Mon blog-notes à moi que j'ai

Blog personnel d'un sysadmin, tendance hacker

La pilule, vous la préférez bleue ou rouge ?

La communication du gouvernement à propos du projet de loi renseignement est au moins efficace sur un point: il reste dans le flou. Son arme? Le vocabulaire. Explications.

L’audience de mon billet à propos des enjeux non techniques de la loi a eu un succès qui a dépassé toutes mes espérances, et je profite de l’occasion pour remercier toutes celles et ceux qui ont partagé ce billet sur Twitter mais aussi au delà. Merci à tous.
Je pensais en avoir fini avec la vulgarisation. Je me trompais.

Non à la survaillance de masse

Je reprends donc le clavier pour aborder quelques points de vocabulaire qui restent visiblement largement incompris de beaucoup.
À ma grande surprise, et selon ma propre expérience, cette incompréhension concerne d’ailleurs des informaticiens, ceux qui devraient savoir.

Cela vient essentiellement, selon moi, du déphasage qui existe entre « ceux qui savent » (les informaticiens, en tout cas ceux qui s’intéressent un minimum au réseau) et les politiques, qui manient à merveille litote et langue de bois.
Mais elle trouve également sa source dans une méconnaissance des mécanismes des services de renseignement.

Je n’aurai pas la prétention de me poser en expert ès services de renseignement (je ne prétends même pas faire partie des exégètes amateurs en la matière) mais, néanmoins, il me semble que mes maigres connaissances peuvent permettre d’expliquer certaines choses sans craindre de passer pour un parfait crétin.

« Il n’y a pas de surveillance de masse »: FAUX

J’ai arrêté de compter le nombre d’occurences de cet argument, tant il a été dit, répété et martelé par les (rares) défenseurs de la loi.

Puisque l’on vous dit qu’il n’y aura pas de surveillance de masse, nom d’une pipe, faites nous confiance!

Mais là où le technicien et le militant parlent de surveillance de masse, le gouvernement parle, lui, de « simple » collecte massive de données.
Le gouvernement ne parle de « surveillance » que lorsqu’il y a intervention des services de renseignement, donc exploitation des données collectées et intervention de l’humain. La surveillance ne peut donc être massive puisque les dits services n’en ont pas les moyens.

CQFD.

La collecte et la surveillance sont donc deux concepts totalement différents pour le gouvernement. Pour les opposants à la loi en revanche, la surveillance est consubstantielle de la collecte, puisque c’est la définition même d’une société panoptique.

Cette divergence de vue a une conséquence non négligeable en matière de communication:

  1. le grand public frémit d’effroi devant les militants alarmistes1.
  2. le gouvernement va venir à la rescousse pour les rassurer: il n’y aura pas surveillance de masse mais plutôt collecte, ni mieux ni pire que « Monsieur Facebook ».
  3. l’opinion soulagée peut reprendre ses activité normales, ayant de peu échappé à un péril qu’elle croyait imminent…

Au passage, le militant va ramer comme un fou pour contrecarrer ce discours. Mécaniquement, il devient anxiogène pour être entendu, et le gouvernement quant à lui reste rassurant.
À votre avis, qui gagne à ce petit jeu finalement assez proche de Pierre & le loup?

Il faut le dire et le répéter, la collecte massive de données, prévue dans le projet de loi renseignement, entraîne de facto une surveillance généralisée, au sens de la société panoptique.

« Seules les métadonnées intéressent les services de renseignement, pas le contenu »: FAUX

J’avoue que j’aime bien cet argument. Je l’aime d’autant plus que je m’y suis laissé prendre, au début.

Métadonnées, c’est un mot que je connais, qui a une signification dans mon monde d’administrateur système, de technicien.
Du coup, sous l’avalanche d’informations qui a prévalu quand j’ai lu le projet de loi (quelques jours après sa divulgation par le Figaro), c’est presque passé comme une lettre à la poste: finalement, il n’y a pas grand péril à divulguer nos adresses IP.

Parce que, pour un technicien réseau, les métadonnées c’est ça: adresses IP et ports réseau. Pour un informaticien, « qui parle avec qui » revient à identifier quelle adresse IP échange des informations avec quelle autre adresse IP. Ce sont des informations techniques réseau.

