« Boites noires » : les services de renseignement n’ont pas encore demandé à surveiller les URL

Les récentes passes d'armes parlementaires au sujet des pouvoirs de contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR) sont d'autant plus intrigantes que son dernier rapport révèle que plusieurs des techniques de renseignement légalisées en 2021 par ce même Parlement n'ont toujours pas été mises en œuvre par les services de renseignement.

La commission mixte paritaire a supprimé « in extremis », rapporte Intelligence Online (IO), un article rajouté dans le projet de loi de programmation militaire (LPM) 2024-2030 visant à étendre les pouvoirs de contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en matière de captation sonore ou vidéo et de recueil de données informatiques des services de renseignement : 

« L'article de loi, porté par le sénateur socialiste Yannick Vaugrenard, membre de la Délégation parlementaire au renseignement (DPR) et du collège de la CNCTR depuis 2020, avait été validé par la commission des affaires étrangères, de la défense et des forces armées du Sénat. »

Yannick Vaugrenard avait en effet expliqué lors de la commission mixte paritaire que « l’efficacité des écoutes traditionnelles, qui constituait le cœur du système de surveillance, se heurte au développement des messageries chiffrées » : 

« Dans les trois dernières années, les écoutes ont diminué de 0,7 % et les services privilégient trois autres techniques plus intrusives qui ont bondi de 45 % à 157 % – la captation de paroles prononcées à titre privé ; la captation d’images dans un lieu privé ainsi que la captation et le recueil de données informatiques. »

IO rappelle que les éléments ainsi collectés par la DGSE et la DGSI « demeurent stockés au sein de ces services, obligeant les agents de la CNCTR, déjà débordés, à s'y déplacer pour exercer un contrôle a posteriori » : 

« L'article premièrement adopté par le Sénat prévoyait donc, comme pour les écoutes, un dispositif autorisant "un accès direct et immédiat" de la CNCTR à ces captations à partir de 2025 et un contrôle a posteriori confié au GIC. »

Les contrôles ont une vertu pédagogique pour les agents du renseignement

Mais d'après IO, « la direction de la DGSE s'est activée pour que la mesure disparaisse de la loi de programmation militaire » :

« Bernard Emié, le directeur général du service de renseignement extérieur, a en particulier insisté à plusieurs reprises, notamment par téléphone, auprès du sénateur Christian Cambon, président de la commission des affaires étrangères, de la défense et des forces armées de la chambre haute, pour que l'article soit abandonné. Ce qui a été fait. »

L'article 22 quater en question, ajouté par amendement adopté au Sénat, prévoyait que « la Commission nationale de contrôle des techniques de renseignement (CNCTR) dispose d’un accès permanent, complet et direct et immédiat aux renseignements collectés » par les services de renseignement dans le cadre de la mise en œuvre de trois techniques de renseignement :

1. la captation de paroles prononcées à titre privé (article L. 853-1 du code de la sécurité intérieure) ;
2. la captation d’images dans un lieu privé (article L. 853-1 du code de la sécurité intérieure) ;
3. le recueil ou la captation de données informatiques (article L. 853-2 du code de la sécurité intérieure).

En réaction, le gouvernement avait de son coté déposé un amendement visant à le supprimer, « pour plusieurs raisons ».

« De principe tout d’abord », à mesure qu'il permettrait à la CNCTR de bénéficier, pour les trois techniques précitées, « d’un accès à distance aux données collectées par les services [...] depuis ses locaux, et non plus au sein des services de renseignement ».

« De méthode et d’efficacité ensuite », d’une part parce que la CNCTR « n’aurait accès à aucune information supplémentaire », d’autre part parce que le Gouvernement « demeure attaché aux contrôles sur place », qui « répondent à un besoin d'accompagnement et de contextualisation des motifs pour lesquels les renseignements contrôlés ont été recueillis et exploités » :

« L'interprétation des résultats se fait de façon collégiale avec les agents des services. L’accès à distance priverait la CNCTR d’explications directes, pourrait induire la multiplication d’échanges ultérieurs et accentuer fortement la charge administrative que font peser ces contrôles sur les agents des services. En outre, ces contrôles ont une vertu pédagogique pour les agents des services car ils sont l'occasion, pour la Commission, d'expliquer sa doctrine ainsi que ses attentes, et de contribuer à la bonne application du cadre légal. »

Le gouvernement évoquait également des raisons « d'ordre opérationnel et technique », eu égard aux « travaux et ressources à allouer », qui « soulèvent des difficultés techniques et opérationnelles importantes qui ne sauraient être prises à la légère ».

