Amendement 437, celui par lequel tout (le trafic) arrive

TL;DR On entend, depuis des semaines (en tout cas ceux qui écoutent), tout et son contraire sur la portée technique réelle du projet de loi sur le renseignement, ses implications en matière de surveillance automatique, l'impact de cette surveillance sur nous, citoyens français, et le risque représenté par le fait que ces techniques de renseignement soit placées sous le contrôle exclusif des gouvernements futurs, dont nous ignorons tout. L'une des clés de compréhension, je pense, est cet amendement 437 négocié par le Gouvernement avec les hébergeurs. Je m'interroge ici sur sa portée réelle, et ce que cet article décrit concrètement.

En faisant ma balade matinale sur mes sources d'informations en ligne habituelles, je suis tombé un article d'Olivier sur l'excellent Reflets.info. L'article en question dénonce, à juste titre, la démence du dispositif technique imposé aux hébergeurs, à savoir les fameuses "boîtes noires". Le lecteur attentif l'aura noté, je parle de cette obligation ni au conditionnel, ni au passé.

Comme le mentionne Olivier, le gouvernement a été contraint, sous la pression des hébergeurs, à mettre un peu la pédale douce sur ses tentations Orwelliennes et à proposer l'amendement (le 437) d'un article, le L.851-4. L'article vise à contraindre les hébergeurs1 et les opérateurs télécom2 à installer des équipements d'interception (des sondes) et de traitement automatique en coeur de réseau 3.

De tels dispositifs, du point de vue des hébergeurs :

  • sont impossibles à contrôler (genre Secret Défense, tout ça) ;
  • représentent un point de défaillance éventuelle ainsi qu'une faille de sécurité potentiellement très critique puisqu'il est par définition impossible de les auditer ;
  • comme tous les équipements informatiques, sont à placer physiquement quelque part, à alimenter en énergie, en bande-passante, à refroidir, etc. Toutes choses qui représentent un coût tout sauf négligeable ;
  • représentent une menace pour le réseau qui l'héberge. En effet, étant totalement hors de contrôle de qui que ce soit, hormis des services de renseignement eux-mêmes, certains paranoïaques pathologiques (dont je fais partie comme l'écrasante majorité de ceux qui connaissent deux trucs sur la Chose Informatique) soupçonnent que ces équipements sensés fonctionner en mode "passif" (j'écoute le trafic), une fois implantés en coeur de réseau, pourraient passer dans un futur proche en mode "actif" (je modifie le trafic) ;
  • posent peut-être d'autres problèmes que je n'ai pas identifiés.

Philippe Bourcier, l'hébergeur que cite Olivier dans Reflets, interprète pour ses collègues cet amendement, particulièrement l'introduction du principe de proportionnalité et de la notion de champ technique. Il nous donne aussi une idée des conversations ayant eu lieu off the record.

Il ne s'agira "plus" pour les hébergeurs, après que l'autorisation en ait été donnée par le Premier Ministre ou l'un de ses sbires et qu'il ait défini le champ technique sur lequel s'applique l'écoute, que de mirrorer le trafic vers un port d'un ou plusieurs équipements ou serveurs. In a nutshell (Philippe Bourcier s'adresse à ses confères hébergeurs) :

donc c'est vous qui faites un port-mirroring du port d'un ou plusieurs serveurs/IPs

Un port, c'est un numéro arbitrairement attribué à un type de service Internet. Par exemple, lorsque vous consultez une page web, c'est le port 80 (ou le port 443 si vous la consultez dans sa version "sécurisée") qui sera sollicité. Le port mirroring (tiens, marrant en français on dit créer un port d'écoute) consiste à "copier" en temps-réel le trafic destiné à un ensemble de serveurs et de diriger le nouveau flux vers les équipements espions. Dans cette interprétation, c'est ainsi que la notion de champ technique est restreint puisque l'on doit désigner quels types de services, fournis par quels serveurs, subiront le mirroring.

Pour les juristes (j'ai vérifié auprès de l'un d'eux), le principe de proportionnalité prend en compte d’un côté l’atteinte à la vie privée (la largeur du champ technique) et de l’autre, la nécessité de capter des renseignements. C’est au Premier ministre d’apprécier si la demande de captation est proportionnée au renseignement recherché, puis à la CNCTR (l’autorité de contrôle) de vérifier si l’autorisation du Premier ministre a fait une juste application de ce principe de proportionnalité. Niveau "contrôle", avouez que c'est un peu light.

Philippe Bourcier continue :

En gros, le texte n'apporte pas de nouveautés par rapport à ce qui se faisait déjà (officieusement), là où le risque était d'avoir un équipement en coupure sur les réseaux et sur lequel personne n'avait de visibilité ! La différence est même que désormais les limites et le cadre légal seront clairement établis !

