J’ai un drame dans ma vie en ce moment : je ne suis pas juriste. C’est un drame, toutes proportions gardées, car je me retrouve telle la poule ayant trouvé un couteau, face au projet de loi Renseignement (PDF, 1,5Mo). Moi qui suis informaticien de formation, je suis bien incapable de déchiffrer ce document de 39 pages (12 pages d’explications, 5 pages d’avis du Conseil d’État, le reste pour le projet de loi lui-même). J’ai tout de même décidé de me focaliser sur une partie précise, celle qui instaure la surveillance de masse à des fins de lutte contre le terrorisme.
Pour ceux que ça intéresse, c’est page 21 du document communiqué à la presse (Article 2).
Ce qui est intéressant, ce sont les articles L. 851-3 et L. 851-4. Je décrypte[1] et je partage ici le résultat de ce que j’arrive à percevoir. Il n’est pas exclu que je fasse des approximations. S’il y a des juristes parmi mes lecteurs, je serai ravi de corriger ce texte là où il le mérite (contactez-moi par mail : tristan à mon-nom-de-famille point com
ou dans les commentaires ci-dessous).
Article L. 851-3 : écoute ciblée en temps réel sur Internet
De quoi parle-t-on exactement ?
- Pourquoi : « pour les seuls besoins de la prévention du terrorisme ».
- Demandée par : des agents des services de renseignement.
- Quoi : La collecte en temps réel des données relatives « à des personnes préalablement identifiées comme présentant une menace ».
- Où ça : sur les réseaux des opérateurs de communications électroniques (Fournisseurs d’accès Internet et téléphonie mobile) et fournisseurs de services en ligne.
Article L. 851-4 : surveillance de masse d’Internet par des boites noires
C’est cet article-là qui sort vraiment du lot à mon sens, dans la mesure où il met en place les premiers mécanismes permettant une surveillance de masse d’Internet, non pas centrée sur des individus, mais sur les comportements de tous les utilisateurs d’un service. Voyons plus en détails :
- Pourquoi : « pour les seuls besoins de la prévention du terrorisme ».
- Demandé par : un fonctionnaire désigné par le premier ministre, après avis de la CNCTRS.
- Quoi : une surveillance algorithmique des méta-données pour détecter une suspicion d’attaque terroriste.
- Où ça : sur les réseaux des opérateurs de communications électroniques (Fournisseurs d’accès Internet et téléphonie mobile) et fournisseurs de services en ligne.
- Ensuite : levée de l’anonymat de ces méta-données et des données pour traiter ces personnes comme des terroristes supposés (donc surveillance dans la vraie vie et sur Internet).
L’exposé des motifs présente ceci sous un jour forcément plus favorable, sa vocation étant de « vendre » le projet de loi :
l’article L. 851-4 prévoit que le Premier ministre peut ordonner aux opérateurs de communications électroniques et aux fournisseurs de services de détecter, par un traitement automatique, une succession suspecte de données de connexion, dont l’anonymat ne sera levé qu’en cas de révélation d’une menace terroriste.
Ce qu’il faut bien comprendre ici, c’est que cet article prévoit la mise en place de boites noires chez les fournisseurs d’accès Internet (Free, Orange & co), et chez les fournisseurs de services Internet (les hébergeurs, les grands services opérant depuis le territoire français) d’ordinateurs chargés de nous surveiller pour pointer du doigt les personnes ayant un comportement suspect. C’est exactement la définition de la surveillance de masse, laquelle a un impact terrible sur nos libertés, comme l’explique Glenn Greenwald, dans son livre sur les révélations Snowden :
la surveillance de masse crée une prison dans l’esprit qui est bien plus subtile mais bien plus efficace pour favoriser la conformité aux normes sociales, bien plus effective que la force physique ne pourra jamais l’être.
