Le rapport annuel du Secrétariat général de la défense et de la sécurité nationale (SGDSN) lève (un peu) le voile autour du mystérieux Groupement interministériel de contrôle (GIC), l'organisme dépendant du Premier ministre en charge des « interceptions de sécurité » (du nom donné aux écoutes téléphoniques effectuées pour les services de renseignement) et autres techniques de renseignement.
Le rapport d'activité 2021 du SGDSN indique qu'au 31 décembre 2021, le GIC employait 258 agents (contre 235 fin 2020, et 132 en 2015) :
« Alors qu’il a connu des mouvements de personnels importants en 2021 (24 %) et procédé à près d’une cinquantaine de recrutements, l’atteinte de la cible des effectifs demeure une préoccupation permanente pour assurer la plénitude des missions. Les compétences recherchées relèvent principalement du domaine de l’informatique, des réseaux, des télécoms et de la cybersécurité. »
L'organigramme du SGDSN précise que l'Opérateur des systèmes d’informations interministériels classifiés (OSIIC), créé en 2020, en employait de son côté 274, et l'ANSSI 573. Des chiffres qui éclairent un peu plus l'activité du GIC, les problématiques et enjeux auxquels il est confronté, que nous avions déjà commencé à décrypter à l'occasion de la publication du dernier rapport de la Commission nationale de contrôle des techniques de renseignement (CNCTR) :
- 87 588 techniques de renseignement, 22 958 personnes surveillées
- Comment s'organise le contrôle des techniques de renseignement
- Les irrégularités constatées par la CNCTR
Sur un marché de l'emploi très tendu, le SGDSN souligne que, « fait rare au sein de l’État, le GIC dispose d’équipes de développeurs au plus près du noyau Linux, des développeurs back, front ou fullstack d’applications métiers sur des technologies cloud-native (kubernetes, bus kafka, microservices, authentification SSO), ainsi que des data engineers et des data scientists compétents en technologies Big Data (Hadoop, Elastic Search...). »
Reste que « pour tous ces métiers en tension, le recrutement de nouveaux agents et leur fidélisation constituent la priorité du GIC en 2022 ». On se reportera également, à ce titre, aux articles que nous avions par ailleurs consacrés aux offres d'emploi des deux principaux services de renseignement français.
- Ce que révèlent les offres d'emploi de la DGSE
- Ce que révèlent les offres d'emploi de la DGSI
- La DGSE peine à recruter ses futurs maîtres espions en informatique
Une nouvelle « boîte noire », dédiée aux URLs
Le rapport de 40 pages du SGDSN n'y consacre que 2 au GIC. On y apprend notamment que son activité opérationnelle « s’est une nouvelle fois accrue en 2021 » :
« Elle a augmenté de 10 %. Chaque jour, le GIC a traité 350 demandes, a exercé son pouvoir de réquisition auprès des opérateurs ou fournisseurs de communications électroniques des milliers de fois et a validé 1 100 transcriptions. »
En matière de lutte contre le terrorisme, le GIC a en outre poursuivi la mise en œuvre des algorithmes (les fameuses « boîtes noires » de la loi renseignement de 2015), et « lancé en octobre les travaux pour étendre ces traitements aux données Internet, au terme d’un cadrage entamé dès l’été 2020 ».
Pour rappel, ces algorithmes, qui nous avaient été présentés par ses détracteurs comme susceptibles de permettre « une interception de l'ensemble des données de tous les citoyens français en temps réel sur Internet », étaient jusqu'à l'an passé limités au nombre de 3, et cantonnées aux seules métadonnées téléphoniques.
Ils avaient permis de générer 1 739 alertes en 2020 (nous ne disposons pas, à notre connaissance, de chiffres plus récents), entraînant autant de levées d’anonymat de personnes ayant ainsi été identifiées pour des « comportements suspects » à partir de l'analyse algorithmique de leurs métadonnées téléphoniques.
Un 4e algorithme a depuis été validé pour permettre de l'étendre à la surveillance des URLs, sans que l'on comprenne cela dit comment cela serait possible, les URLs étant très majoritairement chiffrées depuis que le trafic https s'est généralisé suite aux « révélations Snowden », ne permettant la surveillance que des seuls noms de domaine, et pas le reste des URLs.
Tout juste avions-nous appris que le GIC avait estimé que « ces évolutions nécessitent un renfort de 25 équivalents temps plein », et que « le coût d’adaptation de l’architecture technique est évalué à 20 millions d’euros pour l’achat et la mise en œuvre des dispositifs techniques et de 4 millions d’euros annuels pour leur maintien en condition opérationnelle. »
2 000 postes de travail, 6 000 comptes informatiques
Le GIC aurait également étendu l’exercice de ses réquisitions auprès de nouveaux interlocuteurs, tels que des hébergeurs, des opérateurs de communications par satellite et des opérateurs ultra-marins, ouvert un nouveau « centre d’exploitation des interceptions de sécurité », et entièrement déménagé et modernisé une autre de sa quarantaine de centres d’exploitation disséminés sur le territoire, « sans interruption d’activité ».
Au total, son système d'information serait « déployé sur près de 70 sites », entre la quarantaine d’emprises du GIC, à Paris, en métropole et outre-mer, et les unités qui y sont connectées depuis les QG des différents services habilités à mettre en œuvre des techniques de renseignement.
Le rapport 2019-2020 du SGDSN avançait que « 4 000 utilisateurs accèdent aux systèmes d’information protégés du GIC ». Le rapport 2021 évoque quant à lui « 2 000 postes de travail déployés, 6 000 comptes informatiques actifs », et 413 formations dispensées aux agents des services exploitants sur l’utilisation des applications du GIC.
