Hier lors d’une première audition au Sénat sur le projet de loi sur le renseignement, le gouvernement a donné quelques nouveaux détails sur le mode opératoire des algorithmes. Ces fameuses « boîtes noires », expression utilisée par un membre du cabinet Valls, sont destinées à renifler une possible menace terroriste. Il a aussi été question des versants budgétaires du texte. Sauf que le flou artistique perdure superbement.
Le projet de loi sur le renseignement sera discuté les 2, 3, 4 puis voté le 9 juin au Sénat. Hier, en commission, Bernard Cazeneuve a dit et redit que le texte n’instaurait pas de surveillance de masse. Sur sa lancée, Jean-Yves le Drian a ajouté quelques précisions sur l’un des dispositifs les plus contestés : les boîtes noires, celles qui seront installées chez n’importe quel acteur du Net afin de détecter une menace terroriste. « En aucun cas il s’agit d’une pêche au chalut et d’un rassemblement d’informations extrêmement nombreuses visant nos concitoyens » a prévenu le ministre de la Défense. « L’algorithme, c’est un ciblage qui ne porte pas sur des individus, mais des modes de communications que les services ont pu identifier comme étant caractéristiques de l’activité de personnes impliquées dans l’activité terroriste. »
Les vidéos de décapitation
Pour épauler son exposé, il donnera deux exemples (à partir de 57"). Le premier, déjà développé à l’Assemblée nationale, évoque le cas d’une décapitation « que les terroristes mettent sur vidéo. Il se trouve qu’un certain nombre d’acteurs, souvent des acteurs dormants, vont vérifier au moment, ou juste après la mise en ligne de la vidéo de décapitation, si elle est bien passée sur les réseaux. On va avoir un clip ici, un clip là, un clip ailleurs ». Alors ? « L’algorithme permettra de faire le tri et d’avoir les accès liés à l’ensemble de ceux qui sont dans ce réseau-là ».
L'exemple reste cependant brumeux si on se souvient que l’algorithme ne traitera que des données de connexion. Problème, en effet, selon l’article L34-1- VI du code des postes et des communications électroniques, ces données de connexion « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». Comment donc l’algorithme pourra-t-il surveiller automatiquement l’écosystème d’une URL sans identifier l’URL en question, tout en évitant une surveillance d’une plus large ampleur ? Une solution serait que l’exécutif considère que l’URL ne concerne pas le contenu, mais ne vise qu’un chemin vers le contenu, nuance, puisque ce contenu peut en outre changer. Sauf que ce n’est pas le cas sur les plateformes vidéo...
Les téléphones satellitaires et la boîte noire
Deuxième exemple cité par Le Drian, celui des communications internationales : « Si à Barkhane, à Madama (au Niger, NDLR), une intervention de la force permet de tomber sur des Thuraya (téléphone satellitaire, NDLR) qui révèlent un certain nombre d’horaires, d’informations voire de numéros, l’exploitation ne peut être faite que par un tri mathématique, algorithmique, qui sera demandé à ce moment-là par mes services auprès des autorités compétentes et contrôle de la CNCTR (…) c’est ça la réalité du ciblage ».
Les détails sont là encore très minces, mais il laisse entendre que le gouvernement entend exploiter l’arme des boîtes noires aussi pour des communications satellitaires à portée internationale, ou, à tout le moins, en exploitant les appels glanés à cette occasion. N’oublions pas à ce titre que les mesures de surveillance portant sur des identifiants étrangers seront facilitées par le texte, lequel offre en outre une immunité pénale aux services qui pourront pirater dans la joie et la bonne humeur et installer des mouchards où bon leur semble.
Le silence persistant sur la question des coûts
La réunion d’hier a aussi été l’occasion pour des parlementaires de s’inquiéter aussi sur la question du coût de déploiement de ces outils de surveillance. On l’a déjà dit et regretté : l’étude d’impact annexée au projet de loi est diablement silencieuse sur ce point : en clair, on ne sait combien le projet de loi va coûter en argent public.
