« Boîtes noires » : la délégation parlementaire au renseignement veut étendre la surveillance des URL

Le rapport annuel de la délégation parlementaire au renseignement propose d'étendre à la lutte contre les ingérences numériques étrangères la surveillance algorithmique des URL, introduite par la loi Renseignement de 2015 mais cantonnée jusqu'alors à la seule lutte contre le terrorisme.

La Délégation parlementaire au renseignement (DPR) vient de rendre public son rapport annuel. Il qualifie les ingérences étrangères en France de « menace protéiforme, omniprésente et durable » dont certaines puissances « profitent » du fait « d’une forme de naïveté et de déni qui a longtemps prévalu en Europe », et de « vulnérabilités persistantes » : 

« Les ingérences étrangères s’opèrent de façon de plus en plus décomplexée et concernent tous les secteurs d’activité, de la vie démocratique à la vie économique, du monde de la recherche aux espaces numériques. Elles prennent des formes multiples : opérations de désinformation, cyberattaques, espionnage, opportunités juridiques liées à l’extraterritorialité, corruption, trahison, etc. »

Un problème, rappelle la DPR, qu'avait déjà identifié le Livre blanc sur la défense et la sécurité nationale de 2008, qui soulignait que « les actions étrangères privilégieront les attaques informatiques. Dans d’autres cas, elles peuvent viser l’affaiblissement d’une entreprise ou une personne, par une désinformation générale propagée sur les médias et via Internet. Pourront aussi être visées par de telles actions les communautés françaises à l’étranger et les communautés étrangères en France ».

Cinq ans plus tard, le Livre blanc « sécurité et défense » de 2013 soulignait lui aussi la montée en puissance des nouveaux champs de confrontation, au premier rang desquels le cyber : 

« Le cyberespace est donc désormais un champ de confrontation à part entière. La possibilité, envisagée par le précédent Livre blanc, d’une attaque informatique majeure contre les systèmes d’information nationaux dans un scénario de guerre informatique constitue, pour la France et ses partenaires européens, une menace de première importance. »

La stratégie nationale du renseignement publiée en juillet 2019 relevait, de son côté, que « parmi les formes préoccupantes d’ingérences, notons l’acuité et la sophistication des actions de manipulation de l’information, tout particulièrement celles orchestrées par des puissances étrangères hostiles à nos intérêts ».

Une industrialisation des outils offensifs proposés sur étagère

Au-delà des formes classiques et traditionnelles (manœuvres d’approche des élites politiques et administratives, espionnage économique), la DPR relève que l’espace cyber est « devenu un vecteur majeur » d’ingérences étrangères. Le nombre de cyberattaques, causées par des acteurs hostiles, étatiques ou non, et visant à collecter des données, manipuler l’information ou saboter des infrastructures critiques, est « en progression sensible » ces dernières années :

« Les mondes physique et virtuel sont si étroitement liés qu’il est difficile de tracer une séparation nette entre les deux. La protection des informations ne concerne plus seulement les documents classifiés. On assiste à une forme d’arsenalisation des données à caractère personnel ou de la propriété intellectuelle, qui deviennent autant une cible qu’une arme dès lors qu’un acteur se les approprie. »

Cette « arsenalisation » s'explique aussi du fait qu'un nombre croissant d’États possède désormais la capacité de commanditer des actions de cyberespionnage « grâce à un ticket d’entrée devenu abordable », bénéficiant d’investissements conséquents et du développement d’un marché privé, avec des sociétés proposant des services de lutte informatique active :

« De plus, l’offre d’outils offensifs sur étagère, qu’ils soient proposés par des entreprises privées ou des groupes cybercriminels, se poursuit et contribue à la multiplication d’acteurs malveillants. »

• Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

La DPR observe ainsi une tendance globale à la « standardisation » des techniques, tactiques et procédures (TTP) des attaquants, parallèlement à l’ « industrialisation » des écosystèmes cyber-offensifs à partir desquels les opérations sont menées : 

« Il peut s’agir d’opérations entièrement cyber, qui mettent en œuvre un mode opératoire d’attaque cyber (MOA) qui, parce qu’il s’apparente à une boite à outils, est difficilement attribuable à ses opérateurs et à leurs commanditaires sans une investigation approfondie en renseignement. »

Une extension des « boîtes noires » aux ingérences étrangères

La DPR note à ce titre que, parmi les autres documents transmis à la DPR au cours de l’année écoulée, figurent notamment une note classifiée du directeur de cabinet de la Première ministre datée du 6 janvier 2023, relative aux modalités d’extension aux URL de la technique de renseignement dite de « l’algorithme ». Un sujet auquel nous avons consacré plusieurs articles, à mesure qu'avec la généralisation du HTTPS, seuls les noms de domaine peuvent être identifiables, et non les URL.

