Des grands principes au cas pratique, il a fallu convaincre son auditoire de l’importance de « répondre au terrorisme sans perdre la raison », sous-titre de son essai « Pour la liberté », qui rassemble trois plaidoiries qu'il a prononcées devant le Conseil constitutionnel en défense des libertés publiques. Trois montées à la barre, entre janvier et mai de cette année, pour dénoncer la non-conformité à la Constitution de dispositions législatives contenues dans l’Etat d’urgence. François Sureau va même plus loin dans son ouvrage : par certains aspects, nous serions selon lui dans « un univers prétotalitaire » [...] Il a fallu arriver jusqu'au Conseil Constitutionnel, pour que neuf juges viennent dire : « Il est inadmissible qu'on empêche les français de lire ce qu'il veulent et de s'informer sur ce qu'il veulent. » Me Sureau
Est-il raisonnable d’imposer aux opérateurs télécoms de garder des données sur tout le monde ? Loin d’être une solution au terrorisme, la surveillance préventive relève de l’obsession policière. [...] Aux autorités qui prétendent remédier à leurs échecs par toujours plus de mesures et de lois ineptes, tel le futur projet de loi antiterroriste, il faut opposer la construction d’un cadre juridique efficace et respectueux des libertés fondamentales, mais aussi des politiques publiques capables d’aborder le problème du terrorisme autrement que sous l’angle étroitement sécuritaire. Faute de quoi la fuite en avant délétère, décrite par Me François Sureau lors d’une récente plaidoirie au Conseil constitutionnel, va se poursuivre : «Après chaque attentat, les ministres bien intentionnés recommandent de continuer à se distraire, comme s’il s’agissait là d’un acte de résistance, alors que de l’autre main ils nous introduisent dans l’univers si commode pour eux, si dégradant pour nous, de la servitude administrative. Je ne sais rien de plus triste, ni de plus humiliant que cet abaissement et cette hypocrisie.»
L'avocat de la Ligue des Droits de l'Homme est l'invité de Patrick Cohen pour parler des dispositions de l'état d'urgence qui seraient inscrites dans le droit commun. [...]
Patrice Spinosi :"L'état d'urgence a eu ses raisons d'être ; il fallait des moyens exceptionnels pour un danger immédiat. On aurait du revenir à l'état normal. Maintenant c'est difficile de revenir en arrière. Macron récupère cette situation et y met fin en transposant les mesures dans le droit commun. Là est le danger car l'état d'urgence devient l'état du droit et c'est extrêmement dangereux"
Patrice Spinosi rappelle qu'il y a eu 5 000 perquisitions durant l'état d'urgence et seulement 0,5% ont donné lieu à de poursuites. Ce sont des enquêtes de police qui ont permis de déjouer des attentats.
Rappel : Maître Spinosi plaide les QPC au Conseil Constitutionnel et travaille avec les éxégètes https://exegetes.eu.org/
Réécouter: https://media.radiofrance-podcast.net/podcast09/15273-12.06.2017-ITEMA_21355272-5.mp3
Royaume-Uni et France vont annoncer ce soir une nouvelle campagne contre la radicalisation en ligne. Les efforts vont surtout se tourner vers les intermédiaires techniques, tels YouTube, Facebook, Twitter, du moins ceux accusés de laisser prospérer ce type de contenus.
Peu de détails à cet instant, les deux pays envisagent cependant d’explorer la possibilité d’instaurer une nouvelle responsabilité légale pour les intermédiaires qui ne suppriment pas les contenus mis à l’index. « Cela pourrait, par exemple, inclure des pénalités telles que des amendes pour les entreprises défaillantes. » Une disposition surprise alors que la législation européenne, transposée en France dans la Loi sur la confiance dans l’économie numérique (LCEN) de 2004 instaure déjà, sur les épaules de ces acteurs, des mesures proactives contre le terrorisme tout en préservant leur statut de responsabilité conditionnelle. [...]
Le plan d'action du G7
Selon le plan d’action dévoilé fin 2016, les pays du G7 avaient annoncé leur volonté de « collaborer avec les entreprises actives dans le cyberespace, y compris les fournisseurs de services Internet et les administrateurs d’applications pertinentes, pour faciliter les enquêtes antiterroristes, notamment la collecte des données requises, et contrer l’utilisation d’internet à des fins terroristes en vue de recruter des adeptes, de les radicaliser et de les inciter à la violence ». Avec la menace de la création d’une nouvelle sanction à l’encontre de ces intermédiaires, la collaboration promise prend un tournant plus nerveux.