Le sénateur Jean-Pierre Raffarin s’est lui spécialement ému des moyens alloués de la CNCTR, la commission de contrôle des techniques de renseignement. « En fait, il va y avoir beaucoup d’initiatives, beaucoup de procédures et des procédures qui vont être évidemment très lourdes. Car à partir du moment où d’une part, on construit ces procédures à étages, il va falloir, pour l’instruction, beaucoup de personnels. D’autre part, il faut s’attendre à une multiplication des voies de recours. Naturellement, on imagine que de très nombreux avocats partout dans le pays trouveront là les moyens de pouvoir tenter différentes formes d’interventions qui entraineront des procédures et donc du temps et de la mobilisation humaine. On voit bien qu’il y a un risque global d’une très forte bureaucratisation (…). »
En retour, Bernard Cazeneuve a fait preuve d’une indémodable prudence de chat. « La mise en œuvre de l’ensemble des contrôles prévu par le projet de loi aura bien entendu un coût. Nous avons indiqué à l’occasion des débats à l’Assemblée nationale que, le contrôle sur les services des renseignements comme garantie des libertés publiques n’ayant pas de prix, nous assumerions son coût. Par conséquent nous sommes en train de procéder des expertises (…) de manière à déterminer l’équation de l’allocation de moyens optimale qui permettra de renforcer à la fois le groupement interministériel de contrôle (GIC) et de donner à la CNCTR les moyens en emploi équivalents temps plein et les moyens en technologie dont elle a besoin pour assumer ses fonctions. Ce travail est en cours. »
Un travail en cours, mais qui ne laisse que deux options : ou bien le gouvernement ne dit pas la vérité à la représentation nationale, ou bien il est en train de faire voter un texte en aveugle, sans visibilité sur les fonds publics qui seront engagés. Et on ne sait quel est le péché le plus grave.
Commentaires (85)
#1
et les boites noirs ils pourront ou pas les mettre directement dans les FAIBox ?
#2
Mais ces quoi leurs exemples de merde pour justifier leur boite noire ? Ils ont déjà approché un ordinateur ? Il n’y a personne autour d’eux pour leur expliquer comment ça marche ?
" />
#3
La surveillance de la population, c’est tellement important que ça n’as pas de prix…
“Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées,”
Ça c’est pour faire bien, c’est comme l’histoire du suivie ciblé alors que les boites noires vont aspirer goulûment toutes les URLs consultés en France..
Bref l’état de droit en prends pour son grade…
#4
#5
Pour financer ces boites noires, il y faudra sans doute puiser dans les caisses noires de l’État.
#6
Pour le budget ben ça passera d’un budget obscure non divulgué à au même obscure + la partie officiel (hop comment augmenté discretos celui-ci) puis comme c’est contre le terrorisme ça passera tout seul
Pour les recours et autres faciles : montrer par 2 ou 3 recours/autres sont infondé que la seule chose c’est “certains” avocats qui veulent en profité pour dépouiller de pauvre gens en temps de crises et hop fini
#7
#8
Arrêtez de parler de “boites noires” !
" />
Cela fâche le ministre de l’intérieur !
Appelez-les les boites roses, couleur de son parti politique, même si elles sont effectivement noires (tant en couleur qu’en destination).
Exemple : les boites noires des avions sont … rouges (pour les repérer plus facilement) !
#9
#10
#11
#12
comme quand je dis que “cette loi nous la met bien profond et dans tous les sens
" />” ?
#13
#14
#15
#16
« L’algorithme, c’est un ciblage qui ne porte pas sur des
individus, mais des modes de communications que les services ont pu identifier comme étant caractéristiques de l’activité de personnes
impliquées dans l’activité terroriste. »
Combien de temps avant que l’utilisation d’un VPN soit considérée comme un “mode de communication caractéristique” ?
#17
#18
#19
#20
Pour être rigoureux, il faut parler de fréquence. La longueur d’onde dépendant du milieu de propagation, mais pas la fréquence.
#21
S’ils ont trouvé un algorithme capable d’analyser une vidéo et d’y détecter qu’elle parle de décapitation à des fins terroristes, ils devraient partager, ça devrait intéresser beaucoup de chercheurs.
#22
#23
#24
#25
Et pourquoi pas les boites brunes, ce serait tellement plus proche de ce qu’elles sont réellement …
#26
#27
D’ailleurs, le nom de boite noire est plutôt mal choisi.
Comme je l’ai entendu dans un podcast, la boite noire sert à recueillir des données après un accident…
#28
#29
#30
#31
En aucun cas il s’agit d’une pêche au chalut et d’un rassemblement d’informations extrêmement nombreuses visant nos concitoyens
La vérité, c’est qu’a partir du moment ou les boites noires seront en place, ils y détecteront tout ce qu’ils voudront sans aucun contrôle.
Quand on connait un peu ce pays, il faudrait être idiot pour croire que le cadre légal empêchera les dérives.
Cet outil est extraordinairement dangereux. Car il rends possible le ciblage de l’opposition politique. Si le pays venait à tomber dans la dictature, de réprimer l’opposition citoyenne.
Pour ceux qui ont un minimum de culture historique, c’est un danger inacceptable.
