Renseignement : pérenniser la surveillance algorithmique pour l’étendre aux URL

Renseignement : pérenniser la surveillance algorithmique pour l’étendre aux URL

Une pierre, deux coups

Avatar de l'auteur
Marc Rees

Publié dans

Droit

17/05/2021 8 minutes
8

Renseignement : pérenniser la surveillance algorithmique pour l’étendre aux URL

Le gouvernement a déposé à l’Assemblée nationale la rustine du projet de loi Renseignement, lui-même tout juste enregistré. Cette « lettre rectificative » vient notamment pérenniser les algorithmes dans le paysage de la surveillance par les services du renseignement. Le Conseil d’État, la CNIL et la CNCTR ont rendu leur avis sur le sujet.

Déposé le 12 mai à l’Assemblée nationale, ce patch complète le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement. Il a été rendu nécessaire par un arrêt du Conseil d’État intervenu le 21 avril dernier, bougeant les lignes de la régulation du renseignement en France. L’exécutif en a profité pour dépoussiérer plusieurs outils de la loi Renseignement de 2015.

Des algorithmes pérennisés

Déjà dévoilée par Next INpact dans l'une de ses premières versions, cette « lettre rectificative », dans le jargon, met fin à l’expérimentation des algorithmes censés détecter les graines de menaces terroristes, dans l’océan des données de connexion.

Ces données, qu’on oppose aux données de contenus, sont toutes celles qui encapsulent les échanges téléphoniques et électroniques. Un contenu suffisamment riche pour mettre la puce à l’oreille des services, lorsque des germes terroristes y sont décelés, suivant des modèles algorithmiques.

La fin de l’expérimentation ne signifie pas la fin des algorithmes. Au contraire, le gouvernement juge assez mûr le dispositif pour le pérenniser dans le paysage juridique, et en particulier dans le Code de la sécurité intérieure en son article L.851-3.

Pour justifier cette inscription dans la durée, le gouvernement avance plusieurs raisons : l’exécutif vante sa « pertinence opérationnelle », considérant que « cette capacité de détection ne pouvant être remplie par aucun des moyens traditionnels des services de renseignement ». 

Dans son avis rendu pour l’occasion, le Conseil d’État relève que « si l’étude d’impact contient des informations à caractère général sur le déroulement de l’expérimentation, elle comporte très peu d’indications sur la mesure de l’efficacité opérationnelle de la technique, couverte par le secret de la défense nationale ».

En somme, l’exécutif n’est pas très bavard sur l’opportunité et surtout l’efficacité de cette arme de détection. Tout ce que l’on sait est que le gouvernement a remis un rapport d’application à la Délégation parlementaire au Renseignement (DPR) le 30 juin 2020. Classé secret défense, il n'a pas été rendu public.

Et que dans son avis du 7 avril 2021, la Commission nationale de contrôle des techniques du renseignement indique avoir été elle aussi destinataire de ce document, pour confirmer que trois algorithmes sont mis en œuvre (chiffre qui n’a pas bougé notre actualité de 2019). La CNCTR se contente de relever que selon le gouvernement, les résultats sont pour l’instant « satisfaisants ».

Des outils pérennisés, URL comprises

L’exécutif profite de la pérennisation de ces outils pour surtout étendre leur portée au-delà des données de connexion. L’objectif ? Y intégrer les « adresses complètes de ressources utilisées sur internet ». 

Sans la moindre donnée chiffrée, le gouvernement juge « déterminant » que ces traitements automatisés « puissent également s’appliquer à ce type d’URL pour que soient détectées les consultations d’informations présentant un lien avéré avec les activités terroristes et, in fine, après autorisation, pour que soient identifiés les individus à l’origine de ces connexions ».

Cette extension aux URL a fait l’objet de développements spécifiques dans les avis produits par la CNCTR, le Conseil d’État et la CNIL. « L’extension des données traitées par les algorithmes – qui jusqu’ici ne concernaient que les données de trafic et de connexion de téléphonie – aux adresses complètes Internet ouvre donc un champ nouveau d’investigation potentiellement attentatoire à la protection de la vie privée et des données personnelles » relève l’opinion de la juridiction administrative.

Puisqu’il est toujours important de bien nommer les choses, la CNIL considère pour sa part que l’expression n’est pas tout à fait identique à celle d’URL. « En effet, si le mécanisme des URL peut servir à désigner des ressources stockées sur un serveur, de nombreux services l’utilisent également pour transmettre des informations à un serveur ou pour conserver des éléments relatifs à la session en cours. C’est par exemple le cas des paramètres des requêtes "query strings" et des informations des formulaires HTML remplis par les usagers, ces données étant agrégées à la fin des URL et transmises avec elles ».

La CNCTR indique toutefois que la notion d’URL n’a pas aujourd’hui de définition juridique. « La locution utilisée par le gouvernement dans le projet de loi pour la désigner ne semble donc pas avoir de précédent ».

La CNIL ajoute encore et surtout qu’une « URL n’est pas lisible en clair par l’opérateur dès lors que la transmission de données concernée est chiffrée entre le terminal de l’utilisateur et les serveurs concernés ». Suite à ses échanges avec le gouvernement, elle « prend acte que la collecte auprès des opérateurs vise uniquement les URL non chiffrées, le déchiffrement n’étant à ce stade pas envisagé par les services de renseignement ».

Une épine dans le pied

CNIL comme Conseil d’État rappellent l’existence d’une épine dans le pied de cette surveillance en marche : la décision du Conseil constitutionnel du 23 juillet 2015, où les neuf Sages avaient avalisé les algorithmes en tenant compte de l’impossibilité de traiter dans leur estomac « le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ».

