opérateurs de téléphonie fixe ou mobile, et les fournisseurs d’accès à l’internet, contre 503 437 en 2008, la France est championne d’Europe! Elle occupe la première place pour ce qui est de l’exploitation des “logs“, également nommées “données de trafic“, ou “données de connexion“, encore plus intrusives que ne le sont les désormais célèbres “FaDet” (pour “factures détaillées“). Toutes ces demandes étant faites par des OPJ dans un cadre judiciaire.

Le Royaume-Uni arrive en seconde position, avec 470 222 demandes d’accès, loin devant la Lituanie (85 315), les Pays-Bas (85 000) ou encore l’Espagne (53 578), l’Allemagne n’en dénombrant de son côté “que” 12 684 (pour 81,5 millions d’habitants). Comme le soulignait ce matin Le Canard enchaîné, “en bonne logique, le territoire de nos voisins allemands devrait être livré à la terreur et à la dévastation“.

Ces chiffres de la Commission européenne, publiés en annexe du Rapport d’évaluation concernant la directive sur la conservation des données (.pdf), contrastent très fortement avec ceux dont on disposait jusqu’alors. Deux sources ont récemment livrés des estimations très inférieures :

• Le Figaro soulignait ainsi récemment que le nombre d’écoutes téléphoniques était passé de 5 845 en 2001 à 35 000 aujourd’hui, mais qu’il n’y aurait eu “que 500 interceptions sur Internet alors que le besoin en France est dix fois supérieur“.
• La Commission nationale de contrôle des interceptions de sécurité (CNCIS) qui, en 2008 et pour les seules enquêtes relatives à l’antiterrorisme, avaient recensé 34 911 d’accès aux “données techniques” en 2008, et 39 070 en 2009.

Conclusion logique: 93% des demandes d’accès concernent donc des enquêtes autres que terroristes.

De la lutte antiterroriste aux atteintes à la propriété intellectuelle

C’est pourtant le terrorisme qui est à l’origine de cette législation. Le dispositif a été introduit, en France, suite aux attentats du 11 septembre 2001, afin d’obliger les fournisseurs d’accès à internet (FAI) à garder la trace, pendant un an, de tout ce que font les internautes sur les réseaux.

Adoptée en 2006 en réaction aux attentats de Madrid et de Londres, la directive sur la conservation des données a quant à elle élargi le dispositif à “la recherche, la détection et la poursuite d’infractions pénales graves“, ainsi qu’aux opérateurs de téléphonie et non plus seulement d’internet, afin de les “contraindre à conserver les données relatives au trafic et les données de localisation pendant une durée comprise entre six mois et deux ans“. Sont concernées les données mentionnant :

La source, la destination, la date, l’heure, la durée et le type de communication, ainsi que le matériel de communication des utilisateurs et, dans le cas de la téléphonie mobile, des données relatives à la localisation de l’équipement.

Cette directive constitue “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche“, a récemment déclaré (.pdf) le contrôleur européen à la protection des données, qui dénonce cet espionnage généralisé de nos télécommunications. Une situation qui pourrait changer, nombreux étant ceux qui, en Europe, plaident pour une révision de la directive.

Le rapport de la Commission relève à ce titre que “la plupart des États membres qui ont transposé la directive autorisent, dans leur législation, l’accès aux données conservées et leur utilisation pour des finalités dépassant celles couvertes par la directive“. La France est ainsi le seul pays à préciser que la conservation des données vise tout à trac “la prévention d’actes de terrorisme et la protection de la propriété intellectuelle” :

Explication de la “limitation des finalités de la conservation des données dans le droit national”

A en croire le tableau comparatif de la Commission, la France est le seul pays à mentionner ainsi explicitement la “protection de la propriété intellectuelle“. Les autres évoquent successivement:

• “les missions des services de renseignement et de sécurité” (Belgique)
• de “lutte contre la corruption, de contre-espionnage et de renseignement militaires” (Pologne)
• les infractions “graves” (Chypre)
• “très graves” (Lituanie)
• “particulièrement graves” (Grèce)
• ou susceptibles d’une peine de prison d’au moins un (Luxembourg), deux (Hongrie) trois (Estonie) ou cinq ans (Irlande)
• ou encore la “sauvegarde de la sécurité de l’État et la préservation de la vie humaine” (Irlande)

