Renseignement : des boites noires déjà activées à l'échelle internationale

Renseignement : des boites noires déjà activées à l’échelle internationale

Black Box v.1

Avatar de l'auteur
Marc Rees

Publié dans

Droit

29/08/2017 6 minutes
26

Renseignement : des boites noires déjà activées à l'échelle internationale

Les boites noires, ces outils destinées à détecter une menace terroriste, ne sont toujours pas activées en France. À l’échelle internationale, la situation est cependant toute autre : des traitements automatisés sont déjà bien mis en œuvre sur les données non rattachables au territoire national. 

L’article L851-3 du Code de la sécurité intérieure est l’un des piliers de la loi Renseignement. C’est aussi l’un des principaux catalyseurs des critiques adressées au texte qui a fêté en juillet son deuxième anniversaire. Et pour cause, cette disposition autorise les services à utiliser les nouvelles technologies pour tenter de dénicher une menace terroriste sur les réseaux, ou dans le dur du texte, « des connexions susceptibles de révéler » un tel risque.

Dans le maquis des réseaux

Secret défense oblige, les détails sont minces mais ces traitements ont bien pour carburant un volume conséquent de métadonnées, soit toutes les informations encapsulant les messages échangés en ligne (lieu, origine, destination, heures, adresse IP, etc.), on pourra relire notre actualité en dressant la liste complète.

Ces lignes extraites de l’étude d’impact du projet de loi en résument bien la logique : « Il convient de dépasser l’approche exclusivement fondée sur le suivi de cibles déjà connues ou repérées pour privilégier la recherche d’objectifs enfouis sous le maquis des réseaux de communications transnationaux, Internet offrant à cet égard des opportunités de furtivité immenses pour les acteurs et vecteurs de la menace ».

Une quête toujours pas activée en France

Contactée hier, la Commission nationale de contrôle des techniques du renseignement, autorité chargée de vérifier la légalité des activités du Renseignement, nous a cependant indiqué que cet article n’avait toujours pas été mis en œuvre. Si la CNCTR dispose d’une telle connaissance, c’est que la loi du 15 juillet 2015 impose aux services de la saisir préventivement afin de jauger les paramètres des algorithmes, notamment.

Et c’est là que de gros grains de sable peuvent surgir. Dans son premier rapport annuel, la même avait soufflé avoir été « saisie d’une demande d’avis par le Premier ministre » portant sur « le projet d’architecture générale pour la mise en œuvre de ces traitements automatisés ». Le 28 juillet 2016, elle a même émis en formation plénière « des observations et des recommandations sur la procédure de collecte des données de connexion, les caractéristiques des données collectées, la durée de leur conservation, les conditions de leur stockage et la traçabilité des accès ». Pas moins.

Nul besoin de rechercher ces recommandations au Journal officiel, la délibération est classifiée. La CNCTR a cependant esquissé, toujours dans son rapport annuel, d'intéressantes bribes. Selon sa grille de lecture du Code de la sécurité intérieure, « la loi fait obstacle à ce que les agents des services de renseignement puissent accéder aux données collectées tant que le Premier ministre n’a pas autorisé l’identification d’une personne ».

Depuis cette date, rien n’a vraiment évolué. Et le renouvellement présidentiel a temporisé davantage ce déploiement. En cause, avance-t-on, la nécessaire « acculturation » des nouveaux responsables sur les possibilités ouvertes par cette législation. « Des discussions sont bien en cours », et la CNCTR promet de faire un point d’étape une fois celles-ci abouties.

L’aiguillon calendaire

Le temps presse cependant. L’article 25 de la loi Renseignement prévoit en effet une clause de caducité : « L'article L. 851-3 du code de la sécurité intérieure, indique-t-il, est applicable jusqu'au 31 décembre 2018 ». Et comme si ce terme n’était pas assez tragédien, le gouvernement aura la lourde tâche d’adresser au Parlement un rapport sur l'application de cette disposition au plus tard le 30 juin 2018, soit dans moins d’un an.