Il soulignait, enfin, des problèmes d'agenda, au motif que « ces évolutions ne sont, en tout état de cause, pas envisageables dans un futur proche alors que le Gouvernement demande à l’ensemble des services, et particulièrement à leurs directions techniques, d’être pleinement mobilisés pour assurer le bon déroulement des Jeux olympiques et paralympiques ».

Il soulignait par ailleurs les « nombreuses améliorations des contrôles sur place, actions saluées par la CNCTR : formations des chargés de mission de la CNCTR aux outils techniques, mise en place de pré-contrôles... », et appelait à « dresser un bilan de ces actions, parallèlement à celui que le Gouvernement devra présenter au Parlement avant la fin de l’année 2024 sur la mise en œuvre de certaines dispositions expérimentales de la loi relative au renseignement ».

Un recul de 15 % des demandes de surveillance des communications internationales

Le dernier rapport de la CNCTR, dont les comptes-rendus s'étaient principalement focalisés sur sa résistance aux désidératas du ministère de l'Intérieur de pouvoir surveiller des écologistes « radicaux », comportait plusieurs « signaux faibles » particulièrement éclairants, eu égard à ce que peuvent faire et font (ou pas) les services de renseignement.

• Le gendarme des écoutes soucieux de la surveillance des militants radicaux
• La CNCTR et Matignon résisteraient aux demandes de techniques de renseignement visant les écolos

La CNCTR y relève par exemple avoir rendu 3 715 avis sur des demandes tendant à l’exploitation de communications internationales interceptées en 2022, contre 4 374 en 2021, « soit un recul de 15 % » Et ce, alors que sur les 121 contrôles sur pièces et sur place réalisés en 2022, tous services confondus, « 30 ont été consacrés à la surveillance des communications électroniques internationales, contre un peu plus d’une vingtaine en 2021 ».

• 87 588 techniques de renseignement, 22 958 personnes surveillées
• Comment s'organise le contrôle des techniques de renseignement
• Les irrégularités constatées par la CNCTR

Trois des quatre boites noires sont cantonnées aux seules métadonnées téléphoniques

Le compte-rendu de la mise en œuvre des « innovations » de la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (dite loi « PATR ») est encore plus instructive, à mesure qu'elle rélève que plusieurs des nouveaux pouvoirs de surveillance et techniques de renseignement, validés par le Parlement, n'ont toujours pas été mis en œuvre.

La CNCTR rappelle que ces « innovations » visaient à « apporter les ajustements nécessaires pour que les services de renseignement continuent de disposer de moyens d’action adéquats et proportionnés face aux menaces persistantes qui pèsent sur les intérêts fondamentaux de la Nation ».

Il en allait par exemple du « recueil en temps réel des adresses complètes de ressources utilisées sur internet, plus communément dénommées "URL" », un vecteur de surveillance qui nous avait alors laissé d'autant plus dubitatif qu'avec la généralisation du HTTPS, seuls les noms de domaine peuvent être surveillés, les adresses à droite des noms de domaine étant quant à eux chiffrés.

• Renseignement : pérenniser la surveillance algorithmique pour l’étendre aux URL
• À quoi pourrait servir une surveillance des URL ?
• Surveillance des URL : 25 ETP, 20 M€ d'achats, 4 M€ de frais annuels
• L'astuce qui permet à l'anti-terrorisme de consulter des centaines de messageries chiffrées
• Renseignement : trois boîtes noires, moins de 10 personnes à risque identifiées en France

La commission relève en tout état de cause qu'elle « n’a pour l’heure été saisie d’aucun projet de traitement algorithmique utilisant la faculté ouverte par ces nouvelles dispositions, ni d’aucune modification de l’un des quatre algorithmes en fonctionnement à la date de leur entrée en vigueur ».

Pour rappel, lesdites « boites noires » avaient été initialement accusées, à l'occasion de l'adoption de la Loi Renseignement en 2015 (qui avait elle-même fait l'objet d'une « opposition massive »), mais également lors de celle de la loi « PATR » en 2021, de pouvoir mettre en place une « surveillance de masse des citoyens » via l' « interception de l'ensemble des données de tous les citoyens français en temps réel sur Internet, dans le but de faire tourner dessus des outils de détection des comportements "suspects" ».

Or, les trois premiers algorithmes autorisés ne surveillent que les seules métadonnées téléphoniques, et la quatrième ne surveille donc toujours pas les URL.

Et ce, alors que la direction technique de la DGSE avait demandé, en vain, à pouvoir allonger la durée de surveillance des URL, élargir le champ d'application de sa surveillance algorithmique, aujourd'hui centrée sur le seul terrorisme, « à l'espionnage ou à la détection de cyberattaques », mais également pouvoir transmettre les données collectées de la sorte à d'autres services de renseignement.