Une nouvelle réunion sera organisée sur ce chantier dans les jours à venir. Selon Theresa May, « le Royaume-Uni et la France travailleront ensemble pour encourager les entreprises à faire plus et à respecter leur responsabilité sociale afin de redoubler d'efforts pour éliminer les contenus dangereux de leurs réseaux, y compris en explorant la possibilité de créer une nouvelle responsabilité légale si elles ne parviennent pas à éliminer les contenus inacceptables ».
Ce régime d’exception, autorisant principalement assignations à résidence et perquisitions sans passer par un juge, serait à l'origine de plusieurs interdictions de manifester, en particulier au cours des manifestations contre la « loi Travail » au printemps 2016, par le biais d'un article permettant aux préfets d'interdire des individus de séjour sur un territoire. Plusieurs ONG dénoncent l'usage "massif et abusif" de cet article par l'Etat, non pas pour prévenir des attaques terroristes mais « pour servir des objectifs plus larges, notamment pour maintenir l’ordre public», déclare notamment Amnesty International. Alors que l'exécutif a signifié le 24 mai dernier, la possibilité d'une reconduction pour la sixième fois de l'état d'urgence qui doit se terminer en juillet, y a-t-il état d'urgence sur nos libertés ? C'est la question que nous posons à François Sureau, avocat au Conseil d’Etat et à la Cour de cassation. Il a plaidé le 29 mai dernier à l'occasion d'une question prioritaire de constitutionnalité pour contester la conformité de l'article 5 de la loi relative à l'état d'urgence (retrouvez ici la vidéo de l'audience) http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/videos/2017/mai/affaire-n-2017-635-qpc.149030.html | PARTIE 2 : https://www.franceculture.fr/emissions/linvite-des-matins-2eme-partie/y-t-il-etat-durgence-sur-nos-libertes-2eme-partie
http://rf.proxycast.org/1307317410428100609/13983-06.06.2017-ITEMA_21348122-3.mp3
http://rf.proxycast.org/1307317395206971393/13983-06.06.2017-ITEMA_21348122-2.mp3
Pour sortir de l’état d’urgence, c'est finalement assez simple. Il suffit d'y mettre un terme, mais aussi puiser plusieurs dispositions de la loi de 1955 pour les calquer dans le droit commun. Et c’est très exactement ce qu’entend faire le gouvernement d’Édouard Philippe. http://abonnes.lemonde.fr/police-justice/article/2017/06/07/le-gouvernement-compte-faire-entrer-l-etat-d-urgence-dans-le-droit-commun_5140018_1653578.html?h=14 « Le Conseil a revu le projet de loi visant à renforcer et stabiliser l’arsenal législatif de lutte contre le terrorisme, parallèlement au projet de loi de prolongation de l’état d’urgence jusqu’au mois de novembre prochain. Le projet de loi permettra d’introduire dans le droit commun des dispositions concrètes, ciblées et encadrées pour lutter efficacement contre le terrorisme et de réserver le régime de l’état d’urgence à des circonstances exceptionnelles. »
A l'occasion du premier anniversaire de l'adoption du règlement sur l'internet ouvert qui régit notamment les aspects liés à la neutralité du Net, et tandis que l'ARCEP sort son premier rapport sur l'état de l'Internet, nous dressons ci-dessous un bilan assez mitigé de sa mise en œuvre en France et au sein de l'Union européenne. https://www.arcep.fr/uploads/tx_gspublication/rapport-etat-internet-france-2017-mai2017.pdf
Mise à jour : Aujourd’hui, au Conseil d’État, le rapporteur public a conclu à la transmission de cette question prioritaire de constitutionnalité. Il a jugé que les trois critères justifiant cette transmission étaient remplis, à savoir une problématique sérieuse, applicable à la procédure en cours et nouvelle puisque le Conseil constitutionnel ne s’est jamais prononcé sur ces nouvelles dispositions. La réponse du Conseil d’État est attendue dans les prochaines semaines, sachant que celui-ci est libre de suivre ou non cet avis.
Mais quelles sont donc les données de connexion que pourront butiner les services ? Elles dépendent de la qualité de l’intermédiaire, tel que définit par le Code des postes et des télécommunications. Ces données peuvent par ailleurs être glanées en temps différé ou en temps réel.
e 5 mai prochain, le Conseil d’État examinera la demande de QPC visant la loi renseignement, dans le cadre d’une procédure contre l’un de ses décrets. Dans le viseur, la vaste extension de la surveillance en temps réel pour prévenir les faits de terrorisme votée l’an passée.