La France est aussi le seul pays à avoir lancé la chasse aux “pirates” avec sa Hadopi…

Objectif : identifier les sources des journalistes

Dans sa réponse à la Commission européenne, la France précise que les autorités nationales autorisées à accéder aux données sont le parquet, ainsi que les officiers de police et les gendarmes désignés. Chaque demande d’accès doit être motivée, puis l’agent doit “demander l’autorisation de la personne du ministère de l’intérieur désignée par la Commission nationale de contrôle des interceptions de sécurité“. Au passage, Paris omet soigneusement de préciser que le fisc et le gendarme de la Bourse y accèdent eux aussi à l’envi, tout comme les douaniers et ce, sans aucun contrôle judiciaire.

C’est aussi grâce à ces FaDet que la Direction centrale du renseignement intérieur (DCRI), à qui il avait été demandé d’identifier les hauts-fonctionnaires soupçonnés d’informer la presse, a réussi à contourner la loi sur les écoutes téléphoniques, l’an passé, avant d’”outer” David Sénat, membre du cabinet de la Garde des Sceaux Michèle Alliot-Marie, ainsi que quelques agents du Quai d’Orsay magistrats.

Le rapport de la Commission fait curieusement l’impasse sur ces écarts, avançant qu’il n’y aurait aucune preuve d’un quelconque détournement de données personnelles… ce qui fait bondir l’European Digital Rights (Edri, qui réunit 28 ONG européennes de défense des libertés et de la vie privée), mais également le Conseil de l’Union qui, dans sa réponse (.pdf) à la Commission, rappellent, a contrario, plusieurs autres cas d’excès ou d’abus de ce type.

En Allemagne, Deutsche Telekom s’est ainsi servi de ces données pour espionner 60 personnes, dont des journalistes et des syndicalistes, afin de trouver l’informateur qui leur avait confié des documents. En Pologne, deux services de renseignement avaient eux aussi utilisé illégalement ces données, sans contrôle judiciaire, pour identifier les sources de journalistes. En Hongrie, des policiers ont contourné la loi pour confier des données à des personnes non autorisées.

Une directive anticonstitutionnelle ?

Les cours constitutionnelles de trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, et la Cour de justice va elle aussi devoir se prononcer sur la légalité de la directive.

Le rapport de la Commission souligne également, mais très pudiquement, que “le contrôleur européen à la protection des données a, lui aussi, exprimé des doutes quant à (sa) nécessité“.

Pour être exact, Peter Hustinx a qualifié la directive d’”atteinte massive à la vie privée“, et déclaré que “conserver les données relatives aux communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population” :

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peuvent être nécessaires pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Un taux d’efficacité de… 0,011%

En l’état, la directive repose en effet “seulement sur la supposition qu’elle constitue une mesure nécessaire et proportionnée“, le contrôleur estimant que “l’heure est venue de fournir suffisamment de preuves pour étayer cet argument” :

Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Peter Hustinx se permettait même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle“, soulignant qu’”un certain nombre de juridictions dans le monde semblent survivre sans ce type de mesures“.

De fait, le rapport n’apporte aucune évaluation statistique sur l’efficacité de la conservation des données. Arguant de quelques affaires de cybercriminalité et de pédopornographie, les services de police la qualifient d’”absolument indispensable et déterminante“, non seulement parce qu’elle permet de confondre des suspects, vérifier des alibis, contacter des témoins, démontrer une complicité mais également, et la Commission insiste lourdement à ce sujet, parce qu’elle permet d’acquitter des innocents, ou de “mettre hors de cause des personnes soupçonnées, sans devoir recourir à d’autres méthodes de surveillance, telles que l’interception de communications et la perquisition, susceptibles d’être jugées plus intrusives“.

En 2006, une étude de l’office fédéral de police criminelle allemand (BKA) avait estimé, en 2007, que le taux d’élucidation était passé de 55% à 55,006%, grâce à l’exploitation des données de trafic, soit un taux de progression de 0,011%… ce qui fait dire au groupe de travail du Parlement allemand sur la conservation des données que celle-ci complètement “disproportionnée” quant à sa finalité :

Il apparaît clair que le succès de la rétention massive des données est très limité.

