La Commission nationale pour l'informatique et les libertés (CNIL) a finalement bien voulu libérer un précieux document resté secret depuis mai 2012. Il s’agit de son avis visant un projet de décret en Conseil d’État relatif aux règles déontologiques et à la déclaration publique d’intérêts (DPI) de certains hauts fonctionnaires travaillant dans le secteur de la santé. Jamais publié malgré une première demande CADA, cet avis demande aux moteurs d’aller indexer ailleurs ces informations de première nécessité.
Interpellé sur la réalité du DPI en France, le gouvernement s'est efforcé de rappeler les différentes infractions existantes, comme le viol du secret des correspondances. Le gouvernement a aussi souligné que l'usage du DPI pouvait être autorisé dans certaines situations très spécifiques et de façon exceptionnelle. Il a ensuite affirmé que toute autre usage pouvait être sanctionner par la justice. http://questions.assemblee-nationale.fr/q14/14-16282QE.htm
Vous n’avez pas pu y échapper, tous les médias le serinent, croissance et innovation, bref l’avenir, seraient dans la « data », dans les données en général et les données personnelles et privées en particulier. Enfin, pas pour celles et ceux qui les possèdent, c’est-à-dire nous, mais pour ceux qui se les accaparent à grands coups de puces mouchardes (carte Navigo ou cartes bancaires, par exemple), de GPS (téléphones portables, tablettes, etc.), de cartes de fidélité en tous genres, de formulaires obligatoires, de CGU (les fameuses conditions générales d’utilisation permettant aux portails, sites et réseaux sociaux d’exploiter nos clics et données perso), d’objets et compteurs connectés et de puissants sondeurs de web-trafic que sont les outils de DPI (Deep Packet Inspection). Sans parler des fichiers clients qui se vendent à la pelle, de l’Open data (données publiques) et de toutes les données, en ligne ou non, sur tout et n’importe quoi ou n’importe qui. [...] Alors, comme le chantent les Saltimbanks, ne lâchez rien, défendez ces datas qui ne sont pas à eux, mais à vous.
Les opérateurs français ont-ils reçu consigne du gouvernement d’utiliser d’une manière ou d’une autre le Deep Packet Inspection ? C’est en substance la question que vient d’adresser Isabelle Attard à la garde des Sceaux.
Des tests menés en Allemagne par les ayants droit français
Les ayants droit ont depuis longtemps dans leur carton un projet une solution de filtrage par deep packet inspection. Cela nous avait été dévoilé par Marc Guez, président de la SCPP, qui réunit les majors de la musique. « C’est un robot qui vérifie : est-ce qu’il y a un fichier protégé dedans ou pas, si oui, le fichier protégé ne suit pas » expliquait-il en septembre 2010. Testé en Allemagne, ce filtrage, programmé à l’époque dans l’écosystème Hadopi, avait été évoqué à Bruxelles. « On l’a évoqué devant la Commission européenne de manière non positive avec les FAI » admettait-il.
Plus récemment, devant la mission Lescure, la SCPP a revu à la baisse ses ambitions suite à une jurisprudence de la Cour de Justice de l’Union Européenne (affaire Sabam). « On dit à la Mission Lescure qu’en dehors de la réponse graduée, si jamais elle devait être abandonnée, le filtrage fait aussi partie des mesures qui fonctionnent » nous a relaté toujours Marc Guez. « On sait que le filtrage par DPI a été rejeté par la CJUE qui l’estime trop intrusif, mais le filtrage par DNS, lui, ne l’est pas. »
Le deep packet inspection au-delà de nos frontières
En attendant la réponse gouvernementale, Isabelle Attard considère sans mal que « ces technologies [de DPI] pouvant servir à censurer ou à mettre sous surveillance des citoyens, hors de toute procédure judiciaire, il serait particulièrement dangereux pour notre démocratie que des opérateurs privés les utilisent sur les réseaux français. »
La sensibilité du DPI varie toutefois selon le côté de la frontière. Questionné en mars 2013, Laurent Fabius, ministre des Affaires étrangères, a considéré – comme ses prédécesseurs - que l’exportation des outils de DPI ne pose aucune difficulté particulière puisqu’il s’agit de solutions développées sur la base de produits « grand public ». Aucune autorisation n’est nécessaire pour leur vente, même dans des pays à la démocratie chancelante : « Ces matériels de communication, qui sont développés sur la base de produits du marché grand public et qui n'ont pas d'usage militaire, n'ont a priori pas vocation à faire partie de l'une des catégories d'équipements soumis à autorisation d'exportation. »
Une belle cacophonie puisque quelques jours avant, le premier ministre exprimait son souhait d’ « inclure les technologies de surveillance et de contrôle de l’internet dans la liste des biens à double usage dont l’exportation est soumise à autorisation »...
