Le Sénat organise ce jeudi 22 mai 2014 un colloque intitulé "Numérique, renseignement et vie privée : de nouveaux défis pour le droit" (et qui sera retransmis en direct sur le site du Sénat). Le secret entourant le fonctionnement des services de renseignement est prompt à générer fantasmes & paranoïa. A défaut de pouvoir participer concrètement au débat, j'ai voulu poursuivre mon fact-checking (contre-enquête, en VF) de certaines des révélations du Monde en cherchant à contextualiser celles portant sur la coopération entre Orange, la DGSE et le GCHQ (l'équivalent britannique de la NSA) d'une part, la "mutualisation" des services de renseignement d'autre part et, enfin, le fait que les services de renseignement ne sont toujours pas, en France, clairement bordés par la loi, au point que les parlementaires chargés de les contrôler ont du s'auto-censurer (voir aussi les épisodes précédents : La DGSE a le "droit" d'espionner ton Wi-Fi, ton GSM et ton GPS aussi, et La NSA n’espionne pas tant la France que ça).

Des "liaisons incestueuses"

"France Télécom est un acteur important du système de surveillance en France", avançait en effet Le Monde, en mars dernier, dans un article sur les "relations incestueuses" entre Orange et la DGSE qui, par son intermédiaire, disposerait, "à l'insu de tout contrôle, d'un accès libre et total à ses réseaux et aux flux de données qui y transitent". Un second article affirme même que "Les services secrets britanniques ont accès aux données des clients français d'Orange".

Une chose est d'avoir accès à "des" données, une autre est de toutes les espionner... nonobstant le fait que, et par ailleurs, les réseaux de France Télécom-Orange qui intéressent le plus les services de renseignement ne sont pas tant en France qu'à l'étranger.

Les révélations du Monde reposent sur un document interne du GCHQ (le service de renseignement britannique en charge de l'interception, du piratage et du déchiffrage des télécommunications, et principal partenaire de la NSA), dont le Guardian avait révélé l'existence en novembre 2013 (mais que ni le quotidien britannique ni Le Monde n'ont rendu public).

Dans un article intitulé "GCHQ and European spy agencies worked together on mass surveillance" (le GCHQ et les services de renseignement européens travaillent ensemble à la surveillance de masse, en VF), le quotidien britannique écrivait alors que les services allemands, français, espagnols et suédois avaient développé des méthodes de surveillance massive du trafic téléphonique et Internet, notamment via la surveillance des câbles sous-marins, et que le GCHQ en avait bénéficié.

L'article révélait également que la DGSE avait accepté de travailler avec le GCHQ sur une base de "coopération et de partage", notamment pour ce qui est de la détection du trafic chiffré sur les câbles utilisant la fibre optique, mais aussi et surtout que la DGSE bénéficiait d'une relation privilégiée avec une entreprise de télécommunication française non identifiée, que les services britanniques avaient rencontré, par deux fois, en 2009. D'après Le Monde, ce partenaire privilégié serait France Télécom/Orange.

Dans un troisième article intitulé Les X-Télécoms, maîtres d’œuvre du renseignement, Le Monde évoque la figure tutélaire d'Henri Serres, qualifié de "père des moyens techniques dont disposent les services secrets français".

Directeur technique au ministère de la défense de 1980 à 1986, ce polytechnicien, passé par l'Ecole nationale supérieure des télécommunications, avait été chargé, en 1981, d'"auditer les services techniques" de la DGSE. En 1983, écrit Le Monde, il y crée une direction technique (DT), et l'équipe "d’ordinateurs puissants, de supercalculateurs capables de casser les codes" afin de "rattraper le retard de la France dans le domaine de l’interception".

"Dans son sillage, les X-Télécoms trustent cet univers depuis trente ans", plusieurs d'entre eux ayant effectué des "allers-retours constants entre la DGSE et France Télécom" :

«Les X-Télécoms et la DGSE, c’est la même conception de l’Etat», résume, aujourd’hui, un membre de cabinet ministériel.

D'après Le Monde, "les attentats du 11 septembre 2001 ont accru la coopération entre les services de renseignement et entraîné France Télécom dans cette mutualisation des moyens sur la collecte des données et le déchiffrement".

Les "grandes oreilles" étaient cachées aux PTT

On pourrait aussi faire remonter les "liens incestueux" entre les deux institutions à 1940, lorsque plusieurs polytechniciens, sous Vichy, "camouflèrent" les agents de l'ancêtre des "grandes oreilles" de la DGSE en les faisant passer pour des employés des PTT.

Dans un article passionnant sur l'histoire de l'interception des télécommunications par les services de renseignement français, le journaliste Roger Faligot écrivait en effet, en 2001, que le Groupement de Communications Radioelectriques (GCR, ancêtre de la direction technique -et donc des "grandes oreilles"- de la DGSE), créé en 1940, juste après la débâcle, par l'administration Vichy, "travaillait officiellement pour les Postes & télécommunications (P&T)", afin de donner une couverture à ses agents, et leur permettre de rester camouflés aux yeux des occupants nazis, ainsi que des collaborateurs français.

En 2010, le fils de l'un de ses responsables expliquait (.pdf) en effet que le GCR était "officiellement chargé d'écouter les émissions radio, militaires et civiles, nationales et internationales, pour les différents départements ministériels du Gouvernement de Pétain" mais aussi, et "officieusement", de "sauvegarder le potentiel d'écoutes radio de l'Armée française en vue de la reprise des hostilités contre l'envahisseur".

Paul Labat, qui dirigeait le GCR, orchestra cette "extraordinaire opération de camouflage" en faisant signer un accord secret avec le Directeur des télécommunications des PTT, pour que les officiers des Transmissions, bien que démobilisés, puissent continuer à y effectuer leur carrière, sans être estampillés comme militaires. En 1941, le GCR, "véritable opération de résistance institutionnelle", était ainsi rattaché au Secrétariat d'État à la Communication, comme les PTT.

Plusieurs de ses officiers figurèrent "parmi les tous premiers membres de l'Armée secrète", et très vite le GCR se mit au service de la Résistance et des Forces alliées, espionnant la Wehrmacht et la Gestapo au profit de la France libre, et du MI6 de l'Intelligence Service, à Londres.

Camouflés comme employés des PTT, les espions du GCR continuèrent leurs activités, malgré l'occupation de la "zone libre", certains préférant quand même passer dans la clandestinité. Traqués par la Gestapo à partir de 1943, 27 d'entre eux furent arrêtés, et déportés; seulement 9 y survivront.

Le GCR fut réactivé en 1945 : pas moins de ses 4 000 agents -en France et dans le monde- assuraient alors "chaque jour l'écoute de 600 émissions de radiophonie en 36 langues, de 30 émissions de radiotélégraphie en 10 langues, et de 92 émissions de trafic privé". Il sera rattaché en 1948 au Service de documentation extérieure et de contre-espionnage (SDECE), l'ancêtre de la DGSE.

Matthew M. Aid, spécialiste de la NSA, souligne dans un ouvrage consacré au renseignement technique pendant la guerre froide, que la France et le Royaume-Uni n'ont jamais cessé d'échanger des informations, même après le départ de la France de l'OTAN, en 1966. A contrario, les échanges entre le SDECE et la NSA cessèrent dans les années 60 parce que les USA soupçonnaient le SDECE d'avoir été infiltré par le KGB.

D'après Roger Faligot, Alexandre de Marenches, qui prit la tête du SDECE en 1970, profita cela dit de ses bons rapports avec les services de renseignement anglo-saxons pour recommencer à échanger du renseignement SIGINT (pour SIGnal INTelligence) avec la NSA et le GCHQ, et contribuer au pacte UK-USA "sans officiellement en faire partie".

Les relations entre la DGSE et les PTT d'une part, le GCHQ et la NSA d'autre part, n'ont donc, en soi, rien de très nouveau, même si elles ont connu des soubresauts, et qu'elles ne sont plus aussi "incestueuses" que du temps de l'Occupation.

« Le plus grand réseau voix/données au monde »

Interrogé par Le Monde, Stéphane Richard, le patron d'Orange, a indiqué que « des personnes habilitées secret-défense peuvent avoir à gérer, au sein de l'entreprise, la relation avec les services de l'Etat et notamment leur accès aux réseaux, mais elles n'ont pas à m'en référer. Tout ceci se fait sous la responsabilité des pouvoirs publics dans un cadre légal ».

Dans une interview aux Echos, il rétorque que "sur les écoutes, on n’a pas appris grand-chose" :

« Oui, nous avons des relations avec les services de l’Etat dans le strict cadre légal et sous le contrôle des juges. Je ne me sens pas visé, cela montre plutôt qu’Orange est une entreprise stratégique. »

Qualifiant les révélations du Monde d'"hypothèses farfelues", Stéphane Richard précisait, mi-mai, que "non, il n'y a pas de collecte de données massive par l'État", et qu'il fallait poser la question aux services secrets.

Sur Twitter, le service presse d'Orange précise, de façon laconique, avoir, "comme tous les opérateurs, des relations avec les services de l’État en charge de la sécurité du pays et des Français" :

« Ces relations se font dans le strict respect des lois et en toute légalité, sous la responsabilité de l’État et du contrôle des juges. »

Ce qui, in fine, proscrit donc toute surveillance massive de données en France... mais pas à l'étranger.

Or, les télécommunications relayées par Orange ont de quoi fortement intéresser la DGSE : implanté dans 21 pays d'Afrique et du Moyen-Orient (dont la Côte d'Ivoire, l'Irak, la Jordanie, le Mali, le Maroc, le Niger et la Tunisie, notamment), où le groupe revendique plus de 100 millions d'abonnés, ainsi que, via sa filiale Sofrecom, en Syrie, dans la Libye de Kadhafi, la Tunisie de Ben Ali, en Éthiopie (où Human Rights Watch vient de révéler l'existence d'un vaste réseau de surveillance des télécommunications), Orange se vante, via son autre filiale Business Services, d'avoir "le plus grand réseau voix/données sans couture au monde couvrant 220 pays et territoires", avec 231 millions de clients.

De plus, France Télécom Marine, filiale à 100% d'Orange, dispose d'une flotte de 6 navires câbliers, et a installé, depuis 1975, près de 170 000 km de câbles sous-marins dans tous les océans -dont 140 000 en fibre optique-, soit 20% des 800 000 kilomètres de câbles sous-marins actuellement en service... de quoi attirer l'attention des services de renseignement.

Pour autant, ces câbles ne transitent pas que les seules communications des abonnés d'Orange. Or, les révélations du Monde ciblaient les seuls "clients français d'Orange"...