Les experts du parlement allemand estiment également qu’”il est impossible de réécrire la directive de sorte qu’elle se mette en conformité avec la charte des droits fondamentaux“, et se prononcent clairement pour un dispositif plus respectueux de la présomption d’innocence :

L’Union européenne doit abandonner cette expérience immédiatement et remplacer cette collecte totalement disproportionnée de données des télécommunications de l’ensemble de la population par un instrument qui ne préserve que les seules données des suspects.

Reste donc à savoir combien de personnes ont été visées par le 1/2 million de demandes d’accès aux données de trafic effectué chaque année en France, mais aussi, et surtout, combien ont été condamnées…

Vous imaginez une démocratie où la loi oblige les opérateurs de transport en commun et sociétés autoroutières à installer mouchards et caméras pour garder la trace, pendant un an, des endroits que les gens ont visités, de comment ils y sont allés, des personnes qu’ils ont rencontrées, et de ce qu’ils ont pu échanger ou partager ? Ce pays, c’est la France de 2011.

Un décret publié au JO le 1er mars contraint les fournisseurs d’accès à l’internet, les hébergeurs et prestataires de services web et de réseaux sociaux à conserver les données permettant d’identifier qui sont les gens qui vont sur l’internet, ce qu’ils y font, quand, et comment.

Ce décret Big Brother “relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne“, est la conclusion somme toute logique d’une histoire commencée il y a près de 20 ans et qui s’est formidablement accélérée au lendemain des attentats du 11 septembre 2001.

Une demande pressante du FBI

L’histoire de la surveillance des internautes commence en 1993, alors que le web est en train d’exploser. En juin de cette année, on dénombrait 130 sites Web, et 623 en décembre. Les premiers navigateurs, Lynx, puis NCSA Mosaic, font exploser les usages, qui croissent à un rythme annuel de 341 634 %.

Cette même année, les autorités américaines commencent à mener une intense activité diplomatique afin de persuader les pays européens et l’OCDE de déployer des mesures de surveillance et d’interception des télécommunications, sous les auspices d’une organisation d’experts européens et américains, ILETS (pour Interception Law Enforcement Telecommunication Seminar).

Fondée par le FBI, son existence fut révélée par Duncan Campbell, dans le rapport que le parlement européen lui avait demandé de consacrer, en 1999, au réseau Echelon anglo-saxon d’interception des télécommunications.

Ses travaux débouchèrent, en 1995, sur l’adoption d’une résolution européenne relative à l’interception légale des télécommunications, largement inspirée du Communications Assistance to Law Enforcement Act (CALEA) américain, adopté en 1994, là aussi à l’initiative du FBI, afin d’imposer aux compagnies téléphoniques et aux fournisseurs d’accès internet de modifier leurs infrastructures pour faciliter la surveillance des réseaux.

Dans la foulée, ENFOPOL (pour “ENFOrcement POlice“), groupe de travail réunissant les ministères de l’intérieur des pays membres de l’Union considéré par certains comme la réponse européenne à l’organisation anglo-saxonne ECHELON, tente de définir les modalités techniques et standards de cette surveillance préventive des télécommunications.

Après avoir notamment proposé d’imposer la communication aux autorités des mots de passe des internautes, ou encore la présences de “backdoors” (portes dérobées) dans les logiciels et systèmes de cryptographie, le Parlement européen décida finalement de s’opposer à la conservation des traces de connexion, en juillet 2001, au motif que cela reviendrait à “donner carte blanche dans l’intrusion dans la vie privée des citoyens, en dérogation des droits de l’homme et des libertés fondamentales“, comme le rapporta alors ZDNet :

Le comité du Parlement européen a notamment précisé que des mesures de surveillance électronique doivent être «entièrement exceptionnelles, basées sur une loi spécifique et autorisées par une autorité judiciaire compétente dans le cas de personnes individuelles». Toute forme de surveillance électronique sur une large échelle devrait être interdite, tranche le comité.

“Légalité républicaine” vs “ère du soupçon”

Deux mois plus tard, les attentats du 11 septembre 2001 allaient tout changer, dans le monde entier, entraînant nombre de pays à renforcer leurs boîtes à outils sécuritaires, au nom de l’anti-terrorisme.

