About how signals intelligence agencies, like NSA and GCHQ, are intercepting communications, we learned a lot from the Snowden revelations and the German parliamentary inquiry, but also from new legislation in France, the Netherlands and the United Kingdom. Much less is known about the practice of tapping by law enforcement, like for example the FBI and police forces. Now, a case from the Netherlands provides some interesting insights in how Dutch police intercepts internet communications - in a way that comes remarkably close to the bulk collection by intelligence agencies.
« Bon ok, vous voulez parler de quoi ?, lance-t-il soudainement. Moi, en ce moment, je veux parler de la surveillance généralisée, du flicage, qui a naturellement un lien avec la question du logiciel libre. J’ai 45 minutes ».
Mise à jour : Aujourd’hui, au Conseil d’État, le rapporteur public a conclu à la transmission de cette question prioritaire de constitutionnalité. Il a jugé que les trois critères justifiant cette transmission étaient remplis, à savoir une problématique sérieuse, applicable à la procédure en cours et nouvelle puisque le Conseil constitutionnel ne s’est jamais prononcé sur ces nouvelles dispositions. La réponse du Conseil d’État est attendue dans les prochaines semaines, sachant que celui-ci est libre de suivre ou non cet avis.
e 5 mai prochain, le Conseil d’État examinera la demande de QPC visant la loi renseignement, dans le cadre d’une procédure contre l’un de ses décrets. Dans le viseur, la vaste extension de la surveillance en temps réel pour prévenir les faits de terrorisme votée l’an passée.
Voilà plusieurs mois, French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs et la Quadrature du Net ont demandé l’annulation du décret du 29 janvier 2016. L’une des pierres angulaires de la fameuse loi sur la surveillance. Le texte définit en effet ce que sont les données de connexion susceptibles d’être recueillies par les services.
Il s’agit d’une pierre angulaire puisqu’on touche ici au carburant du moteur de la surveillance en France. Juridiquement, ce texte définit ce que sont les fameux « informations ou documents » qui peuvent être glanés par les services du renseignement chez l’ensemble des prestataires et autres intermédiaires techniques. Derrière l’expression, l’ensemble des données accompagnant les contenus échangés sur les réseaux.
Et la liste est longue :
Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
Les données relatives aux équipements terminaux de communication utilisés
Les caractéristiques techniques, ainsi que la date, l'horaire et la durée de chaque communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les données permettant d'identifier le ou les destinataires de la communication
L'identifiant de la connexion
L'identifiant attribué par ces personnes à l'abonné
L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
Les dates et heure de début et de fin de la connexion
Les caractéristiques de la ligne de l'abonné
L'identifiant attribué par le système d'information au contenu, objet de l'opération
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
La nature de l'opération
Date et heure de l'opération
L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
Les nom et prénom ou la raison sociale
Les adresses postales associées
Les pseudonymes utilisés
Les adresses de courrier électronique ou de compte associées
Les numéros de téléphone
Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Le type de paiement utilisé
La référence du paiement
Le montant
La date et l'heure de la transaction
Les données permettant de localiser les équipements terminaux
Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
Les données relatives à l'acheminement des communications électroniques par les réseaux
Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
Les données relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Bref, un joli stock où l’accès des services diffère selon la qualité de l’intermédiaire (FAI, opérateur, hébergeur) et le type de recueil (en temps différé ou réel).
En 2016, l’extension de la surveillance en temps réel
La procédure est toujours en cours, mais profitant de cette fenêtre, les trois entités ont soulevé une question prioritaire de constitutionnalité, examinée la semaine prochaine par le Conseil d’État avant possible transmission au Conseil constitutionnel.
Pour en comprendre les ressorts, il faut se plonger cette fois dans la loi du 21 juillet 2016 prorogeant à nouveau l’état d’urgence. Celle-ci a modifié le périmètre de l’accès aux données, spécialement lorsqu'il est réalisé en temps réel aux fins de prévention des actes de terrorisme. Un périmètre défini à l’article L851-2 du Code de la sécurité intérieure.
