En direct
Best of
Best of du 3 au 9 août
En direct
© Reuters
L'Agence nationale de sécurité américaine aurait demandé à Verizon des informations sur les données de tous ses clients.
Big Brother

Tous sur écoute ? Ce que l’on peut déduire des révélations sur les services de renseignement américains quant à l’ampleur de la surveillance d'Etat sur les réseaux de communication

Publié le 09 juin 2013
Le Guardian a révélé que l'Agence nationale de sécurité américaine aurait demandé à la société de téléphonie Verizon des informations sur les données de tous ses clients. Le Washington Post affirme que les services de renseignement ont également accès aux serveurs de Google ou Facebook.
Jacques Cheminat est chef des informations chez IT News Info, société spécialisée dans les technologies de l'information et le renseignement d'entreprise.Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jacques Cheminat, Etienne Drouard et Michel Nesterenko
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jacques Cheminat est chef des informations chez IT News Info, société spécialisée dans les technologies de l'information et le renseignement d'entreprise.Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Le Guardian a révélé que l'Agence nationale de sécurité américaine aurait demandé à la société de téléphonie Verizon des informations sur les données de tous ses clients. Le Washington Post affirme que les services de renseignement ont également accès aux serveurs de Google ou Facebook.

Atlantico : Le quotidien britannique The Guardian (lire ici) a révélé jeudi 6 juin que la NSA, l'Agence nationale de sécurité américaine, aurait demandé à la société de téléphonie Verizon des informations sur les données de tous ses clients, qu'ils soient suspectés dans des affaires en cours ou non. Le Washington Post affirme que les services de renseignement ont également accès aux serveurs de Google ou Facebook (voir ici). Que sait-on réellement de l'ampleur de la surveillance d'Etat sur les réseaux de communication ? Qu'en est-il en France ? 

Michel Nesterenko : Aux Etats-Unis, 100% des communications sont enregistrées, y compris les contenus. On a effectivement pu le constater dans certaines affaires de renseignements. Cette pratique s'applique à tous les contenus et sur tous les médiums. L’ensemble des citoyens américains ont été traités comme des terroristes. Tout le monde a été espionné, on peut clairement parler de Big Brother. Tout est enregistré et en cas de besoin, les autorités vont piocher dans ces données. 

Les Etats-Unis disposent de moyens colossaux, financiers et techniques, pour récolter les données de leurs citoyens. Le gouvernement américain, le président Obama, les représentants du Sénat qui sont chargés de surveiller ce système, admettent ce qu’ils ont fait et le justifient par la défense de la sécurité nationale. Et depuis le Patriot Act, entré en vigueur sous George W. Bush, à partir du moment où une affaire est considérée comme liée au terrorisme, la Constitution ne tient plus.

La France n’a pas les moyens de mettre en place un tel système. Le pays espionne effectivement des groupes dangereux mais dans les limites constitutionnelles. Les pays européens ont réussi à contrôler leurs groupes terroristes sans entraver les lois.

Peut-on imaginer que l'Etat français et les compagnies de téléphonie et autres géants du web disposent d'arrangements afin de collecter des données, à l'instar de ce qui se passe aux Etat-Unis ? 


Michel Nesterenko : La France ne dispose certainement pas d’arrangements semblables à ceux qui lient les Etats-Unis aux entreprises de téléphonie ou autre géants du web. Pour cela, il faut en avoir les moyens. L’Etat français dans la majorité des cas ne s’est pas affranchi des règles de la Constitution. Le droit français estime certes qu’à partir du moment où un attentat de grande ampleur se prépare, les juges anti-terroristes ont la capacité de mener des enquêtes très approfondies, mais cela ne date pas d’aujourd’hui. Leurs moyens ont été accrus mais leurs investigations restent basées sur des suspicions raisonnables. Alors qu’aux Etats-Unis, pas besoin de suspicions. 

Lors de la mobilisation contre le mariage pour tous, la DCRI avait été suspectée d'espionner les informations échangées sur les comptes Facebook de membres du collectif la "Manif pour Tous" ainsi que de plusieurs activistes d’extrême gauche. Ces suppositions sont-elles crédibles ? Les Etats collectent-ils des données furtivement ? 

Jacques Cheminat : Il est effectivement possible sur le plan technique que ce type d’espionnage ait pu avoir lieu, le plus étonnant étant que cela se soit su ! Bien que je n'en sache évidemment rien, des membres des services de renseignement auraient pu pénétrer les comptes de plusieurs de ces personnes et donc avoir accès à l’ensemble de leurs messageries privées. Il est néanmoins étonnant que les adresses de connexion concordent avec celles du siège de la DCRI à Levallois ou à la direction zonale des CRS à Villacoublay, ces derniers étant j'imagine assez habiles pour masquer les traces de leur surveillance.