« Et toutes ces méta-données, on les stocke »

La question reste pour autant de savoir si la DGSE, comme l'affirme Le Monde, et au mépris de la loi, "puise massivement dans les données de l'opérateur historique français", et si "les services secrets britanniques ont accès aux données des clients français d'Orange". Au-delà de l'illégalité d'une telle opération, quelques points méritent d'être précisés.

Les volumes de données qui transitent sur les réseaux depuis la démocratisation de la téléphonie mobile et de l'Internet sont tels que ce qui intéresse de prime abord enquêteurs de police et services de renseignement, aujourd'hui, ce sont les méta-données : qui communique avec qui, à quelles fréquences, quand, pendant combien de temps, d'où, et donc de dresser le réseau -ou graphe- relationnel de leurs cibles.

Comme l'avait expliqué Bernard Barbier, alors directeur technique de la DGSE, dans une conférence à laquelle j'avais assisté (voir Frenchelon: la DGSE est en « 1ère division »), "le contenant devient plus intéressant que le contenu" :

« Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s'intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau. »

Patrick Calvar, directeur central du renseignement intérieur (DCRI, devenue depuis DGSI) depuis le 30 mai 2012, déclarait de son côté, lors d'un colloque l'an passé qu'"il faut le savoir, aujourd'hui, cela ne sert plus à rien à d'écouter une ligne téléphonique, sauf coup de chance, ce qui peut arriver" :

« Ça n'a qu'un seul intérêt, celui de la géolocalisation. Mais même cela est compliqué, puisqu'il faut des autorisations particulières. Donc la seule chose qui nous importe est de pouvoir pénétrer, sonoriser, attaquer l'informatique. C'est totalement exclus dans le droit français, sauf en matière judiciaire. »

De nombreux documents Snowden montrent à ce titre que les programmes d'interception et de surveillance massive de NSA et le GCHQ portent moins sur l'analyse du contenu des télécommunications (internet ou téléphoniques) que de leurs méta-données.

Si la DGSE faisait du massif avec le concours d'Orange, ce serait plus probablement sur les méta-données que sur le contenu des télécommunications.

Un « Big Brother » français ?

Ce n'est pas la première fois que Le Monde surestime les faits d'armes et capacités des services de renseignement technique, confondant notamment contenu et contenant, télécommunications et méta-données. Dans un article intitulé "Comment la NSA espionne la France", Jacques Follorou et Glenn Greenwald avaient ainsi révélé en octobre 2013 que « 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013 ». On a depuis appris qu'il s'agissait en fait de méta-données interceptées par les services de renseignement français, à l'étranger, et partagées avec la NSA (voir mon factchecking, La NSA n’espionne pas tant la France que ça).

En juillet 2013, Le Monde avait également révélé, dans un article intitulé "Révélations sur le « Big Brother » français", que la DGSE espionnait "le flux du trafic Internet entre la France et l'étranger en dehors de tout cadre légal", ainsi que "la totalité de nos communications" :

« La Direction générale de la sécurité extérieure (DGSE, les services spéciaux) collecte systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France, tout comme les flux entre les Français et l'étranger : la totalité de nos communications sont espionnées. L'ensemble des mails, des SMS, des relevés d'appels téléphoniques, des accès à Facebook, Twitter, sont ensuite stockés pendant des années. »

Les professionnels travaillant aux cœurs des réseaux de télécommunications que j'avais interrogés avaient alors émis de très sérieux doutes quant à la faisabilité technique d'une telle surveillance généralisée de nos télécommunications, en France qui, du fait de son réseau décentralisé, nécessiterait l'installation de systèmes d'interception dans près de 16 000 répartiteurs téléphoniques (propriétés exclusives de France Télécom), plus quelques 40 000 DSLAM (qui récupèrent le trafic transitant sur les lignes téléphoniques afin de router les données vers les gros tuyaux des FAI), pour la surveillance du trafic Internet, et ce, sans compter les boucles locales radio et de fibres optiques (voir La DGSE a le "droit" d'espionner ton Wi-Fi, ton GSM et ton GPS aussi)...

En août, Le Monde reconnaissait de fait que les services ne s'intéressaient "pas tant au contenu des messages qu'à leur contenant : qui parle à qui et d'où (les fameuses "métadonnées), et qu'"il est donc possible que la DGSE ne collecte pas "la totalité" des communications électromagnétiques mais elle en intercepte une très large part".

Ce qui pose la question de la surveillance des câbles sous-marins transitant par la France et gérés, pour une bonne part, par Orange.

La montée en puissance de la DGSI

La DGSE étant un service de renseignement extérieur, la quasi-totalité de ses cibles sont hors de nos frontières, et la DGSE a probablement autre chose à faire que d'analyser, dans son nouveau datacenter, les appels téléphoniques de l'ensemble des abonnés d'Orange France, a fortiori de les rerouter vers le GCHQ.

Une surveillance massive des méta-données voire des télécommunications passées en Libye, au Niger ou au Mali (par exemple), et donc -notamment- sur les réseaux ou câbles des filiales d'Orange, serait bien plus plausible, et intéressante pour un service de renseignement.

De plus, une telle opération d'espionnage des télécommunications, en France, déployée par le service de renseignement extérieur, dont les missions sont a priori cantonnées "hors du territoire national", pourrait déclencher une "guerre des services" avec la nouvelle Direction générale de la sécurité intérieure (DGSI, ex-DCRI, qui avait absorbé la DST et les RG du temps de Nicolas Sarkozy) qui, dans le cadre de ses missions, "contribue à la surveillance des communications électroniques et radioélectriques (...) sur l'ensemble du territoire de la République".

Signe de la montée en puissance de la DGSI : elle vient de se doter d'un "directeur technique", Jean-Luc Combrisson, un militaire, ingénieur de l'armement qui était jusque là responsable du pôle télécommunications et sécurité des systèmes d'information à la Délégation générale de l'armement (DGA), secondé du commissaire Stéphane Tijardovic, qui s'était illustré en accédant aux fadettes du journaliste du Monde et qui, pour accéder aux données interceptées par la DGSE, avait du y envoyer 10 de ses hommes, au risque de laisser les "cousins", comme l'écrivaient les auteurs de L'espion du président "deviner, en fonction des enquêtes, les sujets d'intérêt du moment à Levallois.

Ils auront pour mission d'organiser le renseignement technique à la DGSI, et notamment les interceptions menées au Département de Recherche Technique (DRT) de Boullay-les-Troux, le centre d'interception des télécommunications, et pôle d'investigation numérique, de la DGSI, ainsi que du Centre technique d'assistance (CTA), créé suite aux attentats de 2001 afin de pouvoir décrypter les communications chiffrées, et dont elle vient de récupérer la tutelle.

Autre signe de la montée en puissance de la DGSI en matière de renseignement technique : sa division des systèmes d'information a lancé une quinzaine de procédures de recrutement depuis janvier 2014, comme l'a récemment révélé IOL, dont un responsable de la sécurité des systèmes d'information (.pdf), un ingénieur sécurité expert des analyses "forensics" (.pdf) ou encore un technicien orienté investigation numérique (.pdf)...

De la "guerre" à la "mutualisation" des "services"

Auditionné, fin avril, par la commission des lois à l'Assemblée, Bernard Cazeneuve, le nouveau ministre de l'Intérieur, révélait par ailleurs que le plan anti-djihad du Gouvernement ne se réduira pas "à la création d’un numéro vert" :

« Les cyberpatrouilleurs ne peuvent aujourd’hui être assurés de l’efficacité de leur intervention lorsqu’ils s’introduisent sous pseudonyme dans les forums de discussion djihadistes. Notre plan comporte une mesure qui leur permettra d’enquêter en ligne sous pseudonyme.

De surcroît, afin de disposer du temps nécessaire pour conduire les enquêtes jusqu'à leur terme, nous proposerons au Parlement que les données recueillies par ce moyen ou grâce aux interceptions de sécurité puissent être conservées au-delà de dix jours et jusqu'à un mois, de manière à ce qu'elles puissent être exploitées de manière exhaustive, dans le respect rigoureux des libertés publiques et des textes en vigueur.

Enfin, la loi permettra l'interconnexion à distance entre nos services, de manière à disposer de la palette d’informations la plus large possible. »

Cette "interconnexion à distance fait furieusement penser à l'Infrastructure de mutualisation, la base de données de la DGSE, à laquelle ont accès les autres services de renseignement français, dont l'existence avait été révélée par Le Monde, et qu'avait évoqué la Délégation parlementaire au renseignement dans son rapport 2013 :

« La délégation rappelle aussi que la mutualisation des capacités techniques des services de renseignement répond à la fois aux nécessités d’optimisation de la ressource budgétaire et à des besoins opérationnels. Depuis 2008, des progrès ont été réalisés en matière de mutualisation des capacités, notamment en ce qui concerne le renseignement d’origine électromagnétique, opéré par la DGSE au profit de l’ensemble de la communauté du renseignement. »

Visitant la Direction du renseignement militaire en septembre 2013, Jean-Yves le Drian, ministre de la Défense, qualifiait par ailleurs ces "processus de mutualisation" de "maître mot du nouveau Livre blanc et de la LPM en ce qui concerne les services de renseignement et leurs moyens". Fin novembre 2013, un rapport sénatorial révélait par ailleurs récemment qu'"environ 80 % du budget annuel d'investissement de la direction technique de la DGSE financent des projets intéressant également d'autres organismes".

Un document budgétaire révélait par ailleurs que la direction du renseignement militaire (DRM) "poursuit les actions de mutualisation avec la direction générale de la sécurité extérieure (DGSE) et d’amélioration des capacités d’interception et de traitement dans les détachements avancés de transmissions" (DAT, les stations d'écoute installées dans les DOM-TOM et à l'étranger qu'elle a entrepris, depuis 2005 au moins, de mutualiser avec la DGSE, cf la carte des stations espions du renseignement français), et qu'elle "renforce en parallèle ses infrastructures de transport et d’hébergement de données, améliore leur interconnexion avec ses partenaires et réalise une salle de serveurs informatiques adaptés à ses besoins au cours des dix prochaines années".