On saura alors si l’utilité supposée de ces boites noires installées chez les intermédiaires est en phase avec la réalité de terrain. De précieuses informations pourraient cependant surgir de l'échelle internationale afin d'inscrire plus durablement cette technologie dans le temps. 

Des traitements de données effectifs à l’échelle internationale

Au fil de notre échange, la CNCTR nous a révélé en effet que « des traitements sont déjà effectués sur les données internationales ». Cette fois, c'est un autre article qui prend le relai, le L854-2 du Code de la sécurité intérieure. Une sorte de miroir des algorithmes visant le territoire national.

À ce stade, le volume est sans équivalent. D’une part, les données sont collectées sur la planète entière. D’autre part, alors que le L851-3 est calibré pour détecter la seule menace terroriste en France, ce L854-2 (au 4° du II) poursuit l’ensemble des larges finalités prévues par la loi Renseignement. Soit « la défense et la promotion » de toute une série d’« intérêts fondamentaux de la Nation », à savoir :

  • L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
  • Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
  • Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  • La prévention du terrorisme ;
  • La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention de la prolifération des armes de destruction massive

Pas d'aiguillon calendaire à l'international

Toujours sur le dos de ces identifiants non rattachables au territoire français, le confort gagne de larges crans. En plus de ces finalités élargies visant des données de connexion mondialisées, il n’est plus nécessaire cette fois de passer par un avis préalable de la CNCTR.

Celle-ci n’intervient qu’a posteriori. Mieux encore, la loi relative à la surveillance des communications électroniques internationales n’a prévu aucun verrou calendaire. Pratique : même avec un barda technologique d’une efficacité relative, le gouvernement pourra toujours parier sur de futures technologies prédictives plus aiguisées.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Dans le maquis des réseaux

Une quête toujours pas activée en France

L’aiguillon calendaire

Des traitements de données effectifs à l’échelle internationale

Pas d'aiguillon calendaire à l'international

Fermer

Commentaires (26)


2show7
Le 29/08/2017 à 08h 54

Connecté jusqu’à la moelle. Liberté contrôlée. Droits de l’Homme, présumé innocent, sous contrôle permanent.



Les conséquences de la boîte de Pandore ouverte pour le terrorisme (attention aux manipulations pour faire perdurer la machine, la tentation de l’Ordre Nouveau, si pas Mondial)


Ayak973
Le 29/08/2017 à 09h 15

Ah, les « intérêts fondamentaux de la Nation »…



Vivement le retour à la lettre d’e-cachet (approuvé par Louis 14.0)…


carbier Abonné
Le 29/08/2017 à 10h 41

Je vais sortir le pop-corn et lire avec délectation les commentaires étonnés des abonnés qui découvrent les pratiques des services de renseignement.



Hint: ceci est valable dans chaque pays hein <img data-src=" /> Pas la peine de jouer les vierges effarouchées par rapport aux pratiques “à la française”


mikeul Abonné
Le 29/08/2017 à 10h 50







carbier a écrit :



Je vais sortir le pop-corn et lire avec délectation les commentaires étonnés des abonnés qui découvrent les pratiques des services de renseignement.



Hint: ceci est valable dans chaque pays hein <img data-src=" /> Pas la peine de jouer les vierges effarouchées par rapport aux pratiques “à la française”





Oui enfin, on passe à un niveau au-dessus en inscrivant ces pratiques dans le marbre de la loi et en les élargissant considérablement. Des “pratiques” de surveillance sous le manteau, ce n’est déjà pas joli, mais les institutionnaliser, ce n’est plus tout à fait la même histoire.



Certains diront : “Ce que la loi a fait, elle peut le défaire”. En théorie oui. Mais dans ce cas précis, le retour en arrière (s’il est ne serait-ce qu’évoqué, ce qui est déjà un 1er obstacle) sera très très compliqué, c’est bien là l’un des soucis principaux.



WereWindle
Le 29/08/2017 à 11h 08







mikeul a écrit :



Oui enfin, on passe à un niveau au-dessus en inscrivant ces pratiques dans le marbre de la loi et en les élargissant considérablement. Des “pratiques” de surveillance sous le manteau, ce n’est déjà pas joli, mais les institutionnaliser, ce n’est plus tout à fait la même histoire.