Michel Nesterenko : L’Etat français collecte des données de manière furtive mais dans un contexte juridique bien précis alors qu’aux Etats-Unis, l’Etat collecte tout qu’il y ait une suspicion ou non. Outre-Atlantique, les données sont collectées systématiquement et analysées en fonction des besoins.

Mais il est normal que nous ne soyons pas au courant des données et de la façon dont elles sont collectées, je pense notamment aux affaires comme celle des meurtres commis par Mohamed Merah. Il est normal que le gouvernement français ait les moyens d’espionner des individus comme Mohammed Merah et il ne faut pas que toute la presse le sache, sinon nous ne pourrions jamais attraper les terroristes. Les Etats doivent pouvoir collecter des données, mais dans un contexte juridique bien précis. 

Etienne Drouard : J’ai beaucoup de doutes sur le fait que Facebook donne des mots de passe. Je suppose qu’ils donneraient davantage un statut d’ami invisible que des mots de passe. Si Facebook l’avait fait, sur une affaire qui n’est pas liée au terrorisme, Facebook aurait pris un risque immense pour sa réputation. J’ai tout de même un très gros doute quant au fait qu'ils aient pris la liberté de fournir des mots de passe sur ce type de requête, même si elle vient de la DCRI.

Quels outils et méthodes peuvent permettre aux services secrets d'espionner si précisément des réseaux aussi vastes ?

Jacques Cheminat : Tout d’abord on trouve aujourd’hui, même pour les entreprises privées, des produits qui permettent de surveiller ce qui se dit publiquement (hors messages privés, NDLR) sur les réseaux sociaux grâce à un système de repérage par mots-clés. Les plus connus d’entre eux sont des logiciels américains comme Needium ou Radiance X qui offrent une surveillance assez large de ce que l’on peut trouver sur les réseaux sociaux. Ces outils permettent de récolter très rapidement un ensemble conséquent d’informations sur un point donné (une marque, un événement  une personnalité…). Il s'agit d'une méthode qui est surtout utilisée dans le marketing, mais qui est aussi valable pour le renseignement. Depuis deux, trois ans, ces systèmes se sont  développés dans le privé et peuvent aussi potentiellement être réutilisés par les services secrets s’ils souhaitent avoir une vision assez globale d'un phénomène particulier.

Une autre méthode, plus longue à exécuter, s’appelle le "Deep Packet Inspection" (DPI) qui analyse le trafic internet dans son ensemble. Il s’agit ici d’analyser des transits bien délimités (adresses IP, mails, réseaux sociaux….) au moyen d’en-têtes préalablement définis qui vous donnent la provenance et la destination précises de messages que vous souhaitez observer.

On trouve aussi par ailleurs des attaques dites de "force brute" qui consistent à briser les mots de passe d’un compte particulier. Il s’agit de prendre une ressource informatique de calcul qui tentent en un temps record (via des chaînes de caractère) autant de combinaisons que possibles avant de tomber sur celle qui représente le code d’accès. Néanmoins il s’agit d’une pratique extrêmement ciblée qui ne peut concerner qu’un noyau très restreint d’individus. Il faudrait en conséquent que les services secrets savent exactement ce qu’ils comptent trouver et où avant de pratiquer ce genre d’attaques.

Si un compte Facebook est pénétré par une personne extérieure – un agent de la DCRI – cette personne peut-elle effacer toute trace de son passage afin que l’abonné du compte n’ait aucun soupçon ? 

David Fayon : On peut effacer certaines traces, mais Facebook a toujours des logs de connexion avec ces événements. La personne n’a pas accès à ces log. En se connectant, l’intrus crée lui-même des traces permettant à Facebook de dire que quelqu’un d’autre s’est connecté, sans savoir si un humain ou un automate est derrière.

Si vous vous adressez à Facebook, il est peu probable que l’on vous réponde, car cela ne rapporte rien et représente une charge pour l’entreprise. La demande restera lettre morte. Il faut vraiment avoir un pouvoir d’influence pour que Facebook daigne répondre.

Comment peut-on se protéger contre ce type d'incursion ? En tant qu'utilisateur comment peut-on échapper à ce type de surveillance ?

Jacques Cheminat : Il n’y a pas de recettes magiques, mais une succession de précautions peut déjà être utile. La première est évidemment d’être extrêmement vigilant quant aux informations que l'on publie sur les réseaux sociaux, que ce soit en public ou même en privé. C’est un principe forcément difficile à respecter de par la nature même d’outils comme Facebook qui sont forcément portés sur l'échange d'informations. 

