Le projet est secret. “Confidentiel-Défense” s’affiche sur les en-têtes des documents. Pourtant, il concerne des millions de cas chaque année. La Plateforme nationale d’interception judiciaire (“Pnij” de son petit nom) devrait voir le jour début 2013, sous l’égide du ministère de la Justice, après plus de six ans dans les cartons. Jusqu’ici, “la plateforme”, a fait peu de vagues. Quelques articles, dont un hier dans Le Canard Enchaîné, mais rien de plus.

Son fonctionnement est décrit très précisément par l’appel d’offre, et en particulier dans le “Programme Fonctionnel Détaillé” du projet, daté de juin 2009 et classé confidentiel-défense, que nous avons obtenu [PDF].

Pnij-Owni_

L’objectif, comme le résume notre infographie au bas de cet article : concentrer en un même endroit, tenu (évidemment) secret, toutes les demandes de policiers, gendarmes et douaniers visant à surveiller ou consulter les communications téléphoniques ou électroniques d’un individu. Ainsi (évidemment) que les données résultant des écoutes, relevés de géolocalisation, suivi de navigation sur Internet – entre autres joyeusetés.

Aujourd’hui sous-traité au sein de plusieurs prestataires privés plus ou moins fiables, le traitement de ces réquisitions judiciaires sera centralisé dans un bâtiment du géant français de la défense Thales. “Un tiers de confiance” choisi le 11 octobre 2010 pour “dématérialiser” et “simplifier” la procédure actuelle, peut-on lire dans le “Programme Fonctionnel Détaillé”. Manière, arguent les défenseurs du projet, d’éviter une bonne fois pour toutes certaines dérives dans les écoutes judiciaires, qui profitent des failles du système actuel. Mais face à ce monstre aux grandes oreilles, d’autres observateurs s’inquiètent au contraire de l’institutionnalisation d’un Big Brother à la française, susceptible de scruter à grande échelle les communications sur le territoire. Au mépris de certaines libertés.

“La plateforme” en détails

Évidemment, à en croire les documents officiels, cette question ne se pose pas. Avec la PNIJ, toutes les demandes de réquisitions judiciaires devraient être parfaitement traçables. Cinq millions de demandes de relevés aux opérateurs chaque année, dont 32 000 écoutes. Massif.

Dès qu’un officier de police judiciaire obtiendra le go du magistrat en charge de l’enquête, l’ensemble de ses faits et gestes seront compilés au sein de cette unique base de données [voir l’infographie]. Du renseignement de la requête, où l’agent indique le type de “prestations” qu’il souhaite obtenir des opérateurs téléphoniques, à la transmission du procès verbal au juge chargé de l’enquête, en passant par le traitement des informations transmises par Orange, Free, SFR, Bouygues et compagnie. Pour chaque réquisition, la PNIJ fournit une sorte de grand formulaire à renseigner de son clavier, signé électroniquement par l’agent à l’origine de la requête.

Le tout dans un souci de simplicité : les officiers pourront ainsi piocher dans le “catalogue” des prestations rendues par les opérateurs de télécommunications en matière de surveillance. En fonction de leurs demandes, un pack d’opérations pourra leur être proposé. Détails des trafics de l’abonnée (les fameuses factures détaillées ou “fadettes”) ? Géolocalisation des appels ?

La PNIJ proposera à l’OPJ [“officier de police judiciaire”, NDLR] une liste de prestations [...] répondant à ses besoins, en lui indiquant les prestations qui doivent être cumulées pour obtenir le résultat qu’il souhaite et en mentionnant une indication sur le coût des prestations envisagées (p.18).

Mieux qu’un bouquet satellite. Une fois le forfait adéquat choisi par l’officier, et les informations transmises par l’opérateur de télécommunications, le traitement des informations se veut tout aussi simplifié. Et centralisé. Les documents de l’appel d’offre de la plateforme sont très clairs : tout doit être opéré au sein de la Pnij.

Lecteur audio, lecteur de documents texte, antivirus, détection de cryptage… (p.22)
[...] visualisation du trafic des appels de la cible par tranche horaire, [...] fonctionnalités de type : ralentir le débit de la voix, arrêt automatique de la voix pendant la frappe sur le clavier,… (p.23)

Pour une plateforme “intégrée, ouverte, fiable et économique” (p.12), capable de s’adapter “aux nouveaux modes et moyens de communication grand public” (p.13). Au-delà de la dématérialisation et de l’uniformisation de ces pratiques, c’est leur capacité à s’adapter aux évolutions technologiques qui est en jeu. Parmi elles, sont notamment visées (p.13) :

[la] téléphonie sur IP, [la] démocratisation programmée du chiffrement, [le] développement de solutions de mobilité et de services unifiés…

Afin d’atteindre cette cadence, les opérateurs de télécommunications sont priés de marcher au pas. La mise en place d’une automatisation du traitement des demandes judiciaires en lieu et place des équipes actuellement en charge de la tâche est vivement recommandée : “il s’agit également d’une exigence forte de l’État à leur encontre”, commente l’appel d’offre (p.19).