Une totale inefficacité
En acceptant la surveillance de masse, nous payons un prix délirant, celui de notre liberté, pour obtenir plus de sécurité. Pourtant, compte tenu des différents outils de chiffrement à la portée de tous, du VPN à TorBrowser en passant par la messagerie instantanée XMPP-OTR, les chances d’attraper les terroristes sont plus que minimes. Nous nous retrouvons dans la situation où la France paye très cher (en terme de libertés) pour finalement n’obtenir aucun résultat. Est-ce vraiment ce que nous voulons ?
Note
[1] Littéralement : retrouver le contenu d’un message sans en avoir la clé.
11 réactions
1 De v_atekor - 25/03/2015, 15:27
Une surveillance des méta-données ? Soit, elles peuvent être utiles, mais pourquoi voudrait-on s'y limiter ? Et puis les méta-données quand on a une cascade de données imbriquées, c'est quoi ? On a du trafic téléphonique UMTS, qui transporte du HTTP qui transporte une page HTML qui transporte une image JPG d'une personne suspecte. La localisation de la photo JPG, c'est considéré comme une méta-donnée de la photo JPG, mais, depuis le protocole UMTS, ce sont des données...
Et pourquoi vouloir se limiter au terrorisme ? Pourquoi ne pas partir directement sur une solution globale bien ficelée qui pourra être appliquée où ce sera nécessaire puisque tous les contre-pouvoirs nécessaires seront déjà pris en compte, sans se demander si on peut faire passer un mafiosi pour un terroriste pour arriver à lui mettre le grappin dessus, pourvu que ce soit un juge qui fasse la demande en accord avec la loi ?
2 De Balthazar - 25/03/2015, 15:29
On peut imager que la détection de l'utilisation de services anonymisants tels que les VPNs (par le biais d'une fuite DNS par exemple) pourrait même contribuer à déterminer qu'une personne possède un comportement suspect. Les hacktivistes et autres défenseurs de la vie privée serait alors rapidement mis sur la liste des personnes douteuses.
Ce texte est une véritable catastrophe.
3 De Philippe - 25/03/2015, 21:11
Faire une campagne, très forte, pour inciter au chiffrement et à l'utilisation de VPN ?
Quand plusieurs milliers d'internautes français seront suspectés ... pour rien, sauf de vouloir rester anonymes, est-ce qu'ils seront en position d'avoir commis un délit ?
Echanger par courrier avec une enveloppe timbrée n'est pas suspect tant que la carte postale simple n'est pas la norme.
4 De 22decembre - 26/03/2015, 00:07
«je ne suis pas juriste» C'est le drame du moment : aujourd'hui, dès que tu fais un truc, tu publie un blog, tu fais une recherche, tu essaye de bricoler chez toi, il faut être juriste !
Et les lois sont de plus en plus écrites pour qu'on ne puisse pas les comprendre !
C'est quand même passablement chiant !
5 De Valérie Marrtin - 26/03/2015, 00:27
Qu'elle est la définition du terrorisme ? On sait déjà que Monsieur le Premier Ministre à peur du FN, cette peur deviendra-t-elle un jour terreur vis-à-vis d'opposants politiques ?
Comment arrive-t-on à une "une succession suspecte de données de connexion" ? Facile on met en place de pseudo sites (pot de miel) djihadistes ou extrémistes et on regarde qui cela attire. En fait on va avoir exactement le même effet qu'avec HADOPI, on va coincer deux trois pékins pas très futés, les vrais terroristes agirons soit avec des moyens numériques très difficilement traçable (et là il faut juste un peu d'imagination) soit tout simplement en dehors d'internet ou du numérique (autant on peut analyser un disque dur, autant un crayon est muet comme une taupe) d'autant plus que l'on parle de terrorisme classique (avec de vraies victimes tuées par de vraies armes, de vrais explosifs... perpétré par des barbares dignes du moyen-âge) pas d'attaques de type 2.0 visant à paralyser des secteurs clés en bloquant des infrastructures numériques (ça viendra... plus la dépendance aux services numériques grandit plus ce genre de risque grandit, je vous laisse imaginer ce qu'une intrusion maligne dans le système informatique disons d'un hôpital pourra causer comme dégâts dans 10 ans. Être interconnecté c'est super jusque au jour ou l'on se rend compte que cela réduit l'autonomie et parfois être autonome c'est une véritable liberté ou sécurité).