Est ce que les quelques morts causés par une petite minorité de terroristes fous valent de faire courir à la démocratie cet énorme danger ?
Je ne comprends pas les politiques qui ont voté ce texte. C’est juste de l’irresponsabilité…
#32
#33
#34
#35
A ton avis pourquoi il y a pas d’ordinateur sur le bureau de ton président ? ;)
#36
#37
Nous avons indiqué à l’occasion des débats à l’Assemblée nationale
" />
que, le contrôle sur les services des renseignements comme garantie des
libertés publiques n’ayant pas de prix, nous assumerions son coût.
Pour le reste, il y a Eurocard MasterCard via l’argent du contribuable. Heureusement qu’on va s’équiper en matériel américain avec backdoor… intégrées et si ça ne suffit pas, on demandera aux Allemands d’envoyer les infos pour nous à la NSA
#38
#39
erf…
#40
#41
#42
#43
yep, les batonnets réagissent à la lumunosité, les cônes, chacun à une “couleur”. Etant donné que notre rétine beigne dans un milieu homogène, on peut largement dire qu’ils réagissent à une longeur d’onde. Mais la longueur d’onde du rouge dans l’humeur aquêeuse n’est pas la mme que celle dans l’air elle même légèrement (très légèrement) différente de la longueur d’onde dans le vide puisque l’air, comme les humeur de l’oeil sont des milieux dispersifs : la vitesse dépend de la fréquence (et donc la longueur d’onde aussi). Le “c” de e=mc2 c’est la célérité dans le vide.
Bref, façon, aujourd’hui tous les serveurs sont gris. Donc ça sera une boite noir grise.
#44
Au fait, Michael Rogers est aussi le big boss du Cyber Command. Donc il sait de quoi il parle à propos de back doors éculées !
" />
#45
#46
Si le budget lié à ces boîtes noires n’est pas prévu ou si jamais la loi était votée sans estimation du coût, ce ne pourrait être que pour le mieux: c’est censure du Conseil constitutionnel. Une loi doit être précise sur ce point.
Ce qui va être intéressant, c’est de voir quel sera le budget alloué. Cela donnera une très bonne idée des capacités de la NSA CNCTR.
Dans tous les cas, cette loi me donne envie de pleurer.
#47
#48
#49
#50
#51
J’ai pas compris.
Le principe est, si j’ai bien compris, le suivant:
Donc:
Cela ne permet pas d’arrêter quelqu’un, vu qu’il y a des faux positifs, mais ça permet d’augmenter les marqueurs pour définir les personnes à surveiller (ce qui réduit le nombre de faux-positifs: plus tu as de marqueurs non corrélés, moins tu as de faux-positifs).
Évidemment, une fois le comportement connu, les suspects vont arrêter d’avoir ce comportement, mais ce n’est qu’un exemple parmi d’autres, qui montre que contrairement à ce qui a été dit, même en n’utilisant que les métadatas (URL, heure de connexion) il y a bien des comportements intéressants qui peuvent être utilisé comme marqueurs.
#52
Je pense que tu es trop optimiste.
À mon avis, les boîtes noires existent déjà (issu de la collaboration entre les autorités et les grands FAIs).
Donc, qu’un gouvernement fasciste arrive au gouvernement avant ou après cette loi, ils mettront un système de surveillance en place tout aussi facilement.
#53
“Naturellement, on imagine que de très nombreux avocats partout dans le pays trouveront là les moyens de pouvoir tenter différentes formes d’interventions qui entraineront des procédures et donc du temps et de la mobilisation humaine.”
#54
Une question me taraude, donc avis aux spécialistes. Ces boites noires telles qu’ils nous les vendent se reposent sur le protocole IP d’après ce que je comprends donc VPN, proxy seront potentiellement classés comme louche, surtout si derrière il y a un programme d’analyse (facile de rentrer des IP de proxy ou VPN pour leur tourniquette à vinaigrette) mais quid de I2P, là les IP ne veulent plus rien dire du tout.
Je me pose la même question pour Tor, mais c’est encore autre chose et sans faire mon complotiste, mais quand même un peu, je le pense plutôt grillé.
Ne me dites pas “catalogué terroriste d’office” ^^
#55
Et z’avec les FAI par satellites Européens, vont faire comment les guignols pour placer leurs boi-boites couleur daube ?
" />
#56
pfff, autant! ras le bol que mes impôts ne servent à rien!!!
" />
Au fait, si je me plains qu’une part de mes impôts vient financer le CNCTR, est-ce que je peux être poursuivi pour apologie du terrorisme?