Orange, Free, SFR et consorts pourraient bien se montrer conciliants puisque l’installation de cette plateforme de surveillance unique aura pour eux des contreparties intéressantes, telle que la facturation automatisée. Allégée (voir cette photo) et a priori plus rapide. Car chaque intrusion dans l’intimité d’un suspect a un coût, que l’opérateur facture à l’Etat. Or l’ardoise est chargée : jusqu’à récemment, l’État devait encore 60 millions d’euros aux opérateurs. La moitié de la somme aurait été réglée, nous assure un responsable de la DIJ, Délégation aux Interceptions Judiciaires, en charge de la mise en place de la plateforme, qui nous a reçus.

En 2012, malgré les efforts de la Chancellerie, les OPJ privilégient le papier : 1 mois de réquisitions chez 1 telco yfrog.com/kloy7orj

— AlexandreArchambault (@AlexArchambault) Juillet 27, 2012

DPI comme en Libye ?

Surveillance nationale et centralisée, opérateurs plus étroitement liés : beaucoup pointent du doigt les risques d’instrumentalisation de cette plateforme, qui deviendrait bien plus qu’une base de surveillance validée et contrôlée par l’autorité judiciaire.

Certains n’hésitent pas à parler d’une technologie de DPI (Deep Packet Inspection, qui permet l’analyse du trafic Internet en profondeur) made in France. Le Figaro en 2011, comme l’article du Canard hier, avancent même que “les logiciels qui permettront d’intercepter et de trier les communications Internet sont les mêmes que ceux qui ont été vendus, voilà quelques années, par la société Amesys à Kadhafi pour surveiller sa population.”

La PNIJ utiliserait du DPI ? “Pas du tout !” rétorquent sans détour les responsables du projet. Leurs explications elles, sont plus tortueuses :

Il n’y a pas du tout de DPI sur la PNIJ, il n’y a pas d’usage massif.

Pour rappel, la technologie du DPI est duale et peut être utilisée tant pour gérer le trafic d’un réseau que pour en scruter les caractéristiques. Si le ministère récuse utiliser ce dispositif, elle ne précise néanmoins pas la technologie qu’elle utilise. Ou en creux :

C’est comme Eagle [le système développé par Amesys, NDLR] sans DPI !

Limpide… Quoiqu’il en soit, la DIJ, comme d’autres proches du dossier, concèdent en coeur :

Des technologies d’interceptions, il n’y en a pas des cents et des milles.

De quoi laisser planer le doute encore un bon moment sur la plateforme de surveillance.

Ecoutes-taxis

Sans compter que d’autres garanties manquent, en particulier sur les écoutes-taxis, cette pratique illégale qui consiste à récupérer des informations en glissant des demandes supplémentaires dans une réquisition. Comme un numéro de téléphone, qui n’a rien à voir avec l’affaire. Le fruit peut ensuite être revendu à des privés (ou autre) contre rémunération ou services en retour. Impuissant, le haut responsable de la DIJ nous confie :

La PNIJ n’améliorera pas ce système par rapport à la situation actuelle sur des réquisitions peu sensibles.

Mode d’emploi du Big Brother libyen

La société française Amesys, qui a vendu des technologies de surveillance à la Libye de Kadhafi, essaie de minimiser les ...

Et d’apporter illico deux précisions : un contrôle a posteriori de l’activité des agents est possible – leur navigation sur la PNIJ est enregistrée pendant trois ans ; cette pratique des écoutes-taxis ne concerne pas les écoutes stricto sensu, et elle est minoritaire. Sans en dire plus que le strict minimum, le responsable de la DIJ rappelle que les écoutes frauduleuses empruntent surtout un autre circuit. De fausses demandes sont directement adressées aux opérateurs, avec falsification de documents, “trouvés sur Internet” comme l’a raconté raconté Le Point . De ce point de vue, la PNIJ certifie en automatisant la demande des agents aux opérateurs.

Reste donc à compter sur la droiture des forces de police ou sur leur crainte de se faire prendre, a posteriori. Car rien n’est prévu pour vérifier la validité de chaque réquisition de façon systématique. “Pour les réquisitions peu sensibles”, les magistrats ne sont pas toujours associés à l’enquête. Et quand ils le sont, aucune notification ne leur parvient automatiquement lorsqu’une réquisition est envoyée en leur nom. Difficile donc de déceler les fraudeurs dans les centaines de milliers de réquisitions annuelles.

