Mon blog-notes à moi que j'ai

Blog personnel d'un sysadmin, tendance hacker

La loi renseignement expliquée à mes parents

Mes parents adorent Internet. Ils trouvent ça génial.
Mais ils ne le comprennent pas. Du tout…
Non parce qu’ils ne veulent pas le comprendre, juste parce que… ça les dépasse, de très loin.

Du coup, pour leur expliquer la Loi Renseignement et notamment son volet Internet, je suis bien embêté. Y a des trucs techniques dedans, très techniques. Pourtant, les enjeux sont tout sauf techniques.

Et tant mieux au final.
Tant mieux parce que cela rend le texte abordable au plus grand nombre, ou presque. Reste qu’il faut l’expliquer, encore et toujours.

Inlassablement.
Pour que les gens comprennent et réfléchissent… ou pas.

Non à la survaillance de masse

Il était une fois la démocratie

Il y a longtemps, plus de 2 siècles et demi c’est vous dire, un mec a théorisé la séparation des pouvoirs.
Ce mec, c’est Montesquieu. Mais si vous connaissez, le siècle des Lumières, tout ça.

C’était loin d’être un abruti. C’était même une espèce de geek de la philo, entre autres et dans son genre.
Et ce bonhomme là a juste couché par écrit 1 ce qui est devenu le fondement absolu des démocraties occidentales (rien que ça): l’idée selon laquelle on ne peut laisser tous les pouvoirs entre les mêmes mains.

Du coup, on a confié au législateur le pouvoir de voter (ou pas) les lois, au gouvernement celui de les faire respecter (pouvoir de police) et au judiciaire celui de condamner ceux qui l’enfreignent (et qui ont été attrapés par les forces de police).
Mais, surtout, ces 3 pouvoirs sont censés se contre-balancer mutuellement de manière à ce que la dérive de l’un puisse être sanctionnée par les autres.

Vu comme ça, c’est propre, c’est carré, personne ne peut abuser du système.
C’est pas pour rien si ce principe a émergé comme fondement de toutes les démocraties occidentales.

Du renseignement dans une démocratie

Le renseignement est vital. Pour nos économies modernes encore plus. Il faut anticiper les menaces, quelques soient leurs formes (et elles sont nombreuses).
Le renseignement s’effectue de manière discrète, si ce n’est secrète. Par définition. Sur un plan géographique, le renseignement est dit « intérieur » lorsqu’il s’exerce à l’intérieur des frontières ou qu’il vise des ressortissant du pays considéré. Il est réputé « extérieur » dans les autres cas.

Les services de renseignement sont au service de leurs pays respectifs. Le principe est donc d’espionner tout le monde en dehors du pays, sans se poser trop de questions. À l’intérieur, c’est un peu plus compliqué. Il existe en effet des risques non négligeables de dérives, entre autre dûes au secret entourant les opérations de renseignement.

Il faut donc poser des garde-fous. Ceux-ci sont fondamentaux.
En règle générale, les démocraties ont choisi, là encore, de séparer les pouvoirs. Un service de renseignement dédié à l’extérieur (la DGSE pour la France), un autre pour l’intérieur (la DGSI chez nous). Chacun est plus ou moins encadré par des règles plus ou moins précises, plus ou moins contrôlé par le parlement ou les juges, ça dépend des pays, mais l’idée est là.

Au fil du temps cependant, une certaine porosité est apparue, au nom de l’efficacité. Dans le principe, rien à redire, il s’agit d’échanger de l’information, mais aussi des techniques. Pourquoi pas.
La théorie veut, à juste titre, que les services de renseignement extérieurs puissent avoir des informations qui intéressent les services de renseignement intérieur, et vice versa. C’est une évidence, notamment à l’heure de la mondialisation.

Le dérapage

On est bien loin aujourd’hui de l’image d’épinal concernant le renseignement. Le renseignement aujourd’hui s’appuie tout autant, si ce n’est plus que d’autres secteurs, sur les technologies informatiques et telecom.
Certes, l’utilisation des sacro-saints micros ou caméras espions a toujours cours, mais il faut bien avouer que leur utilité est quelque peu relative à l’heure d’Internet et du téléphone portable. À cela rien de surprenant ni de scandaleux. Les techniques évoluent, les services de renseignement s’y adaptent.