On te cause d’écouter un tuyau de 200 Gbps ! C’est un peu comme si tu remplaçais les gouttes des chutes du Niagara par des pédo terroristes. Et kékifé le DPI de Procera Networks et Tilera ? Et bien les petites, sonsondes, elles attrapent les lutins magiques du réseau qui transportent tes paquets, elles éclatent les lutins magiques à coups de batte de baseball pour cloner génétiquement tes paquets, dans une base de données de toutes les communications des pédo-terroristes… et accessoirement des autres. Alors juste pour vous situer comme ça, 200GBps, on parle tout de suite de plusieurs millions de terroristes là. Faut qu’il y en ai beaucoup. C’est d’ailleurs pour ça qu’ils en mettent plein là où il y a des millions de gens répondant à ces critères, comme aux USA. Ou sinon, ça peut servir à écouter tout un pays (mais encore vachement plus grand que celui là… un avec tout plein de pédo-terroristes dedans). Ça serait quand même dommage qu’on trouve l’un de ces jouets au cul d’un câble sous-marin ou pour surveiller les 65 millions de pédo-nazi terroristes français.
Le statut des outils de surveillance des communications électroniques attire l’attention de plus en plus de députés. Isabelle Attard a justement demandé au gouvernement ce qu’il envisageait pour faire cesser les exportations de ces produits à destination des régimes autoritaires. Elle vient d’obtenir la réponse du ministre des Affaires étrangères, Laurent Fabius.
(en même temps après l'affaire et scandale du sang contaminé, ça étonne quelqu'un ?)
Dans ses mesures dédiées au numérique, le gouvernement a défendu l'ajout dans la liste des technologies et des biens à double usage des outils numérique permettant une surveillance d'Internet. Selon Jean-Marc Ayrault, les 40 pays signataires de l'Arrangement de Wassenaar ont été notifiés des intentions françaises de contrôler plus fortement ces technologies.
Faudra-t-il un jour autoriser l'administration fiscale à procéder à des inspections profondes de paquets (DPI) pour savoir sur quelle base taxer les entreprises qui collectent les données personnelles des internautes ? C'est une des propositions figurant au rapport Collin & Collin sur la fiscalité du numérique.
«Selon nos informations, qui restent à confirmer, le gouvernement précédent (François Fillon/Nicolas Sarkozy) aurait demandé à des FAI de réfléchir à la mise en place de DPI sur leurs réseaux. Et le gouvernement actuel n’a visiblement pas mis un terme à ce voeu.» [...]
«Il y a presque mieux que l’histoire du DPI partout (sur le réseau ou dans la box, c’est comme vous voulez) : le gouvernement actuel demanderait aux FAI de conserver pendant la bagatelle de trois ans les traces informatiques de leurs clients. Ca c’est du changement. Du vrai. Du lourd. Attention, accrochez-vous, chez les FAI on parle de ce projet en disant « identité numérique« . Parce que ça concerne les adresses IP (ADSL) mais aussi les traces des GSM pour les opérateurs qui font aussi de la téléphonie.Il y a presque mieux que l’histoire du DPI partout (sur le réseau ou dans la box, c’est comme vous voulez) : le gouvernement actuel demanderait aux FAI de conserver pendant la bagatelle de trois ans les traces informatiques de leurs clients. Ca c’est du changement. Du vrai. Du lourd. Attention, accrochez-vous, chez les FAI on parle de ce projet en disant « identité numérique« . Parce que ça concerne les adresses IP (ADSL) mais aussi les traces des GSM pour les opérateurs qui font aussi de la téléphonie.» [...]
«L’identité numérique, c’est, dans les dictatures comme par exemple la Chine, une carte d’identité qui va permettre de s’authentifier pour utiliser Internet. Dans une démocratie oligarchie comme la notre, cela pourrait bien prendre une forme plus pernicieuse. http://lexpansion.lexpress.fr/high-tech/polemique-sur-la-future-carte-d-identite-electronique_258466.html »
Le 20 novembre dernier, l'Union Internationale des Télécommunications (UIT) a adopté un standard confidentiel sur les spécifications des systèmes d'analyse profondes de paquets (DPI), qui permettent de vérifier le contenu des communications et de décider quoi en faire. Le document de 110 pages a cependant fuité, et sa lecture confirme les craintes que le public peut avoir à l'encontre du DPI.
L'Union internationale des télécoms (UIT) avait bien mal commencé sa Conférence mondiale des télécommunications internationales (CMTI), qui se tient jusqu'au 14 décembre à Dubaï.
Opacité, huis-clos, volonté de récupérer la gouvernance de l'Internet à elle et de mettre à mal quelques-uns de ses principes... Les critiques pleuvent depuis des semaines et les tentatives de déminage n'y font rien.
Cela ne risque pas de s'arranger avec les dernières fuites de documents relevées par le Center for Democracy and Technology (CDT) la semaine dernière. Mais alors que l'association de défense des libertés en ligne pointait sur une page renvoyant vers des documents protégés par mot de passe, ceux-ci ont fini par se retrouver sur le web.