Les dernières victimes sur le territoire français d'actes terroristes l'on été avec des armes de guerres provenant probablement d'anciennes zones de conflits proches comme le Kosovo, parle-t-on actuellement de renforcer les moyens pour réduire ce genre de trafic (qui ne sert pas qu'aux terroristes, les Marseillais en savent malheureusement quelque-chose) ? si c'est le cas l'information ne m'est pas parvenue. Car contrairement à Internet qui peut servir à bien des choses, un fusil d’assaut c'est tout de même assez spécialisé comme usage, si on me dit que l'on va revoir les peines encourues relatives aux détentions d'armes illégales, que plus de forces de polices seront affectées pour réduire leur prolifération ou que la coopération internationale va être renforcée sur ce point, oui je veux bien croire que ça peut améliorer la sécurité de la population et rien d'autre. Alors que sniffer tout le trafic national du net, ça me fait 1) tiquer 2) penser à des despotes style Khadafi 3) m'interroger sur l'importance du lobby des fabricants de disque dur dans ce pays, si en plus on me dit que c'est pour mon bien là je me braque et je vais faire ma petite liste : aucun membre du gouvernement, aucun député faisant passer une loi liberticide n'aura plus jamais droit à mon bulletin de vote. Et petit rappel en France quand le peuple en a vraiment marre il descend dans la rue et parfois avec des pics et des fourches et il n'a pas besoin d'internet pour ça.
6 De PJ-BR - 26/03/2015, 14:03
L'inutilité du filtrage de masse est clairement démontrée par le Théorème de Bayes datant de... 1763.
Hypothèse d'école ( reprise du blog d'Econoclaste http://econoclaste.org.free.fr/econ... )
Avec un terroriste pour 1000 habitants et un test sûr à 99% la probabilité qu'une personne détectée comme terroriste potentiel soit réellement un terroriste est de... 9%. Ce qui veut dire que 91% des personnes soupçonnées de terrorisme seront innocentes.
Et si encore on était sûr que les terroristes sont tous pris on pourrait se rassurer. Mais le risque d'innocenter un terroriste existe puisque le test n'est pas sûr à 100%.
En gros on va pourchasser des dizaines d'innocents sans arrêter le terrorisme.
Avec 1 terroriste pour 100 000 habitants (ce qui nous fait un peu moins de 700 terroristes en France) et un test sûr à 70% on tombe à 0,003% des soupçonnés qui sont vraiment des terroristes. Et tout ça sans certitude que les terroristes sont surveillés puisqu'on risque de les innocenter avec le test pas sûr.
Inutile et dangereux.
7 De v_atekor - 26/03/2015, 14:33
Je savais avoir raison sur ma position lors de nos échanges sur ton bouquin, mais je ne savais pas que ce serait démontré si rapidement et de façon aussi radicale. Une démonstration théorique m'aurait suffi, je n'en demandais pas tant.
.
Ce sont de petits joueurs à la NSA. En France, non seulement on légalise l'espionnage de la totalité de la population, qui doit se entrer dans des patrons comportementaux, mais en plus en plus, on le fait aux frais des personnes ciblées : les idées fécondes de Machiavel et Orwell après un tête-à-tête autour d'un repas arrosé.
8 De Stephanou - 26/03/2015, 18:00
@Philippe: Les solutions techniques restent pour l'instant valables, mais c'est une course aux armements et je ne suis pas sûr que nous pourrons la gagner. Par exemple, j'ai appris récemment et par hasard (sur le blog de Cyril Borne) qu'un hébergeur pouvait refuser les connections provenants de Tor.
Partant de là, il semble donc très facile techniquement d'affaiblir ou rendre caduc l'utilisation de tels outils. Il suffira de pondre une énième loi et tous les signes montrent que les gouvernements du monde libre veulent aller dans ce sens.
La solution dans une démocratie devrait donc être politique, mais on voit mal au nom de quoi ce gouvernement et encore moins le ou la gagnante des élections en 2017 ferait marche arrière...