En France, le gouvernement socialiste qui, depuis 1997, cherchait à border la droite sur le terrain de la lutte contre l’”insécurité“, modifiait ainsi dans l’urgence son projet de loi relative à la sécurité quotidienne (LSQ), pour notamment contraindre les fournisseurs d’accès à l’internet à stocker, pendant un an, les traces (“logs“) de ce que font les internautes sur les réseaux, et ce quand bien même il n’a jamais été formellement prouvé que les terroristes avaient utilisés le Net pour communiquer (voir Terrorisme : les dessous de la filière porno).

De nombreuses associations avaient alors dénoncé des “mesures d’exception” instaurant une ère du soupçon faisant de tout citoyen un “présumé suspect” qu’il convenait de placer, par principe, sous surveillance.

Signe de la fébrilité des parlementaires, le sénateur socialiste Michel Dreyfus-Schmidt avait d’ailleurs vendu la mèche, avec un lapsus lourd de sous-entendus admettant que la France sortait du cadre de la “légalité républicaine” :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

Conscient du fait que les législations anti-terroristes se doivent d’être sévèrement encadrées, l’article 22 de la LSQ précisait en effet que les mesures anti-terroristes rajoutées en urgence dans la foulée des attentats, et donc ce placement sous surveillance des internautes, ne devaient courir que jusqu’au 31 décembre 2003, date à laquelle un “rapport d’évaluation sur l’application de l’ensemble de ces mesures devait permettre au Parlement de statuer sur leur prorogation, ou non.

Quand l’exception devient la norme

Le Parlement n’eut pas le temps de demander ni d’examiner quelque rapport d’évaluation que ce soit. Le 21 janvier 2003, un amendement déposé par Christian Estrosi, après avis favorable de Nicolas Sarkozy, à son projet de Loi sur la sécurité intérieure (LSI, ou “Loi Sarkozy II“), dont il était le rapporteur, grave dans le marbre, sans aucun débat et en moins d’une minute, le principe de surveillance préventive des internautes. Verbatim :

M. Christian Estrosi, rapporteur. Prorogation ou pérennisation ? Dans l’article 17 du projet du Gouvernement, il n’est question que de proroger. Dans mon amendement, par contre, je propose de pérenniser certaines des dispositions visées, celles qui touchent à la conservation et au déchiffrement des données informatiques, c’est-à-dire à l’utilisation des nouvelles technologies de l’information et de la communication par la cybercriminalité.

Je vous ai soumis précédemment un amendement tendant à instituer de nouveaux délits pour donner à la police des moyens d’action dans la lutte contre la cybercriminalité et les réseaux qui s’y rattachent.

Il me paraît justifié de profiter de l’examen de cet article pour pérenniser des dispositions qui seront de plus en plus utiles à l’avenir, aux forces de l’ordre pour mener à bien leurs investigations en matière de lutte contre toutes les formes de trafics : drogue, armes, pédophilie, prostitution, blanchiment d’argent.

M. le président. Quel est l’avis du Gouvernement ?
M. le ministre de l’intérieur, de la sécurité intérieure et des libertés locales. Favorable.
M. le président. Je mets aux voix l’amendement n° 86.
(L’amendement est adopté.) “

Avec l’adoption de l’amendement Estrosi, soulignait ainsi la Ligue Odebi dans ses Logs pour les nuls, “la mesure d’exception consistant initialement à enregistrer tous les faits et gestes des internautes à des fins de lutte anti-terroriste, pour les mettre à disposition de l’autorité judiciaire, est devenue une mesure définitive, donc totalement séparée de l’existence ou non d’une menace terroriste“.

Extension du domaine des écoutes

En 2004, la loi pour la confiance dans l’économie numérique LCEN) étend l’obligation de conservation des données de connexion aux hébergeurs et responsables des sites et services web, qui doivent détenir et conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“.

En janvier 2006, la loi relative à la lutte contre le terrorisme (LCT), présentée par le ministre de l’intérieur, Nicolas Sarkozy, élargit l’obligation de conservation des “données de trafic” aux cybercafés, et prévoit de permettre aux services anti-terroristes de pouvoir y accéder en dehors de tout contrôle de l’autorité judiciaire, mais après avis d’une personnalité qualifiée placée auprès (et dépendant) du ministre de l’intérieur.