Des garde-fous sont tout de même prévus pour écarter les curieux. Les agents n’auront accès qu’aux enquêtes sur lesquelles ils travaillent, et les techniciens qu’à des données chiffrées. Manière de cloisonner une plateforme qui reste centralisée. Toutes les réquisitions et interceptions sont concentrées en un lieu, entre les mains de Thalès – dupliqué pour des raisons de sécurité. “Un bunker sécurisé en béton armé”, se félicite la DIJ qui assure avoir fait de la sécurité une priorité. L’appel d’offre écrivait noir sur blanc :

La préservation du secret de l’enquête et de l’instruction : c’est un des enjeux majeurs de la PNIJ.

La Direction centrale du renseignement intérieur, le FBI français, a certifié les locaux de la PNIJ, estampillés Confidentiel-Défense, comme l’ensemble du projet depuis son lancement.

Secret

L’appel d’offre du ministère de la Justice a obéi à des règles strictes en la matière : seules certaines sociétés ont été autorisées à y répondre par la place Vendôme. Les prestataires du système actuel n’ont pas fait partie des quatre élus du ministère (le victorieux Thalès, mais aussi Atos Origin, Cap Gemini et CS).

Deux de ces sociétés, évincées du projet, ont contesté devant le tribunal administratif cet ostracisme. Elektron et Foretec ont été déboutés. Au nombre de ses arguments, le juge rappelle cette justification du garde des Sceaux :

L’architecture globale du système à mettre en place comportait des similitudes avec celle du système des interceptions de sécurité.

Ces ”interceptions de sécurité” relèvent d’une autre procédure, sous l’autorité du Premier ministre. Elles utilisent des technologies sensibles pour récupérer des informations secrètes. A elles seules, elles nécessitent le classement confidentiel-défense. Et comme la plateforme de surveillance emploie une technologie similaire, elle est elle-même classée : il faut éviter à tout prix que soient divulgués les secrets de fabrication d’un tel outil de surveillance.

Retrouvez notre ebook Au Pays de Candy, de Jean-Marc Manach sur la surveillance massive de la Libye par une société française.

Infographie réalisée par Cédric Audinot /-)
Image de Une MarkGregory007 CC by-nc-sa

7h15, sonnerie de réveil d’un smartphone. Entrer un code PIN. L’allumer et le reposer. Il est désormais un parfait mouchard. Hacking Team, une société italienne, propose d’installer à distance un logiciel compatible avec la plupart des systèmes d’exploitation (iPhone, BlackBerry, Windows Phone). Activé à distance, il permet de prendre le contrôle du téléphone sans que l’utilisateur ne se rende compte de rien (voir la vidéo ci-dessous du Bureau of Investigative Journalism en anglais.)

Cliquer ici pour voir la vidéo.

Katrin Verclas, co-fondatrice de MobileActive.org qui réfléchit à des utilisations militantes des smartphones, explique :

Une fois installé directement ou à distance sur le mobile d’une personne, ces “spywares” (logiciels malveillants) peuvent (…) activer à distance le micro pour se transformer en mouchard.

8h30, départ pour le bureau, téléphone portable en poche. Un bon moyen pour suivre à la trace. Sans utiliser d’appareil physique, un smartphone peut là aussi enregistrer un itinéraire ou indiquer une position géographique précise, comme le propose Hacking Team.

L’ancienne méthode, celle des mouchards, fonctionne toujours. SPEI, une entreprise allemande, a créé Sleuth-Hound Software, qui permet de “contrôler à distance et visualiser la position GPS d’un ou plusieurs appareil de traçage GPS”. Les trajets peuvent être visualisés sur “Google Earth, Microsoft MapPoint, Navigator 7…”, le tout sur “une interface simple d’utilisation”.

Les communications entrantes et sortantes, qu’elles durent quelques secondes ou plusieurs minutes, fournissent des mines d’information. D’abord en les interceptant. L’indien Shoghi Communications offre des systèmes de “surveillance totale du trafic incluant SMS et appels du mobile ciblé”. Ensuite en analysant le spectre vocal. L’analyse de la voix permet d’identifier précisément les interlocuteurs. L’entreprise tchèque Phonexia parvient à déterminer le genre, mais aussi l’âge de l’interlocuteur. Le tout, en détectant des mots-clés dans le dialogue. Une performance minimale comparée aux possibilités actuelles, décrites par Simon Davies, directeur général de l’ONG Privacy International :

Les nouveaux systèmes commercialisés par les entreprises de sécurité ont recours au rythme, à la vitesse, la modulation et l’intonation, en se fondant sur le type de personnalité et l’influence parentale, ainsi que la sémantique, les idiolectes, les prononciations et les particularités liés au lieu de naissance, au statut socio-économique et au niveau d’éducation.