Naturellement donc, les services de renseignement de la planète se sont mis à niveau et ont développé des techniques d’interception de l’information sur les réseaux de téléphonie mobile, mais également sur Internet.

À l’été 2013, on en a d’ailleurs eu un « aperçu » grâce à Edward Snowden.
Il a révélé au grand public que la NSA, service de renseignement extérieur des États-Unis avait mis en place tout un tas de techniques de recueil du renseignement. Problème: la NSA récupérait tout ce qui passait à portée de ses oreilles, quelqu’en soit l’origine. La NSA, service de renseignement extérieur des USA a donc été prise « la main de sac » à espionner des citoyens américains.

D’un coup d’un seul, on découvrait que cette belle démocratie espionnait sa propre population.
Cet espionnage de masse a été rendu possible grâce au « Patriot Act », loi votée aux États-Unis dans la foulée des attentats du 11 septembre 2001 et régulièrement prolongée depuis (la prochaine échéance est d’ailleur le 1er juin 2015).

En France, officiellement, on ne pratique pas l’espionnage de masse. Même si… mais c’est encore un peu tôt :)

Au moins, petite fierté nationale, nous pouvons dire que nos services de renseignement jouent en « première division », malgré des moyens financiers et humains sans commune mesure avec ceux de la NSA.
De plus, nous échangeons beaucoup d’informations avec nos amis d’outre-atlantique (mais aussi ceux d’outre-manche, d’outre-rhin, etc…).

Comme le dit si bien un spécialiste du renseignement: « la NSA nous a sauvé les fesses de nombreuses fois, le fait toujours et le fera sans doute encore à l’avenir ».

La loi Renseignement

J’en arrive au projet de loi proprement dit. Parmi les nombreux points qui posent question, il en est certains qui me gênent plus que les autres.

Légaliser l’illégal

C’est l’objet premier du projet de loi.

Au fil du temps, les services de renseignement se sont dotés de matériels et techniques de renseignement particulièrement pointus. Seul problème: l’utilisation de certaines techniques, comme les IMSI catchers, est aujourd’hui absolument illégale.
Selon le gouvernement, elles sont « alégales ». En réalité, elles sont bel et bien illégales. Il était d’ailleurs grand temps de « régulariser » la situation, comme le souligne l’exposé des motifs de la loi:

la France est le seul pays occidental qui n’avait aucun cadre juridique permettant d’encadrer les activités de renseignement.

Le premier objet du projet de loi est donc bien de légaliser des pratiques illégales et de protéger les fonctionnaires concernés d’éventuelles poursuites.
L’exposé des motifs de la loi ne s’en cache même pas:

En premier lieu, les agents des services spécialisés de renseignement, dont la protection de l’anonymat a pourtant été renforcée par le législateur en 2011 et en 2013, demeurent exposés à des risques pénaux injustifiés

Sauf que… si on ressent le besoin de légaliser des pratiques établies, c’est qu’elles pouvaient, potentiellement, tomber sous le coup de la loi française.
Le corrolaire de ça, c’est qu’il s’agit de légaliser des pratiques de surveillance mises en œuvre par les services de renseignement français, sur le territoire français ou visant des citoyens français.

Et c’est bien là que le bât blesse: lorsque je vois les pratiques que le projet de loi légalise, je me dis que la population française est, vraisemblablement, déjà sous surveillance.
Malgré les dénégations officielles du ministère de l’Intérieur et du Premier Ministre sur le sujet, il est à craindre que la surveillance de masse soit d’ores et déjà appliquée en France.

Et donc cette loi consiste donc en une sorte d’aministie générale.

Élargir le champ d’action des services

Les précédents textes régissant l’activité des services de renseignements, notamment intérieurs, limitaient leur champ d’action à 5 types d’informations

  1. La sécurité nationale
  2. La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France
  3. La prévention du terrorisme
  4. La prévention de la criminalité et de la délinquance organisées
  5. La prévention de la reconstitution ou du maintien de groupements dissous

Le projet de loi, entre autres, en introduit de nouveaux, et notamment:

La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale ou de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212-1

Derrière cette dernière phrase d’apparence anodine, et en fonction de son interprétation, on peut mettre un peu tout et n’importe quoi, par exemple:

  • les groupuscules d’extrême gauche et droite (oui et c’est même assumé, en tout cas pour les groupes d’extrême-droite. Il est vrai que les Anarchistes ne sont en aucun cas susceptibles de rentrer dans la catégorie « atteinte à la forme républicaine des institutions »… ou pas?)
  • les opposants au barrages de Sivens?
  • les opposants à l’aéroport Notre Dame des Landes?
  • la manif pour tous?
  • Dieudonné?
  • Jean Roucas?
  • vous & moi?