WTF ?

Pour résumer, voilà le avant-après de ces négociations :

Coeur de réseau

Alors ok, on peut comprendre pourquoi les hébergeurs sont satisfaits : plus d'équipements ingérables au beau milieu de leur réseau, pour peu que le Gouvernement tienne ses promesses au moment de la création des décrets d'application. En revanche, on peut quand même en tirer quelques conclusions et se poser quelques questions.

D'abord et contrairement à ce qu'on voudrait nous faire croire, les "boîtes noires" n'ont pas disparu du projet de loi, elles sont simplement placées à côté du coeur de réseau de nos hébergeurs, toujours sous le contrôle exclusif de l'exécutif, et les hébergeurs et opérateurs ont toujours l'obligation de déverser des données dedans. Le Gouvernement a visiblement changé de marque de boîtes noires, qui ont été rebaptisées dans la communication "algorithmes".

Ensuite, il semble que ce type de technique soit déjà en place aujourd'hui. J'ai donc une question pour nos amis hébergeurs dont certains se félicitent, je cite, que "l'amendement 437 répond[e] aux problématiques de confiance que la loi #PJLRenseignement posait aux hébergeurs", parce que moi j'en ai un, de problème de confiance, ou en tout cas un trouble. Vis-à-vis de vous, hébergeurs. Ce que je lis laisse entendre que vous, certains d'entre vous, auraient pu se faire les complices - peut-être sous la pression, je l'imagine - d'un système d'écoutes illégales ou en tous cas très border line, pendant des années et alors que cette loi n'était même pas dans les tuyaux ("pas de nouveautés par rapport à ce qui se faisait déjà (officieusement)"). Il serait, je pense, nécessaire que vous rassuriez vos clients, et les clients de vos clients, sur ce point, non ?

Voir les updates, des choses bougent

Metadonnée, DPI

Dans les commentaires (l'exposé sommaire) de l'amendement 437, on lit qu'il sera prévu que les hébergeurs aient la possibilité - pas l'obligation, notez - de vérifier que "les données de contenu seront exclues de la mise en oeuvre de ces traitements". Sauf que ce n'est nullement présent dans les modifications apportées par l'amendement, donc d'après moi aucune possibilité effective, seule la CNCTR est habilitée à effectuer cette vérification...

Les données de contenu (selon le jargon utilisé dans le projet de loi), c'est très probablement la partie la moins intéressante pour les logiciels des services de renseignement : le contenu des pages web, des emails, des SMS, des appels, etc. C'est aussi celle qui nécessiterait la plus grande puissance de calcul (donc le coût le plus important) pour la traiter car c'est, de très loin, la plus volumineuse. Les partisans de cette loi regroupent sous le terme metadonnées, ou "données de connexion", pour nous faire croire qu'il s'agirait d'une sorte d'information sur l'information dépourvue de toute signification. Or c'est au contraire la plus intéressante, car elle donne des réponses aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d'intérêts et nos opinions : quoi, qui, avec qui, quand et où.

Pour nous faire accroire que ce projet de loi se situe bas sur l'Échelle de Richter, ils nous accolent en plus au nom "metadonnée" l'adjectif "anonyme". En 2015, qui croit encore qu'un identifiant "technique", comme un numéro de téléphone, un pseudonyme Twitter, ou une adresse email puisse être anonyme, quand ces informations sont simplement des alias de notre état civil ? Légalement, ils le seront, fonctionnellement, non.

J'ai le sentiment que sur ce point, les hébergeurs n'ont en fait rien obtenu lors de leurs négociations avec le Gouvernement. L'amendement est à effet nul, puisqu'il n'empêche aucunement la collecte de données dont la typologie sera de toute façon déterminée par décret... par le Gouvernement.

Dire que la Deep Packet Inspection ne sera pas utilisée est une hérésie technique, tout simplement parce que c'est le seul type de technique utilisable au niveau flux pour faire le tri entre les informations ciblées par le texte et le reste du trafic. Je n'en parlerai pas ici in extenso, le lecteur intéressé pourra parcourir l'excellent et très pédagogique article de Jean-Baptiste sur le sujet (il m'a d'ailleurs fait l'honneur d'y placer mon petit schéma explicatif). Bien sûr, la DPI pourra être, particulièrement à l'extrémité de la chaîne (ou l'information est stockées), complétée ou même remplacée par d'autres techniques d'exfiltration de données (analyse des logs par exemple).

Les questions que je me pose, c'est comment et par qui la DPI est effectuée (c'est sans doute déjà en place, au moins sur un périmètre réduit), et surtout, comment elle va évoluer.