Ce paragraphe est destiné aux moins techniques de mes lecteurs. Les autres peuvent passer directement au suivant.
Une adresse IP (IP = Internet Protocol) identifie une machine sur internet. Ça c’est la théorie.
En pratique, lorsque l’on parle d’accès internet ADSL ou par fibre optique, l’adresse IP attribuée à la « box » fournie par votre fournisseur d’accès est partagée entre toutes les machines chez vous (à l’aide d’une technologie appelée NAT (pour Network Adresse Translation). Par exemple, votre ordinateur, mais aussi votre téléphone ou votre tablette connectés en Wifi. Il n’est donc pas toujours possible d’identifier une machine précise, donc la personne qui l’utilise, à partir d’une adresse IP.
En ce qui concerne la téléphonie mobile, c’est encore pire: lorsque vous êtes connectées en 3G ou en 4G, il peut y avoir plusieurs dizaines de millier de téléphones mobiles derrière une seule adresse IP (on appelle ça le CGNAT (pour Carrier Grade Network Address Translation). Du coup, pour savoir quel téléphone ou ordinateur a réalisé une communication donnée sur Internet, les force de l’ordre sont obligées de faire appel à l’opérateur avec des métadonnées réseau. Seul l’opérateur peut faire la correspondance entre les métadonnées réseau et l’identité du client.

Sauf qu’un point m’a fait tiquer: si le gouvernement ne fait ni mieux ni pire que Facebook et consors, il ne va pas se contenter des adresses IP, si?
En fait, les métadonnées qui intéressent les services de renseignement sont, bien évidemment, toutes autres. Si, si, relisez la phrase précédente: « ni mieux ni pire que Facebook »…
Vous êtes certains que ce que l’on reproche à Facebook c’est de stocker les métadonnées réseau?

Je vais être contraint d’aborder quelques point techniques. J’espère que les plus néophytes de mes lecteurs voudront bien m’en excuser.
Ami informaticien, maintenant que j’ai toute ton attention, reprends donc ton modèle OSI à 7 couches, ou sa version simplifiée TCP/IP.

Comparaison des modèle OSI et TCP/IP (source: wikipedia)

Les couches dont l’informaticien parle quand il est question de métadonnées, ce sont les couches 3 & 4 du modèle OSI, pas vrai? Ben oui, les couches réseau et transport du modèle OSI (ou les couches Internet et transport du modèle TCP/IP). C’est ce que j’ai appelé les métadonnées réseau un peu plus haut.

Hé bien, lorsque l’on parle de renseignement, les métadonnées sont en couche 7 du modèle OSI (ou couche application du modèle TCP/IP). Surprise!

Comprenez-moi bien, les services de renseignement vont aussi enregistrer les métadonnées réseau, mais ils ne se contenteront pas que de ça.
Parce que, notamment, ils ne peuvent identifier une personne sur la base des métadonnées réseau seules, en tout cas pas sans aide des opérateurs (cf. plus haut). L’embêtant dans ce cas de figure, c’est qu’en demandant des infos à l’opérateur, vous trahissez votre intérêt pour un numéro de téléphone, ou une ligne ADSL, donc à une personne.
Le meilleur moyen de ne rien dévoiler de vos centres d’intérêts, c’est encore d’obtenir l’information par vos propres moyens2.

Ce que les services de renseignement convoitent particulièrement, et qu’ils appellent métadonnées, sont donc bien des informations de contenu au sens réseau du terme.
Quelques exemples:

  • Champs From, To et Subject pour un mail
  • Entêtes HTTP qui donnent, entre autres, le nom d’hôte du site visité, l’URL, le navigateur, etc…
  • Les identifiants d’accès (nom d’utilisateurs et mot de passe) à, par exemple, une boîte GMail ou un compte Twitter

Toutes ces informations sont appelées métadonnées par les services de renseignement et le gouvernement, mais elles font partie du contenu pour les techniciens réseau.

Et pour les récupérer, il n’y a pas 36 solutions, il n’y en a qu’une seule: le DPI.

Curieux, non?
Exactement la technique que le gouvernement se défend de jamais vouloir mettre en œuvre tant il est démocratique (le gouvernement, pas le DPI, suivez donc un peu). Là, normalement, vous êtes censé hurler…

Bon OK, peut-être ai-je mal interprété les dires du gouvernement.

Sauf que Renaud Vedel, conseiller des Affaires intérieures de Manuel Valls, venu jouer les démineurs volontaires désignés d’office lors de l’enregistrement de l’émission « Atelier des médias » le jeudi 9 avril 2015 à Numa m’a affirmé en off, après l’enregistrement, que « les contenus n’intéressent pas les services de renseignement, au contraire des métadonnées comme, par exemple, l’URL d’une vidéo de décapitation sur Youtube ». Par exemple…

C’est bien connu, l’URL HTTP se trouve aux niveaux 3 & 4 du modèle OSI, hein?… ou pas? On m’aurait menti?