Certains diront : “Ce que la loi a fait, elle peut le défaire”. En théorie oui. Mais dans ce cas précis, le retour en arrière (s’il est ne serait-ce qu’évoqué, ce qui est déjà un 1er obstacle) sera très très compliqué, c’est bien là l’un des soucis principaux.





les US ont fait ça en 2001 et les pratiques en elles-mêmes ont très probablement cours depuis que les nations existent…

Tu préférais quand ils faisaient cela en lousedé sans aucun contrôle ? (dûsse-t-il être faiblard voire factice)



Les deux approches se valent en fin de compte… tu peux dire “ils n’en ont même plus honte” comme tu peux dire “on a des infos même parcellaires sur ces pratiques et c’est déjà plus de transparence”, ça revient au même : à la fin les services de renseignement collectent des infos plus ou moins au bulldozer, plus ou moins sous contrôle d’une autorité et plus ou moins sur tout le monde.



Je ne dis pas que c’est bien ou mal, je dis qu’à la fin le résultat est peu ou prou le même…



127.0.0.1
Le 29/08/2017 à 11h 24



Au fil de notre échange, la CNCTR nous a révélé en effet que « des traitements sont déjà effectués sur les données internationales ».





ça alors, les services de renseignement collectent des données à l’international. Amazing !!



Restez avec nous… Bientôt des révélations fracassantes de Charly et Lulu sur la stupéfiante interaction intermoléculaire d’un liquide bien connu.


MarcRees Abonné
Le 29/08/2017 à 11h 55







127.0.0.1 a écrit :



ça alors, les services de renseignement collectent des données à l’international. Amazing !!



Restez avec nous… Bientôt des révélations fracassantes de Charly et Lulu sur la stupéfiante interaction intermoléculaire d’un liquide bien connu.





Dans le cadre de la disposition citée. Troller c’est bien parfois, lire l’actu entièrement aussi.&nbsp;



2show7
Le 29/08/2017 à 12h 06







127.0.0.1 a écrit :



ça alors, les services de renseignement collectent des données à l’international. Amazing !!



Restez avec nous… Bientôt des révélations fracassantes de Charly et Lulu sur la stupéfiante interaction intermoléculaire d’un liquide bien connu.







Il y a des cocktails sur liste noire, ne pas l’oublier <img data-src=" />



127.0.0.1
Le 29/08/2017 à 12h 06







MarcRees a écrit :



Dans le cadre de la disposition citée. Troller c’est bien parfois, lire l’actu entièrement aussi.







Si j’en crois le titre, le chapô, les sous-titres, les paragraphe et la conclusion, le point important de cette actualité c’est la collecte des données à l’internationale.



Si ce n’est pas le cas, alors faut ré-écrire l’article. <img data-src=" />



2show7
Le 29/08/2017 à 12h 18







MarcRees a écrit :



Dans le cadre de la disposition citée. Troller c’est bien parfois, lire l’actu entièrement aussi.





Il n’a pas été dit que des données ont été collectées, mais pas encore utilisée pour l’instant ?



2show7
Le 29/08/2017 à 12h 30

Suite, (un problème est survenu, pas moyen d’éditer)



je pensais le contraire. Mais plus réticent sur les données publiques (face à la CJUE )


carbier Abonné
Le 29/08/2017 à 12h 35

Faux: institutionnaliser c’est aussi et surtout rendre publique certaines pratiques.



Cela permet aux bisounours ou tout simplement aux internautes un peu trop “naif” de voir à quel point Internet n’est en rien une zone sécurisée et que donc comme pour la vie de tous les jours, si on tient à garder sa vie privée, on prend des précautions et on ne “balance” pas tout sur Internet même (par exemple) via des messageries dites “privées”



Hint: si ce ne sont pas des Etats, cela peut aussi être des sociétés privées qui “aspirent” tout un tas de données.


2show7
Le 29/08/2017 à 12h 43







carbier a écrit :



Faux: institutionnaliser c’est aussi et surtout rendre publique certaines pratiques.