Voilà plusieurs mois, French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs et la Quadrature du Net ont demandé l’annulation du décret du 29 janvier 2016. L’une des pierres angulaires de la fameuse loi sur la surveillance. Le texte définit en effet ce que sont les données de connexion susceptibles d’être recueillies par les services.
Il s’agit d’une pierre angulaire puisqu’on touche ici au carburant du moteur de la surveillance en France. Juridiquement, ce texte définit ce que sont les fameux « informations ou documents » qui peuvent être glanés par les services du renseignement chez l’ensemble des prestataires et autres intermédiaires techniques. Derrière l’expression, l’ensemble des données accompagnant les contenus échangés sur les réseaux.
Et la liste est longue :
Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
Les données relatives aux équipements terminaux de communication utilisés
Les caractéristiques techniques, ainsi que la date, l'horaire et la durée de chaque communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les données permettant d'identifier le ou les destinataires de la communication
L'identifiant de la connexion
L'identifiant attribué par ces personnes à l'abonné
L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
Les dates et heure de début et de fin de la connexion
Les caractéristiques de la ligne de l'abonné
L'identifiant attribué par le système d'information au contenu, objet de l'opération
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
La nature de l'opération
Date et heure de l'opération
L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
Les nom et prénom ou la raison sociale
Les adresses postales associées
Les pseudonymes utilisés
Les adresses de courrier électronique ou de compte associées
Les numéros de téléphone
Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Le type de paiement utilisé
La référence du paiement
Le montant
La date et l'heure de la transaction
Les données permettant de localiser les équipements terminaux
Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
Les données relatives à l'acheminement des communications électroniques par les réseaux
Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
Les données relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Bref, un joli stock où l’accès des services diffère selon la qualité de l’intermédiaire (FAI, opérateur, hébergeur) et le type de recueil (en temps différé ou réel).
En 2016, l’extension de la surveillance en temps réel
La procédure est toujours en cours, mais profitant de cette fenêtre, les trois entités ont soulevé une question prioritaire de constitutionnalité, examinée la semaine prochaine par le Conseil d’État avant possible transmission au Conseil constitutionnel.
Pour en comprendre les ressorts, il faut se plonger cette fois dans la loi du 21 juillet 2016 prorogeant à nouveau l’état d’urgence. Celle-ci a modifié le périmètre de l’accès aux données, spécialement lorsqu'il est réalisé en temps réel aux fins de prévention des actes de terrorisme. Un périmètre défini à l’article L851-2 du Code de la sécurité intérieure.
Initialement, dans le marbre de la loi renseignement, le recueil pouvait viser les données de connexion d’ « une personne préalablement identifiée comme présentant une menace » [...]
Comme souligné dans nos colonnes, la nouvelle version de l’article L851-2 du CSI permet de surveiller à peu près n’importe qui, d’autant que les réseaux sociaux ont considérablement réduit les maillons nous séparant de n’importe qui dans le monde. Pour la Quadrature, FDN et FFDN, il est donc impératif que soit examinée la solidité de la V2 du L851-4 du Code de la sécurité intérieure.
Les arguments sont affutés. Lorsqu’il a été amené à examiner la version votée dans la loi Renseignement, le Conseil constitutionnel avait jugé l’article initial dans les clous des normes fondamentales. Il a constaté une conciliation non « manifestement déséquilibrée » entre l’atteinte à la vie privée et la protection de l’ordre public. Et pour cause, le recueil était ciblé :
« Pour les besoins de la prévention du terrorisme »,
« Pour une durée de deux mois renouvelables »,
« Uniquement à l'égard d'une personne préalablement identifiée comme présentant une menace »
« Sans le recours à la procédure d'urgence absolue »
Tout le monde peut être « susceptible de »
Quatre points qui ont permis à cette surveillance en temps réel de ne pas sombrer Rue de Montpensier. Défendus par Me Spinosi, les requérants estiment que la dégénérescence consécutive à la loi du 21 juillet a « élargi considérablement et de façon parfaitement imprécise » le champ de cette surveillance. « En usant de l'expression "susceptible d’être en lien" avec une menace, le législateur a permis aux autorités administratives compétentes de placer des personnes sous surveillance à la faveur de simples soupçons et autres hypothèses. »
Mieux, en visant désormais l’entourage, le dispositif de surveillance en temps réel « peut également viser des personnes dont il n’est même pas établi qu’elles seraient susceptibles d’être elles-mêmes en lien avec une menace ».