#57
#58
#59
#60
Alors c’est pour çà que mon code se crashe en permanence
" /> 
" /> 
" /> 
" /> 
" /> 
" />
" /> 
" /> 
" /> 
" />
—-> /dev/null
#61
#62
Un travail en cours, mais qui ne laisse que deux options : ou bien le
gouvernement ne dit pas la vérité à la représentation nationale, ou bien
il est en train de faire voter un texte en aveugle, sans visibilité sur
les fonds publics qui seront engagés. Et on ne sait quel est le péché
le plus grave.
Par contre cela permet de se faire une idée assez précise de la qualité de ce gouvernement…
Sinon le coût OSEF un peu… Le budget de la Défense est illimité, Le Drian demande et l’Etat paye, c’est pas plus compliqué.
#63
#64
Bon, on est tous des terroristes en somme. Faudra juste prouver qu’on est pas coupable.
" />
Sacré code
#65
Moi je peux juste prouver que je suis responsable pas coupable
" />
#66
Non, c’est sa secrétaire qui fait tout…
#67
#68
Un petit doc très intéressant …
#69
La partie sur le paradoxe des faux-positif est n’importe quoi, ça a été écris par des gens qui ‘ont pas compris la situation (on se moque des politiciens, mais les techniciens le nez dans le guidon ne sont pas mieux).
Exemple:
Ici, on a déjà un système où les enquêteurs ont déjà des marqueurs pour évaluer le degré de “probabilité d’être un méchant” qui sont issues de techniques habituelle (c’est comme si on avait les sélections “première est A”, “deuxième lettre est B”).
Ensuite, les politiciens disent: on y gagnera si on rajoutait la sélection “troisième lettre est C”.
Du coup, dire que cela ne marchera pas à cause des faux-positifs est foireux. D’autant plus qu’a priori, les données obtenues sur internet ont très peu de chance d’être corrélées avec les données obtenues par méthode habituelle (par exemple: les faux-positifs obtenu par l’évaluation de la distance sociale par rapport à d’autres suspects sont totalement non correlés aux faux-positifs obtenu par l’activité sur le réseau tel que utiliser un VPN) .
#70
Le gros soucis c’est que les services du renseignement ne regardent pas à posteriori chez l’hébergeur de la vidéo qu’elles sont les IPs à avoir été sur la page de la vidéo : ils savent en temps réel quelle IP va sur la page en question.
Or, pour que cela soit possible, il leur faut nécessairement (techniquement parlant) savoir qu’elle IP va sur qu’elle URL tout le temps ! Et comme il leur faut la requête HTTP pour avoir l’URL, ils ont le contenu de ta requête IP et peuvent donc savoir tout ce que tu fais sur Internet (vu qu’il n’y à rien qui les empêche de regarder les requêtes autres que HTTP).
Remarque intéressante : rien qu’avec toutes les URLs que tu “visites”, il est assez simple de connaître plein de choses sur toi. Exemple : si tu tapes dans Google “boutons blancs pénis” (les 3 mots-clés apparaissant alors dans l’URL car Google les passe en GET), on peut en déduire que tu as un petit problème qui pourrait se transformer en grave dispute conjugale si cela venait à apparaître pendant une période assez longue de “calme” avec Madame… et si tu veux la paix dans ton ménage, peut-être serait-il pertinent d’éviter de froisser les gens qui pourraient faire fuiter l’information. ;-)
————-
Cela étant dis, je ne comprend pas qu’aucun député n’ai proposé de modifier la loi pour faire en sorte que la réponse par défaut de la CNTCR soit négative et non pas positive (ce qui pourrait être une relative consolation pour la protection des libertés).
#71
#72
“le gouvernement a donné quelques nouveaux détails sur le mode opératoire des algorithmes. Ces fameuses « boîtes noires »
L’algorithme du gouvernement sera intrusif et inefficace. On vous le prouve
http://rue89.nouvelobs.com/2015/04/15/lalgorithme-gouvernement-sera-intrusif-ine…
#73
#74
#75
#76
J’espère que c’est une blague ce truc là
" />
#77
#78
#79
On parle du coût que ça va faire pour le trésor public….
" />
Et le coût de l’installation de ces boîtes noires par les organismes supposés les offrir ?
Et les coûts liés à la sécurité - parce que oui, si on met des choses aussi grosses, va falloir blinder derrière.
Et le coût de développement ?
Ce bordel…
Edit : j’avais mis coups au lieu de coût partout, à croire que les coups se perdent
#80
Certains couts aussi se perdent avant que certains fassent des audits
" />
#81
#82
#83
Je veux bien plaider responsable mais pas coupable sur cette référence
" />
#84
#85