Initialement, dans le marbre de la loi renseignement, le recueil pouvait viser les données de connexion d’ « une personne préalablement identifiée comme présentant une menace » [...]
Comme souligné dans nos colonnes, la nouvelle version de l’article L851-2 du CSI permet de surveiller à peu près n’importe qui, d’autant que les réseaux sociaux ont considérablement réduit les maillons nous séparant de n’importe qui dans le monde. Pour la Quadrature, FDN et FFDN, il est donc impératif que soit examinée la solidité de la V2 du L851-4 du Code de la sécurité intérieure.
Les arguments sont affutés. Lorsqu’il a été amené à examiner la version votée dans la loi Renseignement, le Conseil constitutionnel avait jugé l’article initial dans les clous des normes fondamentales. Il a constaté une conciliation non « manifestement déséquilibrée » entre l’atteinte à la vie privée et la protection de l’ordre public. Et pour cause, le recueil était ciblé :
« Pour les besoins de la prévention du terrorisme »,
« Pour une durée de deux mois renouvelables »,
« Uniquement à l'égard d'une personne préalablement identifiée comme présentant une menace »
« Sans le recours à la procédure d'urgence absolue »
Tout le monde peut être « susceptible de »
Quatre points qui ont permis à cette surveillance en temps réel de ne pas sombrer Rue de Montpensier. Défendus par Me Spinosi, les requérants estiment que la dégénérescence consécutive à la loi du 21 juillet a « élargi considérablement et de façon parfaitement imprécise » le champ de cette surveillance. « En usant de l'expression "susceptible d’être en lien" avec une menace, le législateur a permis aux autorités administratives compétentes de placer des personnes sous surveillance à la faveur de simples soupçons et autres hypothèses. »
Mieux, en visant désormais l’entourage, le dispositif de surveillance en temps réel « peut également viser des personnes dont il n’est même pas établi qu’elles seraient susceptibles d’être elles-mêmes en lien avec une menace ».
Bref, c’est en trop à leur goût. Selon eux, l’équilibre jugé satisfaisant par le Conseil constitutionnel a été rompu. C’est d’autant plus vrai que députés et sénateurs ont également fait sauter la disposition qui limitait la surveillance à 2 mois, sauf autorisation renouvelée signée par le Premier ministre. Désormais, elle s’étend sur 4 mois, délai de « droit commun » en la matière.
FDN, FFDN et LQDN considèrent que ce délai réduit avait aussi été déterminant pour la déclaration de conformité. Dit autrement, « en supprimant cette garantie qui assurait un équilibre entre la prévention des atteintes à l’ordre public et le respect de la vie privée, le législateur a porté une atteinte disproportionnée au droit au respect de la vie privée et au secret des correspondances ».
Le filtre du Conseil d’État avant le Conseil constitutionnel
Si on résume, la loi renseignement permettait aux services de suivre durant deux mois renouvelables une personne préalablement identifiée comme menace terroriste. Depuis la réforme de juillet 2016, les services peuvent tracer en temps réel durant quatre mois renouvelables, le sillage des données d’un nombre indéfini de personnes, du moins celles simplement susceptibles de détenir des informations sur une personne qui serait elle-même susceptible d’être une menace. Des mesures introduites à l'occasion du vote d'une prorogation de l'état d'urgence, mais qui s'appliquent évidemment même en dehors de ces périodes.
Ce faisant, le législateur a fait sauter deux des quatre points cardinaux qui avaient servi au Conseil constitutionnel d’avaliser cette disposition sur l’autel des textes fondateurs (les points 2 et 3 énumérés ci-dessus).
Le Conseil d’État examinera cette demande le 5 mai. Sa décision tombera dans les semaines suivantes. Transmise, la QPC sera examinée dans les trois mois par le Conseil constitutionnel. Les scénarios sont simples : hors très hypothétique réserve d’interprétation, soit celui-ci valide malgré tout la nouvelle version, soit il la censure reportant l’annulation dans le temps, afin de laisser une marge de quelques mois au législateur pour corriger le tir.