Pour ce qui est des "craquages" de mots de passe, il est possible de limiter voire d’annuler l’efficacité du système de chaîne de caractères en utilisant tout simplement, comme c’est recommandé sur la plupart des sites contenant des informations personnelles, des codes complexes fait de caractères peu usités (*%3 »#...) et de majuscules placé de manière "incohérente" à première vue. 

Michel Nesterenko : L’utilisateur moyen ne peut pas échapper à ce type de surveillance. C’est une illusion. Simplement, si vous voulez dire quelque chose de confidentiel, ne le mettez pas sur un réseau social.

Si l’intrusion par la DCRI dans un compte Facebook était avérée, quelles seraient les implications judiciaires ? De quels recours disposerait la personne dont le compte a été piraté ?

Etienne Drouard : La DCRI est l’héritière des Renseignement Généraux (RG) et de la Direction de la Surveillance du Territoire (DST). Elle est en charge de missions de préservation de l’ordre public (anciennement dévolues aux RG) et également de sécurité du territoire et de sûreté de l’Etat (qui était dévolue à la DST). Dans sa seule mission de préservation de l’ordre public, elle a le droit de mener des enquêtes sur des personnes qui ont une activité politique, syndicale, etc. Elle dispose aussi de la possibilité de demander l’organisation de l’interception de correspondances privées, d’écoutes téléphoniques ou de consultations et d’accès à un compte de messagerie électronique. On appelle cela des "interceptions de correspondance émises par voie des communications électroniques" (téléphone, courrier électronique). Ce qui soulève la question de l’accès à des espaces privés d’un compte Facebook.

Pour pouvoir le faire légalement, il faut que les agents passent par une demande provenant d’un fonctionnaire du ministère de l’intérieur, qui détermine s’il y a un motif légitime ou non pour préserver l’ordre public et donc effectuer une telle interception. C’est ainsi qu’on autorise une écoute administrative de ligne téléphonique et un accès à une messagerie électronique.

Un réseau social est un service qui obéit à plusieurs régimes juridiques, selon le périmètre de diffusion de l’information qui y figure. Le mur d’un compte Facebook relève de la communication publique. Il ne s’agit pas de correspondance privée. Aucune autorisation particulière n’est requise pour prendre connaissance des informations qui y figurent.

Viennent ensuite les contenus qui sont accessibles aux amis des amis du titulaire du compte. Ils verront tous les contenus rendus accessibles par le titulaire aux amis de ses amis. Le titulaire n’a pas le contrôle sur qui sont les amis de ses amis. On n’est toujours pas dans un régime de correspondance privée.

Troisième cercle de diffusion d’information sur un compte de réseau social, qui lui n’est plus de l’ordre de la communication privée : l’espace réservé à des amis. Les amis relèvent de la correspondance privée. Accéder à cet espace nécessite donc une autorisation d’interception de correspondances par voies de communications électroniques.

Dans ces deux dernières hypothèses, j’accède à un compte Facebook pour voir ce qui est accessible aux amis ou aux amis des amis, il faut passer par une procédure qui a été instaurée dans une loi de janvier 2006 qui consiste à obtenir une autorisation en invoquant un motif légitime d’accéder au compte en question.

Dans ce cas, la DCRI peut avoir utilisé deux types de procédures : la procédure administrative qui passe par le ministère de l’intérieur, et non le truchement d’un juge judiciaire. Deuxième voie procédurale, qui est plus hypothétique: la voie judiciaire, par laquelle on est autorisé par un juge d’instruction. Je suppose que ce n’est pas cette voie qui a été utilisée, car elle n’est pas naturellement ouverte à la DCRI.

C’est l’une des deux qui a pu être retenue pour pouvoir s’adresser à l’éditeur de réseau social et lui demander de disposer d’un accès aux comptes en question. Si c’est le cas, Facebook a l’obligation de s’y soumettre. Le seul fait de fournir des éléments d’identification d’un titulaire de compte a déjà été refusé par Twitter, au motif qu’il s’agit d’une société américaine.

Facebook a été plus collaboratif vis-à-vis des pouvoirs publics français, même si elle aurait pu se retrancher derrière le fait qu’elle était une société américaine. C’est simplement parce que Facebook a ouvert des locaux en France et que l’on peut considérer qu’elle a un établissement stable qui la soumet à la réglementation française.