Plus, potentiellement, toute autre association (au sens groupement de personne, pas structure juridique) ou syndicat qui pourrait, un jour, déplaire au pouvoir en place.

Du coup, on peut s’interroger sur l’insistance de l’exécutif d’utiliser comme seul et unique argument la lutte contre le terrorisme pour justifier le projet de loi.

L’auto-contrôle de l’exécutif

Nos chers politiques l’ont promis, et c’est également dans l’exposé des motifs: il y aura bien des contrôles

Il reste surtout à encadrer l’utilisation des techniques de recueil du renseignement pour renforcer la protection des libertés individuelles

Ouf, on respire mieux, pour un peu on aurait eu peur…

Reste que ces contrôles sont pour le moins nébuleux: ils seront réalisés par une commission, la CNCTR. Mais elle ne rend qu’un avis, que le Premier Ministre décide de suivre, ou pas. La composition de la commission est, certes, pluraliste, mais ses membres sont nommés par décret. Le même décret (de Matignon?) désigne le président de la CNCTR.

La CNCTR a, par défaut et via son seul président, 24h pour rendre son avis. Si elle a un doute, elle peut se réunir et doit donner son avis sous 3 jours ouvrés. L’absence de réponse vaut acceptation.
En cas « d’urgence », l’exécutif peut même recueillir l’avis de la CNCTR après la mise en place de la surveillance, et ce dans un délai de 24h.

Ceci signifie donc que le seul verrou « contraignant » se situe à Matignon. Malheureusement donc, le pouvoir exécutif se « contrôlera » donc lui-même.

Possibilités de recours

Les possibilités de recours existent.
Mais seule une personne « directement concernée » par une éventuelle surveillance, ou la CNCTR elle-même, peut l’exercer. Encore faut-il savoir que l’on est surveillé puisque, par essence, cette surveillance sera secrète.

De plus, ce recours s’effectue par saisine de la CNCTR, ou Conseil d’État. Lorsque l’on connait le parcours du combattant pour s’adresser au conseil d’État, et ses temps de réponse, on ne peut que douter de l’efficacité du recours.

L’exécutif met donc en place une chaîne décisionnelle ultra-rapide, entre 24h et 3 jours, pour mettre en place une surveillance, mais dans le même temps le moindre recours se transforme en course d’endurance.

Les techniques de renseignement

Je dois, malheureusement, aborder quelques aspects techniques de la loi. Je vais essayer de faire au mieux. Ne partez pas!

Sonorisation du domicile & géo-localisation

Pour faire simple, les services de renseignement pourront poser micros et caméras à votre domicile sans aucun contrôle d’un juge.
Là encore, seule l’autorisation du Premier Ministre est requise.

Il s’agit là d’un recul extrêmement grave de l’inviolabilité du domicile et de la protection de la vie privée.

De la même manière, les services pourront géolocaliser n’importe qui en utilisant par exemple des balises GPS sur les véhicules (cette disposition vient « utilement » compléter l’article 13 de la Loi de Programmation Militaire votée à l’automne dernier qui autorise la géo-localisation de votre téléphone mobile).

Là encore, aucun contrôle d’un juge.
Là encore, une immixtion inadmissible dans la vie privée des citoyens sans contrôle judiciaire.

Juste comme ça en passant, l’inviolabilité du domicile découle du respect de la vie privé reconnu par l’article 9 du code civil et par les articles R. 226 et suivants du code pénal, lui même déduit de la liberté reconnue à tous par l’article 2 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 (un truc made in France encore).

Cette loi remet donc en cause votre droit à la vie privée. 3 fois rien…

Identification & interception des téléphones mobiles

La téléphonie mobile est évidemment concernée.
Les services de renseignement seront autorisés à recourir à un « IMSI catcher ». Derrière ce nom barbare se cache ni plus ni moins qu’une fausse antenne relais de téléphonie mobile.
De la taille d’une valise, elle est évidemment transportable. Tous les téléphones portables à proximité se connecteront dessus.