Une nouvelle fois, je trouve qu'il serait normal d'entendre un peu plus les hébergeurs et les opérateurs sur ce point et, bien sûr, que les partisans du texte soient plus précis sur sa portée. On ne leur demande pas de passer un diplôme d'ingénieur, mais ce serait une bonne chose que les parlementaires se documentent un peu plus et, accessoirement, arrêtent de nous prendre pour des lapins de six semaines. Il est logique d'utiliser des techniques de collecte de données - il faut bien glaner un certain nombre d'informations - mais dans le cadre d'une surveillance ciblée et sous le contrôle de l'autorité judiciaire. Il est également essentiel que la collecte ne puisse être effectuée à l'insu des opérateurs et hébergeurs.

Surveillance ciblée

Les défenseurs de ce projet de loi brouillent les pistes, en insistant d'un côté sur la nécessité de mettre en place des "algorithmes" de détection, puis en prétendant que l'application de ces logiciels d'analyse pourraient être ciblée. Si on veut faire de la détection, il faut ratisser large, très large. Ce n'est que lorsque la détection d'un "comportement suspect" aura eu lieu qu'une surveillance ciblée peut se mettre en place.

Rappelez-vous, cette loi ne concerne pas uniquement les hébergeurs, situés en bout de chaîne. Elle vise également les opérateurs Internet et de téléphonie mobile, situés au beau milieu de ce maillage.

Alexandre Archambault, qui s'y connaît un tout petit peu sur le fonctionnement d'un FAI, s'interroge sur le cas précis des opérateurs. Au contraire des hébergeurs, pour que cette loi soit efficace et qu'elle permette la fameuse "détection des comportements suspects", les "boîtes-noires" devraient être déployées non pas en coeur de réseau, mais au contraire en périphérie. Précisément sur chacun des points d'entrée qui permettent à votre "box" de se connecter à Internet (ces points d'entrée s'appellent des DSLAM) ou à votre mobile de se connecter aux réseaux mobiles. Au delà du coût que cela représenterait, vous avouerez que l'on est un peu loin d'un dispositif ciblé - rien que pour les DSLAM il s'agirait de plusieurs dizaines de milliers de points répartis sur l'ensemble du territoire. Donc, soit le projet de loi ne vise pas à être efficace, soit le champ d'application de la surveillance automatique (détection) sera très vaste. C'est l'un, ou c'est l'autre.

Un juriste pose, parmi d'autres, une excellente question relative à ce qui se passe pour l'interception de données non "franco-françaises", c'est à dire des données étrangères hébergées sur des serveurs français, et surtout l'inverse. Et là, c'est carrément open-bar !

Surveillance généralisée, ça ne veut pas dire qu'on écoute tout, surveillance généralisée ça veut dire que l'on écoute un petit peu tout le monde. Et c'est exactement le rôle des "boîtes-noires", ces fameux "algorithmes". Une nouvelle fois, ce pouvoir sera placé dans les mains de l'exécutif, sans aucune intervention de l'autorité judiciaire. Je ne dis pas que les services de renseignement le font actuellement ou souhaitent le faire, je pense simplement que cette loi, ne va pas changer tous les quatre matins. Un projet de loi sur le renseignement devrait donc tracer une ligne beaucoup plus nette sur ce qui est légal et ce qui ne l'est pas.

On va l'avoir dans l'os

Le Gouvernement et les partisans de ce texte essayent de nous faire passer des vessies pour des lanternes. Nous sommes bien en face d'un texte trop imprécis, autorisant une surveillance généralisée et sans aucun contrôle judiciaire. Et de techniques de surveillance qui, apparemment et partiellement au moins, sont déjà employées.

Si ce n'est pas déjà le cas, il est vraiment temps de vous intéresser à ce projet de loi. Et de l'utiliser, votre voix, vous avez jusqu'au 5 mai pour le faire.

Updates

Notes

1. Le rôle des hébergeurs est de fournir les serveurs sur lesquels des tiers viennent installer contenus et services.
2. Le rôle des opérateurs de télécommunications est de permettre la communication entre les ordinateurs clients et les serveurs, ou entre les serveurs entre eux.
3.Le coeur de réseau, c'est la partie du réseau à laquelle toutes les autres sont connectées. C'est donc la partie par laquelle l'essentiel du trafic réseau passe. Dans le cas d'un hébergeur, il s'agit de l'ensemble des équipements qui permettent aux serveurs d'être connectés à Internet. Dans le cas d'un opérateur de télécommunications, on pourrait davantage le comparer à une épine dorsale (c'est d'ailleurs son nom dans la langue de Shakespeare, backbone).