Vous le sentez mieux l’enfumage sur les metadonnées?

Et donc, vraiment pas de contenu?

J’avoue ici ma prudence sur le sujet.

A priori le contenu lui même n’intéresse pas les services de renseignement. Je doute en effet de l’utilité d’intercepter de manière systématique une vidéo Youtube, une page HTML, une image Flickr.
En revanche il est vraisemblable que tout sera enregistré et analysé à partir du moment où vous serez sous surveillance effective. Faut quand même pas que déconner.

Par exemple, on sait que les services de renseignement s’intéressent de très très près aux boîtes aux lettres (électroniques) dormantes3.

Le principe est parfaitement limpide:

  1. Vous ouvrez un compte GMail
  2. Vous partagez les identifiants avec votre complice
  3. Vous rédigez des mails que vous n’envoyez JAMAIS, mais que vous enregistrez comme brouillon
  4. Vous vous déconnectez

Votre complice n’a plus qu’à se connecter à son tour pour consulter le ou les messages et y répondre de la même manière.

Magique, les mails ne circulent quasi plus sur le réseau. Il ne circulent plus qu’entre votre ordinateur et les serveurs de Google, ainsi qu’entre les serveurs de Google et l’ordinateur de votre complice, le tout dans un format très différent du mail « classique ».

Imparable? Pas tant que ça: les sondes Amesys ou Qosmos, pour ne parler que de celles-ci, sont parfaitement capables de « comprendre » le protocole utilisé par GMail ou Facebook mail. Cela signifie que ces sondes peuvent parfaitement reconstituer le message entier à partir du trafic intercepté.

Amusant, non?

Bon, offrons-leur le bénéfice du doute, ils ne s’intéresseront au contenu que de manière ciblée.
De toute façon, la NSA a déjà du mal à gérer le stockage des informations qu’ils récoltent, je doute donc que nos services, si bons soient-ils, parviennent à faire mieux avec les moyens dont ils disposent.

Pour finir

On l’a vu, le gouvernement ne partage pas le même vocabulaire que les informaticien.
Ce n’est pas un scoop, et personnellement j’en suis heureux, tant je me rends parfois compte que mon charabia habituel déroute mes interlocuteurs.

Mais, une bonne fois pour toutes:

  • Les métadonnées qui intéressent les Services ne sont pas (que) les informations techniques réseau, mais bel et bien une partie de ce que les informaticiens appellent le contenu. Le nier est une insulte aux services de renseignement.
    En outre, cela invaliderait une bonne partie de la littérature publiée ces dernières années à propos des services de renseignement.

  • Par définition, les boîtes noires utiliseront du DPI, seul moyen pour pouvoir analyser le contenu réseau pour en extraire les métadonnées qui intérèssent tant les services de renseignement. Le nier est un mensonge.
    Sauf à considérer que les boîtes noires du projet de loi ne sont pas ce que l’on croit. Mais alors cela signifie que les interceptions illégales vont continuer, parce que les services de renseignement ne se contenteront pas des métadonnées réseau seules.

  • Le tout dessine bel et bien une surveillance généralisée. Le nier tient plus de l’argutie et de la communication politique.

Un dessin valant mieux qu’un long discours, voici un croquis, sous License CC-by qui résume le billet. Il est signé Jef Mathiot (@TouitTouit sur Twitter).

Le DPI dans le #PJLRenseignement

La pilule, vous la préférez bleue ou rouge?

Modifications

Mise à jour 1 - 20/04/2015
J’ai modifié les titres pour mettre en évidence l’aspect fallacieux des arguments. J’ai également corrigé l’image du modèle OSI dont le lien était cassé. Merci à Tristan Nitot (@nitot sur Twitter) pour ses remarques.
Mise à jour 2 - 20/04/2015
Intégration du schéma de Jef Mathiot.

  1. Les heures les plus sombres de notre histoire, tout ça…

  2. C’est même pour ça qu’on a inventé les services de renseignements.
    On appelle ça l’indépendance nationale

  3. Cette « confidence », c’est le député Eduardo Rihan Cypel qui me l’a faite, lui aussi à la soirée à Numa.
    Ils devaient être en veine de confidence ce soir là :p