S’ils ont été saisis par l’une des deux autorités citées (Ministère de l’intérieur ou autorité judiciaire), ils ont l’obligation de se taire et de fournir des éléments permettant d’accéder au compte. Cela a pu se faire sous les formes suivantes :

  • Fournir les mots de passe de l’utilisateur, ou en tout cas donner des droits d’accès complets comme si l’on était le titulaire du compte. A ma connaissance, ce n’est pas ainsi que l’on procède.
  • Créer un compte invisible d’ami pour permettre d’aller voir ce qui se passe sur le compte dans les espaces accessibles à des amis – qui ne sont pas la totalité des espaces accessibles aux titulaires eux-mêmes.
  • Une troisième possibilité, qui ne porterait pas atteinte au secret des correspondances qui sont dans ce régime des correspondances privées, consisterait à simplement se renseigner (sous autorisation du ministère ou de l’autorité judiciaire) pour savoir quels sont les amis du titulaire du compte. On aurait des éléments d’identification des personnes qui sont liées au compte du titulaire sans pour autant prendre connaissance des messages qu’ils s’échangent.

Voilà comment, sur un plan procédural les choses devraient se faire. Sur le cas que vous me citez, je ne sais pas comment elles ont été effectuées. Elles ne peuvent pas avoir été effectuées sans s’être fait passer pour quelqu’un d’autre (en ayant été accepté comme ami), ou sans le concours de Facebook pour obtenir un privilège d’accès à ce compte. Soit le titulaire détient ces droits et les accorde à des amis qu’il croit être ses amis, soit on passe par Facebook.

A supposer que les services de renseignement parviennent à trouver les mots de passe de comptes et se connectent à ces derniers, de quels moyens judiciaires la personne dont le compte a été piraté dispose-t-elle ?

Etienne Drouard : On estime qu’environ 12% des mots de passe peuvent être retrouvés en moins de 20 tentatives dès lors que l’on en sait un peu sur la personne : le nom de son chien, le prénom de son fils, sa date de naissance, etc. Au bout de x tentatives sur Facebook, on vous demande de répondre à une question secrète ou de taper les lettres qui s’affichent devant vous pour vérifier que vous n’êtes pas une machine.

Une personne qui réussit à trouver le mot de passe et entrer dans l’espace d’un autre tombe sous le coup des articles 323-1 et suivants du Code pénal, prévus par la loi Godfrain, au sens de la pénétration frauduleuse dans un système d’information. L’intention frauduleuse peut être suffisante (le simple fait de tenter de trouver les mots de passe, de les trouver tout en sachant pertinemment qu’on n’a pas le droit de le faire), quand bien même on n’a pas utilisé un procédé informatique pour pénétrer dans un système d’information. Les peines encourues sont cinq ans et 75 000 euros d’amende.

En France, s’il est avéré que c’est un agent de la DCRI a eu recours à ces pratiques, que se passe-t-il sur le plan juridique ?

Etienne Drouard : L’agent peut le faire, toujours en ayant obtenu l’autorisation déjà mentionnée. Il présente le mode opératoire qu’il souhaite suivre. Une intervention physique peut consister à chercher à savoir ce qui se passe entre le clavier et l’ordinateur. Cela fait partie des pouvoirs d’investigation de la DCRI. Là encore, il serait intéressant de savoir quelle a été la validation du mode opératoire par un fonctionnaire qui est certes rattaché au ministère de l’Intérieur, mais qui est censé donner sa validation.

Si la décision incombe à un fonctionnaire, comment celui-ci évalue-t-il la légitimité de la consultation d’un compte par un agent ?

Etienne Drouard : C’est là que réside la différence entre l’avis d’un juriste et une opinion personnelle sur ce qu’il est légitime de faire dans un rôle de police administrative et de sauvegarde de l’ordre public. S’il s’agissait d’accéder au compte Facebook d’une personne qui appelle à manifester pour l’amélioration du pouvoir d’achat, il y aurait tout de même une dimension de maintien de l’ordre, qui consiste pour l’État à être autorisé à se renseigner sur des militants, qu’ils soient ou non violents, dès lors qu’ils vont bloquer une rue, organiser une manifestation…

La question de l’ordre public ne se juge pas seulement au caractère violent de ceux qui veulent le troubler mais au fait que cela puisse avoir un impact. Dans le cadre du débat sur le mariage pour tous, il y a des personnes dans les rues, des risques lié à la sécurité… donc sur le terrain de la préservation de l’ordre public, cela se discute. C’est l’éternel débat consistant pour l’État à se demander si oui ou non il veut une police politique chargée de surveiller les personnes qui ont envie de provoquer des manifestations ou des mouvements de foule. Par exemple, des étudiants qui voulaient faire des flash mob ou des dégustations de vins dans la rue, comme cela avait été le cas à Montpellier il y a 3 ans, étaient suivis par les Renseignement généraux. On pouvait estimer qu’il y avait un intérêt à pénétrer leur vie privée pour savoir ce qu’ils préparaient, même si c’était simplement une histoire d’étudiants qui se regroupaient à raison de 800 ou 1000 personnes pour boire des coups dehors.