• Trois pistes pour en finir avec le « solutionnisme technologique »
• « Boites noires » : les services de renseignement n'ont pas encore demandé à surveiller les URL
• L'astuce qui permet à l'anti-terrorisme de consulter des centaines de messageries chiffrées

La DPR n'en estime pas moins que cette « technique de renseignement dite de l’algorithme » (qualifiées de « boîtes noires » lors de l'adoption de la Loi Renseignement en 2015, et depuis pérennisée par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement) « permet un traitement automatisé des données de connexion et de navigation sur Internet, grâce à la coopération des fournisseurs d’accès », aux fins de détecter des comportements.

À l'en croire, le recours à cette technique, « toutefois exclusivement limité à la finalité 4 liée à la prévention du terrorisme », serait de nature à « renforcer les capacités de détection précoce de toute forme d’ingérence ou de tentative d’ingérence étrangère des services de renseignement » en matière de contre-espionnage et de contre-ingérence :

« Il est en effet possible de modéliser les méthodes opératoires propres à certains services de renseignement étrangers agissant sur le territoire national, en termes de déplacements comme d’habitudes de communication, de manière à détecter sur les réseaux des opérateurs téléphoniques des comportements susceptibles de révéler une menace pour les intérêts fondamentaux de la Nation. »

La DPR propose dès lors, « à titre expérimental et pour une durée de 3 ans », d’élargir le champ d’application de ladite « technique de l’algorithme » aux finalités 1 (« indépendance nationale, intégrité du territoire et défense nationale ») et 2 (« intérêts majeurs de la politique étrangère, exécution des engagements européens et internationaux de la France et prévention de toute forme d’ingérence étrangère »). 

Une extension qui pourrait notamment identifier les usurpations de noms de domaine, modus operandi utilisés par certains acteurs de la désinformation, comme l'avait documenté VIGINUM en juin dernier, dans un rapport évoquant 355 noms de domaine usurpant l'identité de médias, dont plusieurs français (exemples).

Capture d'écran du site typosquatté du MEAE diplomatie[.]gouv[.]fm

Le niveau « insuffisant » de sécurité des systèmes d’information

La DPR déplore le niveau « insuffisant » de sécurité des systèmes d’information, publics comme privés qui, « au-delà des vulnérabilités humaines », se révèle encore, « à bien des égards, perfectible au vu de l’utilisation fréquente de systèmes obsolètes ou en voie d’obsolescence, d’absence de correctifs de sécurité à jour, de recours à des protocoles de communication non sécurisés, etc. » : 

« La sensibilisation fait régulièrement défaut, quand les entreprises n’ont tout simplement pas de chaîne SSI clairement identifiée en leur sein. Ceci est d’autant plus important que l’aspect humain est une composante essentielle dans les cyberattaques observées : l’ouverture d’un courriel d’hameçonnage par un salarié reste efficace pour déjouer les meilleurs dispositifs de sécurité. »

Au-delà des missions confiées à l'ANSSI et au ComCyber, pour ce qui est de la cyberdéfense civile et militaire, la DPR rappelle que la Direction du renseignement et de la sécurité de la Défense (DRSD, ex-DPSD, le service de contre-espionnage militaire) « accompagne » (et surveille, donc) « plus de 4 000 entités » de la base industrielle et technologique de défense (BITD, et donc ses employés, matériels, informations, entreprises et emprises immobilières).

• Rions (jaune) avec la sécurité militaire
• « En Ukraine, la cyberguerre a bel et bien eu lieu », explique le Comcyber
• Les priorités du Comcyber : chiffre, lutte informatique d’influence (L2I) et partage de données
• Aymeric Bonnemaison : de la guerrelec à la cyberguerre, retour sur la carrière du nouveau Comcyber

Un Conseil, un Réseau et deux Comités

La DPR souligne en outre que le volet influence de la lutte informatique repose également, autour de VIGINUM, le service, créé en 2021. Celui-ci est chargé de la vigilance et de la protection contre les ingérences numériques étrangères, « sur une gouvernance interministérielle renforcée » et que « plusieurs réseaux de coopération ont en effet été mis en place pour assurer un échange fluide et réactif d’informations » : 

« Au niveau stratégique, le Conseil de défense et de sécurité nationale, présidé par le Président de la République, définit les grandes orientations qu’il appartient au Comité de direction (CODIR) cyber (qui réunit le chef d’État-major particulier du Président de la République, le CNRLT et le directeur de cabinet du Premier ministre) de mettre en œuvre.

Au niveau technique, le réseau Veille, Détection, Caractérisation et Proposition (VDC‑P) rassemble les administrations dotées des capacités techniques en matière de lutte contre les manipulations de l’information. Les échanges sont d’ordre opérationnels, techniques ou méthodologiques.

Au niveau opérationnel, le Comité opérationnel de lutte contre les manipulations de l’information (COLMI), présidé par le SGDSN, réunit la direction des services disposant de capacités opérationnelles ainsi que leurs autorités de rattachement et les représentants des cabinets ministériels concernés. »

10 000 actions de sensibilisation concernant « environ 55 000 personnes »

Rappelant que les services utilisent, afin de désigner les leviers traditionnels de la manipulation, opportunément exploités par des professionnels du renseignement, l’acronyme « MICE » (pour Money, Ideology, Coercion et Ego, ou VICE en français, pour vénal, idéologie, compromission, ego), la DPR souligne que « les principales vulnérabilités demeurent humaines ».