Voir ce que les utilisateurs voient

Au bureau, un ordinateur fixe ou portable, connecté à Internet. Une cible privilégiée par les marchands d’armes de surveillance. La société américaine SS8 se vante de développer des solutions pour “voir ce que [les utilisateurs] voient en temps réel”.

Cliquer ici pour voir la vidéo.

Aller sur les réseaux sociaux. La technologie Intellego de SS8 est un modèle de Social network Analysis (SNA), soit la capacité à connaître “le nombre de connexions entre les individus ou groupes, leur proximité, l’intensité de leur relation, le degré d’influence d’une personne sur les autres ou un groupe, le mode de propagation d’une idée dans un réseau” d’après Solon Barocas, doctorant à la NYU. Intellego met en forme et réorganise les données des réseaux sociaux interceptées :

Intellego automatise le processus qui génère l’analyse d’un réseau social. Chaque individu, site web, adresse mail ou cible est représenté comme un noeud. Chaque communication qui connecte deux nœuds est représentée par un pont.

DigiTask, une entreprise allemande, a créé Wifi catcher qui permettent d’intercepter l’ensemble du trafic passant sur un réseau. Adapté à la mobilité, Wifi Catcher peut être “utilisé discrètement sur des hotspots publics en déposant simplement la petite unité de réception près de la cible (…) ou à distance avec de grandes antennes directionnelles”. Et nombreux sont les fabricants à le proposer pour les réseaux ADSL. Comme l’entreprise israélienne Trace Span et son DSL Phantom “entièrement non-intrusif permettant aux agences de chargées de la sécurité (law enforcement agencies) de surveiller des informations sans être détecté“.

Système de surveillance massive

Bien au-delà d’un réseau d’entreprise ou de particulier, l’entreprise française Amesys commercialise Eagle, un “système massif conçu pour répondre aux besoins d’interception et de surveillance à l’échelle d’une nation [et] capable d’agréger tout type d’informations [et] d’analyser, en temps réel, un flux de données à l’échelle nationale, de quelques terabytes à plusieurs dizaines de petabytes”. Les réseaux entiers peuvent être visés par le DPI, Deep Packet Inspection, une technologie à usage dual, utilisée tant pour mesurer la qualité d’un réseau que pour le filtrer et le censurer. Des technologies que proposent le français Qosmos ou l’allemand Ipoque.

Cliquer ici pour voir la vidéo.

Même les connexions sécurisées, les fameux protocoles SSL qui rassurent lors d’un paiement en ligne, peuvent être brisés. Packet Forensics (littéralement “autopsie du paquet”) dont le siège est en Arizona, a développé “man-in-the-middle”. Sa force est d’intercepter toute communication “transitant dans une session SSL ou TLS”.

Avant de quitter le bureau, faire une mise à jour d’un logiciel. C’est l’une des voies que DigiTask a trouvé pour “surmonter le chiffrement, manipuler une cible nomade, surveiller [son] activité” : les logiciels furtifs développés par “le leader du marché allemand” peuvent être installés via des “logiciels modifiés.”

Débrancher sa connexion. Eteindre son ordinateur. Le digital forensic (“autopsie numérique”) les ressuscitent : fichiers supprimés, historique de navigation web, etc. Cellebrite, une entreprise israélienne propose Ufed Logical, le même service adapté aux smartphones.

23h30. Laisser son smartphone en veille. Même ainsi, il peut enregistrer les conversations alentours.

Dormir, sous bonne surveillance.

Retrouvez notre dossier sur le sujet :
Un gros requin de l’instruction et Des chevaux de Troie dans nos démocraties

Tous les articles OWNI/Wikileaks sont là

Le fourre-tout de la “sécurité nationale”

La notion de sécurité nationale n’est pas clairement définie dans le droit français. Le concept a été introduit par l’article 8 de la convention européenne des droits de l’homme puis repris par l’article 3 de la loi du 10 juillet 1991. Il est désormais assimilable à celui, historique en droit français, d’intérêts fondamentaux de la nation, précisés par l’article 410-1 du code pénal :

Les intérêts fondamentaux de la nation s’entendent au sens du présent titre de son indépendance, de l’intégrité de son territoire, de sa sécurité, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l’étranger, de l’équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel.

La définition particulièrement large du code pénal ouvre un champ considérable pour les interceptions invoquant la “sécurité nationale”. Interrogée par OWNI, la CNCIS s’est montrée embarrassée pour dénommer les critères que recouvrait l’appellation:

Nous ne pouvons pas expliquer davantage les thèmes de sécurité nationale sur lesquels travaillent les services car nous sommes couverts par le secret-défense. La limite d’un rapport public est que nous devons nous cantonner aux définitions. La commission a cependant la préoccupation permanente que les services demandent des interceptions pour les bons motifs.

