Révélations sur le Big Brother français

Si les révélations sur le programme d’espionnage américain Prism ont provoqué un concert d’indignation en Europe, la France, elle, n’a que faiblement protesté. Pour deux excellentes raisons : Paris était déjà au courant. Et fait la même chose.

Le Monde est en mesure de révéler que la Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l’étranger : la totalité de nos communications sont espionnées. L’ensemble des mails, des SMS, des relevés d’appels téléphoniques, des accès à Facebook, Twitter, sont ensuite stockés pendant des années.

Si cette immense base de données n’était utilisée que par la DGSE qui n’officie que hors des frontières françaises, l’affaire serait déjà illégale. Mais les six autres services de renseignement, dont la Direction centrale du renseignement intérieur (DCRI), les douanes ou Tracfin, le service de lutte contre le blanchiment, y puisent quotidiennement les données qui les intéressent. En toute discrétion, en marge de la légalité et hors de tout contrôle sérieux. Les politiques le savent parfaitement, mais le secret est la règle.

Un dispositif clandestin

Ce Big Brother français, petit frère des services américains, est clandestin. Pourtant, son existence figure discrètement dans des documents parlementaires. Les huit députés et sénateurs de la délégation parlementaire au renseignement rappellent, dans leur rapport du 30 avril, que “depuis 2008, des progrès ont été réalisés en matière de mutualisation des capacités, notamment en ce qui concerne le renseignement d’origine électromagnétique, opéré par la DGSE au profit de l’ensemble de la communauté du renseignement”.

Les parlementaires proposent même d’aller plus loin, de “renforcer les capacités exploitées par la DGSE” et de “consolider l’accès des autres services aux capacités mutualisées de la DGSE”.

La cible : les “métadonnées”

Les services de renseignement cherchent non pas le contenu des messages, mais leur contenant. Il est plus intéressant de savoir qui parle et à qui que d’enregistrer ce que disent les gens. Plus que les écoutes, ce sont ces données techniques, les “métadonnées”, qu’il s’agit d’éplucher.

La DGSE collecte ainsi les relevés téléphoniques de millions d’abonnés – l’identifiant des appelants et des appelés, le lieu, la date, la durée, le poids du message. Même chose pour les mails (avec possibilité de lire l’objet du courrier), les SMS, les fax… Et toute l’activité Internet, qui passe par Google, Facebook, Microsoft, Apple, Yahoo!… C’est ce que la délégation parlementaire au renseignement appelle très justement “le renseignement d’origine électromagnétique” (ROEM), traduction du Sigint (signal intelligence) de la NSA.

Ces métadonnées permettent de dessiner d’immenses graphes de liaisons entre personnes à partir de leur activité numérique, et ce depuis des années. De dessiner une sorte de journal intime de l’activité de chacun, tant sur son téléphone que sur son ordinateur. A charge ensuite pour les services de renseignement, lorsqu’un groupe intéressant a été identifié, d’utiliser des techniques plus intrusives, comme les écoutes ou les filatures.

Un supercalculateur boulevard Mortier

Le dispositif est évidemment précieux pour lutter contre le terrorisme. Mais il permet d’espionner n’importe qui, n’importe quand. La DGSE collecte ainsi des milliards de milliards de données, compressées et stockées, à Paris, sur trois niveaux, boulevard Mortier, dans les sous-sols du siège de la DGSE.

Le directeur technique de la DGSE depuis 2006, Bernard Barbier, a évoqué le dispositif en public à deux reprises, en 2010, lors du Symposium sur la sécurité des technologies de l’information et des communications, puis devant l’Association des réservistes du chiffre et de la sécurité de l’information, des propos rapportés sur de rares sites spécialisés, dont Bug Brother, le blog de Jean-Marc Manach hébergé par Le Monde.

Bernard Barbier a alors parlé du “développement d’un calculateur à base de FPGA” (des circuits logiques programmables), qui est “probablement le plus gros centre informatique d’Europe après les Anglais”, capable de gérer des dizaines de pétaoctets de données, – c’est-à-dire des dizaines de millions de gigaoctets. La chaleur dégagée par les ordinateurs suffit à chauffer les bâtiments de la DGSE…

La France est dans le top 5 en matière de capacité informatique, derrière les Etats-Unis, la Grande-Bretagne, Israël et la Chine. M. Barbier estimait à 4 milliards le nombre d’objets connectés en 2013, avec un débit de l’ordre de 1 milliard de communications simultanées. “Aujourd’hui, nos cibles sont les réseaux du grand public, indiquait le directeur, parce qu’utilisés par les terroristes.”

La DGSE, à la tête de “la plus forte équipe de crypto-mathématiciens” de France, pénètre les systèmes informatiques – et collecte évidemment des millions de données personnelles.

Un renseignement “mutualisé”

Les autres services de renseignement français ont accès en toute discrétion à cette gigantesque base de données, sobrement baptisée “infrastructure de mutualisation”. Il s’agit de la direction du renseignement militaire (DRM), la direction de la protection et de la sécurité de la défense (DPSD), la direction centrale de la sécurité intérieure (DCRI), la Direction nationale du renseignement et des enquêtes douanières (DNRED), de Tracfin et même du petit service de renseignement de la préfecture de police de Paris.

Selon le Sénat, 80 % des moyens de la direction technique de la DGSE sont utilisés par ces autres services. Chacun donne le nom de la cible visée à son interlocuteur de la DGSE, qui répond “hit” (touché) ou “no hit” selon qu’elle figure ou non dans la base de données. Puis les services de la DGSE rendent intelligibles les métadonnées, en y ajoutant du renseignement classique.