This article critically examines mass surveillance technology revealed by Snowden’s disclosures. It addresses that we do not only live in a society where surveillance is deeply inscribed but more urgently, that it is increasingly difficult to study surveillance when its technologies and practices are difficult to distinguish from everyday routines. Considerably, many of the technologies and systems utilised for surveillance purposes were not originally designed as proper surveillance technologies. Instead, they have effectively become surveillance technologies by being enrolled into a particular surveillant assemblage. Three contributions are made towards critical scholarship on surveillance, intelligence, and security. First, a novel empirical cartographic methodology is developed that employs the vocabularies of assemblages and actor–networks. Second, this methodology is applied to critically examine global mass surveillance according to Snowden. Multiple leaked data sources have been utilised to trace actors, their associations amongst each other, and to create several graphical maps and diagrams. These maps provide insights into actor types and dependence relations described in the original disclosed documents. Third, the analytical value of three ordering concepts as well as the logistics of surveillance are explored via notable actors and actor groups. In short, this contribution provides empirical cartographic methods, concepts, and analytical targets for critically examining surveillance technology and its particular compositions. It addresses challenges of resisting mass surveillance and some forms of data activism, and calls for the continuing proliferation of counter-maps to facilitate grounded critique, to raise awareness, and to gain a foothold for meaningful resistance against mass surveillance.
Des lois venues encadrer des pratiques alégales. Ainsi ont été « vendues » aux parlementaires les derniers textes sécuritaires. Hier, Reflets et Mediapart ont donné de nouvelles briques sur la situation antérieure aux lois de programmation militaire et sur le renseignement. « IOL » pour Interceptions obligatoires légales. Voilà le doux acronyme détaillé hier par nos confrères, préparé en France dès 2005, généralisé en 2009 auprès de tous les opérateurs. Le principe ? Un système de « sondes » installées chez ces fournisseurs d’accès, spécialement sur les DSLAM, censé permettre le recueil en temps réel des données d’une personne déterminée.
Mediapart et Reflets viennent tout juste de vous révéler IOL, ou comment dès 2006, la France déployait un dispositif qui se positionnait aux frontières de la légalité. IOL est le second projet « confidentiel défense » après Kairos et apparu au cours de nos investigations sur la société Qosmos, sur lequel nous pouvons aujourd’hui faire la lumière. IOL porte donc sur les interceptions dites de sécurité, que l’on opposera aux interceptions judiciaires qui se font sous le contrôle d’un juge. IOL est piloté par le GIC qui répond au cabinet du premier ministre. Cette infrastructure est-elle isolée ou transverse à celle de la PNIJ, la plateforme nationale des interceptions judiciaires ? Difficile de concevoir que l’Etat double ce genre d’infrastructures assez coûteuses.
Dans un avis remis au gouvernement, la Commission nationale de contrôle des techniques de renseignement (CNCTR) estime qu'il serait théoriquement possible pour les services de collecter les URL visitées par les internautes surveillés, mais uniquement si elles ne sont pas trop précises. Inextricable.
Un amendement a été adopté pour permettre aux douaniers d’agir anonymement sur Internet afin de recueillir des preuves et identifier les possibles auteurs d’infractions au Code des douanes [...]
Avec l’autorisation de l’autorité judiciaire, les agents des douanes, dont la cellule Cyberdouane, pourront entrer dans des forums, et tout autre espace en accès restreint. Spécialement, cela concernera aussi les espaces payants de l’internet. Par contrecoup, ces agents pourront en outre être dotés de moyens de paiement « non traçables afin de préserver leur anonymat et l’efficacité de la procédure sans éveiller la suspicion des organisateurs de la fraude ».