L’intérêt du Triple Play

Ces 1 554 écoutes au titre de cette sécurité nationale se réalisent dans un environnement technologique offrant des moyens accrus aux services de renseignement. La répartition des interceptions montre en effet l’accent mis sur la surveillance des téléphones mobiles, devant la téléphonie fixe et Internet – les demandes visant Internet ayant diminué de 4,97% en 2010. Mais le rapport de la CNCIS indique :

Ces évolutions sont à rapprocher du succès croissant des offres commerciales “Triple Play”  et bientôt “Quadruple Play” grâce auxquelles les particuliers ont désormais accès sous un même numéro d’abonnement à la téléphonie fixe, à Internet et à de la téléphonie mobile ainsi qu’à la télévision numérique.

En clair, la mise sur écoute d’un numéro de téléphone, associé à un boîtier ADSL, permet dans le même temps de surveiller tout le trafic transitant par Internet, sans vraiment le dire, entraînant une diminution a priori des interceptions dirigées spécifiquement sur Internet.

L’astucieuse combine des fadettes

Le flou qui entoure ces interceptions au titre de la sécurité nationale intervient dans un contexte déjà tendu pour la CNCIS, avec l’affaire des “fadettes”. Plutôt que d’avoir accès directement au contenu de la communication, les agents du renseignement peuvent consulter le contenant qui comprend les identifications des numéros appelés ou appelants, le détails des contacts et la géolocalisation des terminaux utilisés… Il s’agit d’une des pierres angulaires des techniques de renseignement. Celle-ci a été utilisée récemment par la DCRI, qui s’est donc procurée des factures téléphoniques détaillées (“fadettes”) afin de tenter de démasquer les sources de journalistes dans diverses affaires. Notre interlocuteur à la CNCIS tente de nuancer, sans vraiment convaincre:

Ces mesures sont moins intrusives dans la vie privée et moins attentatoires sur le plan des libertés publiques que l’interception des communications qui permet d’appréhender le contenu des échanges et des conversations. Néanmoins, elles portent atteinte partiellement au droit à l’intimité de la vie privée et au secret des correspondances. Nous espérons que l’autorité est toujours respectée. Mais lorsque des infractions sont commises, elles sont commises…

L’incertitude du danger appartient à l’essence du terrorisme.

La sentence est de Jürgen Habermas, un philosophe honni par Anders Behring Breivik, un de ces “marxistes culturels” issus de l’Ecole de Francfort que le criminel norvégien assassine dans son manifeste décousu. Sa phrase ressemble à un truisme: une bombe en temps de paix frappe toujours par surprise. Mais à l’heure des espaces semi-publics et du data mining généralisé, les opinions publiques tolèrent de plus en plus mal l’irruption d’un tireur solitaire ôtant la vie à 76 de ses concitoyens dans l’une des démocraties les plus abouties d’Europe.

Devant l’imprévisible, plusieurs pays ont manifesté leur désir de prévenir des événements similaires, en améliorant leurs systèmes d’alerte en ligne. Immédiatement après l’attaque, le patron de la police finlandaise a plaidé pour une surveillance plus efficace des signes avant-coureurs. Traumatisée par une fusillade dans un lycée en septembre 2009 (dont l’auteur avait été interrogé par les autorités avant son passage à l’acte), la Finlande traque déjà les “signaux faibles” sur Internet.

En Allemagne, plusieurs parlementaires poussent à la roue pour relancer le débat sur la rétention des données, que le Tribunal constitutionnel allemand a pourtant rejeté en 2010. “Nous [en] avons besoin”, a estimé Hans-Peter Uhl, un député de la coalition chrétienne-démocrate. “C’est à ce prix que des enquêteurs pourront retracer des communications pendant la préparation des attaques, contrecarrer de tels actes et protéger la vie des gens.”

“Banal et sans histoires”

Touchée par la tuerie la plus tragique de son histoire, la monarchie scandinave a fait savoir par la voix de son Premier ministre Jens Stoltenberg qu’elle ne répondrait pas à la mort de 76 personnes par un durcissement sécuritaire. “La Norvège répond à la violence par plus de démocratie, plus d’ouverture et une plus grande participation politique”, a-t-il déclaré, tout en affirmant qu’il est possible “d’avoir une société ouverte, démocratique et inclusive, tout en prenant des mesures de sécurité”. Comment expliquer cette résilience?