Bref, c’est en trop à leur goût. Selon eux, l’équilibre jugé satisfaisant par le Conseil constitutionnel a été rompu. C’est d’autant plus vrai que députés et sénateurs ont également fait sauter la disposition qui limitait la surveillance à 2 mois, sauf autorisation renouvelée signée par le Premier ministre. Désormais, elle s’étend sur 4 mois, délai de « droit commun » en la matière.
FDN, FFDN et LQDN considèrent que ce délai réduit avait aussi été déterminant pour la déclaration de conformité. Dit autrement, « en supprimant cette garantie qui assurait un équilibre entre la prévention des atteintes à l’ordre public et le respect de la vie privée, le législateur a porté une atteinte disproportionnée au droit au respect de la vie privée et au secret des correspondances ».
Le filtre du Conseil d’État avant le Conseil constitutionnel
Si on résume, la loi renseignement permettait aux services de suivre durant deux mois renouvelables une personne préalablement identifiée comme menace terroriste. Depuis la réforme de juillet 2016, les services peuvent tracer en temps réel durant quatre mois renouvelables, le sillage des données d’un nombre indéfini de personnes, du moins celles simplement susceptibles de détenir des informations sur une personne qui serait elle-même susceptible d’être une menace. Des mesures introduites à l'occasion du vote d'une prorogation de l'état d'urgence, mais qui s'appliquent évidemment même en dehors de ces périodes.
Ce faisant, le législateur a fait sauter deux des quatre points cardinaux qui avaient servi au Conseil constitutionnel d’avaliser cette disposition sur l’autel des textes fondateurs (les points 2 et 3 énumérés ci-dessus).
Le Conseil d’État examinera cette demande le 5 mai. Sa décision tombera dans les semaines suivantes. Transmise, la QPC sera examinée dans les trois mois par le Conseil constitutionnel. Les scénarios sont simples : hors très hypothétique réserve d’interprétation, soit celui-ci valide malgré tout la nouvelle version, soit il la censure reportant l’annulation dans le temps, afin de laisser une marge de quelques mois au législateur pour corriger le tir.
Il n’est jamais vraiment simple ou glorieux, lorsqu’on décide de se mettre en Marche, de rebrousser chemin, remplacer ses chaussures de randonnée par des pantoufles feutrées. C’est pourtant ce qui est arrivé hier avec cette « tribune » sur le chiffrement signée Mounir Mahjoubi et Didier Casas, deux membres de l'équipe d'Emmanuel Macron.
- le rétropédalage en question: https://en-marche.fr/article/tribune-mounir-mahjoubi-didier-casas-lutte-contre-le-terrorisme-complements-information bien décompléxé
- Une réponse de bayartb https://mastodon.xyz/@bayartb/529678 )
- Antiterrorisme sur Internet : comment déchiffrer Emmanuel Macron ? http://www.telerama.fr/medias/antiterrorisme-sur-internet-comment-dechiffrer-emmanuel-macron,156695.php
Les autorités françaises sont très à l’écoute des travaux portant actuellement sur la régulation des plateformes au Parlement européen. Une note non publique de Paris vise à appuyer certains amendements dans le cadre d’un projet de résolution examiné en commission des affaires juridiques. Et la France soutient ceux qui prônent le filtrage des contenus.
On vient de l'apprendre: quelques grands groupes de presse français font face à une potentielle catastrophe industrielle (une de plus): le prestataire qui se chargeait de gérer leurs abonnés a perdu ses bases de données.
Toute personne ayant utilisé un ordinateur (ou une tablette, ou un smartphone) a déjà fait face à une perte de données. Parfois douloureuse, parfois critique, c'est toujours l'occasion de réapprendre à faire des copies. Mais dans ce cas d'espèce particulier, les choses sont beaucoup plus compliquées, et plus graves, que ça: c'est à un risque de disparition brutale de ces titres qu'il faut s'attendre. Si vous perdez vos abonnés, vous perdez la part "garantie" de vos revenus, celle sur laquelle toute votre activité est basée, de votre ligne éditoriale à vos découverts autorisés.