"Recommandations" pour une standardisation du DPI
Nous avons mis la main sur une copie de ce texte. En l'état, on ne peut évidemment pas certifier à 100% que ce document est proche celui qui a été adopté, au regard de la discrétion qui règne autour des travaux de l'UIT.
«Aujourd'hui, l'Internet libre et ouvert que nous connaissons est menacé. Sur 74 pays étudiés par l'Open Net Initiative, 42 filtrent et censurent des contenus sur Internet. Parmi les pays étudiés, ne figurent même pas les multirécidivistes tels que la Corée du Nord et Cuba. Au cours des deux dernières années, divers gouvernements ont promulgué 19 nouvelles lois constituant une menace pour la liberté d'expression en ligne. Certains de ces gouvernements tentent à présent de tirer parti d'une réunion à huis clos de l'Union internationale des télécommunications (UIT), qui se tient cette semaine à Dubaï, pour développer leur approche répressive. Habitués à contrôler les médias, ces gouvernements craignent de ne pas pouvoir maîtriser un Internet ouvert. Ils redoutent la propagation d'idées indésirables et sont opposés à ce que les individus puissent utiliser Internet pour critiquer leur gouvernement.»
[...]
«L'avenir du Web est loin d'être assuré et, au regard de l'histoire, ce ne sont pas les mises en garde qui manquent. En effet, il n'aura fallu aux princes et aux prêtres que quelques décennies après l'invention de Gutenberg pour limiter le droit d'imprimer des livres. L'histoire regorge d'exemples de ces gouvernements qui ont pris les devants pour mettre leurs citoyens "à l'abri du danger" en contrôlant l'accès à l'information et en muselant la liberté d'expression ainsi que d'autres libertés définies dans la Déclaration universelle des droits de l'homme. Nous devons nous assurer ensemble qu'Internet ne subisse pas le même sort.»
Alors que les États discutent officiellement depuis lundi de la révision du RTI, Tim Berners-Lee et Vinton Cerf, deux personnalités considérées comme les pères fondateurs de l'internet, viennent de s'élever contre les aspirations de certains pays.
Depuis lundi, se tient à Dubaï la Conférence mondiale sur les télécommunications internationales. Représentants de gouvernements du monde entier discutent ainsi de la révision du Règlement des télécommunications internationales (RTI), ce traité régissant les principes généraux relatifs à l'établissement et à l'exploitation des télécommunications internationales. En clair, les États planchent sur la future régulation mondiale d’Internet.
Alors qu’en coulisses, les gouvernements oeuvrent depuis plusieurs mois pour échanger les propositions d’amendements, de plus en plus de voix s’élèvent pour s’alarmer de la tournure prise par les négociations. Dernier en date : Tim Berners-Lee, principal inventeur du World Wide Web.
The ITU approved on November 20, the Y.2770 Recommendation- "Requirements for deep packet inspection in Next Generation Networks".
The ITU does not publish the recommendation to the public, but I was able to locate what seems to be one of the revisions of the document (here http://www.google.co.il/url?sa=t&rct=j&q=&esrc=s&source=web&cd=8&cad=rja&ved=0CFYQFjAH&url=http%3A%2F%2Fcommittee.tta.or.kr%2Finclude%2FDownload.jsp%3Ffilename%3Dchoan%252F%255B2012-1357%255DY.2770.pdf&ei=jju8UMDqMIXltQbB7IFw&usg=AFQjCNHBc9MUFhm95SGxzaDjVcckqK5exw&sig2=paw-5xFX0FDxqlq6Y1VnIQ).
The telecommunications standards arm of the U.N. has quietly endorsed the standardization of technologies that could give governments and companies the ability to sift through all of an Internet user’s traffic – including emails, banking transactions, and voice calls – without adequate privacy safeguards. The move suggests that some governments hope for a world where even encrypted communications may not be safe from prying eyes.
At the core of this development is the adoption of a proposed international standard that outlines requirements for a technology known as "Deep Packet Inspection" (DPI). As we’ve noted several times before, depending on how it is used, DPI has the potential to be extremely privacy-invasive, to defy user expectations, and to facilitate wiretapping.
Vint Cerf, the legendary computer scientist who co-created the TCP/IP networking protocols that serve as the Internet’s foundation, is not happy that United Nations wants to apply old telecom regulations to his creation. Cerf, who now serves as Google’s (GOOG) Chief Internet Evangelist, has written a post on Google’s official blog this week urging people to take action to protest the International Telecommunication Union’s plan to amend the International Telecommunications Regulations treaty to regulate the Internet.
The ITU, which is an agency of the UN, will be convening with governments from across the world this week to decide whether to apply the treaty to the Internet for the first time in its history. Cerf says that this meeting has the potential to add several damaging regulations to the Internet, as several authoritarian governments are likely to propose highly restrictive rules that would be damaging to freedom of speech and expression.