Il est sans doute temps de créer une structure qui pourrait fédérer les gens de bonne volonté (Quadrature, FAI, Hébergeurs, etc) et qui aurait pour mandat de mettre la pression sur nos élus. Le lobbyisme n'est pas réservé à Amesys.
9 De mouldi - 27/03/2015, 00:57
Eclairage d'un juriste sur la loi en question :
http://blogs.lexpress.fr/passe-droi...
10 De v_atekor - 27/03/2015, 10:11
@Stephanou : Pour ma part je suis sûr que nous pourrons que la perdre.
.
Il est temps de proposer une solution alternative crédible, qui remette le juge dans la boucle, et qui soit plus efficace ; et même simplement "efficace" pour ces missions. Il faut en revenir à une approche ciblée, qui implique des juges. C'est le seul équilibre des pouvoirs qui permettra une solution équilibrée. La technique suivra.
@ PJ-BR : Merci ! L'inefficacité de la NSA dans cette mission confirme ce que l'on savait déjà : l'approche globale par analyse statistique des comportements est fondamentalement mauvaise. On retrouve ici la pensée magique qui empoisonne notre époque. La démonstration mathématique de l'inutilité de cette approche tient en quelques lignes, mais certains pensent qu'avec un budget suffisant on peut arriver à faire mentir les mathématiques. Ça coûte cher de confondre le budget de la nation avec une baguette magique.
11 De Nowak Richard - 31/03/2015, 08:08
Suite à l'article du monde du 11/03 concernant cette loi permettant au chef de gouvernement de mettre sous surveillance n'importe quel citoyen sans l'a vis préalable d'un juge,
L'appel au juge ne peut résulter que de constats de mouvements considérés par les analystes comme contraire aux lois en vigueur.
La première remarque est qu'un ordinateur n'a jamais tué personne, sauf par électrocution ou parce qu'il vous est tombé sur la tête. J'entends par là que l'organisation de la surveillance générale de la population n'est possible que dans les états n'ayant pas réalisé l'équilibre des pouvoirs ou dans ceux où l'équilibre entre les pouvoirs a été rompu par l'accaparement des moyens techniques de communication, par un pouvoir au détriment des autres. C'est le cas notamment aux USA aujourd'hui. Le pouvoir exécutif à travers des agences comme la NSA crée des chimères qu'il utilise à des fins particulières. Ce que Snowden a mis en évidence. Un exemple en a été la présidence Bush qui a crée des fausses preuves contre l'Irak pour justifier la destruction de ce pays et aboutir à la situation actuelle.
En France la situation est encore plus désespérée, car constitutionnellement, les pouvoirs ne sont pas séparés. Ainsi, il n'y a pas de pouvoir judiciaire mais simplement une autorité judiciaire dont la responsable actuelle, la garde des sceaux a été nommée par le président de l'exécutif. Le pouvoir exécutif tient l'administration du pouvoir judiciaire, la carrière ainsi que la rémunération des juges. ie c'est toujours le pouvoir exécutif qui contrôle toutes les opérations. Ainsi la nomination d'un juge pour décider des suites à donner à la place du premier ministre n'est pas la seule solution.
Tout cela pour montrer que la société française actuelle n'est pas démocratique sur la forme ni respectueuse de la liberté qu'elle proclame dans sa pseudo constitution, d'où le peuple est exclu. Liberté qui n'est pas mise en œuvre sauf pour les 1000 personnes émargeant au budget "Pouvoir publics" et leurs séides de médias sous contrôle " Le premier principe à introduire selon moi est le pouvoir informatif, préalable à la distribution ternaire américaine(législatif, exécutif, judiciaire).
Le pouvoir informatif, avec un président élu par tous, contrôle l'intégrité, la validité, le fonctionnement de la triade données-mémoire-éducation. En tant qu'informaticien vous êtes sensible aux données. A ce niveau. La collecte, l'archivage, et l'accès à celles-ci ressortissent de votre expertise.
Je ne suis pas juriste, juste un citoyen lambda qui cherche à se faire une opinion.