http://www.nextinpact.com/news/100412-gli-nous-navons-perdu-aucune-donnee-mais-baie-est-en-panne.htm
http://www.nextinpact.com/news/100384-panne-chez-gli-partie-presse-francaise-perd-ses-abonnes-en-quelque-jours.htm
Dans le cadre du projet de loi relatif à la transparence, en discussion à l’Assemblée nationale, les députés ont repoussé un amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille informatique. || https://reflets.info/quand-les-representants-du-peuple-fragilisent-les-infrastructures-informatiques-du-pays/ https://reflets.info/lobscurantisme-cette-valeur-sure-de-linsecurite/
Des lois venues encadrer des pratiques alégales. Ainsi ont été « vendues » aux parlementaires les derniers textes sécuritaires. Hier, Reflets et Mediapart ont donné de nouvelles briques sur la situation antérieure aux lois de programmation militaire et sur le renseignement. « IOL » pour Interceptions obligatoires légales. Voilà le doux acronyme détaillé hier par nos confrères, préparé en France dès 2005, généralisé en 2009 auprès de tous les opérateurs. Le principe ? Un système de « sondes » installées chez ces fournisseurs d’accès, spécialement sur les DSLAM, censé permettre le recueil en temps réel des données d’une personne déterminée.
Mediapart et Reflets viennent tout juste de vous révéler IOL, ou comment dès 2006, la France déployait un dispositif qui se positionnait aux frontières de la légalité. IOL est le second projet « confidentiel défense » après Kairos et apparu au cours de nos investigations sur la société Qosmos, sur lequel nous pouvons aujourd’hui faire la lumière. IOL porte donc sur les interceptions dites de sécurité, que l’on opposera aux interceptions judiciaires qui se font sous le contrôle d’un juge. IOL est piloté par le GIC qui répond au cabinet du premier ministre. Cette infrastructure est-elle isolée ou transverse à celle de la PNIJ, la plateforme nationale des interceptions judiciaires ? Difficile de concevoir que l’Etat double ce genre d’infrastructures assez coûteuses.
« Moi, assis derrière mon bureau, j’avais certainement l’autorité pour placer
sur écoute n’importe qui, vous, votre comptable, un juge fédéral, ou même le
président des États-Unis si j’avais un mail personnel. » Ce témoignage, devenu
historique, livré par Edward Snowden à Glenn Greenwald en juin 2013 avait
provoqué un véritable séisme, symbolisant en une phrase l’étendue des pouvoirs
de la NSA, l'agence de sécurité américaine. Il avait suscité, partout dans le
monde, des réactions indignées. Ce que l’on sait moins, c’est que le dispositif
décrit par le lanceur d’alerte n’était pas si innovant que cela et que d’autres
pays, en l'espèce la France, disposaient déjà depuis plusieurs années d’outils
similaires dont certains étaient, en théorie, encore interdits.
Certes, les services de renseignement français n’ont jamais disposé des mêmes
moyens que leurs homologues américains. Mais plusieurs documents et témoignages
recueillis par Mediapart et Reflets montrent[1] que le gouvernement a mis en
place, à partir de 2009, un dispositif d’écoute de grande ampleur, reposant sur
l’installation de « sondes » chez les fournisseurs d’accès à Internet,
permettant d’intercepter n’importe quel flux de données de manière automatisée.
Ce programme français, baptisé « IOL » pour « Interceptions obligatoires
légales », fonctionnait peu ou prou comme celui décrit par Edward Snowden. À la
différence qu’il ne permettait pas exactement de mettre « n’importe qui » sur
écoute. « IOL » n’était pas un programme clandestin, mais s’inscrivait dans le
cadre de la procédure d’autorisation des écoutes administratives. Ses cibles,
après avoir été déterminées par les services demandeurs, étaient ensuite
transmises pour validation au Groupement interministériel de contrôle (GIC),
organe dépendant du premier ministre et chargé de mettre en œuvre les écoutes.
Mais techniquement, les services français n’avaient pas à rougir de leurs
collègues américains. Concrètement, IOL reposait sur l’installation de
« sondes » sur le réseau, plus précisément sur les « DSLAM », des boîtiers
permettant de relier un groupe de lignes téléphoniques au réseau internet en
ADSL. Ces sondes effectuent en permanence une « analyse du trafic », assurant
ainsi une surveillance passive du réseau. Lorsqu’une cible était validée par le
GIC, il suffisait d’entrer dans un logiciel un identifiant lui correspondant.
Dès que celui-ci était repéré dans le flux, la sonde déterminait l’adresse IP,
permettant de localiser le lieu de connexion et de détourner le trafic associé
vers un « monitoring center ».