“Sous les apparences d’un type banal et sans histoire, le Norvégien Anders Behring Breivik a passé près du tiers de son existence à mûrir un projet extrémiste”, écrit l’AFP. Banal et sans histoire, Breivik s’est attaché à le devenir aux yeux de tous, en ourdissant son plan pendant de longues années. Dernièrement, il avait même fait l’acquisition d’une exploitation agricole dans la bourgade d’Åmot, à 150 kilomètres d’Oslo, avec un objectif aussi simple que machiavélique: acheter six tonnes d’engrais chimique destiné à la confection de ses charges explosives, sans jamais éveiller les soupçons.

Cum hoc ergo propter hoc

Sur son blog, Rick Falkvinge, le fondateur du Parti pirate suédois, dresse les “leçons sécuritaires” d’Utoya. D’emblée, il rappelle l’inanité d’une surveillance généralisée :

Tant que vous gardez votre horrible plan pour vous, vous échapperez aux écoutes et à la rétention des données. Le plus vaste programme d’espionnage civil de l’histoire est inutile contre des individus tels que Breivik.

Puisque la précognition n’existe que dans les romans de science-fiction de Philip K. Dick et dans les films avec Tom Cruise (Minority Report, donc), les velléités d’anticipation des démocraties occidentales pourraient survirer dans une chicane idéologique avant même de percuter un mur technique. De la même manière qu’il est difficile de prédire les révolutions par les données, devancer les terroristes relève de la gageure pure.

En 2008, l’Université d’Alabama avait été mandatée par l’US Air Force pour concevoir un algorithme capable de prévenir les attaques terroristes. Comment? En créant une base de données de plusieurs milliers d’attaques récentes, en recensant leur mode opératoire et en cherchant les corrélations. Problème : cum hoc ergo propter hoc. Corrélation n’est pas causalité.

Comme le rappelle Falkvinge en citant Benjamin Franklin – “Ceux qui sacrifient la liberté pour la sécurité ne méritent ni l’une ni l’autre” -, les pays nordiques sont parmi les plus avancés au monde en matière d’écoutes légales – la Suède notamment. Ce qui n’empêche pas les pires tragédies.

__

Je crois qu’il faut que quelqu’un se penche sur toutes ces histoires de surveillance d’Internet, stratégiquement placées en Une du New York Times. Il y a ici une piste à suivre. Voici quelques repères chiffrés:

1. Les cyberattaques – Il semble y avoir un profond intérêt pour la capacité à déclarer la guerre en ligne, comme l’ont mis en évidence les recherches en matière de cybersécurité et les discours publics d’Herbert Lin, un acteur clé qui a travaillé sur de nombreux rapports pour le National Research Council. Ethan Zuckerman a synthétisé une présentation de Lin, qui paraphrase ses remarques de la façon suivante:

Si nous voulons préempter les cyberattaques, il faut être dans les réseaux de celui d’en face. Mais cela peut impliquer de s’introduire dans l’ordinateur familial de citoyens américains. Aussi loin que le cloud computing dépasse les frontières, nous attaquons peut-être des ordinateurs dans de multiples juridictions. Lin se demande si un Internet mieux authentifié permettrait d’anticiper les attaques. Et ils nous rappelle que le commandement stratégique américain a émis des autorisations pour mener “des actions de neutralisation des menaces actives” – s’introduire dans une machine pour stopper une attaque en cours, par exemple…

Le Dr Lin note que les actions de renseignement à l’étranger ne violent pas les lois internationales. Il est possible de s’engager dans des actions clandestines réglementées par la législation américaine. Et en réponse à une cyberattaque, les Etats-Unis pourraient lancer une grande variété de ripostes (Lin précise qu’il ne préconise aucun de ces exemples) – ils pourraient attaquer les défenses aériennes de l’ennemi, pirater leurs machines de vote pour influencer une élection, mener des campagnes de “cyberexploitation” pour espionner ces nations. Dans ces conditions, les Etats ne doivent-elles pas craindre les conséquences d’un Internet “libre et ouvert”? Pourraient-ils raisonnablement choisir de renforcer leur contrôle sur le web?

2. Un “Internet mieux authentifié” impliquerait évidemment l’usage de leviers fournis par les opérateurs de télécommunications, pour permettre aux seules machines autorisées, identifiées, de se connecter. La possibilité de déconnecter à distance des machines ou des appareils jusqu’à ce qu’ils soient “nettoyés” est désormais à portée des réseaux fédéraux – et cette capacité va inévitablement s’étendre aux connexions privées.

3. Un “Internet mieux authentifié” signifierait aussi des applications et des machines plus facilement exploitables. C’est ce dont parle le directeur du FBI, Robert Mueller, à 3:29 de cette vidéo.

4. Il doit y avoir beaucoup de stress au sein du gouvernement américain vis-à-vis de la position publique de l’administration sur l’amélioration de la surveillance, sur l’authentification, et sur la capacité à déclarer la guerre en ligne. Le discours d’Hillary Clinton sur la “liberté d’Internet” en janvier 2010 a montré que la libre circulation de l’information sur le web était une composante importante de la diplomatie.