Le 15 mars 2006, une directive européenne sur la conservation des données définit la liste de ce que les fournisseurs de services de communications électroniques doivent logguer, suivie, en France, le 24 mars 2006 d’un décret “relatif à la conservation des données des communications électroniques“. Les FAI et les opérateurs de téléphonie sont désormais tenus de pouvoir tracer et identifier :

• la source et l’utilisateur de chaque communication
• son ou ses destinataires
• la machine utilisée pour communiquer
• le type, la date, l’heure et la durée de la communication
• les “données relatives aux équipements terminaux de communication utilisés (et) aux services complémentaires demandés ou utilisés et leurs fournisseurs“
• la géolocalisation des équipements de communication mobile utilisés.

En 2007, le ministère de l’intérieur mettait en place, en toute discrétion (dixit Le Figaro) et entre les deux tours des présidentielles, une nouvelle plate-forme d’interception, en temps réel, des données de connexion des mails et des textos, à l’intention des services de renseignement :

Qu’il s’agisse d’un appel sur mobile, d’un courriel envoyé par Internet ou d’un simple texto, les « grandes oreilles » de la République peuvent désormais savoir qui a contacté qui, où et quand.

“L’internet est un moyen de se cacher”

Problème : de plus en plus de connexions sont chiffrées, empêchant les grandes oreilles de savoir qui fait quoi sur les réseaux, comme l’expliquait l’an passé Bernard Barbier, “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE).

A son arrivée dans les services spéciaux en 1989, “l’objectif, c’était le téléphone” : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (”un million de communications simultanées, c’est pas beaucoup pour nous”), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte, car seuls les diplomates, les militaires ou les services secrets chiffraient leurs communications, “et notre job était de les casser, et on devait traiter entre 100 et 1000 documents par jour”.

Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale, le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Dans le même temps, souligne Bernard Barbier, “même les méchants se mettent à communiquer” : souvent jeunes, instruits, “tous les apprentis terroristes utilisent la crypto : pour eux, l’internet est un moyen de se cacher : ils savent qu’ils peuvent être écoutés, et donc se cachent dans la masse des utilisateurs de l’internet”, ce qui fait que “les cibles ont changé” :

“Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme. Aujourd’hui, nos cibles sont les réseaux du grand public, parce qu’utilisés par les terroristes.”

Parallèlement, et au vu de l’explosion du volume des télécommunications, les services de renseignement et de police judiciaire s’intéressent plus au contenant qu’au contenu, afin de savoir qui communique avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée :

“Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau.”

“Nous stockons tous les mots de passe”

“La mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe“, expliquait également Bernard Barbier, ce qui peut s’avérer très pratique pour identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms, sur les réseaux sociaux :

Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.

On comprend mieux pourquoi le décret sur la conservation des données “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne“, publié 6 ans après l’adoption de la LCEN auquel il se réfère explicitement, prévoit précisément la conservation, non seulement des noms, prénoms, pseudos, identifiants, n° de téléphone, adresses postales et électroniques de ceux qui s’expriment sur le Net, mais également de leurs “mots de passe ainsi que des données permettant de les vérifier ou de les modifier“.

Les services de police et de gendarmerie ont en effet de plus en plus recours à des logiciels d’analyse criminelle (ANACRIM) afin, “par exemple, de rattacher les appels téléphoniques à des abonnés, les abonnés à leurs correspondants, les correspondants à leurs autres relations et ainsi de suite“.

C’est ainsi que les statisticiens, spécialistes du datamining, sont parvenus à exploiter des centaines de milliers de CDR (Call Data Recording), les fiches contenant toutes les données relatives à un appel téléphonique, afin d’identifier le café où se réunissaient les terroristes de l’attentat de Madrid en 2004.

C’est également ce pour quoi les mots de passe pourront donc aussi servir à identifier des internautes, comme le souligne Guillaume Champeau sur Numerama :

Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.

Les services anti-terroristes, qui ont le droit d’accéder aux données sans contrôle judiciaire, pourront ainsi plus facilement s’infiltrer sur les réseaux. Encore que : les terroristes n’utilisent guère les sites et réseaux sociaux hébergés en France, de même qu’ils passent rarement par des fournisseurs d’accès français, et l’obligation de conservation, et de transmission, des données de connexions prévus dans le décret ne s’applique pas aux forums et réseaux sociaux étrangers.