[image 2: Un schéma expliquant l'installation des sondes dans le réseau ADSL des opérateurs]
Un schéma expliquant l'installation des sondes dans le réseau ADSL des
opérateurs
Un projet de guide de configuration de ces sondes, datant de 2009, alors que le
dispositif était en cours de développement, que Mediapart et Reflets ont pu
consulter, résume leur fonctionnement. « L’interception est fondée sur une
liste contenant les identifiants des cibles. L’application détermine l’adresse
IP d’une cible, dont l’un au moins des identifiants a été reconnu dans le
trafic analysé par la sonde », explique Qosmos. Une fois la cible repérée dans
le flux de communication, « les sondes IOL remontent le trafic intercepté (…)
vers un Mediation Device qui le convertit (…) avant l’envoi au Monitoring
Center ».
Si la procédure respecte la loi concernant les écoutes, le dispositif technique
d’IOL est juridiquement beaucoup plus problématique qu’il n’y paraît. En effet,
les sondes installées par les fournisseurs d’accès fonctionnaient en analysant
« en temps réel » le trafic et donc les « données de connexion » ou
métadonnées, c’est-à-dire les données entourant un paquet d’informations. Pour
un mail, par exemple, ces métadonnées seront par exemple les identifiants de
l’expéditeur et du récepteur, la date et l’heure de l’envoi, la longueur du
message… Ces dernières années, l’analyse de ces métadonnées est devenue une
priorité pour les services qui espèrent, grâce à l’application d’algorithmes,
détecter dans la masse de métadonnées les « signaux faibles », c’est-à-dire les
traces laissées en ligne par leurs cibles. En résumé, plutôt que de miser sur
le renseignement humain, les services espèrent détecter les terroristes en
analysant de manière automatique leurs interactions en ligne, leurs visites de
sites, échanges de mails…
Or, au moment de l’installation du dispositif IOL, la collecte en temps réel de
ces données de connexion était strictement interdite. Le régime alors en
vigueur avait été fixé par la loi antiterroriste du 23 janvier 2006. Celle-ci
permettait la consultation des métadonnées mais a posteriori, chez les
opérateurs qui avaient l’obligation de les conserver durant une année.
L’analyse « en temps réel » des métadonnées et sur « sollicitation du réseau »
n’a officiellement été autorisée que par l’article 20 de la loi de
programmation militaire votée en décembre 2013 et dont le décret d’application
n’a été publié qu’un an plus tard, le 26 décembre 2014. Ce n’est donc qu’à
compter du 1^er janvier 2015 que les services ont eu le droit de piocher
immédiatement dans les métadonnées.
Des pratiques "a-légales"
Que faisaient les services de ces métadonnées ? Étaient-elles traitées ? Par
qui et sur quel fondement juridique ? Contactés, ni le cabinet du premier
ministre, ni la société Qosmos ou les opérateurs concernés n’ont répondu à nos
questions. Un ancien haut cadre d’un fournisseur d’accès nous confirme pourtant
que les métadonnées étaient bien collectées « en temps réel, à distance ».
C’était d’ailleurs « tout l’intérêt de cet outil par rapport aux dispositifs
historiques pour l'interception de données qui reposaient sur des sondes avec
stockage temporaire », précise-t-il.
Au niveau juridique, un contournement de la loi n’aurait rien de surprenant :
le contrôle des interceptions de métadonnées était, en 2009, particulièrement
léger. La loi du 23 janvier 2006 avait en effet confié leur autorisation à une
« personne qualifiée » dépendant du ministre de l’intérieur, le contrôle de la
Commission nationale de contrôle des interceptions de sécurité (CNCIS)
n’intervenant qu’a posteriori. Au mois de novembre 2014[3], le président de la
CNCIS, Jean-Marie Delarue, s’était par ailleurs lui-même alarmé devant des
députés du manque de contrôle des interceptions de métadonnées. Regrettant que
ce contrôle ne s’exerce qu’après coup, il s’interrogeait également sur
« l’indépendance » d’une « personne qualifiée » dépendant du ministère de
l’intérieur qui, lui-même, fait partie des demandeurs d’interceptions.
Ces inquiétudes étaient d’autant plus fondées que les années 2008-2009-2010
semblent avoir été une période d’intenses activités pour les opérations
« a-légales » des services. En septembre 2010, Le Canard enchaîné puis Le Monde
avaient par exemple révélé que Jean-Paul Faugère, directeur de cabinet du
premier ministre d’alors, François Fillon, avait signé un courrier classé
« confidentiel défense »autorisant les services à se procurer les « données
techniques » téléphoniques[4], c’est-à-dire les « fadettes », directement chez
les opérateurs, en passant outre le contrôle de la CNCIS. De son côté, au mois
de juillet 2015, L’Obs avait révélé l’existence d’un décret secret signé en
2008[5] autorisant la DGSE, le renseignement extérieur, à se brancher
directement sur les câbles transatlantiques afin d’espionner les communications
internationales.