Cela permet aux bisounours ou tout simplement aux internautes un peu trop “naif” de voir à quel point Internet n’est en rien une zone sécurisée et que donc comme pour la vie de tous les jours, si on tient à garder sa vie privée, on prend des précautions et on ne “balance” pas tout sur Internet même (par exemple) via des messageries dites “privées”



Hint: si ce ne sont pas des Etats, cela peut aussi être des sociétés privées qui “aspirent” tout un tas de données.







Plus facile à dire qu’à faire.



Tous les services t’obligent à te connecter aujourd’hui ou demain. Même les banques veulent fermer leurs guichets et te servir de ton smartphone ou PC (dont je n’ai aucune confiance)



Quitte à devoir changer de banque et aller à un guichet de la banque de la Poste



Ayak973
Le 29/08/2017 à 13h 03







2show7 a écrit :



Quitte à devoir changer de banque et aller à un guichet de la banque de la Poste





La Poste, carrément ! Comme dirait l’autre: “Wow, that escalated quickly !” <img data-src=" />

&nbsp;De toute façon, avec la lente disparition du liquide et l’avènement du paiement par NFC/internet, les guichets vont petit à petit disparaître…



2show7
Le 29/08/2017 à 13h 21







Ayak973 a écrit :



La Poste, carrément ! Comme dirait l’autre: “Wow, that escalated quickly !” <img data-src=" />

 De toute façon, avec la lente disparition du liquide et l’avènement du paiement par NFC/internet, les guichets vont petit à petit disparaître…







Et madame Pipi tu vas sortir ta carte bleu <img data-src=" />

<img data-src=" />



Pheem5Oo
Le 29/08/2017 à 13h 23

En écoutant Cazeneuve à l’époque, on comprenait, entre les lignes, qu’avec ses boites noires il voulait entre autres faire de la dé-anonymisation des réseaux comme tor en utilisant des attaques par corrélation. Ça semble peu probable qu’ils aient une vision suffisante sur les points d’entrée et de sorties sur le réseau tor juste avec des sondes aux frontières, mais je ne sais pas. Avec des sondes nationales directement chez les FAI et chez le plus gros hébergeur européen (ovh) ça devient easy sur une partie du traffic (si il part du fai et sort chez ovh). C’est moins clair pour moi à quel point les sondes sur le trafic internationale aident pour ce type d’attaque. Ça dépends au moins de quelle partie du trafic est effectivement analysé, et des routes utilisés par le client tor (ou autre réseau du même type).


zip
Le 29/08/2017 à 14h 19

[hors sujet]

&nbsp;En Islande tu peux déjà payer les “madames pipi” par CB.

Les pays du nord sont bien plus avancés que nous dans le paiement sans liquide.

[/hors sujet]


WereWindle
Le 29/08/2017 à 14h 27

normal : pays du nord donc plus froids.

Le liquide gèle et nique les poches et portefeuilles <img data-src=" />



voilà, voilà…


lateo
Le 29/08/2017 à 17h 38

@Marc

« Les boites noires, ces outils destinées à détecter une menace terroriste, ne sont toujours pas activées en France. »

Qui le dit ?


kevinz
Le 30/08/2017 à 00h 39

« des traitements sont déjà effectués sur les données internationales »

Lol.

Et comme tout le monde le sait, quand j’envoie un e-mail, avec mon compte gmail, de Paris a Marseille, aucune donnee de ma correspondance ne quitte le territoire francais&nbsp;<img data-src=" />



Ca me fait un peu penser a la Nouvelle Zelande et leurs politiciens qui sont tous fiers d’annoncer que:

“aucune donnee des residents et citoyens NZ n’est collecte par les services de renseignements NZ sans decision de justice”

&nbsp;

Oui, c’est super, ce sont les renseignements UK qui collectent les donnees du territoire NZ et qui les partagent ensuite avec le reste des pays du 5 Eyes, dont la NZ est membre.