Les questions de prévention en matière de sauvegarde de l’ordre public laissent une marge d’appréciation énorme qui est versée au débat public. C’est l’opinion de chacun. Juridiquement, la frontière est compliquée à situer lorsque l’on a pour argument la préservation de l’ordre public..

Comment peut-on lutter contre l'"espionnage d'Etat" ? Les dispositifs comme la Commission nationale de l'informatique et des libertés (CNIL) sont-ils efficaces dans ce cas ? N'a-t-on pas besoin de "lanceurs d'alerte" ? 

Etienne Drouard : Si les citoyens ont peur d’être surveillés par les services administratifs, la loi Informatique et libertés leur donne un droit d’accès pour savoir ce que l’État sait sur eux. C’est le droit d’accès indirect. Il faut s’adresser à la Commission nationale informatique et libertés en indiquant à quel domicile on réside. Les commissaires de la CNIL interrogeront les administrations en question, feront rapatrier toutes les informations, et jugeront de la pertinence de ces informations. Ils peuvent demander l’effacement des informations qui leur paraissent non pertinentes. Les citoyens sont informés de ces suppressions. L’administration ne s’est jamais opposée à une demande d’effacement de la CNIL. Cette autorité indépendante peut surveiller les "surveilleurs".

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Seniors : cette méthode qui vous permet de profiter pleinement de votre retraite

02.

Pourquoi vous devriez éviter le régime keto

03.

Services secrets turcs : les hommes des basses œuvres du président Erdogan

04.

Tempête dans les bénitiers : qui de Salvini ou du pape est le plus catholique ?

05.

Fleurs et vacheries au G7 : les avis surprenants des dirigeants étrangers sur Emmanuel Macron ; Notre-Dame, victime collatérale de négligence politique ; Julien Dray, mentor repenti d’Emmanuel Macron ; Panne sèche pour la voiture autonome

06.

Le général iranien Qassem Souleimani, maître de guerre sur le front syro-irakien

07.

La guerre de France aura-t-elle lieu ?

01.

La guerre de France aura-t-elle lieu ?

02.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

03.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

04.

Manger du pain fait grossir : petit inventaire de ces contre-vérités en médecine et santé

05.

Pourquoi vous devriez éviter le régime keto

06.

Jean-Bernard Lévy, celui qui doit faire d’EDF le champion du monde de l’énergie propre et renouvelable après un siècle d’histoire

01.

La guerre de France aura-t-elle lieu ?

02.

Ces quatre pièges qui pourraient bien perturber la rentrée d'Emmanuel Macron (et la botte secrète du Président)

03.

Record de distribution des dividendes : ces grossières erreurs d'interprétation qui expliquent la levée de bouclier

04.

Un été tranquille ? Pourquoi Emmanuel Macron ne devrait pas se fier à ce (relatif) calme apparent

05.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

06.

Rencontres diplomatiques : Boris Johnson pourrait-il profiter du désaccord entre Paris et Berlin sur le Brexit ?

Commentaires (15)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
LILLBee
- 09/06/2013 - 23:04
Démocratie
Période comprise entre le matin du premier tour et le soir du deuxième, entre les deux c'est : cause toujours! Tu as voté pour 60 propositions, t'en aura 60, point.
BCPANORAMA2
- 09/06/2013 - 07:20
Quelle est belle ma vallée...
Sous ses oripeaux démocratiques....Pour votre bien être, on vous espionne... jusqu'à votre alcôve.
La NSA - en victime - a même demandé au ministre de la "Justice" d'ouvrir une enquête sur l'origine des fuites!. Un autre procès Manning en vue au pays des gangsters..
jerem
- 09/06/2013 - 01:25
il est pas mignon l'humouriste americain
entre deux prestations télé de madame et deux tweet, il a tout de me rassurer , l'incursion dans la vie privée ne concerne pas les citoyens américains ou vivant en amerique .....

on attend la cnil et son corrolaire européen .. eux qui avainet deja brillé au temps des listes des passagers des cie aeriennes avec moultes informations complementaires.

Accord de libre echange ? oui bien sur !

Apres Echelon .....