Dans un article intitulé "Les services de renseignements ont enterré la hache de guerre", La Tribune écrivait, en mars 2013, que "l'articulation de ma direction générale avec la DCRI n'a jamais été aussi bonne, explique le patron de la DGSE. Nous avons désormais des relations très étroites, qui permettent des échanges quotidiens d'informations sur des cibles ou des individus signalés", et que "le meilleur exemple de décloisonnement des services est raconté par le patron de la DPSD, le général Bosser" :

« Nous suivons un garçon qui appartient aujourd'hui à la défense, dont le contrat va s'arrêter dans six mois, et qui a tendance à aller passer des vacances dans des endroits peu recommandables (Afghanistan, Pakistan, ndlr). Quand il quitte le territoire national, c'est la DGSE qui le prend en charge ; quand on s'interroge sur la façon dont il finance ses voyages, on s'adresse à TRACFIN ; quand il revient en France, c'est la DCRI qui le reprend et qui le suivra quand il aura fini ses services chez nous ».

Longue vie à l’espionnage du Net !

Un article intitulé Longue vie à l’espionnage du Net ! (accès payant), publié le 4 décembre dernier sur Intelligence Online (IOL), lettre d'information spécialisée sur le monde du renseignement, révélait qu'"en France, la régulation des interceptions effectuées sur le réseau Internet n'est pas pour demain" :

« La Délégation parlementaire au renseignement (DPR), présidée par le sénateur socialiste Jean-Pierre Sueur, est dans une impasse à propos des interceptions électroniques effectuées sur les câbles sous-marins transitant par la France, via Marseille et Penmarch notamment. »

IOL évoquait une réunion entre les parlementaires de la DPR, François Hollande et Alain Zabulon, le coordonnateur du renseignement (CDR), réunion qualifiée d'"entrevue de pure forme puisque les parlementaires ne sont pas autorisés à poser des questions sur les aspects opérationnels des échanges de métadonnées interceptées, pratiquées dans le cadre du protocole Lustre entre la direction technique de la DGSE, la NSA et le GCHQ".

D'après IOL, la Commission nationale de contrôle des interceptions de sécurité (CNCIS) aurait "haussé le ton", et réclamé "un cadre juridique mieux défini", de sorte de pouvoir contrôler la collecte et le stockage des données par la DGSE, et leur transmission à des services de renseignement étrangers, et ce "d'autant plus que ce service est dans l'incapacité de trier préalablement les communications interceptées pour déterminer si elles impliquent ou non des citoyens français" :

« Réaction des autorités politiques : impossible de satisfaire cette demande dans l'immédiat, au vu de l'ampleur du travail qu'impliquerait une telle régulation. »

A l'époque, l'attention médiatique était accaparée par le projet de loi de programmation militaire (LPM), qui visait notamment à légaliser des pratiques illégales (ou "a-légales", pour reprendre l'expression d'un des patrons d'une des agences de renseignement) en matière d'interceptions des télécommunications, et donc à légaliser l'"accès administratif" (par les services de renseignement, à distinguer des services de police judiciaire) aux données de connexion (les "traces" et "méta-données" de nos activités stockées par les opérateurs de télécommunications et de services en ligne).

Le projet de loi a depuis été adopté par le Parlement, et nombreux sont ceux qui, à l'aune des "révélations" Snowden, sont persuadés que la DGSE joue à la NSA.

Comme je l'avais alors écrit, la complexité du dossier, et les subtilités juridiques & syntaxiques du texte, ne permettent pas encore de savoir s'il est plus, ou moins, protecteur de nos libertés, et vies privées (cf Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander).

L'analyse d'IOL révèle cela dit que la LPM ne cherchait donc à encadrer que la partie émergée de l'iceberg, mais aussi que la "régulation" des "interceptions électroniques effectuées sur les câbles sous-marins transitant par la France" ne serait donc toujours pas clairement (et légalement) encadrée...

********************************

Le rapport (.pdf) relatif à l’activité de la délégation parlementaire au renseignement (DPR) pour l’année 2013 est à ce titre très instructif.

Evoquant "un cadre juridique en pleine évolution", la DPR y reconnaît en effet que "notre pays ne dispose pas à ce jour d’un véritable régime juridique complet définissant avec précision les missions et les activités des services de renseignement ainsi que les moyens d’actions dont ils disposent et prévoyant les modalités de leur encadrement et de leur contrôle".

Elle se félicite ensuite de l'adoption de la LPM, qui permet de "réintégrer dans le droit commun de la loi du 10 juillet 1991 relative au secret des correspondances (à présent codifiée dans le code de la sécurité intérieure) les opérations de collecte de données relatives aux contenants des télécommunications", et qui "prévoit également un contrôle renforcé en matière de géolocalisation, similaire à celui prévu pour les interceptions de correspondances" :

« Ce nouveau cadre juridique constitue ainsi un progrès indéniable. »

Il reste encore cela dit quelques progrès à faire : suivent en effet deux pages anonymisées (voir la capture d'écran, ci-contre) qui, au vu de la conclusion du chapitre en question, montrent bien que le contrôle parlementaire, et juridique, des services de renseignement français, est encore loin de donner satisfaction, les parlementaires de la DPR ayant été contraints de s'auto-censurer :

« L’aboutissement de ces réflexions doit ainsi mener à poursuivre l’amélioration du dispositif juridique d’encadrement et de contrôle des services afin que, solide et bien accepté par nos concitoyens, il contribue à accroître la
confiance de ceux-ci dans l’action des services de renseignement, à diffuser cette « culture du renseignement » qui fait en partie défaut à notre pays et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques. »

La DGSE a-t-elle accès aux données des clients anglais de British Telecom ?

Enfin, si la DGSE travaille avec le GCHQ sur une base de "coopération et de partage", cela signifie-t-il qu'elle peut elle aussi accéder "aux données des clients anglais de British Telecom", ou encore à celles "des clients américains d'AT&T" dans le cadre de son partenariat avec la NSA ?

On imagine mal le GCHQ ou la NSA autoriser une telle surveillance généralisée de leurs propres concitoyens par le service de renseignement extérieur des froggies... Ce pour quoi je peine aussi à imaginer que la DGSE laisse le GCHQ piocher massivement dans les données des "clients français" d'Orange. Mais je peux me tromper.

Mise à Jour, 22/05/14 : en octobre 2013, Orange remportait plusieurs accords-cadres portant sur la fourniture de services de téléphonie fixe au ministère de l'Intérieur; en novembre, Orange remportait le marché de la téléphonie fixe et de l'accès à Internet du ministère des affaires étrangères; en janvier 2014, remportait aussi un marché de 15 millions d'euros, dans le cadre de l'accord cadre "astel G5" de fourniture de services de télécommunications mobiles, de téléphones mobiles et de leurs accessoires, à la Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information (DIRISI) du ministère de la Défense.

On peine, de même, à imaginer que le ministère de la Défense (et al.) utilise Orange pour communiquer... tout en facilitant l'espionnage desdites communications par des services de renseignement étranger.

NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j'ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s'amuser et rire un peu avec la DGSE), ou encore y découvrir la carte des stations d'interception des services de renseignement français que je viens d'y publier.

Illustrations du SuperDupont de Marcel Gotlib : Krinen & ComicVine; dites, vous saviez que le logo de son T-shirt s'inspirait de celui de la section antiterroriste des ex-Renseignements Généraux (à moins que ça ne soit l'inverse) ?

Et, sinon, le Musée d'art et d'histoire du judaïsme, à Paris, consacre précisément une exposition à Marcel Gotlib, et donc aussi à SuperDupont, ce "super héros" combattant l'"Anti-France"...

Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis

La NSA n'a pas intercepté 70,3 millions de communications téléphoniques de Français fin 2012, contrairement à ce que Le Monde avait initialement révélé, en octobre dernier. Le journal avait ensuite reconnu qu'il s'agissait de méta-données collectées par les services de renseignement français à l'étranger, et partagées avec la NSA, mais cette rectification avait bien moins circulé que les premières révélations, et nombreux sont ceux (dont moi, jusqu'à il y a peu) à croire que la NSA avait ainsi massivement espionné les coups de fil des Français.

J'ai ainsi du rectifier le reportage diffusé dans l'émission Toutes les France, qui sera diffusé sur France ô ce samedi mais que l'on peut déjà voir en ligne, et où j'intervenais avec Alain Bauer, Eric Delbecque et Nicolas Arpagian au sujet de la surveillance massive des télécommmunications par les services de renseignement anglo-saxons (notamment). Je profite donc de l'occasion pour faire le point sur ce que l'on sait (ou pas) de l'espionnage des télécommunications de la France et des Français par la NSA.

Dans un article intitulé "Comment la NSA espionne la France", Jacques Follorou et Glenn Greenwald avançaient, le 22 octobre 2013, que "des millions de données ont été collectées sur la France par l'agence de sécurité américaine" :

« 70,3 millions de communications téléphoniques de Français ont été interceptées entre le 10 décembre 2012 et le 8 janvier 2013. »

Ces "révélations sur l'espionnage de la France par la NSA américaine", reprises dans le monde entier, avaient fait la "Une" du quotidien Le Monde, qui y avait consacré son éditorial, "Combattre Big Brother", où l'on apprenait qu'"une équipe d'une dizaine de journalistes" avait procédé à "un examen minutieux et une analyse approfondie" des documents transmis par Snowden/Greenwald, "pour tenter de leur donner tout leur sens et leur valeur".

L'affaire souleva une vague d'indignation à droite comme à gauche, enflamma la presse américaine, entraîna quelques tensions diplomatiques, et poussa François Hollande et Laurent Fabius à dénoncer "des pratiques inacceptables" :

La journée du lundi 21 octobre restera dans les annales des relations franco-américaines comme une journée à oublier. Elle avait commencé par la très inhabituelle convocation de l'ambassadeur des Etats-Unis à Paris au Quai d'Orsay, après les révélations du Monde sur l'espionnage massif des communications réalisés à l'encontre de la France par l'Agence nationale de sécurité (NSA) américaine. Elle s'est achevée, peu avant minuit, par un coup de téléphone agacé de François Hollande au président Barack Obama. "Le chef de l'Etat a fait part de sa profonde réprobation à l'égard de ces pratiques, inacceptables entre alliés et amis, car portant atteinte à la vie privée des citoyens français", a indiqué l'Elysée dans un communiqué.

Le sujet a naturellement été au coeur de l'entretien entre le secrétaire d'Etat américain, John Kerry, avec son homologue Laurent Fabius, mardi 22 octobre au matin. Signe de l'embarras de Washington, Le Monde n'a pas été autorisé à poser une question à John Kerry sur cette affaire lors de sa conférence de presse, lundi soir, à l'ambassade américaine de Paris.

Le précédent allemand

Or, l'analyse de documents similaires, confiés par Edward Snowden à Glenn Greenwald et portant sur d'autres pays, montre que ce n'était pas les "communications téléphoniques", mais les "méta-données" qui avaient été interceptées, et qu'elles n'avaient pas été interceptées par la NSA, en France, mais par les services de renseignement français, à l'étranger, avant d'être partagées avec la NSA.