Ils nous prennent vraiment pour des prunes&nbsp;<img data-src=" />


loser Abonné
Le 30/08/2017 à 10h 38

Très bonne remarque <img data-src=" />


vizir67 Abonné
Le 30/08/2017 à 12h 59

c’est simple, maintenant, AUCUNS futurs Présidents ne prendront “le risque” de revenir en AR. !!! <img data-src=" />




  • imagine : après cela…………….il se produit un attentat= “mal, la réélection” !


ungars
Le 30/08/2017 à 19h 01

On n’est pas en Chine, tout de même !

Vous parlez de ceci sans doute :

https://www.nextinpact.com/news/105037-identite-reelle-chine-resserre-son-etau-s…


ungars
Le 30/08/2017 à 19h 05

Quand on voit tous les attentats de ces dernières semaines en France ou ailleurs en Europe, leurs boites noires me font bien rigoler. Les réseaux de trafic d’enfants vers le Moyen-Orient via l’Allemagne sont tranquilles eux.


mikeul Abonné
Le 01/09/2017 à 14h 47







WereWindle a écrit :



les US ont fait ça en 2001 et les pratiques en elles-mêmes ont très probablement cours depuis que les nations existent…

Tu préférais quand ils faisaient cela en lousedé sans aucun contrôle ? (dûsse-t-il être faiblard voire factice)



Les deux approches se valent en fin de compte… tu peux dire “ils n’en ont même plus honte” comme tu peux dire “on a des infos même parcellaires sur ces pratiques et c’est déjà plus de transparence”, ça revient au même : à la fin les services de renseignement collectent des infos plus ou moins au bulldozer, plus ou moins sous contrôle d’une autorité et plus ou moins sur tout le monde.



Je ne dis pas que c’est bien ou mal, je dis qu’à la fin le résultat est peu ou prou le même…





Pas d’accord à plusieurs niveaux :




  1. Je n’ai jamais dit que je préférais les pratiques sous le manteau (relire mon message)



  2. non, ce n’est pas “peu ou prou le même résultat”. Je le dis dans mon message, mais pour le dire autrement, l’objectif actuel n’est pas seulement de mettre plus de transparence sur des pratiques existantes (ça, c’est le discours marketing)






  • &nbsp;Il s’agit d’abord de légaliser ces pratiques, ce qui oblige de facto à mettre un peu de transparence (c’est une conséquence inévitable d’un passage par la loi) pour les rendre plus facilement utilisables et mobilisables (et donc moins contestables par le juge aussi)

  • ensuite d’élargir largement les possibilités de surveillance et donc les moyens

  • Enfin de diminuer les possibilités de contestation/contrôle (par une autorité, le juge, le droit, etc.), en laissant l’arbitraire de l’administration (donc l’exécutif) sans contrepouvoir.



    Ce sont ces 2 derniers points qui changent considérablement la donne et qui font que non, on ne peut pas dire que le résultat des lois mises en place depuis plusieurs années (la nouvelle n’étant que la n-ième) est équivalent à ce qui se faisait sous le manteau avant.



    Encore une fois, les lois dont il est question, surtout la dernière à venir, ont un contenu qui ne porte pas que sur les mesures techniques mais aussi et surtout sur l’articulation avec les contrôles (en amont, a posteriori), les voies de recours, l’intervention des juges. Ce n’est plus seulement un sujet technique mais aussi de droit et de libertés civiles. C’est typiquement par ce genre de projet qu’on ébranle l’équilibre des pouvoirs (ce que certains appellent la séparation des pouvoirs), en donnant des pouvoirs trop importants à l’un d’entre eux (le pouvoir exécutif) au détriment des autres, qui ne peuvent plus contrôle ou empêcher. Le glissement autoritaire commence déjà par là.



Vin Diesel Abonné
Le 02/09/2017 à 02h 18

A-t-on une idée, même approximative, du volume de données en Po que cela pourrait représenter ?



Paske, si mes souvenirs son exact, un seul tir du CERN atteint déjà quelques Po&nbsp;&nbsp; …&nbsp;&nbsp; Et j’ai la flemme de chercher sur NxI qui en a parlé.

<img data-src=" />