Internet n’est pas le téléphone

5. Eu égard à ce stress, les agences qui sont les plus intéressées par les cyberattaques, la surveillance, l’existence de trappes d’accès dans les communications cryptées et tout l’attirail d’un “Internet mieux authentifié” ont un intérêt à présenter leur vision du web comme un processus inévitable. Logiquement, une partie de cette campagne de persuasion réside dans leur capacité à porter cette version de l’histoire dans les grands médias.

6. Donc, nous y voilà – une nouvelle histoire en première page du Times d’hier, 19 octobre: “L’administration pousse pour renforcer la loi sur les écoutes”. C’est une question extrêmement controversée. La loi devrait-elle forcer l’ensemble des technologies en ligne à disposer de “trappes”, permettant aux autorités de réclamer (pour l’essentiel) que l’information leur soit restituée comme au temps de l’autocommutateur téléphonique privé?

7. Internet est différent du réseau téléphonique. C’est un accord décentralisé qui permet d’acheminer des paquets d’informations à des adresses définies. Il a rendu possible une innovation sans précédent, il a aidé la liberté d’expression et l’amélioration de vies humaines autour du monde. Le brider pour l’adapter aux besoins “d’authentification” d’une loi d’application (ou de la sécurité nationale) serait un énorme pas en arrière.

Mais cela nous aiderait sûrement à faire la guerre en ligne.

Ce billet a initialement été publié sur le blog de Susan Crawford

__

Crédits photo: Flickr CC jurvetson, randy.troppmann

Une affaire exemplaire car elle réunit deux piliers de la doctrine sécuritaire étasunienne: « la guerre contre la terreur» — qui a produit les loirs iniques type Patriot Act qui ont élargi les pouvoirs d’enquêtes sans contrôle du juge — et «la guerre contre la drogue», qui a déjà produit son lot d’atteintes aux droits civiques depuis des décennies.

En France coller un mouchard GPS sur une voiture est un acte de procédure pénale plutôt banal, même si aucun texte ne l’évoque clairement. Nous avions exploré ce cas d’école lors de l’enquête sur le pseudo-groupe de Tarnac, les fameux réseaux « anartoto » chers au ministre de l’Intérieur de l’époque, Alliot-Marie. Malgré les énormes moyens déployés, une enquête à charge dont les travers ont été maintes fois mises en lumière, les prévenus sont toujours dans l’arène et ses partisans ne l’ont pas oublié en se réunissant au cœur de l’été.

Dans l’affaire Pineda-Moreno, la question repose sur la légalité de la mise sous surveillance, pas de la nature de cette surveillance. Dans le Massachusetts, en 2009, la DEA a usé des mêmes méthodes mais avait auparavant pris soin d’avoir l’accord de l’autorité judiciaire.

Une allée de garage est-elle le domicile privé ?

Dans le cas du cultivateur de l’Oregon, le débat s’est orienté sur la nature du «domicile privé» — et détermine s’il faut ou pas de mandat de perquisition (search warrant en jargon judiciaire étasunien). Sa voiture était garée dans son allée — driveway —, mais pas dans un garage ou une enceinte fermée; les juges ont considéré qu’il n’y avait pas de violation de domicile. Et que le placement sous surveillance n’était donc entachée d’aucune nullité juridique. Le cultivateur avait plaidé coupable pour la possession d’herbe, mais contestait la légalité des moyens de la preuve électronique — en droit français aussi, et heureusement, un élément de preuve récolté de manière illégale doit être immédiatement invalidé.

Au passage, Time s’amuse à citer l’opinion minoritaire d’un des juges d’appel, Alex Kozinski, réputé plutôt conservateur car nommé sous l’ère du président Reagan. Selon ce brave homme, juger qu’une allée menant à une maison est dans l’espace public sous-entend que seuls les nantis, qui peuvent se payer des murs, des vigiles et des enceintes électroniques, bénéficient d’un droit plus large à leur vie privée. Et de proner une plus grande diversité sociale au sein même du système judiciaire… Ses collègues, accuse-t-il, sont coupables d’«élitisme culturel», rien que ça.

Suivi à la trace sans mandat

Toujours est-il que le jugement de la Cour d’appel du 9ème Circuit est autrement plus terrible pour le droit à la vie privée. Car les juges valident le fait qu’une fois le dispositif GPS installé, et donc les conditions de son installation validées, la DEA peut poursuivre sa surveillance après coup sans aucun mandat de perquisition. Commentaire du journaliste de Time:

Après tout, si les agents du gouvernement peuvent suivre les gens à la trace à tout moment avec des mouchards installés secrètement, sans l’aval d’une autorité judiciaire, nous ne sommes pas loin d’un banal état policier— avec, dans le rôle du KGB ou de la Stasi, la technologie.