Alpaguer les adresses, n’est-ce pas prendre connaissance des « informations consultées » ? Que dira le Conseil constitutionnel de cette extension, s’il est saisi a priori ou lors d’une question prioritaire de constitutionnalité ?

Très prudente, la Commission nationale de l'informatique et des libertés ne veut pas se prononcer sur la proportionnalité de l’atteinte à la vie privée, consécutive à cette extension. Elle préfère recommander d’expérimenter cette extension, et ce, « avant de l’étendre définitivement à ces nouvelles catégories de données ».

« Cette expérimentation pourrait permettre, plus généralement, d’évaluer finement l’utilité de cette technique de renseignement pour toutes les données de connexion liées à l’usage d’internet puisque, selon la compréhension de la Commission, les seuls algorithmes utilisés jusqu’ici l’ont été pour des données de connexion téléphoniques ». 

Le Conseil d’État estime pourtant de son côté que « l’ajout d’éléments relatifs au contenu des informations consultées dans le champ des données faisant l’objet de traitements automatisés à grande échelle, même sans possibilité d’identifier les personnes concernées, appelle un contrôle de proportionnalité exigeant entre les atteintes portées aux libertés d’une part et la protection des intérêts fondamentaux de la Nation de l’autre ».

Il demande, non le lancement d’une nouvelle expérimentation, mais « qu’un bilan de l’application de cette technique incluant l’analyse automatisée des URL soit remis par le Gouvernement au Parlement dans un délai de trois ans ».

Aucune de ces pistes n’a été retenue dans le projet de loi déposé à l’Assemblée nationale. Un appel du pied pour les députés à l’origine des futurs amendements ?

Remarquons pour finir que l’intérêt pour les URL ne concerne pas seulement l’appétit des algorithmes de surveillance. Comme révélé par Next INpact, l’extension concerne également l’outil de surveillance en temps réel des personnes préalablement identifiées « comme étant susceptibles d’être en lien avec une menace terroriste », mais également leur entourage. Un outil prévu à l’article 851-2 du Code de la sécurité intérieure, introduit lui aussi par la loi de 2015 sur le Renseignement.

8

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des algorithmes pérennisés

Des outils pérennisés, URL comprises

Une épine dans le pied

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (8)


Une chose que je comprends pas.



Lors de la conection à un service protégé en SSL , l’URL n’est pas visible simplement en regardant le trafic - au mieux avec SNI on trouve le nom DNS où la personne veux se connecter.



“Espionner les URL” reviens donc à déchiffrer le SSL.
Si c’est faisable, ça implique qu’ils ont accès à des technologies qu’ils ne devraient pas avoir : “Root certificate leaké, déchiffrement / rechiffrement à la volée genre bluecoat , impliquant donc soit des partenariat “secrets” avec les fournisseurs de certificats (y compris letsencrypt) soit des partenariat pour inclure leurs propre certif en amont, coté supplychain.



Voyez vous une autre méthode ?



En tous cas si c’est le cas c’est inquiétant et requiert une remise à plat de l’infra de certification


Suffit de lire l’article ;)




La CNIL ajoute encore et surtout qu’une « URL n’est pas lisible en clair par l’opérateur dès lors que la transmission de données concernée est chiffrée entre le terminal de l’utilisateur et les serveurs concernés ». Suite à ses échanges avec le gouvernement, elle « prend acte que la collecte auprès des opérateurs vise uniquement les URL non chiffrées, le déchiffrement n’étant à ce stade pas envisagé par les services de renseignement ».



Cqoicebordel

Suffit de lire l’article ;)




La CNIL ajoute encore et surtout qu’une « URL n’est pas lisible en clair par l’opérateur dès lors que la transmission de données concernée est chiffrée entre le terminal de l’utilisateur et les serveurs concernés ». Suite à ses échanges avec le gouvernement, elle « prend acte que la collecte auprès des opérateurs vise uniquement les URL non chiffrées, le déchiffrement n’étant à ce stade pas envisagé par les services de renseignement ».



La collecte d’URL chiffrée peut provenir d’une consultation directe par les services qui s’auto-analysent donc.
C’est ainsi qu’en croisant la signature technique d’un site public dont toutes les URL sont accessibles avec l’analyse des signatures techniques des internautes on peut chercher des corrélations…



C’est du décryptage (et non du déchiffrement) par l’aide d’un gros dico. Internet archive bis quoi…


La méthode simple c’est de peser les paquets de poissons et de comparer le poids de la sardine (le flot IP de untel) avec le poids du thon déjà pêché (le flot IP de tel site pour tel type de machine).
Si ta sardine pèse comme le thon alors le Ric(h)ard pique moince et tu peux donner un pourcentage de plausibilité a l’inférence : sardine = thon.



Renouveler la pêche ou agrandir le filet.



Etc..


Je sens qu’il va être temps de faire chauffer Tor… Ça tombe bien il y a un plugin installé par défaut pour ça dans Brave…


En gros, si tu veux être tranquille sur internet en 2O2|, il suffit de ne jamais cliquer sur un lien.


De là à ce que les vilains malfaisants en reviennent au bon vieux courrier papier écrit à l’encre sympathique qui passera sous les radars IT…



Cqoicebordel a dit:


Suffit de lire l’article ;)




Oui mais du coup ca sert pas à grand chose, si ? Ils veulent chopper du SNMP ?




(quote:1873956:Idiogène)
La méthode simple c’est de peser les paquets de poissons et de comparer le poids de la sardine (le flot IP de untel) avec le poids du thon déjà pêché (le flot IP de tel site pour tel type de machine). Si ta sardine pèse comme le thon alors le Ric(h)ard pique moince et tu peux donner un pourcentage de plausibilité a l’inférence : sardine = thon.




Pour éviter cela il faudrait que tous les paquets sortent avec le même poids… ca reste facile à faire.