Les demandes de consultations sont loin de se limiter au seul terrorisme ou à la défense du patrimoine économique. Le libellé très flou de la protection de la sécurité nationale permet notamment d’identifier les entourages de personnalités au plus haut niveau de l’Etat, quelles que soient leur qualité et la nature des liens espionnés.

Absence de contrôle

Le dispositif est parfaitement illégal – “a-légal”, corrige l’un des patrons d’une des agences de renseignement. “Le régime juridique des interceptions de sécurité interdit la mise en œuvre par les services de renseignement, d’une procédure telle que Prism, assure la Commission nationale de l’informatique et des libertés (CNIL). Chaque demande de réquisition de données ou d’interception est ciblée et ne peut pas être réalisée de manière massive, aussi quantitativement que temporellement. De telles pratiques ne seraient donc pas fondées légalement.” La CNIL ne peut infirmer ou confirmer l’existence du système français – elle n’a d’ailleurs pas accès aux fichiers de la DGSE ou de la DCRI.

La loi encadre certes strictement les interceptions de sécurité, autorisées par le premier ministre, sur avis de la Commission nationale consultative des interceptions de sécurité (CNCIS), mais n’a en rien prévu un stockage massif de données techniques par les services secrets. “Voilà des années que nous sommes dans l’autorisation virtuelle, confie l’un des anciens patrons des services. Et chaque agence se satisfait bien de cette liberté permise grâce au flou juridique qui existe autour de la métadonnée.”

Un parlementaire confirme “qu’une grande part des connexions électroniques en France est effectivement interceptée et stockée par la DGSE”. Mais officiellement, “l’infrastructure de mutualisation” n’existe pas.

Le Monde

Commentaires (6)

  1. C’est genre on vient d’inventer la poudre; les voisins s’équipent (Chine, US, UK …), mais bon faut pas toucher c’est pas moral, et pas grave si on se fait piller nos technos.

  2. ” Nous avons posé nos questions à Eric Filiol (directeur de laboratoire de virologie et de cryptologie informatique, hacker incontesté) pendant le “Hack in Paris” 2013. Nous avons abordé des sujets tels que PRISM (Snowden), ECHELON, sécurité informatique, vie privée, démocratie, formation des élites et des répercussions de la surveillance informatique à l’échelle étatique dans la vie des citoyens et des entreprises. ”

    http://www.youtube.com/watch?feature=player_embedded&v=Fn_dcljvPuY

    http://prism-break.org

  3. Comme le rappelle Filiol, Echelon existait avant le 11 septembre. Le Patriot Act a encore facilité cette surveillance, par des mesures crescendo, sous Bush comme sous Oboma. Donc rien de nouveau concernant Prism, si ce n’est que certains bisounours de l’union européenne ont dû être surpris que certains “alliés” les espionnaient 24h/24.

    D’autres ont pu aussi être surpris que la cible soit moins militaire (de toute façon, depuis notre entrée dans l’OTAN, il doit plus y avoir grand chose d’inconnu pour les US) que commerciale: et oui, nous sommes en pleine guerre économique.

    Il faut bien se rentrer dans le crâne que tout ce qui passe sur internet est potentiellement lisible. Même avec SSL, votre contenu est au final stocké sur un serveur quelque part.

    Si vous avez vraiment des choses à protéger (business ou autre), la solution est le chiffrement côté client, stocké ou non ensuite sur serveur: par exemple, Wuala (solution suisse), Mega (le nouveau site de Kim Dotcom) et Truecrypt (utilitaire libre).
    Après, il faut aussi s’assurer qu’aucun keylogger ou autre spyware n’est installé, sinon votre mot-de-pase est récupérable. Certains vous diront aussi que Windows et MacOS sont bourrés de backdoors par la NSA et qu’il vaut mieux travailler sous Linux, FreeBSD ou OpenBSD. C’est pas faux. D’autres vous diront que la NSA connait des failles non publiques sur les algos de chiffrement. Pourquoi pas.

    Du coup, je me marre que je vois de grands groupes français tolérer Dropbox ou Google Docs chez leurs employés. Ils s’imaginent pas que leurs concurrents US ont toute facilité pour lire leurs docs:

    -Robert: “Allo Monsieur le Sénateur US, c’est Robert, de la société X. On soupçonne notre french concurrent de travailler avec des terroristes.”
    -Le sénateur: “Oh mais c’est grave tout ça. Je vais discrètement lancer une rapide enquête. Grâce au patriot act, c’est rapide et sans tracas administratifs.”
    -Robert: “Merci à très bientôt”.
    2 jours plus tard…
    -Le sénateur: “Salut Robert. Après enquête, on a rien trouvé. Je vous envoie quand même tout ce que l’on a récupéré, il y a des documents qui peuvent vous intéresser, genre plan stratégique. Au fait, n’oubliez pas votre subvention au parti.”

  4. ALCATEL est le premier fabricant, installateur, et provideur de projet clés en main au Monde de Câbles Sous Marin par lesquels passent l’essentiel des communications et du traffic internet……

  5. La véritable question est pour quoi faire?

    Comme l’a rappelé @barbapapa, pas question de jouer les bisounours! Les entreprises du CAC40 feraient bien de s’inspirer de la DGSE et de la DCRI en matière de sécurité….

    Mais il ne faudrait pas que ces merveilles de technologies servent à nous fliquer, tout ceci pour des motifs futiles….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>