Dans le domaine du renseignement, le GIC précise avoir procédé à « plusieurs coopérations techniques » avec les services de renseignement, « notamment sur l’affaire NSO Pegasus », ainsi que sur le traitement automatique du langage.
Le GIC ne se contente pas de mettre en œuvre et contrôler les techniques de renseignement : en parallèle de ses activités opérationnelles et techniques, il a ainsi adressé sept mémoires à la formation spécialisée du Conseil d’État chargé des contentieux en matière de techniques de renseignement, « qui a rendu en 2021 sept décisions favorables au Premier ministre ».
Il a en outre « largement contribué à l’élaboration du projet de loi PATR » du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, « puis à la mise en œuvre de la loi dès son entrée en vigueur ».
L'an passé, le GIC expliquait avoir consommé 29,1 M€ de crédits de paiement (CP), « hors fonds spéciaux ». Cette année, il précise avoir exécuté son budget 2021 à 98 % et, « en suivant les recommandations de la commission de vérification des fonds spéciaux », poursuivi la bascule sur fonds budgétaires de droit commun de dépenses autrefois effectuées en fonds spéciaux, et « restitué des fonds spéciaux au dernier trimestre ».
Le programme 129 de Coordination du travail gouvernemental du projet de loi de finances (PLF) 2021 précise que le GIC a bénéficié de 9,5 M€ de CP pour ses dépenses de fonctionnement, plus 7,4 M€ de CP de dépenses d’investissement, soit 16,9 M€.
Le PLF 2022 lui a octroyé 11,8 M€ de CP de dépenses de fonctionnement, plus 7 M€ de CP de dépenses d’investissement, soit 18,8 M€ (+11 %). L'an passé, le GIC précisait en outre se préparer à « adopter un fonctionnement nouveau, dans des conditions optimales », à mesure qu’une partie de ses agents occupera un nouveau site qui se substituera à la deuxième emprise parisienne du GIC en 2023. Le rapport 2021 n'en parle pas.
Whisky, Café, Thé, Icetea, Heineken, Vodka, Coca, etc.
L'an passé, lors d'une visite guidée, Libé avait narré une démonstration, faite « via une version fonctionnant sur des données fictives, de l’application qui extrait la substantifique moelle des métadonnées recueillies lors des écoutes » :
« Sur l’écran d’accueil s’affichent les pseudos des "objectifs" d’un même "exploitant" : "Orangina", "Get27", etc. Un clic sur un pseudo, et apparaît un tableau de bord de l’activité numérique de la cible : expéditeurs et destinataires des derniers appels, SMS et MMS reçus et émis, mais aussi correspondants les plus fréquemment contactés, sites web les plus consultés, protocoles de communication les plus utilisés. »
En 2015, lors d'une précédente visite guidée, L'Obs précisait en effet que « les agents ne travaillent pas sur le nom réel de la cible mais sur son pseudo. Pas de Jean Dupont mais "Ecureuil", par exemple ».
De fait, le rapport du SGDSN est illustré par une capture d'écran du tableau de bord et de synthèse de l'un des outils d'exploitation des communications électroniques (contenus et métadonnées) collectées par le GIC, dont on distingue le logo en haut à droite, accompagné d'une ribambelle de pseudos reposant sur des noms de boissons.
Nous n'avons pas, par contre, pu identifier à quoi correspond le rapace couleur or figurant en haut à gauche, sinon que le nom du logiciel (ou de son fournisseur, qui figure à sa droite), semble avoir été flouté.
La capture d'écran porterait sur les données allant du 1er mai 2022 au 8 juin... 2021 (signe qu'il s'agirait donc bel et bien de « données fictives »), « pour tous les dispositifs », laissant entendre que ce tableau de bord couvrirait tant les interceptions de sécurité que d'éventuelles autres techniques de renseignement (recueil et captation de données informatiques, recueils de données de connexion par IMSI catcher, géolocalisations, etc.).
En vert : les appels émis, en mauve, les appels reçus, regroupés par jours de la semaine, et tranches horaires. Étrangement, nulle mention de SMS, alors qu'il totaliserait une centaine d'appels téléphoniques par jour.
Alors que les réseaux sociaux arrivent en avant-dernière position (juste devant... la physique théorique) des centres d'intérêt de Whisky, le nom de code de la cible du GIC, le top des sites visités indique qu'il aurait cela dit consulté, pendant cette période, Facebook 388 fois (à égalité avec leboncoin.fr) et Twitter 262 fois, contre 277 pour iTunes, 123 pour Google, et 23 pour Tor.com, pour un total de 2 510 sites web visités.
On y voit en outre un « graphe de relation » et que Whisky serait directement en relation avec 4 individus (Café, Thé, Icetea et Heineken) et, par extension, via ses autres relations à n+1 ou n+x, 6 autres individus identifiés (Fanta, Coca-Cola, Rhum, Gin, Orangina et Vodka), plus deux téléphones dont les identifiants ont, eux, été floutés, potentiellement parce que leurs utilisateurs n'avaient pas encore été identifiés.
Une capture d'écran qui ne permet pas vraiment de prendre la mesure de ce que peut vraiment faire le GIC, ni comment, mais qui semble confirmer ce qu'avaient avancé L'Obs et Libé. C'est la deuxième année consécutive que le SGDSN communique de la sorte au sujet du GIC, ce qu'il n'avait semble-t-il jamais fait jusqu'alors.