Les révélations du Monde reposaient sur une capture d'écran émanant du système "BOUNDLESS INFORMANT" (informateur sans bornes, en VF), utilisé par la NSA pour visualiser les volumes de méta-données auxquels elle peut accéder, et dont l'existence avait été révélée, en juin 2013, par Glenn Greenwald et Ewen MacAskill dans le Guardian (cliquez sur les images pour les afficher en pleine largeur).

Cette capture d'écran avait alors révélé que, sur une période de 30 jours, en mars 2013, la NSA avait collecté 124,8 milliards de données téléphoniques (DNR, pour "Dial Number Recognition") et 97,1 milliards de données Internet (DNI, pour "Digital Network Intelligence") dans le monde entier, dont plus de 14 milliards en Iran, 13,5 au Pakistan, 12,7 en Jordanie, 6,3 en Inde, et 3 milliards aux USA.

En août, la documentariste américaine Laura Poitras (qui avait mis Edward Snowden et Glenn Greenwald en relation) révélait dans le quotidien allemand Der Spiegel que les services de renseignement allemand transmettaient des quantités massives de méta-données à la NSA, et publiait une capture d'écran de "BOUNDLESS INFORMANT" révélant que, pour le seul mois de décembre 2012, plus de 500 millions de méta-données avaient ainsi été partagées.

Interrogé par Der Spiegel, le Bundesnachrichtendienst (BND), le service de renseignement extérieur du gouvernement fédéral allemand, déclara qu'il s'agissait de données collectées par leur soin en Afghanistan et à Bad Aibling, en Bavière, où se trouve une station d'interception des télécommunications créée par la NSA, mais rétrocédée à l'Allemagne en 2004. Le BND expliqua également au journal allemand que ces méta-données, liées à la surveillance de cibles étrangères, étaient nettoyées avant d'être partagées avec la NSA :

« Avant d'être transmises, les métadonnées relatives à d'autres pays sont purgées, dans un processus passant par plusieurs étapes, de toutes les données personnelles qu'elles pourraient contenir au sujet de citoyens allemands. »

Dans la galerie photo associée à l'article, Der Spiegel publiait également, à titre de comparaison, des captures d'écran des informations relatives aux Pays-Bas, à l'Espagne, l'Italie et la France, issues de "BOUNDLESS INFORMANT", où l'on découvrait notamment que l'Allemagne était le seul pays à répertorier des DNI (données liées à Internet), la NSA ne recensant que des données DNR (téléphoniques) dans les autres pays.

« Comment la NSA espionne la France »

Le 22 octobre, Le Monde révélait donc qu'il travaillait depuis le mois d'août avec Glenn Greenwald, et publiait une version plus complète de la capture d'écran publiée par Der Spiegel, révélant que la NSA avait eu accès, entre le 10 décembre 2012 et le 8 janvier 2013, à 70,2 millions de données téléphoniques (DNR), via deux techniques, "DRTBOX" et "WHITEBOX" totalisant respectivement 62,5M et 7,7M d'enregistrements ("records", en VO).

Étrangement, l'article du Monde, intitulé "Comment la NSA espionne la France", ne parlait pas, comme Der Spiegel, de "méta-données" collectées à l'étranger, mais de "communications téléphoniques des citoyens français", de "techniques utilisées pour capter illégalement les secrets ou la simple vie privée des Français", "d'enregistrements de données téléphoniques des Français effectués par la NSA" ou encore de "collecte si massive de données sur un territoire étranger, souverain et allié".

Evoquant les noms de code des programmes "DRTBOX" et "WHITEBOX" mentionnés dans le document, l'article reconnaissait que "leurs caractéristiques ne sont pas connues", tout en précisant cependant :

« Mais on sait que grâce au premier code, 62,5 millions de données téléphoniques sont collectés en France du 10 décembre 2012 au 8 janvier 2013. »

Or, et comme l'avait alors relevé Peter Koop, un Néerlandais expert des systèmes d'interception des télécommunications, qui passe des heures à "fact-checker" les révélations Snowden sur son blog electrospaces.net, "BOUNDLESS INFORMANT" ne recense que les seules "méta-données" collectées par (ou partagées avec) la NSA et non, comme l'affirmait Le Monde, les "communications téléphoniques", et encore moins les "secrets" relatifs à la "vie privée des Français" -ou de n'importe quelle autre nationalité.

Le déni de la NSA

Le 26 octobre, le Süddeutsche Zeitung révélait l'existence d'un accord de coopération sur la surveillance entre la France et les Etats-Unis connu sous le nom de « Lustre », mais dont on n'a pas appris grand chose depuis.

Auditionné par la Chambre des représentants le 29 octobre, le général Keith Alexander, le chef de la NSA, jura que les informations du Monde, ainsi que celles d'El Mundo, en Espagne, et de L'Espresso, en Italie, sur l'interception de communications de citoyens européens par la NSA, étaient « complètement fausses », que les documents émanant de BOUNDLESS INFORMANT avaient été « mal compris et mal interprétés » par les journalistes qui y avaient eu accès et qui n'auraient « pas compris ce qu'ils avaient devant les yeux », et enfin que les données en question avaient été "fournies à la NSA" par des partenaires européens :

« Pour être parfaitement clairs, nous n'avons pas recueilli ces informations sur les citoyens européens. »

Des sources anonymes précisèrent par ailleurs au Wall Street Journal que ces documents ne montraient pas des données interceptées par la NSA au sein de ces pays, mais des informations captées par les services de renseignement européens eux-mêmes, à l'extérieur de leurs frontières, et partagées avec la NSA.

C'était la première fois que la collaboration des services occidentaux avec la NSA était évoquée, même sous couvert d'anonymat, par des membres de l'administration américaine, qui n'avaient d'ailleurs pas nié les révélations du Spiegel sur le partage avec la NSA de méta-données interceptées par les services de renseignement allemand.

Le 30, évoquant des "informations recueillies auprès d'un haut responsable de la communauté du renseignement en France", Jacques Follorou reconnaissait qu'il s'agissait en fait de données collectées par la DGSE à l'étranger, "concernant aussi bien des citoyens français recevant des communications de ces zones géographiques que d'étrangers utilisant ces canaux", et confiées à la NSA par la DGSE, qui aurait établi "à partir de la fin 2011 et début 2012, un protocole d'échange de données avec les Etats-Unis". L'article évoquait également le fait que "les câbles sous-marins par lesquels transitent la plupart des données provenant d'Afrique et d'Afghanistan atterrissent à Marseille et à Penmarc'h, en Bretagne" :

« Ces zones stratégiques sont à la portée de la DGSE française, qui intercepte et stocke l'essentiel de ce flux entre l'étranger et la France.

« C'est un troc qui s'est institué entre la direction de la NSA et celle de la DGSE, explique la même source. On donne des blocs entiers sur ces zones et ils nous donnent, en contrepartie, des parties du monde où nous sommes absents, mais la négociation ne s'est pas effectuée en une fois, le périmètre du partage s'élargit au fil des discussions qui se prolongent encore aujourd'hui. »

Un haut responsable du renseignement français, joint, mercredi matin, a admis, sous couvert d'anonymat, l'existence de « ces échanges de données ». Il a néanmoins démenti « catégoriquement » que la DGSE puisse transférer « 70,3 millions de données à la NSA ».

La réponse de Greenwald

En novembre, le tabloïd norvégien Dagbladet révélait, lui aussi, que la NSA avait espionné 33 millions de télécommunications téléphoniques de Norvégiens, ce à quoi les services de renseignement norvégiens rétorquèrent, là encore, qu'il s'agissait en fait de méta-données qu'ils avaient collectées sur des théâtres d'opération à l'étranger, et confiées à la NSA.

Dans la foulée, le Danemark et l'Autriche reconnaissaient eux aussi partager avec la NSA des données collectées par leurs propres services de renseignement.

Dans un tribune publiée par Dagbladet, Glenn Greenwald contesta les dénis de la NSA et des services de renseignement espagnol et norvégien, qui expliquaient que ces données avaient été captées à l'étranger, et plus particulièrement en Afghanistan.

Greenwald relevait d'une part que la NSA n'avait pas nié l'article qu'il avait écrit pour le quotidien brésilien O Globo, où il révélait que la NSA avait collecté 2,3 milliards d'appels téléphoniques et emails, et qu'on ne pouvait pas soupçonner le Brésil d'avoir partagé avec la NSA des données qu'elle aurait elle-même interceptée.

Étrangement, Greenwald ne parlait pas de "données" ou d'"enregistrements" ("records", en VO, le mot utilisé dans les documents BOUNDLESS INFORMANT), mais d'"appels téléphoniques et emails".

Greenwald mentionnait d'autre part une capture d'écran de BOUNDLESS INFORMANT évoquant une moyenne de 1,2 à 1,5 millions de données collectées par jour en Afghanistan, contre 2,5 à 3,5 millions en Espagne, et 1,2 millions pour la Norvège, ce qui, d'après lui, suffit à invalider les arguments des chefs des services de renseignement.

Un pays = plusieurs SIGADs

Cherchant à vérifier ces affirmations, Peter Koop découvrit que les captures d'écran de BOUNDLESS INFORMANT pouvaient nous induire en erreur dans la mesure où elle ne portent pas tant sur tel ou tel pays que sur tel ou tel SIGAD (pour SIGINT Activity Designators, accronyme accolé aux 504 centres ou programmes d'interception des télécommunications), et qu'il peut y avoir plusieurs SIGADs pour un seul et même pays.

Une capture d'écran de la page d'accueil de BOUNDLESS INFORMANT publiée par Glenn Greenwald dans le quotidien indien The Hindu montre en effet que, sur la même période, le système aurait collecté, en Afghanistan, 2,3 milliards de données Internet, et près de 22 milliards de données téléphoniques, quand bien même la capture d'écran portant expressément sur l'Aghanistan ne mentionnait, elle, que 35 millions de données téléphoniques.

La liste des SIGADs qu'il a compilé évoque ainsi plusieurs programmes visant la France : US-985D, qui avait été rendu public par Le Monde, mais également les programmes US-3136LO & US-3136UC, qui concerneraient des programmes d'espionnage d'ambassades françaises, ou encore US-3136OF & US-3136VC qui, eux, porteraient sur des programmes d'espionnage de missions diplomatiques françaises aux Nations Unies, mais qui n'étaient pas mentionnés dans la capture d'écran portant sur la France.