Lire aussi
- Surveillance: enquête sur Qosmos, le fournisseur de la Syrie d'al-Assad[6]
Par Jérôme Hourdeaux[7] et Reflets.info (Bluetouff et Kitetoa) - Qosmos : du projet universitaire aux activités “secret-défense”[8] Par
Jérôme Hourdeaux[7] et Reflets.info (Bluetouff et Kitetoa) - Surveillance du web: tout ce que la société Qosmos peut faire[9] Par Jérôme
Hourdeaux[7] et Reflets.info (Bluetouff et Kitetoa) - Surveillance du Net : le dispositif de contrôle «n’est pas satisfaisant»[3]
Par Jérôme Hourdeaux[7] - «La République sur écoute»: enquête sur une surveillance de masse[10] Par
Jérôme Hourdeaux[7] - Les «Six heures contre la surveillance»[11] Par La rédaction de Mediapart[12]
- Dossier: les Français sous surveillance[13] Par La rédaction de Mediapart[12]
Concernant le dispositif IOL, ses sondes avaient été déployées chez les
principaux fournisseurs d’accès à Internet, « soit près de 99 % du trafic
résidentiel », nous indique une source interne. Chaque opérateur avait la
liberté, dans le cadre de la convention passée avec le GIC, de choisir son
propre prestataire. Mais une partie de ce marché a été emportée par le leader
du secteur, la société Qosmos à qui Mediapart et Reflets ont déjà consacré
plusieurs enquêtes. Qosmos est notamment connue pour être visée par une
information judiciaire pour complicité d’actes de torture en Syrie. La justice
reproche à la société d’avoir participé à la vente d’un système d’espionnage à
Bachar al-Assad et essaye de déterminer si ses sondes ont bien été
opérationnelles et ont permis l’arrestation d’opposants torturés. Dans le cadre
de cette procédure, la société a été placée sous le statut de témoin assisté au
mois d’avril dernier.
Le produit phare de Qosmos, celui vendu à la Syrie, est le ixM-LI (pour Legal
Interception). Et c’est également celui fourni dans le cadre du projet IOL.
Selon nos informations, le dispositif IOL a commencé à être imaginé dès 2005,
avec la rédaction d’un cahier des charges en 2006, des tests en 2007 et enfin
un déploiement au cours de l’année 2009. Des documents internes de Qosmos que
Mediapart et Reflets ont pu consulter montrent que, en 2012, la société livrait
un « patch », c’est-à-dire un correctif ou une mise à jour, pour la version
« 2.1.3 » de la sonde « ixM-IOL ». Par ailleurs, toujours en 2012, les
policiers travaillant sur l’affaire de la vente de sondes au régime de Bachar
al-Assad avaient tenté d’obtenir la liste des clients de Qosmos. Quatre d’entre
eux étaient classés « confidentiel défense » et désignés uniquement sous des
noms de code. L’un d’eux était « IOL ». L’ancien haut cadre d’un opérateur nous
confirme que le programme était bien encore actif en 2013-2014. En revanche, le
dispositif a de fortes chances d’être ensuite devenu obsolète, tout d’abord
pour des raisons techniques liées à l’évolution du réseau internet. Ensuite en
raison du vote de la loi sur le renseignement, instituant le dispositif des
boîtes noires.
La révélation de l’existence de ce programme confirme en tout cas deux choses.
Tout d’abord, comme l’a revendiqué le gouvernement lui-même, les différentes
lois sécuritaires votées ces dernières années (LPM, loi sur le renseignement,
loi sur les communications internationales…) ne faisaient que donner un cadre
légal à des techniques qualifiées par l’euphémisme « a-légales », mais en
réalité non autorisées par la loi. Ensuite, les autorités n’hésitent pas à
pratiquer, dans ce domaine, le double langage. Alors que les liens entre les
autorités françaises et des sociétés telles que Qosmos[14] ont été à plusieurs
reprises révélés par la presse, que ce soit à travers le projet IOL ou le
projet Kairos, ces programmes n’ont jamais été évoqués, ne serait-ce que dans
leurs grandes lignes, lors des débats parlementaires.