Il n’est, par contre, qu’à se souvenir de l’affaire Tarnac pour imaginer sans trop de difficulté les problèmes que cela pourrait engendrer dès lors que des policiers s’en serviraient pour infiltrer des “organisations de nature subversive susceptibles de se livrer à des actes de terrorisme ou d’atteinte à l’autorité de l’Etat“, notion pour le moins floue mais dont la surveillance fait explicitement partie des missions de la Direction Centrale du Renseignement Intérieur (DCRI), le service de contre-espionnage français qui a fusionné les RG et la DST.

En attendant de tels éventuels dérives et dommages collatéraux, on aurait tort de verser dans la paranoïa, ne serait-ce que parce que conservation des données de connexion date donc de 10 ans maintenant et, comme le souligne Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie, “d’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur“.

A contrario, il n’est pas vain de rappeler pour autant que normalement, dans un État de droit, on ne place sous surveillance que les individus soupçonnés d’avoir commis un crime ou un délit. Dans nos démocraties sécuritaires, tout citoyen est a contrario un suspect en puissance, qu’il convient de surveiller, de manière préventive, “au cas où“. Le problème est politique. Il en va de la “légalité républicaine“.

Photographies CC leg0fenris.

MaJ : article traduit en italien : Gola profonda: come assicurare la copertura delle fonti nell’ era della sorveglianza totale

Le Watergate n’aurait jamais eu lieu et entraîné la démission du président des États-Unis ni contribué à sacraliser de la sorte le journalisme d’investigation si une “gorge profonde“ -du nom du film X qui, au même moment révolutionna les mentalités- n’avait révélé, en toute confidentialité, à deux journalistes du Washington Post les dessous de cette affaire d’espionnage politique mêlant obstructions à la justice, faux témoignages, écoutes clandestines, détournements de fonds, etc.

Les méthodes de communication utilisées par Bob Woodward et Carl Bernstein, les deux journalistes, avec leur “gorge profonde” et les façons de garantir son anonymat font encore débat.

Il a fallu attendre 2005 pour que William Mark Felt, qui était à l’époque du Watergate le n°2 du FBI, révèle qu’il fut la “gorge profonde” du Watergate. Quel qu’il soit, leur mode opératoire a donc marché : nul n’a su qui, à l’époque, les avait contacté, ni comment ils avaient procédé… sinon qu’ils avaient probablement pour cela utilisé des méthodes dignes de polars, ou d’histoires d’espionnage.

Dans les années 70, tout comme aujourd’hui, les téléphones étaient écoutables. Le problème, aujourd’hui, c’est que l’Internet en particulier, et l’ensemble de nos télécommunications en général, sont systématiquement conservées, voire surveillées. L’informatique laisse des traces (qui communique avec qui, quand, pendant combien de temps), conservées par principe par les opérateurs de télécommunications (afin de se prémunir de tout litige).

Les autorités obligent parfois ces mêmes opérateurs à conserver lesdites traces “au cas où” (y compris en France par exemple, et sans parler des systèmes de surveillance mis en place, souvent par des entreprises occidentales, dans les pays autoritaires).

Rajoutons-y un brin d’Echelon (le système global d’espionnage des télécommunications mis en place par les pays anglo-saxons), de Frenchelon (son “petit” équivalent français) et de leurs avatars exotiques, sans oublier, bien sûr, les systèmes et logiciels espions utilisés tant par les services de renseignement que par les officines d’intelligence économique (montés, ou truffés, d’anciens espions), les mouchards utilisés par les détectives privés, les employeurs qui veulent ainsi surveiller leurs employés, et de plus en plus de particuliers afin d’espionner leurs femmes, maris, nounous et enfants…

Le tableau n’est donc guère réjouissant, et l’on pourrait croire qu’il serait donc de plus en plus difficile, pour un journaliste ou n’importe quel autre professionnel censé garantir la confidentialité de ses sources, de pouvoir travailler correctement, dans la mesure où la surveillance, non contente de se banaliser de la sorte, deviendrait la règle, et non plus l’exception, comme c’était encore le cas du temps du Watergate.