Cette valise a donc la possibilité d’intercepter tous les échanges entre un téléphone et son réseau: vos SMS et appels n’auront plus de secret pour les services de renseignement si vous passez à portée d’un « IMSI Catcher ».

Problème: un jour, immanquablement, le vôtre se retrouvera dans la liste. Vous n’en saurez rien, mais vous apparaîtrez sur l’écran radar des services de renseignement pour vous être trouvé au mauvais endroit au mauvais moment (et à votre insu).

Ici, il s’agit bel et bien de surveillance de masse. Un « IMSI catcher » ne saura pas faire la différence entre le téléphone mobile d’un bon citoyen et celui d’un vilain méchant terroriste. Il ramassera toutes les informations possibles de tous les téléphones à sa portée.

L’État sera donc capable de déterminer que vous étiez à un endroit relativement précis à un moment qui l’est encore plus. Ils n’en feront peut-être rien (mais comment en être sûr quand tout est secret?) mais ils auront l’information.
Seriez-vous d’accord pour être suivi dans la rue par un fonctionnaire de Police où que vous alliez? C’est pourtant ce à quoi vous serez exposés.

Interception de communications Internet

Le gouvernement pourra imposer aux fournisseurs d’accès Internet, mais également aux fournisseurs de service internet (Youtube, Google, Facebook, …), l’installation de « boîtes noires » dans leur réseau.
Le but avoué est de pouvoir détecter une menace terroriste.

Plus précisément, il s’agit de pouvoir détecter un comportement déviant, par exemple quelqu’un qui irait consulter des vidéos faisant l’apologie du terrorisme.
Ce qu’on oublie de préciser, c’est que pour pouvoir qualifier un comportement de déviant, il faut d’abord qualifier un comportement normal. Cela nécessite de surveiller tout le monde.
Nous somme donc d’évidence en plein dans la surveillance de masse. De la même manière que pour les téléphones mobiles, il est impossible de distinguer les communications des bons citoyens de celles des méchants terroristes assoiffés de sang.

De plus, cette détection sera effectuée au moyen d’algorithmes secrets. Ceci signifie que les critères permettant de déterminer un comportement déviant ne seront jamais publics.
Vous n’aurez donc aucun moyen de contester quoique ce soit. Vous ne pourrez même pas utiliser d’éventuels défauts dans ces algorithmes pour vous défendre puisque vous n’aurez jamais accès à ces derniers.

Mieux encore, les fournisseurs de prestations de cryptologie sont tenus de remettre aux services de renseignement les clefs permettant de déchiffrer les communications, et ce sans délai. Tellement pratique pour pouvoir déchiffrer, à la volée, toute communication interceptée par les « boîtes noires ».

Encore et toujours, surveillance de masse.
Contrairement à ce que le gouvernement veut vous faire croire, la collecte des données de connexion sera de toute évidence massive. L’éventuel ciblage n’interviendra qu’ensuite et pourra déboucher sur des mesures de surveillances, mobilisant bien plus de ressources notamment humaines.

Accepteriez-vous qu’un fonctionnaire de Police s’installe dans votre salon et regarde par dessus votre épaule quels sites internet vous visitez, quelles vidéos Youtube vous regardez, ce que vous y lisez et y publiez et enfin avec qui vous communiquez par mail ou via une messagerie instantanée?

Rétention des données

La durée de rétention des données pose elle aussi questions.
Notamment, en cas de communication chiffrée (lorsque vous surfez sur Facebook ou consultez vos mails sur Google, la communication est chiffrée), les informations pourront être conservées au plus tard 30 jour après leur exploitation, c’est-à-dire à partir du moment où les services auront réussi à la déchiffrer.

Seule ombre au tableau: de plus en plus de communications sur Internet sont chiffrées. Suite aux révélations Snowden, de plus en plus de services Internet chiffrent les communications de manière systématiques.

Sans les clefs, les déchiffrer peut prendre des années. Pendant ce temps là, elles resteront soigneusement stockées par les services de renseignement, « des fois que »…

De l’efficacité de la loi

Selon le préfet Alain Zabulon, coordonnateur national du renseignement, il y aurait en France « 3000 personnes qui, représentent, à des degrés d’intensité variable, une menace pour notre sécurité » et qui devraient donc être surveillés par les services de renseignement (comprendre 3000 terroristes potentiels). Et le tout en ne tenant compte que d’un seul champ d’application de la loi (rappelez-vous, il y en a 7).
Le gouvernement va donc collecter les informations de connexion de 66M de français, pour en surveiller 3000, soit 0,0045%.