L’hebdo souligne toutefois que d’autres cours d’appel n’ont pas eu la même certitude. Un cas presque similaire traité par celle de Washington DC, ce mois-ci, a jugé au contraire qu’une surveillance GPS prolongée sans aucun mandat n’était pas conforme. C’est donc la Cour suprême qui aura finalement le dernier mot, dans ces deux affaires.

En cherchant un peu, on trouve un précédent arrêt de la Cour suprême sur la pertinence d’une technologie intrusive dans le cadre d’une enquête de stupéfiants. La question était là aussi de savoir si l’usage de caméras thermiques pour repérer des plants de marijuana dans une habitation était oui ou non possible sans mandat de perquisition. La Cour s’est finalement rangée du côté du 4ème Amendement (qui protège le citoyen contre toute enquête arbitraire), en citant un cas d’école datant de 1925 :

“The Fourth Amendment is to be construed in the light of what was deemed an unreasonable search and seizure when it was adopted, and in a manner which will conserve public interests as well as the interests and rights of individual citizens.” Carroll v. United States, 267 U.S. 132, 149 (1925).

Where, as here, the Government uses a device that is not in general public use, to explore details of the home that would previously have been unknowable without physical intrusion, the surveillance is a “search” and is presumptively unreasonable without a warrant.

Reference: US Supreme Court, June 11, 2001. DANNY LEE KYLLO v. UNITED STATES

Traduction : « A partir du moment où l’outil employé n’est pas d’usage général, et qu’il permet d’explorer les détails d’une habitation qui n’auraient jamais pu l’être sans une intrusion physique, la surveillance est une perquisition qui ne saurait être justifiée en l’absence de mandat ». Notez bien que ce jugement « suprême » date de juin 2001, soit avant le Patriot Act et ses avatars anticonstitutionnels.

Le terrorisme, un bon prétexte

Car la guerre contre le terrorisme, depuis ses débuts, est devenue un allié pour les faucons de la DEA cherchant à élargir leurs moyens d’investigation. Rappelons que depuis une quinzaine d’années, 14 États de l’union ont légalisé la culture et la fourniture de cannabis à des fins médicales. C’est le cas de la Californie et de… l’Oregon. Ont donc été légalisés des dispensaires privés, des « clubs de patients », dans lesquels il est possible d’acheter sa dose le plus simplement du monde — pour peu que l’on dispose d’une prescription médicale. Ces tolérances successives ont été vécues à la DEA comme autant de provocations.

Exemple : après le référendum de 1996 en Californie qui a légalisé la marijuana médicale, le Cannabis Action Network, une association d’activistes de Berkeley, organisait une fois par an à San Francisco, le 20 avril, le Hemp Festival, un rendez-vous militant et récréatif qui avait donc l’accord des forces de police locale. Lors de l’édition d’avril 2002, soit la première de l’ère Patriot Act, le Hemp Festival est victime d’un coup tordu de la DEA. La veille, les agents font une descente dans le lieu où devait se dérouler le festival, y trouvent des substances illicites — et ordonnent immédiatement la fermeture de l’établissement. Le Hemp Festival eu finalement lieu dans un endroit inviolable: les locaux de leur cabinet d’avocats de San Francisco!

Les militants pro-cannabis ont appris à subir les effets collatéraux des lois antiterroristes. Dans cet article de 2006, ils citent le cas d’une enquête qui a utilisé une mesure tirée du Patriot Act (« sneack and peak », perquisition furtive où le suspect n’est pas informé de celle-ci) pour surveiller abusivement des personnes suspectées d’un trafic d’herbe entre les Etats-Unis et l’Etat canadien de Colombie britannique, réputé plus friendly dans la répression des drogues douces.

Dans un rapport de 2009 cité ici, écrit par une émanation des autorités judiciaires fédérales, le bilan de cette procédure « sneak and peak » est sans appel:

Sur 763 mandats délivrés en 2008, seulement 3 l’ont été pour des faits clairement antiterroristes. Les deux-tiers ont concerné des affaires de stupéfiants. Certains de ces mandats ont été prolongé, et sur 1.291 mandats délivrés au total, seulement 5 concernaient le terrorisme et 65% impliquaient des personnes suspectées de trafic de drogue, qui reste pourtant un délit de droit commun [même dans la puritaine Amérique]. Sur les 21 catégories de crimes concernées par la procédure, le terrorisme apparaît à la 19ème place, devançant la conspiration et la corruption.

Article initialement publié sur Numéro Lambda

Illustration FlickR CC : Katy Lindemann