De fait, le meilleur moyen de garantir la confidentialité de ses sources est encore… de ne pas passer par le Net, mais par le courrier papier : contrairement aux télécommunications (mail, tel, fax, SMS, etc.), les enveloppes papier sont fermées, rarement surveillées et encore plus rarement ouvertes, alors que nos courriels sont, eux, d’autant moins confidentiels qu’ils ne sont jamais que des cartes postales, dont le contenu est lisible en clair par l’ensemble des serveurs (souvent plus d’une dizaine) par lesquels ils transitent.

De fait, aucune rédaction, aucun journaliste, n’explique aux gens comment les contacter de façon simple, sécurisée, et en toute confidentialité. Les seuls à le proposer sont un architecte fervent défenseur de la liberté d’expression, John Young, qui diffuse sur son site, cryptome, depuis des années, des documents confidentiels qui lui sont envoyés par email (chiffrés ou non) et Wikileaks, créé tout spécialement pour faciliter ce genre de “fuites” de documents confidentiels.

Il existe pourtant plusieurs possibilités, habilement mises en place par des hackers, ces “bidouilleurs de la société de l’information” sans qui l’informatique en général, et l’Internet en particulier, n’auraient pas été possibles.

Les développeurs et utilisateurs de logiciels libres utilisent ainsi, et depuis des années, un logiciel de cryptographie permettant de garantir, non seulement la confidentialité de leurs télécommunications, mais également leur authenticité, et leur intégrité, afin de s’assurer que les informations échangées proviennent bien, ou ne pourront être lues, que par tel ou tel individu dûment identifié, et non par quelqu’un qui chercherait à usurper son identité, ou bien à l’espionner : GPG (Gnu Privacy Guard, mode d’emploi).

Problème (bis) : bien moins nombreux sont nos lecteurs, internautes, informateurs, à savoir que GPG existe, et donc à s’en servir pour nous contacter. Or, et a priori, seuls les utilisateurs de GPG (ou de PGP, son précurseur) peuvent “chiffrer” leurs messages de sorte qu’ils ne puissent être consultables, “en clair” que par leurs seuls destinataires : la sécurité de la cryptographie à clef publique repose en effet sur le fait que les personnes qui veulent ainsi s’échanger des données, en toute confidentialité, utilisent GPG (ou PGP).

A défaut, on peut utiliser une adresse e-mail jetable, ce que propose par exemple anonbox, créé par les hackers du Chaos Computer Club allemand afin d’envoyer ou recevoir des documents anonymement. Problème : elle n’est valable qu’un jour durant.

Lancé par la Privacy Foundation allemande, une ONG de défense de la vie privée et de la liberté d’expression, privacybox.de fait encore mieux, dans la mesure où elle permet à tous ceux qui ne peuvent ou ne veulent pas utiliser GPG ou PGP d’écrire de façon confidentielle, anonyme et sécurisée, à tout journaliste, blogueur ou internaute qui, utilisateur de GPG ou de PGP, s’y est inscrit (et c’est gratuit, forcément, et puis facile, aussi).

Mieux : plusieurs lecteurs ont bien voulu mettre la main à la pâte et traduire son interface en français (qu’ils en soient remerciés), mais il reste encore quelques pages à traduire :
https://privacybox.de/howto.en.html
https://privacybox.de/howto-apple-mail.en.html
https://privacybox.de/nutzen.en.html
https://privacybox.de/eval.en.html

Les bonnes âmes peuvent me contacter par mail à privacybox[AT]rewriting.net, ou bien encore via le formulaire de privacybox.

Je ne sais combien de blogueurs, journalistes, rédactions ou ONG utiliseront ce service. Mais si ça peut aider, et notamment les journalistes d’investigation, et les lanceurs d’alerte…

Les hackers ne sont pas une partie du problème : ils nous donnent des solutions. Faites tourner !

—

> Illustration CC Flickr Anonymous9000

Retrouvez les deux articles de ce troisième volet du manuel de contre-espionnage informatique : Votre historique mis à nu et Retour sur 10 ans de Big Brother Awards.

Retrouvez également le premier et le second volet de notre série sur le contre-espionnage informatique.