Je ne doute pas qu’ajouter le crime organisé fasse grimper le compteur, mais tout de même: même en comptant très large, j’espère, on peut grimper à 100000 personnes, soit 0,15% de la population.
Croyez-vous un seul instant que l’on aura les moyens de surveiller étroitement tout ce monde là? Certainement pas puiqu’il faut entre 18 et 20 fonctionnaires de police pour surveiller efficacement, comprendre sans être découvert, un individu.

La logique est donc de considérer que l’on va espionner, de manière automatique, toute la population pour détecter celles qui feront l’objet d’une surveillance rapprochée. Si, techniquement, la collecte des informations est réalisable, leur exploitation nécessite, elle, des moyens que nous n’avons pas. Vaste blague donc que de considérer que cette surveillance sera d’une quelconque efficacité contre le terrorisme lorsque l’on se souvient que les frères Kouachi n’utilisaient pas ou peu Internet.

Enfin, rappelons que le seul résultat tangible du « Patriot Act » et de la surveillance de masse opérée par la NSA durant près de 15 ans aura été l’inculpation d’une seule personne.

Pour une seule personne inculpée en 15 ans, combien d’individus mis sous surveillance?

Pour finir

Ce projet de loi est sans aucun doute liberticide.
Il accentue de manière inouïe le déséquilibre entre pouvoir de l’exécutif et droits du citoyen en faveur du premier.

Des droits autrefois fondamentaux sont balayés d’un revers de main sous l’argument de la « sécurité » et plus précisément de la « lutte contre le terrorisme ». Sans nier la nécessité de cette dernière, il convient de nuancer le discours officiel qui ne parle que de la lutte contre le terrorisme pour justifier le texte.

La lutte contre le terrorisme ne représente qu’une catégorie sur les 7 visées par ce texte. Il est donc vital de prendre du recul sur les choses pour réfléchir sereinement à la proportionnalité entre la portée de ce texte et sa destination officielle.

Au passage, on a récemment appris que la DGSI cherche à réécrire l’histoire en pleine traque des frères Kouachi après l’attentat contre Charlie Hebdo.

On pourrait considérer cela comme une bonne nouvelle: après tout, qu’avons nous à craindre finalement d’un service qui accumule boulette sur boulette en matière d’anti-terrorisme?
En fait, c’est plutôt l’inverse en ce qui me concerne: les dysfonctionnements répétés de la DGSI en matière d’anti-terrorisme me font craindre le pire quant au risque de dérives avec cette nouvelle règlementation.

Car les dérives auront lieu.
Nous les avons eues avec le fichier STIC qui permettaient à certains policiers d’arrondir leur fin de mois.
Elles pourront avoir lieu, et auront lieu, avec la Loi Renseignement, peut-être même de manière beaucoup plus spectaculaire car d’une part beaucoup plus discrètes, mais surtout beaucoup plus invasives en matière de vie privée.
J’aurai l’occasion de revenir sur ce point.

Au nom de l’efficacité et de la lutte contre le terrorisme, le pouvoir politique risque de créer un sentiment d’impunité au sein des services de renseignement ce qui augmentera d’autant le risque de dérives.

Ne vous faites aucune illusion, le champ d’application ou la liste des organismes habilités (pourtant déjà bien larges l’un et l’autre) de la loi seront élargis.
Ce n’est pas une hypothèse, c’est une certitude.

Nous tous, et la démocratie, allons en payer le prix, et l’addition sera salée.

Vous n’êtes pas d’accord avec cette loi? Dépéchez-vous, vous n’avez que jusqu’au 16 avril pour appeler votre député et lui expliquer à quel point il a tort de la voter.

Vous ne connaissez pas son numéro de téléphone? La Quadrature du Net a ce qu’il vous faut: sous-surveillance.fr

Appelez! Maintenant. Avant qu’il ne soit trop tard…


  1. c’est dans « l’esprit des lois ». Mais si vous connaissez forcément, au moins un peu :)