En tout état de cause, la capture d'écran publiée par Le Monde ne relevant que sur les données du SIGAD US-985D, elle ne mentionnait donc pas les données interceptées dans les ambassades et missions diplomatiques, pas plus que celles interceptées via les câbles sous-marins, logiciels espions, piratages d'applications pour smartphones type Angry Birds, sans parler des programmes PRISM, FAIRVIEW, MUSCULAR ou TEMPORA, et caetera.

N-ième signe que la capture d'écran publiée par Le Monde ne concerne pas l'ensemble des données interceptées par la NSA concernant des sujets français : elle ne porte que sur des méta-données téléphoniques; or, on sait que la NSA a aussi espionné des communications et meta-données Internet...

La piste DRTBOX

Quelques jours plus tard, Peter Koop révélait que DRTBOX, accronyme que l'on trouvait sur les captures d'écran de BOUNDLESS INFORMANT au sujet de la France, de l'Espagne, de l'Italie, de la Norvège et de l'Afghanistan n'était pas un terme propre à la NSA, mais le nom de code d'un système de surveillance des communications sans fil développé par une entreprise américaine, Digital Receiver Technology, Inc (DRT), rachetée par Boeing en 2008.

Utilisés par les forces de l'ordre et le renseignement américain, les systèmes DRT interceptent les appels téléphoniques, à la manière des IMSI Catcher, en se substituant aux bornes des opérateurs téléphoniques, et peuvent empêcher les appels "suspects" d'accéder aux réseaux grands publics.

Se basant sur plusieurs offres d'emploi émanant de la communauté militaire, des forces spéciales ou du renseignement américain, Peter Koop souligne qu'ils sont également très utilisés sur des théâtres d'opération militaire, afin d'intercepter les communications téléphoniques mobiles, notamment en Irak et en Afghanistan, mais qu'ils pourraient également être utilisés sur les stations espion installées sur les toits des ambassades américaines, et qu'ils auraient donc pu contribuer à l'espionnage du téléphone portable d'Angela Merkel.

Or, 62,5 des 70,2 millions (soit près de 89%) de données interceptées par les services de renseignement français, et confiées à la NSA, l'ont été grâce à des techniques labellisées DRTBOX, et regroupées sous l'intitulé PCS (pour Personal Communications Service, i.e. les télécommunications et échanges de données sans fil).

Les 11% restant le sont au titre d'un programme WHITEBOX dont on sait juste qu'il porte sur les réseaux PSTN (pour "public switched telephone network", ou Réseau téléphonique commuté -RTC- en français), et qui concernent tout à trac les réseaux de téléphonie fixe et mobile, commutateurs téléphoniques, faisceaux hertziens, ainsi que les câbles sous-marins, fibres optiques et satellites de télécommunication...

14-EYES et les "SIGINT Seniors Europe" (ou "SSEUR")

En décembre, Peter Koop découvrait, via une nouvelle capture d'écran publiée par El Mundo, que BOUNDLESS INFORMANT pouvait fournir bien plus d'informations que les captures d'écran publiées jusqu'alors ne le laissaient entendre, et que ces dernières, relayées par la presse européenne, offraient donc une vision biaisée ou en tout cas amputé de la réalité, et de ses fonctionnalités.

Non seulement parce que ces captures d'écran portent moins sur des pays que sur des SIGADs, mais également parce qu'elles ne portent que sur les systèmes d'interception des télécommunications (SIGINT), et non sur les programmes d'espionnage et de piratage mis en place par l'"Office of Tailored Access Operation" (ou TAO, le « bureau des opérations d'accès adaptées » dont on a depuis découvert qu'il aurait -notamment- piraté le réseau informatique et le système de gestion de l'un des principaux câbles sous-marin transitant par Marseille).

Dans la foulée, la chaîne de télévision suédoise SVT publiait de nouveaux documents Snowden révélant notamment que la France, l'Allemagne, l'Italie, la Belgique, les Pays-Bas, le Danemark, la Norvège et la Suède faisaient partie d'un groupe intitulé "14-EYES", considérés comme des partenaires de la NSA (l'Australie, le Canada, la Nouvelle Zélande, le Royaume-Uni et les USA faisant, eux, partie du cercle des "Five Eyes" de premier niveau), et bénéficierant donc d'accords bilatéraux régissant les échanges d'informations.

D'après Peter Koop, citant un article de l'historien Cees Wiebes, ces 14 pays, réprésentés par des "SIGINT Seniors Europe" (ou "SSEUR"), officiers de haut rang dans la hiérarchie du renseignement technique, échangeraient depuis une trentaine d'années données et informations au sein d'un "Signals Intelligence Data System (SIGDASYS)", un système informatique créé initialement pour sauvegarder leurs renseignements d'origine électromagnétique (SIGINT), et utilisé depuis pour les partager avec leurs partenaires "SSEUR".

Scandale aux Pays-Bas

Début février, aux termes d'une longue bataille politique, médiatique et juridique, le gouvernement des Pays-Bas reconnaissait finalement que, contrairement à ce que la presse néerlandaise avait initialement avancé, la capture d'écran de BOUNDLESS INFORMANT évoquant les "Netherlands" ne permettait pas de conclure qu'1,8 millions d'appels téléphoniques effectués par des Hollandais avaient été espionnés par la NSA, mais qu'il s'agissait bel et bien de "méta-données" collectées par les services de renseignement néerlandais au sujet d'appels, SMS et fax émanant ou à destination de pays étrangers, via sa station d'interception des télécommunications de Burum qui, le hasard faisant bien les choses, jouxte une station Inmarsat de télécommunications...

Début mars, de nouveaux documents révélaient que les télécommunications espionnées par les services néerlandais au large de la Somalie pour combattre (notamment) la piraterie (les Pays-Bas y dirigeaient la flotte de l'OTAN), étaient utilisées par les USA pour identifier des terroristes et tenter de les tuer avec leurs drones, tout en partageant, en retour, les données qu'ils avaient collectées en Somalie avec les services néerlandais.

Ironie de l'histoire, le ministre de l'Intérieur néerlandais avait initialement nié que les données avait été collectées par ses propres services, non pas pour les protéger, mais parce qu'il croyait ce que la majeure partie des médias avait relayé, à savoir la version biaisée laissant supposer qu'il s'agissait de télécommunications interceptées aux Pays-Bas par la NSA.

En tout état de cause, on ne sait pas combien de méta-données, et a fortiori de télécommunications, ont à ce jour été interceptées par la NSA, en France ou visant des Français, ni d'où proviennent celles que leur a confié la DGSE (je reviendrai, dans un second billet, sur les dernières révélations du Monde au sujet des "relations incestueuses" qu'elle entretiendrait avec Orange).

MaJ :A la décharge du Monde, on notera que ses journalistes ne disposaient pas, à l'époque, de toutes les captures d'écran qui sont depuis sorties dans la presse internationale, et qu'ils ne pouvaient donc pas, à l'époque, effectuer ce travail de "fact-checking".

MAJ, 04/06/2014 : rajout du passage sur les réactions médiatiques et politiques suscitées par ces "révélations".

NB : vous pouvez aussi tester vos connaissances avec le Quiz: rions un peu avec la DGSE que j'ai publié sur Slate, avec tout plein de .gifs animés (parce que oui, on peut aussi s'amuser et rire un peu avec la DGSE).

& merci à Zone d'Intérêt (qui, à la manière de Peter Koop, analyse et fact-checke les révélations Snowden, et notamment celles concernant la France, de façon dépassionnée), pour sa relecture et ses remarques.

Voir aussi :
Frenchelon: la DGSE est en « 1ère division »
La DGSE recrute, niveau brevet, CAP ou BEP
Snowden et la nouvelle « chasse aux sorcières »
« Une journée dans la peau d’Edward Snowden »
Pour la CNIL, 18% des Français sont « suspects »
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
Le .gif qui révèle la paranoïa de la NSA, et pourquoi elle espionne aussi vos parents & amis

Plus de 5000 sites web ont décidé de se mettre en berne, ce mardi 11 février 2014, afin de dénoncer la "surveillance de masse" mise en place par la NSA, les "grandes oreilles" américaines (& britanniques, canadiennes, australiennes, néo-zélandaises, associées à de nombreux autres pays -dont la France), et d'appeler à l'adoption des 13 principes internationaux sur l’application des droits de l’Homme à la surveillance des communications rédigés par plus de 360 ONG et juristes du monde entier.

Nombreux sont ceux qui ne comprennent toujours pas ce pour quoi ils peuvent bel et bien être "espionnés" (voir aussi ma Lettre ouverte à ceux qui n'ont rien à cacher). L'ACLU (la principale ONG US de défense des droits humains) l'a très bien résumé dans ce .gif : la NSA surveille voire espionne en effet tous ceux qui connaissent des gens qui connaissent des gens qui pourraient être des "terroristes" -ou diplomates, commerciaux dans une boîte du CAC40, une start-up, chercheurs, journalistes, etc.

Le simple fait de communiquer avec l'un des amis des copains de foot d'un apprenti djihadiste, d'être dans le carnet de contacts de l'une des cousines germaines du fils, de la fille, du père ou de la mère d'un haut fonctionnaire en poste dans un pays sensible, de recevoir un coup de fil du grand-père de l'un des collègues d'un chercheur travaillant sur des technologies de pointe... peut vous valoir d'être surveillé par la NSA -voir aussi Pourquoi la NSA espionne aussi votre papa (#oupas) :

J'ai accordé des dizaines (jusqu'à 10 par jour !) d'interviews ces derniers mois au sujet des révélations d'Edward Snowden sur la NSA. J'en ai retenu quatre, qui pourraient aider ceux qui ont du mal à comprendre, suivre ou analyser la somme de révélations auxquelles nous avons donc eu droit ces derniers mois, à appréhender les tenants et aboutissants de ces révélations, et donc notamment aider vos parents, amis, voire vos enfants, à comprendre ce dont il est question.