Une anecdote, relayée par Reflets au mois de novembre 2014, est symbolique de
ce jeu de dupes. Le président de la commission des lois, président de la
délégation parlementaire du renseignement, futur artisan de la loi sur le
renseignement et désormais ministre de la justice, Jean-Jacques Urvoas, avait
été l’invité d’une table ronde organisée par la Commission parlementaire sur
les libertés à l’âge du numérique à laquelle participait le directeur de
Mediapart, Edwy Plenel. Ce dernier avait interrogé le député sur les liens
entre l’État et la société Qosmos après la publication d’une première enquête
sur ce sujet. « Je n’ai jamais rencontré, depuis que je suis (…) président de
la délégation parlementaire au renseignement, cette structure, je n’ai jamais
entendu qu’elle soit un prestataire de qui que ce soit, en tout cas pas pour
les organes qu’il m’arrive de fréquenter », avait répondu Jean-Jacques Urvoas[15]
Liens:
- 1: https://reflets.info/qosmos-et-le-gouvernement-francais-tres-a-lecoute-du-net-des-2009/ (lien)
- 2: https://static.mediapart.fr/etmagine/default/files/2016/06/06/capture-d-e-cran-2016-06-06-a-15-56-38.jpg?width=989height=638&width_format=pixel&height_format=pixel (image)
- 3: https://www.mediapart.fr/journal/france/161114/surveillance-du-net-le-dispositif-de-controle-n-est-pas-satisfaisant (lien)
- 4: http://abonnes.lemonde.fr/politique/article/2010/09/30/ecoutes-une-lettre-de-matignon-a-bel-et-bien-autorise-la-police-a-deroger-a-la-loi_1418136_823448.html (lien)
- 5: http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html (lien)
- 6: https://www.mediapart.fr/journal/international/010514/surveillance-enquete-sur-qosmos-le-fournisseur-de-la-syrie-dal-assad (lien)
- 7: https://www.mediapart.fr/biographie/jerome-hourdeaux (lien)
- 8: https://www.mediapart.fr/journal/international/070514/qosmos-du-projet-universitaire-aux-activites-secret-defense (lien)
- 9: https://www.mediapart.fr/journal/international/190514/surveillance-du-web-tout-ce-que-la-societe-qosmos-peut-faire (lien)
- 10: https://www.mediapart.fr/journal/france/081015/la-republique-sur-ecoute-enquete-sur-une-surveillance-de-masse (lien)
- 11: https://www.mediapart.fr/journal/france/040515/les-six-heures-contre-la-surveillance (lien)
- 12: https://www.mediapart.fr/biographie/la-redaction-de-mediapart (lien)
- 13: https://www.mediapart.fr/journal/france/dossier/dossier-les-francais-sous-surveillance (lien)
- 14: https://www.mediapart.fr/journal/international/070514/qosmos-du-projet-universitaire-aux-activites-secret-defense?page_article=1 (lien)
- 15: https://reflets.info/jean-jacques-uvroas-qosmos-et-amesys-ne-sont-pas-prestataires-des-services-francais/ (lien)
Le Sénat vient de boucler ses discussions sur le texte d’Axelle Lemaire. Il le marque d’une certaine défiance vis-à-vis de l’open data et d’une vive offensive contre les plateformes comme Airbnb et leurs utilisateurs.
Dans un petit village du Tarn privé d'Internet haut débit. Les habitants ont décidé de se prendre en main. Une association s'est constitué en "opérateur citoyen" et installe la fibre optique dans le village. Un extrait de "des Français hors réseau" diffusé le jeudi 5 mai dans Envoyé spécial.
A Viviers-lès-Lavaur il y a moins de 200 habitants et un opérateur télécom. Ce petit village n'a pas accès à l'internet haut débit, aussi, les citoyens ont décidé de se prendre en main, sans attendre l'action de l'Etat ou des grands opérateurs privés. Pour ces derniers, installer la fibre optique pour quelques dizaines de familles, ce n'est pas rentable. Une association d'habitants, après s'être enregistrée auprès du gendarme des télécom, est devenue opérateur "citoyen". Réunissant les compétences et le matériel des ingénieurs ou des paysans du village, ils ont déployé, eux-mêmes, leur propre fibre. "On arrive à produire un service dans des conditions économiques que des opérateurs, dans un environnement concurrentiel, ne peuvent pas produire". Après deux ans d'efforts, ils auront le haut débit dans la soirée.