Michel Sapin, ministre des Finances, a commenté l’intérêt d’une telle mesure : après les attentats de 2015, « j’ai pu voir sur le Darknet qu’on pouvait échanger des armes », évoquant la présence d’ « informations essentielles pour lutter contre le terrorisme ».
La France s’apprête à officialiser les dispositifs de surveillance administrative et judiciaire dans les stations de bases (antenne relais) utilisés aujourd’hui en matière de téléphonie mobile 3G et 4G. Un texte, diffusé ci-dessous, a été notifié à Bruxelles en ce sens.
Le début d’année 2016 est marqué par une nouvelle vague de textes sécuritaires. Next INpact vous propose un panorama de ces dispositions, en retenant particulièrement celles touchant à l’univers des nouvelles technologies. [...] || Le programme des réjouissances 2016 dans le pays qui a proclamé les Droits de l'Homme mais ne les pratique pas.
L’Américain Christopher Soghoian, chercheur en sécurité informatique, invite les utilisateurs à protéger eux-mêmes leur vie privée, face aux entreprises et aux gouvernements. [...] Ce que les Américains, les Anglais, les Français ont créé, c’est une société où les gouvernements peuvent scruter ce que vous faites, le tout alimenté par la peur du terrorisme. [...] Si les Etats échouent à protéger les droits de leurs citoyens, la seule chose qui demeure possible, c’est qu’eux-mêmes se protègent.
Le nouvel article R851-5-I commence par définir ce que les données de connexion ne sont pas : elles ne peuvent viser le « contenu des correspondances échangées ou des informations consultées ». C’est là une suite de la décision du Conseil Constitutionnel, qui fut appelée à définir ce champ suite à une question prioritaire de constitutionnalité soulevée par la Quadrature du Net, FDN et FFDN. Mais quelles sont donc les données de connexion que pourront butiner les services ? Elles dépendent de la qualité de l’intermédiaire, tel que définit par le Code des postes et des télécommunications. Ces données peuvent par ailleurs être glanées en temps différé ou en temps réel. [...] Pour les FAI : L'identifiant de la connexion, L'identifiant attribué par ces personnes à l'abonné , L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès , Les dates et heure de début et de fin de la connexion, Les caractéristiques de la ligne de l'abonné
Les jihadistes sont comme tout le monde, ils ont besoin d’Internet pour communiquer. Leur traque a-t-elle des incidences sur le respect des droits des citoyens lambdas ? Le rédacteur en chef du magazine Next INpact nous répond. [...] Marc Rees | Ce sont les services de la Direction générale de la sécurité intérieure (DGSI) qui orchestrent les mesures de surveillance. Mais il est très difficile de répondre plus en profondeur à cette question puisque le décret relatif aux missions et à l’organisation de la DGSI indique expressément que “tout agent public est tenu de garder le secret sur les activités et l’organisation de la direction générale de la sécurité intérieure”. Ce qui n’est pas vraiment rassurant. [...] En clair, il est quasiment impossible de savoir si on est effectivement surveillé, sauf à être un procédurier tatillon et avoir “la chance” de faire révéler par les juges un espionnage illégal.
Les services du ministère de l'Intérieur envisagent de nombreuses mesures pour renforcer une nouvelle fois la sécurité au détriment des libertés. Coupure obligatoire de tout réseau Wi-Fi ouvert, blocage des réseaux d'anonymisation et fourniture des clés de chiffrement des messageries font partie des pistes soumises à arbitrage.