En juillet dernier, Gilles Halais, journaliste à France Info Junior, m'avait ainsi proposé de répondre aux questions de 3 enfants de 10 à 13 ans à ce sujet :

En octobre, Daniel Schneidermann m'avait proposé d'expliquer, pour "ceux qui n'ont rien compris", ce qu'Edward Snowden nous avait révélé du fonctionnement de la NSA, dans le cadre du #14h42, l'émission que je fais pour Arrêts sur Images et PCInpact depuis la rentrée (vous pouvez aussi la télécharger aux formats audio MP3 ou vidéo MP4) :

A l'occasion de la diffusion sur Public Sénat de la version courte d'"Une contre-histoire de l'Internet", le documentaire que j'ai réalisé avec Julien Goetz et Sylvain Bergère (cf Internet a été créé par des hippies qui prenaient du LSD), Claire Barsacq m'a proposé de débattre du sujet avec Jérémie Zimmermann, co-fondateur de La Quadrature du Net, François-Bernard Huyghe, directeur de recherche à l'IRIS, spécialiste de la cyberstratégie et Jean-Marie Bockel, Sénateur (UDI-UC) du Haut-Rhin, auteur du rapport sur la Cyberdéfense :

Début février, Giv Anquetil, reporter à Là-bas si j'y suis", m'avait également interviewé, avec Jérémie Zimmermann et Eben Moglen, dans une série de deux émissions intitulées "Le bon Dieu te regarde même quand tu es aux cabinets !" (parties 1 & 2), où je revenais notamment sur ce que font les "grandes oreilles" françaises, et ce que j'ai découvert dans les appels d'offre de la DGSE (voir mon Quiz: rions un peu avec la DGSE , sur Slate.fr) :

Signalons enfin Pourquoi Obama lit il mes mails?, très intéressante conférence donnée en janvier dernier par Philippe Langlois, du hackerspace /tmp/lab :

Il y aura clairement un avant et après Snowden : il a changé notre vision du monde, et pourrait bien changer le monde... Jamais on avait autant parlé des problèmes posés par la surveillance généralisée de la population, du contrôle des services de renseignement, du chiffrement point à point de nos données et télécommunications. Voir, à ce titre, Comment protéger ses sources ?, mon guide pratique, WeUsePGP pour en savoir plus sur ce logiciel de chiffrement des courriels, la section "Comment reprendre le contrôle" du site controle-tes-donnees.net, qui explique pourquoi mais aussi et surtout comment garder nos échanges confidentiels, ne plus laisser de trace sur Internet, ou encore la campagne lancée par l'association April afin de donner la priorité au Logiciel Libre, condition sine qua non, nécessaire mais pas suffisante, si l'on veut (re)prendre le contrôle de nos données et vies numériques.

Voir aussi :
« Une journée dans la peau d’Edward Snowden »
Pourquoi la NSA espionne aussi votre papa (#oupas)
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
La NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)
Ne dites pas à ma mère que je suis un hacker, elle me croit blogueur au Monde.fr, & reporter au Vinvinteur

Imaginez le scandale si l'Insee, Pôle emploi ou le Premier ministre avaient gonflé, par erreur, de près de 20% les statistiques du chômage... C'est ce qui est arrivé au ministère de l'intérieur, et à la CNIL, qui ont "gonflé" le nombre de personnes "mises en cause" et dès lors fichées par les gendarmes et policiers.

Les premiers chiffres communiqués concernant le TAJ, "Traitement des Antécédents Judiciaires", créé pour fusionner les deux fichiers de police (STIC) et de gendarmerie (JUDEX) recensant les suspects "mis en cause" (MEC) ainsi que les victimes, et censé régler les nombreux problèmes posés par les fichiers policiers, étaient en effet erronés.

Mais ni la CNIL ni le ministère de l'intérieur ne s'étaient aperçus, ni offusqués, d'avoir ainsi gonflé de près de 3 millions le nombre de personnes considérées comme "défavorablement connues des services de police"...

Quatre ans après avoir dénoncé le fait que plus d'1 million de personnes, blanchies par la justice, n'en étaient pas moins toujours fichées comme "mises en cause", et donc "suspectes", par la police (cf En 2008, la CNIL a constaté 83% d’erreurs dans les fichiers policiers), la Commission nationale de l'informatique et des libertés (CNIL) déplorait en juin dernier que, non seulement "la situation ne s'est guère améliorée", mais également que "de sérieux dysfonctionnement persisteront"...

Un terrible constat d'échec pour la CNIL, impuissante à nous protéger du fichage policier, ce pour quoi elle avait pourtant été créée. Cette banalité du fichage policier est telle que la CNIL a été jusqu'à avancer, dans son rapport annuel 2012, rendu public en avril 2013, que 12 057 515 personnes (soit 18% de la population française, près d'un Français sur 5 !) étaient fichées comme "mises en cause" et donc, pour reprendre l'expression médiatique consacrée, "défavorablement connues des services de police".

Un chiffre pour le moins étonnant : le fichier STIC de la police nationale comporte en effet, dixit le rapport de la CNIL, 6,8 M de fiches de personnes "mises en cause", et JUDEX (son équivalent, à la gendarmerie) 2,6 M, soit un total de 9,4 M ; sachant qu'un certain nombre des personnes fichées le sont probablement dans les deux fichiers, le nombre de "suspects" devrait donc probablement être inférieur à 9 M.

Interrogée par mes soins pour comprendre pourquoi la CNIL avançait que le fichier TAJ répertoriait plus de 12 millions de personnes fichées, alors que le STIC et JUDEX n'en recensaient "que" 9 millions, et d'où provenaient ces 3 millions de "suspects" surnuméraires, la CNIL – qui n'avait pas remarqué cette explosion (+ 33%) de "mis en cause" – s'est retournée vers le ministère de l'intérieur, qui a répondu qu'il s'agissait d'un... bug informatique dû à la fusion du STIC et de JUDEX au sein d'un nouveau fichier, le "Traitement des Antécédents Judiciaires" (TAJ).

Le nombre de "suspects" ne serait en fait "que" de l'ordre de 10 millions, soit plus de 15% de la population française, et donc près d'une personne sur 7...

Le fichier STIC comportant par ailleurs plus de 38 millions de "victimes", le nombre de personnes fichées avoisinerait les 50 millions de personnes, soit 75% de la population française... certains étant fichés (à tort) comme "mis en cause" (et donc "suspects") alors même qu'ils ont été victimes de ce pour quoi ils ont été fichés comme "suspects"...

C'est pourquoi même les gens qui n'ont "rien à cacher" risquent eux aussi d'avoir des problèmes avec le fichage policier (cf ma "Lettre ouverte à ceux qui n'ont rien à cacher"), sachant par ailleurs que l'emploi de plus d'un million de fonctionnaires et salariés du secteur privé dépend d'une "enquête administrative de moralité" consistant essentiellement à vérifier qu'ils ne sont pas fichés (cf. la liste des métiers concernés : Futurs fonctionnaires, ou potentiels terroristes ?).

Le dernier "cadeau empoisonné" de Nicolas Sarkozy

En guise d'explication, la CNIL avance que cette grossière erreur dans le nombre de personnes fichées comme "défavorablement connues des services de police" relèverait donc de la fusion du STIC & de JUDEX :

« Le versement des données de la gendarmerie nationale de JUDEX vers TAJ a occasionné une démultiplication de fiches. Ainsi, lorsqu’une personne avait 3 infractions sur sa fiche, elle s’est retrouvée avec 3 fiches dans TAJ. Cette situation n’est pas préjudiciable aux personnes dès lors que les données ne sont pas inexactes, mais le dénombrement des fiches par personne mise en cause est dès lors faussé.

Le ministère a indiqué s’employer à résoudre ce problème en fusionnant les fiches relatives à un même individu. Il y avait donc une coquille dans notre rapport. Il ne s’agissait pas de personnes mises en cause mais de fiches relatives à des personnes mises en cause. Le ministère a indiqué qu'il sera procédé à la fusion des fiches concernées. »

Le fait que ni la CNIL ni le ministère de l'intérieur ne se soient ni aperçus ni offusqués d'avoir gonflé de près de 3 millions le nombre de personnes considérées comme "défavorablement connues des services de police", et de découvrir que les premiers chiffres communiqués par le TAJ, censé régler les nombreux problèmes posés par les fichiers policiers, sont erronés, est la conséquence logique de la fuite en avant répressive impulsée par Nicolas Sarkozy qui, en 10 ans, a fait créer 44 fichiers policiers, soit plus de la moitié des 70 fichiers policiers créés depuis la Libération, et fait adopter pas moins de 42 lois sécuritaires.

Le décret portant création du TAJ a en effet été publié au JO le 6 mai 2012, jour où François Hollande fut élu président de la République. A l'époque, j'avais qualifié ce cadeau d'adieu de Nicolas Sarkozy & Claude Guéant d'"usine à gaz" qui posait bien plus de problèmes qu'il n'apportait de solutions (cf Le cadeau empoisonné des fichiers policiers & Ma décennie Sarkozy).

Fichiers "à charge" ne prenant pas ou si peu en compte les classements sans suite, ou encore les jugements innocentant ceux qui avaient ainsi été fichés comme "suspects", les STIC, JUDEX & TAJ sont d'autant plus scandaleux qu'ils entraînent plusieurs centaines voire milliers de refus d'embauches et de licenciements, chaque année.

La CNIL a été créée pour nous protéger du fichage policier

En 1974, Le Monde avait en effet fait sa "Une" avec un article intitulé "Safari ou la chasse aux Français" révélant que le ministère de l'intérieur voulait créer un Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (voir "Safari et la (nouvelle) chasse aux Français). On a depuis appris que l'information émanait de lanceurs d'alertes :

« Les journalistes, donc le public, sont informés par ce que l’on appelle des indiscrétions, des fuites. A l’époque de Wikileaks, je n’ai pas besoin d’en dire davantage ! D’où venait celle qui a permis la publication de Safari ou la chasse aux Français ? Des habituels ronchonneurs que sont les défenseurs des droits de l’homme et des libertés ? Nullement. Cette fuite, je peux le dire maintenant, venait des informaticiens eux-mêmes qui se méfiaient du trop séduisant joujou qu’on leur tendait. »

Le scandale fut tel que quatre ans après, en 1978, le Parlement adoptait une loi "relative à l'informatique, aux fichiers et aux libertés", créée pour protéger les citoyens français du fichage informatique en général, et du fichage policier en particulier, et pionnière, dans le monde, en matière de défense des libertés numériques.

En 1995, le ministère de l'intérieur demanda à la CNIL d'autoriser son Système de traitement des infractions constatées (STIC), fichier créé pour garder la trace de tous ceux qui, "mis en cause" (6,8 M en 2013) ou "victimes" (38 M, en 2011), avaient eu affaire avec la police nationale : 45 millions de personnes y sont donc aujourd'hui fichées, soit 68% de la population française, dont 15% en tant que “mis en cause” – et donc “suspects“.

La CNIL, autorité indépendante "chargée de veiller à ce que l’informatique ne porte atteinte ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques", refusa à l'époque de légaliser ce fichier violant la "présomption d'innocence".