La surveillance des URL n'a pas non plus été activée en temps réel

Cette extension aux URL du champ des données traitées concernait également le « recueil en temps réel des données de connexion relatives à une personne identifiée comme susceptible d’être en lien avec une menace terroriste » autorisé depuis 2015 par l'article L.851-2 du code de la sécurité intérieure, introduit par la Loi Renseignement.

Or, et bien qu' « effective depuis le mois d’octobre 2021 [...] la CNCTR ne dispose pas d’informations lui permettant de porter une appréciation qualitative sur les données désormais recueillies ».

Elle observe même et « une légère diminution du recours à cette technique de recueil en temps réel depuis deux années consécutives ».

Elle précise en outre n’avoir pour l’heure été saisie d’aucun projet de recherche et développement, non plus que d’aucune demande d’autorisation d’interception des correspondances émises ou reçues par la voie satellitaire.

Un certain nombre d’irrégularités réalisées en méconnaissance de la loi

Évoquant la technique dite de l’« algorithme », qui avait à l'époque de l'adoption de la Loi Renseignement fait polémique sous l'épithète de « boîtes noires », la CNCTR rappelle que la loi « PATR » a prévu « un nouveau rendez-vous devant le Parlement sur la base d’un rapport d’application adressé par le Gouvernement au plus tard le 31 juillet 2024 ».

Dans son rapport, la CNCTR déplorait par ailleurs « un certain nombre d’irrégularités ont concerné des exploitations de données réalisées en méconnaissance de la loi », dont « plusieurs cas dans lesquels une exploitation de données se rapportait à des cibles expressément exclues par l’autorisation délivrée par le Premier ministre », irrégularités qualifiées par la Commission de « très sérieuses ».

Elle a par ailleurs constaté, « à deux reprises en 2022 », des transcriptions de communications utilisant un identifiant technique rattachable au territoire national réalisées au titre d’une finalité légale non autorisée.

La surveillance des communications électroniques internationales, rappelle la CNCTR, ne peuvent en effet porter, de manière individuelle, sur les communications de personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, comme un numéro de téléphone commençant par l’indicatif + 33 ou une adresse de messagerie utilisée par une personne résidant en France.

Peuvent cela dit être autorisées, et « alors même qu’elles communiquent depuis la France », les télécommunications de personnes représentant « certaines menaces présentant un caractère transnational et pour un nombre limité de finalités, telles que la défense nationale, la contre-ingérence, la prévention du terrorisme, la prévention de la criminalité et de la délinquance organisées ainsi que la lutte contre la prolifération d’armes de destruction massive ».

Or, relève la CNCTR, les éléments transcrits et conservés dans ce cadre « se rattachaient à une finalité de renseignement économique, non prévue par la loi ».

La CNCTR n'est composée que de 18 agents seulement

La CNCTR rappelle que sur les neuf membres que compte le collège de la commission (dont deux sénateurs et deux députés), ils ne sont que trois seulement à exercer leurs fonctions à temps plein : son président, le conseiller honoraire à la Cour de cassation et la personnalité qualifiée.

Et ce, alors qu'ils doivent se réunir trois fois par semaine, pour un total de « plus de 130 séances par an, auxquelles s’ajoutent les fréquentes réunions, présentations et auditions organisées dans les locaux de la commission afin d’éclairer le collège sur des sujets d’ordre technique ou juridique. »

Le collège s’appuie pour cela sur une équipe ne comptant, au 31 décembre 2022, que 18 agents seulement : une secrétaire générale, un conseiller placé auprès du président, 12 chargés de mission et 4 agents affectés aux fonctions de soutien (une responsable des questions budgétaires et de ressources humaines chargée d’encadrer le pôle du secrétariat, deux assistantes de direction et un conducteur investi par ailleurs des fonctions d’officier de sécurité adjoint).

La loi de finances initiale pour 2022 lui a attribué des montants d’ « un peu plus de 2,6 millions d’euros pour ses dépenses de personnel et de 365 000 euros pour ses dépenses de fonctionnement », tous « presque entièrement consommés ».

Elle souligne en outre que l’élargissement des missions confiées depuis sa création en 2015, couplé à l’accroissement de l’activité des services de renseignement, l'a conduit à solliciter en 2022 une augmentation de ses effectifs, afin notamment de renforcer la compétence technique de son équipe de chargés de mission.

Cette demande, « soutenue par le Gouvernement et accueillie par le Parlement », lui a permis de bénéficier de 6 postes supplémentaires répartis entre 2022 et 2024 (+1 en 2022 ; +3 en 2023 ; +2 en 2024), et son plafond d’emplois devrait dès lors passer de 23 à 24,5 ETPT.