La liste des mesures envisagées par le gouvernement pour renforcer la sécurité au détriment de la liberté et de la vie privée s’allonge. Alors que le gouvernement envisage déjà de nouvelles lois sécuritaires qui permettraient par exemple de croiser tous les fichiers de données personnelles détenues par l’État, d’obliger à l’installation d’émetteurs GPS sur les voitures louées, d’allonger la durée de conservation des données de connexion ou encore de faciliter le recours aux IMSI-catchers, Le Monde révèle samedi de nouvelles mesures recensées par le ministère de l’Intérieur.
http://abonnes.lemonde.fr/attaques-a-paris/article/2015/12/05/la-liste-musclee-des-envies-des-policiers_4825245_4809495.html
http://arstechnica.co.uk/tech-policy/2015/12/france-looking-at-banning-tor-blocking-public-wi-fi/
http://www.nextinpact.com/news/97609-tor-wi-fi-public-chiffrement-voip-v%C5%93ux-policiers-pour-tour-vis-securitaire.htm
http://www.numerama.com/politique/133397-vers-une-nouvelle-loi-securitaire-menacant-la-vie-privee.html
http://www.lefigaro.fr/secteur/high-tech/2015/12/09/32001-20151209ARTFIG00107-les-defenseurs-des-libertes-numeriques-redoutent-un-tour-de-vis-securitaire-sur-le-web.php
Valls dit non à l’interdiction du Wi-Fi public et de TOR
http://www.numerama.com/politique/134244-valls-dit-non-a-linterdiction-du-wi-fi-public-et-de-tor.html
https://www.nextinpact.com/news/97646-l-interdiction-wi-fi-public-n-est-pas-piste-assure-manuel-valls.htm
Seuls les groupes vert et communiste ont voté contre ce texte grâce auquel la France s’autorise à faire ce qu’elle dénonce du bout des lèvres lorsqu’il s’agit des services américains ou britanniques : surveiller à son aise les communications internationales. Pour La Quadrature du Net « un tel dispositif de surveillance de masse participe de la course à l’espionnage mondial, et fait de la France un pays ennemi des libertés fondamentales. S’il semble clair que cette loi est une simple légalisation des pratiques secrètes mises en œuvre depuis 2008, alors il est plus que temps que l’opinion publique et les représentants de la Nation donnent clairement leur avis sur cette course à l’armement du XXIe siècle que représentent l’espionnage et la surveillance de masse".
Alors qu’au Royaume-Uni la Ministre de l’Intérieur, Theresa May, prépare une nouvelle loi de surveillance, répondant ainsi aux jérémiades d’Andrew Parker, chef du MI5, le journal en ligne The Intercept dévoile plus d’une vingtaine de documents « confidentiels » fournis par le plus célèbre des ex-sous-traitants de la NSA, Edward Snowden. Alors que le travail de ce dernier avait déjà montré comment le Royaume-Uni pompait directement des données informatiques circulant dans les cables transatlantiques (25 pourcent du traffic internet transite par le Royaume-Uni, à travers 1600 cables en fibre optique), ces nouveaux documents dévoilent comment ces matériaux bruts ont été exploités par les « services ».
C’est demain en fin de journée que la proposition de loi sur la surveillance internationale entrera en discussion en séance publique au Sénat. Une douzaine d'amendements ont été déposés pour l’heure, traduisant une perfection absolue du texte… ou une faible mobilisation des parlementaires.
e 24 juillet dernier, la quasi-totalité des médias s'est focalisée sur la décision du Conseil constitutionnel relative à la loi Renseignement. Le même jour, pourtant, le même juge rendait sa décision sur la question prioritaire de constitutionnalité (QPC) de la Quadrature du Net, FDN et FFDN. Une excellente occasion de revenir dessus.
Précisément, l’expression d’ « informations et documents », telle que dénoncée dans la QPC, peut laisser craindre la possibilité pour les services administratifs d’accéder à d’autres données que celles de connexion. De plus, les termes de « sollicitation du réseau » semblent permettre l’aspiration directe de ces éléments dans les infrastructures des opérateurs, ce qui n’est permis que depuis la toute récente loi sur le renseignement. Enfin, se pose un problème assez aigu : le législateur n’a prévu aucune garantie spécifique pour protéger le secret professionnel des avocats et des journalistes : lorsque les services aspirent ces informations, ils peuvent en effet prendre connaissance des sources des journalistes, et savoir par exemple qui est le lanceur d’alerte qui alimente tel titre de presse.