D'une part parce que les citoyens ne pouvaient pas exercer leur droit d'accès, et de rectification – pourtant prévus par la loi Informatique & libertés, de sorte que le fichier ne soit pas entaché d'erreurs –, mais également parce que le ministère de l'intérieur voulait également se servir du STIC en matière de "police administrative", et donc pouvoir empêcher ceux qui avaient été "suspectés" par la police ou la gendarmerie de pouvoir postuler à certains emplois, à la nationalité française, ou à la légion d'honneur – quand bien même ils n'aient jamais été condamnés pour ce qui leur avait valu d'être fichés (cf EDVIGE servira à recruter… et licencier).

Mais que fait la police... et la CNIL ?

En juillet 2001, le ministère de l'intérieur accepta enfin de se conformer aux exigences de la CNIL, et donc de respecter la loi Informatique & libertés, ce qui permit au gouvernement de "légaliser" le STIC. Il n'en avait pas moins fonctionné, illégalement, pendant 6 ans. Un comble, pour un fichier policier...

Suite aux attentats du 11 septembre 2001, les parlementaires, pris dans la surenchère sécuritaire, décidèrent par ailleurs de changer la loi afin d'obliger les préfets à consulter les fichiers policiers, dans le cadre d'"enquêtes administratives" dites "de moralité", diligentées sur toute personne désirant acquérir la nationalité française (ou la légion d'honneur), ou préalablement à l'embauche de plus d'un million de personnes (agents de sécurité privés ou entraîneurs de chevaux de course ou de lévriers, policiers, contrôleurs RATP ou arbitres de pelote basque... cf Futurs fonctionnaires, ou potentiels terroristes ?).

Le gouvernement ayant peu apprécié le bras de fer engagé par la CNIL pour qu'il respecte la loi Informatique & libertés profita par ailleurs de la refonte de la loi en 2004 pour lui couper les ailes en ne lui confiant plus qu'un seul rôle consultatif (voir Une loi dont l’Etat se fiche pas mal) : le gouvernement est certes toujours tenu de lui demander son avis, mais plus d'en tenir compte... d'où l'explosion des fichiers policiers, le fait qu'elle n'ait pas pu empêcher ces fichiers d'être truffés d'erreurs, jusqu'à en commettre elle-même en validant le "bug informatique" qui a conduit à gonfler de 2 millions le nombre de personnes fichées comme "mis en cause", et donc "suspects".

Des centaines de gens saisissent ainsi la CNIL chaque année parce qu'ils ont perdu l'emploi qu'ils exerçaient, ou parce qu'on leur interdit de travailler, au motif qu'ils seraient donc "défavorablement connues des services de police"... alors même que nombre d'entre eux ont pourtant été blanchis par la justice, sauf que leur fichier n'a pas été mis à jour.

Le député Daniel Goldberg déplorait ainsi en 2013 les problèmes rencontrés par "un étudiant qui a entrepris de brillantes études de mathématiques et qui voit ses démarches entravées pour une tentative de vol d'un montant de 30 euros commis en 2009, pour lequel la seule poursuite a consisté en un rappel à la loi" :

« Le TGI de Rennes, à qui il s'est adressé, lui indique que cette mention du STIC ne pourra être effacée de son dossier avant vingt ans - vingt ans pour 30 euros et un simple rappel à la loi... »

En réponse à une question parlementaire, le ministre de l'intérieur évoquait, en janvier dernier, "une actualisation progressive des données individuelles" due à "l'ampleur de la tâche" :

« C'est pourquoi le ministère envisage de procéder tout d'abord à la mise à jour des données relatives aux jeunes mineurs. Seules les fiches enregistrées pour des faits de nature criminelle ou délictuelle grave seront conservées concernant les jeunes mineurs non réitérants.

En outre, lorsqu'une autorité administrative envisagera de prendre une décision défavorable dans le cadre d'une enquête administrative, fondée sur des données, elle devra être invitée à prendre systématiquement l'attache du parquet pour vérifier la mise à jour de la situation de l'intéressé. »

"Responsable, mais pas coupable"

Signe du mépris des autorités envers la CNIL, le système JUdiciaire de Documentation et d'EXploitation (JUDEX), déployé dans les gendarmeries en 1985-1986 pour remplacer le système PROSAM (qui datait de 1967), ne fut déclaré à la CNIL qu'en... novembre 2006, après que les parlementaires se soient aperçus qu'ils ne pouvaient pas légalement fusionner le STIC & JUDEX puisque ce dernier était dans l'illégalité depuis... vingt ans.

Créés – en toute illégalité – pour ficher les personnes "mises en cause" – sans tenir compte des suites judiciaires données à ce pour quoi elles avaient été fichés –, et donc pensés uniquement "à charge", le STIC & JUDEX ne pouvaient qu'être "injustes", "erronés", faisant de toute personne "mise en cause" un individu "défavorablement connu des services de police", et donc un "suspect" en puissance, au mépris de la présomption d'innocence.

De fait, la CNIL constata 25% d'erreurs dans les fichiers STIC qu'elle contrôla en 2001, et même 83% d'erreurs en 2009, lors de son premier rapport sur le fichier STIC : plus d'un million de personnes, fichées comme "mises en causes" par la police, mais "blanchies" par la justice, y étaient par ailleurs toujours fichées comme "suspectes", alors que leurs fiches auraient pourtant du être effacées : une (bonne) partie de la faute incombe aux procureurs et représentants du ministère de la justice, qui ne mettent pas les fichiers à jour, laissant les "mis en cause" fichés comme "suspects" quand bien même ils ont pourtant été blanchis.

Le nouveau rapport de la CNIL sur le "contrôle des fichiers d'antécédents", consternant, révèle que rien ou presque n'a changé depuis son précédent rapport de 2009. Seul point positif : le taux d'erreurs dans les 646 fichiers STIC vérifiés par la CNIL en 2012 n'est plus "que" de 38%. A contrario, 38% des 227 fiches JUDEX ont été supprimées, 30% mises à jour, et 32% rectifiées, soit un taux d'erreur de 100% (et 58% des fiches, mises à jour ou rectifiées, n'en ont pas moins été maintenues dans le fichier).

La conférence de presse organisée pour présenter ce second rapport de la CNIL sur les fichiers policiers était "désolante" : les commissaires, responsables et employés de la CNIL semblaient en effet sincèrement "désolés" de n'avoir pas pu contribué à faire respecter la loi qu'ils sont censés incarner...

Ainsi, si la loi oblige la CNIL à répondre, sous six mois, aux gens qui demandent à ce qu'elle vérifie que ce qui est inscrit dans leurs fichiers policiers n'est pas erroné, ni donc "hors la loi", dans les faits, la CNIL reconnaît, penaude, qu'elle met entre douze et dix-huit mois, en moyenne, à répondre à ceux qui y sont fichés. Alors même que la majorité de ceux qui saisissent la CNIL y sont fichés à tort...

Une "présomption de culpabilité" qui ne peut que les enfoncer dans le chômage, la précarité, voire l'illégalité : nombreuses sont en effet les sociétés (et employés) de sécurité privée qui cherchent dès lors à contourner la loi, faute de pouvoir la respecter.

La CNIL n'est pas en mesure de protéger les citoyens des problèmes posés par le fichage policier, ce pour quoi elle avait pourtant été créée.

La CNIL, une "chambre d'enregistrement" ?

Ce pour quoi j'avais proposé de « hacker » la CNIL, de sorte qu'elle ne soit plus seulement une chambre d'enregistrement de ceux qui veulent nous ficher, mais une véritable "autorité indépendante" face aux pouvoirs constitués, à même de protéger nos droits et libertés.

Ce 30 janvier 2014, un avis et un décret parus au Journal Officiel ont révélé les noms des 8 nouveaux membres de la CNIL, et le fait que 4 d'entre eux (au moins) pourraient potentiellement contribuer à changer la donne.

La CNIL est incarnée par un collège pluraliste de 17 "commissaires" (sic) composé de 4 parlementaires (2 députés, 2 sénateurs), 6 hauts fonctionnaires représentants les "hautes juridictions" et 5 "personnalités qualifiées". Or, 4 des 5 nouvelles "personnalités qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles" désignées pour siéger à la CNIL se sont d'ores et déjà illustrées par leurs prises de position en faveur de la défense des libertés, et de la protection de la vie privée :

• François Pellegrini, chercheur à l'INRIA, co-fondateur des Rencontres mondiales du logiciel libre (RMLL) et co-auteur de "Droit des logiciels - Logiciels privatifs et logiciels libres",
• Nicolas Colin, inspecteur des finances co-auteur d'un rapport sur la fiscalité du numérique qui proposait de taxer ce que les entreprises font de nos données personnelles,
• Maurice Ronai, ex délégué national du Parti socialiste pour les technologies de l'information et rapporteur d'un livre blanc sur l'"administration électronique et protection des données personnelles", et
• Philippe Lemoine, ancien chercheur en informatique et sciences sociales devenu chef d'entreprises, ex-commissaire de la CNIL à qui le gouvernement vient de confier une mission sur la transformation numérique de notre économie.

Ont également été désignés Marie-France Mazars et Alexandre Linden, deux conseillers à la Cour de cassation mis à la retraite en 2010 et 2011, Jean-Luc Vivet, conseiller maître à la Cour des comptes et ancien auditeur de l'Institut des hautes études de défense nationale, et Joëlle Farchy, professeure de sciences de l'information et de la communication spécialiste de l'économie des industries culturelles.

On notera enfin que la CNIL compte également toujours au nombre de ses commissaires le député Sébastien Huyghe, en charge du secteur de l'identité, mais qui s'était pourtant illustré par son silence, en n'intervenant à aucun moment, malgré cinq navettes parlementaires, lors du débat sur le fichier des "gens honnêtes", tout en votant POUR un tel fichage généralisé de la population (qui fut néanmoins censuré par le Conseil Constitutionnel pour son atteinte disproportionnée au droit à la vie privée), mais également CONTRE la proposition de loi visant à encadrer les fichiers policiers... qui visait pourtant à obliger ces derniers à respecter la loi informatique et libertés (voir Les « commissaires politiques » indignes de la CNIL).