En 2021, un plan global de sensibilisation des acteurs publics et privés aux ingérences étrangères a été mis en place sous l’égide du SGDSN et du coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT), entraînant près de 10 000 actions de sensibilisation concernant « environ 55 000 personnes ». 

En étroite coordination avec le ministère de l’Enseignement supérieur et de la recherche, la DGSI a en outre élaboré à l’été 2021 un plan d’action dédié au renforcement et au suivi des structures et organismes de recherche académiques les plus stratégiques, afin de renforcer le travail de sensibilisation effectué auprès de la communauté scientifique, notamment auprès de directeurs d’unités, de chercheurs et d’experts, et diversifier les points de contacts du Service.

Le suivi des structures sensibles a en outre été « renforcé », et 300 contacts auprès des établissements d’enseignement supérieur et de recherche ont été réalisés au premier semestre 2022, soit « autant que sur l’ensemble de l’année 2021 ».

80 % des jeunes pousses med' & biotech rachetées par des groupes US

La DGSI a par ailleurs sensibilisé, en 2022, l’ensemble des cabinets ministériels et, à l'initiative des deux chambres du Parlement, les collaborateurs parlementaires (la DPR ne précise pas, cela dit, combien ont été « briefés » de la sorte).

Le rapport a remplacé les mentions classifiées « secret défense » par des « ***** », on n'en saura pas plus sur les conférences effectuées en 2022 « dans le domaine de la protection économique » par la DGSI et la DRSD, sinon qu'elles en ont fait « plus de 700 »

« Il est fréquent qu’une entreprise incubée en France n’ait d’autre choix que de se tourner vers un investisseur étranger pour changer d’échelle », déplore DPR, pour qui le basculement du capital de start-up stratégiques à l’occasion d’une levée de fonds « peut certes être une chance pour l’entreprise concernée mais aussi une vulnérabilité pour la souveraineté nationale » :

« Dans les secteurs de la medtech et de la biotech, on estime en effet à 80 % le pourcentage de jeunes pousses françaises rachetées, in fine, par de grands groupes américains. [...] En 2022, s’agissant des investissements étrangers en France, 325 opérations ont été examinées (contre 328 en 2021) et 131 d’entre elles ont été autorisées dont plus de la moitié (53 %) sous condition. »

L'ensemble de ces actions vise « à participer au développement d’une culture de la sécurité chez les publics destinataires », explique la DPR : « elles ont conduit à un accroissement du nombre de signalements de situations inappropriées qui, lorsqu’elles le justifiaient, ont donné lieu à des investigations. »

Une stratégie du « sharp power » VS le « soft power »

Les campagnes de manipulation de l’information à grande échelle, de leur côté, « prennent une ampleur sans précédent, au point de représenter un défi pour les démocraties dans la guerre informationnelle et de réputation que leur livrent certains régimes autoritaires » : 

« Les modes opératoires sont hybrides en ce qu’ils associent plusieurs leviers : médias à la main de puissances étrangères, pseudo ONG et think tank, outils techniques de diffusion de fausses informations sur les réseaux sociaux (faux comptes, robots, trolls) qui participent à une brutalisation du débat public. »

Une stratégie du « sharp power » qui, à la différence du « soft power », ne vise pas à promouvoir un modèle et des valeurs, mais consiste au contraire à nuire au modèle adverse, en l’affaiblissant et en le décrédibilisant de l’intérieur, précise la DPR.

Plus de 4 000 personnes ont été surveillées

Mediapart relève à ce titre que le nombre de demandes de techniques de renseignement (accès aux données de connexion, géolocalisation, interception téléphonique, etc.) est en matière d’ingérences « en augmentation significative ces dernières années, surtout depuis 2020 ». 

Les services français ont en effet obtenu à 17 900 reprises de pouvoir utiliser différentes techniques de renseignement auprès de la commission nationale de contrôle des techniques de renseignement (CNCTR), « contre 13 000 fois en 2020 et 11 900 fois en 2017 ». 

• Comment s'organise le contrôle des techniques de renseignement
• 87 588 techniques de renseignement, 22 958 personnes surveillées
• Les irrégularités constatées par la CNCTR, le gendarme du renseignement
• La criminalité organisée occupe 20 % du temps de nos services de renseignement

Pour autant, le nombre de personnes surveillées est resté relativement « stable » sur cette période, passant de 3 885 à 4 191 entre 2020 et 2022, « ce qui signifie que la surveillance est plus intense sur les personnes faisant l’objet d’une technique de renseignement ». 

Le volet renseignement de la loi de programmation militaire (LPM) pour les années 2024 à 2030 renforce par ailleurs « sensiblement les moyens humains et budgétaires alloués aux services de renseignement du ministère des Armées, avec une enveloppe supplémentaire de 5 milliards d’euros sur la période qui va conduire au doublement des budgets de la DGSE, de la DRM et de la DRSD », relève la DPR.