SAFARI et la chasse aux Français internautes

Louis Joinet (co-fondateur du Syndicat de la magistrature et premier directeur juridique de la CNIL) et Philippe Lemoine ont révélé en août dernier avoir aidé le journaliste Philippe Boucher à écrire "Safari ou la chasse aux Français", l'article qui a débouché sur la création de la loi informatique et libertés, dans une tribune libre déplorant que, dans l'affaire Snowden, la France "reste sans réaction, muette face au scandale que constitue le système Prism d’espionnage des transactions Internet par les agences américaines (et) sans voix face à la manière dont est traité ce lanceur d’alertes qu’est Edward Snowden" :

« L’un de nous était journaliste, le second magistrat, et le troisième chercheur en informatique et en sciences sociales. Pour nous, l’interconnexion généralisée des fichiers, liée à une extension massive de l’informatique dans toutes les dimensions de la vie quotidienne, pourrait déboucher sur un totalitarisme tel qu’il effacerait peu à peu le goût même de la liberté. Notre cri d’alarme fut à l’origine d’un débat d’où résulta la loi du 6 janvier 1978. »

En septembre, ils lançaient une pétition pour une régulation mondiale informatique et libertés appelant à la protection d'Edward Snowden et au "développement de solutions de chiffrement décentralisées basées sur du logiciel libre que chacun puisse partager et qui permettent à tous les citoyens du monde de communiquer par des moyens sûrs".

A l'occasion de la journée européenne de la protection des données 2014, la CNIL, de son côté, vient de publier une série de conseils pour faire appliquer ses droits sur Facebook... initiative certes louable, mais qui fait tout de même un peu "petit bras" au vu des révélations d'Edward Snowden sur les pratiques du GCHQ et de la NSA.

Ces révélations ont entre autres eu pour conséquence de mettre les questions liées au droit informatique et libertés à la "une" des médias et de l'agenda politique, national et international. Autrefois qualifiés de "droit-de-l'hommistes", les défenseurs des libertés à l'ère du tout numérique et de l'Internet sont aujourd'hui considérés comme des lanceurs d'alerte et des personnalités politiques dont l'avis doit être pris en compte.

Mediapart vient de révéler que le secrétaire général de la CNIL avait envoyé un courriel, le 27 janvier dernier – trois jours avant la désignation des nouveaux "commissaires"– proposant aux "anciens membres" de candidater à la présidence de la CNIL. L'élection est prévue pour ce mardi 4 février. Je souhaite bien du courage aux nouveaux "commissaires", ils auront fort à faire. Et je me plais à penser que, à défaut de faire scandale dans les médias –comme c'eut été le cas si c'était le nombre de chômeurs qui avait ainsi été "gonflé"–, ce scandale fera peut-être un peu débat auprès de ceux qui s'intéressent au droit informatique et libertés.

Je ne sais si l'arrivée de telles "personnalités qualifiées" pourra, de l'intérieur même de l'institution, faire évoluer la défense de nos libertés, ni si elle parviendra à faire changer la loi pour lui redonner un réel (contre-)pouvoir face aux institutions qu'elle est censée contrôler, mais la CNIL ne peut plus rester cette chambre d'enregistrement dont l'avis –pour ce qui est des fichiers régaliens portant sur l'ensemble de la population, à l'instar des fichiers policiers notamment – n'est plus que consultatif et qui se contente de constater, désolée, dépitée, que les ministères de l'intérieur et de la justice ne respectent pas la loi informatique et libertés qu'elle est censé incarner, que le gouvernement ne lui demande pas son avis ou – quand il le fait – qu'il n'en tienne pas compte.

Voir aussi :
Objectif : « hacker » la CNIL
Les commissaires politiques de la CNIL
« Les écoutes made in France », ma 1ère BD
« Une journée dans la peau d’Edward Snowden »
Les portiques écotaxe, un « système orwellien » (qui photographie tout le monde, mais ne sert à rien)

Pour son n° d'hiver, le trimestriel papier Regards m'a proposé de revenir, en mode "grand reportage", sur les révélations d'Edward Snowden. Plutôt que de revenir sur la (longue) liste des révélations qu'il a pu faire, j'ai voulu mettre l'accent sur le contexte dans lequel elles interviennent, à savoir « La nouvelle "chasse aux sorcières" » lancée aux USA à l'encontre des "lanceurs d'alerte", et qui explique aussi cette surveillance généralisée « made in NSA », paranoïa institutionnalisée par l'administration Obama.

Faute de place, j'avais du couper une partie de l'introduction de mon article, portant notamment sur la paranoïa visant les homosexuels, et profite de sa mise en ligne, sur le site de Regards, pour la republier in extenso.

Le "péril rouge" (et la "peur violette")

La NSA avait initialement été créée, en plein guerre froide, pour espionner les télécommunications du bloc communiste. Une fois le mur de Berlin tombé, la NSA a décidé d'espionner... le monde entier. Ironie de l'histoire, Edward Snowden, le lanceur d'alerte à l'origine des révélations sur l'ampleur des écoutes de la NSA, a trouvé refuge à Moscou, et Laura Poitras, la journaliste a qui il a confié des milliers de documents classifiés, vit en exil à Berlin, tout comme Jacob Appelbaum, un hacker proche de WikiLeaks, lui aussi harcelé par les autorités américaines. Le nombre de lanceurs d'alerte poursuivis, voire condamnés, est tel que l'on pourrait parler d'une nouvelle "chasse aux sorcières" semblable à celle que connue les Etats-Unis lorsqu'il fut pris, dans les années 50, de paranoïa anti-communiste.

Le 9 février 1950, le sénateur républicain Joseph McCarthy brandit une bout de papier en expliquant qu'il contenait une liste de 205 noms de personnes membres du parti communiste travaillant pour le département d'Etat américain. McCarthy évoqua par la suite une liste de 57 communistes, puis de 81 noms... sans jamais apporter de preuves véritables que le PC avait infiltré le département d'Etat. Mais sa "liste" connut un large écho médiatique, et la "chasse aux sorcières" lancée dans la foulée conduisit plusieurs centaines de personnes en prison, et brisa la carrière de milliers d'autres. Soupçonnés de sympathies communistes, plus de 10 000 fonctionnaires furent renvoyés ou durent démissionner, et plus de 300 cinéastes, scénaristes, acteurs, musiciens, mais également des journalistes, scientifiques, universitaires, chercheurs, furent ainsi "black listés", et empêchés d'exercer leur métier. Cette paranoïa institutionnalisée entraîna également de très nombreux citoyens "progressistes" à s'auto-censurer, de peur d'être eux aussi victimes de cette chasse aux sorcières.

Le Maccarthysme fit d'autres victimes, moins connues : le sénateur conservateur traquait en effet également les homosexuels, et réussit de la sorte à museler plusieurs de ses opposants, en menaçant de les dénoncer publiquement. McCarthy n'était pas le seul à "traquer" les homosexuels : en cette même année 1950, le département d'Etat américain révéla ainsi qu'il avait "accepté" la démission de 91 de ses employés, homosexuels. Au "péril rouge" s'ajoutait cette "peur violette" ("lavender scare", en VO), terme utilisé dans la communauté homosexuelle pour décrire la peur d'être identifié comme tel, et donc de devoir démissionner, d'être renvoyé, considéré comme un malade mental ou un pestiféré, et de voir sa carrière (et/ou sa vie) brisée.

En ce début des années 50, outre-atlantique, les Britanniques découvraient quant à eux que des agents doubles, recrutés à la fin des années 30 par le KGB, avaient réussi à infiltrer l'appareil diplomatique et même les services de renseignement britanniques. Or, quatre des "Cinq de Cambridge", du nom donné à ces espions, étaient homosexuels. Kim Philby, le plus célèbre d'entre eux, avait réussi à intégrer le Secret Intelligence Service (MI6) britannique, où il avait créé la "section anti-soviétique" pour éviter d'être démasqué. A ce titre, il était en effet chargé de traquer les agents doubles...

Les services de renseignement américains savaient que un ou plusieurs agents doubles espionnaient la Grande-Bretagne pour le compte du KGB. Ils avaient intercepté de très nombreux câbles diplomatiques soviétiques chiffrés entre 1942 et 1945, et tentaient depuis lors de les déchiffrer, avec l'aide du Signals Intelligence Service (l'ancêtre de la NSA) et de "casseurs de code" britanniques -très réputés en la matière. En 1951, Philby, qui était tenu informé de l'avancée de cette opération de déchiffrement des communications (nom de code Venona) apprit que deux des "Cinq de Cambridge" venaient d'être identifiés, ce qui lui permit de les avertir, et même d'organiser leur défection pour Moscou. Et la paranoïa rouge-violette franchit l'Atlantique : quatre des "Cinq de Cambridge", du nom donné à ces espions communistes, étaient aussi homosexuels...

Alan Turing, lui, travaillait pour l'ancêtre du GCHQ, l'agence en charge de l'interception et du décryptage des communications britannique. Chercheur en mathématiques, "petit génie" de ce qui allait devenir l'informatique, il conçu une "bombe électromagnétique", ancêtre des premiers ordinateurs, pour casser les codes secrets utilisés par les nazis. Alan Turing n'était pas communiste, mais il était homosexuel, ce qui était illégal en Grande-Bretagne. En 1952, la Justice lui donne le choix : aller en prison, ou opter pour une castration chimique. Pendant un an, les oestrogènes le rendirent impuissant, et lui firent pousser des seins. En 1954, il avait pu arrêter le traitement, et semblait s'en sortir bien. Mais le 8 juin, on le retrouvait mort, à 42 ans. Fasciné par Blanche neige et les 7 nains, il aurait décidé de sombrer dans un sommeil éternel en croquant une pomme empoisonnée.

60 ans plus tard, le rideau de fer est tombé avec le mur de Berlin, le "péril rouge" n'existe plus, la "peur violette" non plus, mais la coopération entre les "grandes oreilles" américaines et britanniques, formalisée dans un traité secret signé en 1946, n'a jamais été aussi florissante.

Lire la suite sur Regards : « La nouvelle "chasse aux sorcières" »

Pour en savoir plus sur le programme "Insider Threat" de chasse aux sorcières lancé en 2011-2011 par l'administration Obama suite aux révélations de WikiLeaks et que j'évoque dans mon article, voir aussi :
This really is Big Brother: the leak nobody's noticed
Unhappy With U.S. Foreign Policy? Pentagon Says You Might Be A 'High Threat'
Army Establishes Insider Threat Program
Le très complet dossier Insider Threats de McClatchyDC.com, qui a levé le lièvre.
Treason 101 - The Insider Espionage Threat, le guide du... ministère de l'agriculture
Obama Builds Off Legacy of Reagan by Charging Leakers Like Snowden Under Espionage Act
CyberAwareness Challenge, le jeu en ligne du Pentagone
"Insider threats remain the top counterintelligence challenge to our community" (Office of The National Counterintelligence Executive) :

Voir aussi, sur ce blog :
« Une journée dans la peau d’Edward Snowden »
Pourquoi la NSA espionne aussi votre papa (#oupas)
La NSA, la DGSE et la DCRI ne disent pas merci à l’Hadopi
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
La NSA a accès à toutes les communications des Américains (et surtout celles des journalistes)