Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Surveillance de masse : en Allemagne, 24 milliards de données brutes (par jour) = 260 rapportsCrédits : Terry J Alcorn/iStock

Une enquête conjointe du Spiegel et de la radio bavaroise révèle comment le BND, le service de renseignement extérieur du gouvernement fédéral allemand, se fait livrer, sur ordre de la Chancellerie, des données non traitées émanant des nœuds d'échange Internet allemands, mais aussi et surtout comment il les filtre, traite et analyse. 

En octobre 2019, des techniciens du Deutscher Commercial Internet Exchange (DE-CIX) – le plus important point d’échange Internet au monde en termes de trafic et basé à Francfort – avaient effectué des calculs à la demande de la Cour constitutionnelle pour estimer la quantité de données. Sur les 47 500 milliards de connexions IP transitant quotidiennement par DE-CIX, le BND serait techniquement en mesure d'en traiter 1 200 milliards, soit 2,5 %.

Les 151 pages de documents obtenus par les deux rédactions indiquent que le BND, en tant que service de renseignement extérieur, a mis en place un vaste système pour s’assurer que leurs ressortissants et les personnes vivant en Allemagne, ainsi que les enfants, les avocats, les clercs, les journalistes, entre autres personnes protégées, ne puissent pas être surveillés accidentellement.

Les systèmes de filtrage, d'évaluation et de minimisation des données (de sorte, par exemple, d'exclure toutes les données passées par des téléphones dotés de l'indicatif allemand +0049) lui permettent d'en rejeter l'essentiel, pour ne conserver (temporairement) que 150 000 communications par jour, débouchant sur la production quotidienne d'environ 260 rapports rédigés par les analystes du BND.

Le filtrage est d'abord effectué à partir des adresses IP (qui seraient « exactes de 96 à 98 % en termes de localisation au niveau de l'État »). 24 milliards de données brutes (par jour) ne seraient pas supprimées immédiatement, mais envoyées à une autre étape de filtrage.

Celle-ci, permettant d'analyser les métadonnées voire le contenu des communications, repose sur une liste de plus de 100 000 mots-clefs et termes de recherches (allant du nom de certaines substances chimiques utilisées pour fabriquer des armes de destruction massive à du code binaire), numéros de téléphone, adresses e-mail, indicatifs téléphoniques et codes pays, noms de domaine, etc.

Avant d'utiliser les termes de recherche, les analystes du BND vérifient s'ils sont légalement autorisés. Par exemple, si le BND veut surveiller un citoyen de l'UE parce qu'il travaille pour un « fabricant d'armes iranien », il peut utiliser son numéro de téléphone comme terme de recherche. Mais seuls ses appels professionnels peuvent être écoutés, pas ses appels privés, selon les documents.

Le gouvernement fédéral sait que des erreurs se produisent. Aucun filtrage ne peut « jamais fournir une protection à 100 % », selon les documents. Si un Allemand appelle un numéro syrien en Syrie, il peut arriver que l'on reconnaisse uniquement pendant l'appel que cette personne bénéficie d'une protection spéciale. Les résultats correspondants seraient supprimés et documentés, ce qui se produirait environ 30 fois par mois, a-t-on appris lors d'une audition au tribunal de Karlsruhe.

Entre autres « règles strictes », détaillées dans un règlement de service Sigint (pour Signal INTelligence) de 72 pages, on découvre que « chérie, je t'aime » peut être enregistré, mais que les « communications avec un contenu purement sexuel » doivent, elles, être effacées.

15 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 18/05/20 à 08:05:33

Venant du gouvernement français une telle chose ne m'aurait pas étonné. Maintenant venant du gouvernement allemand...

Avatar de Glandos Abonné
Avatar de GlandosGlandos- 18/05/20 à 08:36:22

Les autorités allemandes le font. Et le documente publiquement. En France, même quand tu veux avoir accès légalement à ton dossier, tu ne peux pas…

Avatar de luckydu43 Abonné
Avatar de luckydu43luckydu43- 18/05/20 à 08:57:24

Ce qui est bien dans cet exemple, c'est que le gouvernement allemand a fait en sorte de mettre en place un cadre avec des règles. Ne pas mettre en danger des personnes, limiter l'exposition d'informations personnelles...
Cela dit :

  • ce cadre protège les résidents/ressortissants allemands, pas les autres
  • si le cadre tombe, l'outil reste
  • on parle quand même de surveillance, quid des informations "pertinentes" ? Quels actions peuvent être menées aujourd'hui à partir des rapports ? Et demain ?
  • quels outils sont en mesure de se prémunir de cette surveillance (DNSSEC ? HTTPS ? chiffrement de bout en bout à partir de quel type ? Utiliser un VPN fait-il entrer dans le cadre de la surveillance ; l'IP exposée n'étant alors plus en Allemagne ?)
Édité par luckydu43 le 18/05/2020 à 08:58
Avatar de sylvere Abonné
Avatar de sylveresylvere- 18/05/20 à 09:01:47

Celle-ci, permettant d'analyser les métadonnées voire le contenu des communications, repose sur une liste de plus de 100 000 mots-clefs et termes de recherches (allant du nom de certaines substances chimiques utilisées pour fabriquer des armes de destruction massive à du code binaire), numéros de téléphone, adresses e-mail, indicatifs téléphoniques et codes pays, noms de domaine, etc.

Comment font-ils avec le chiffrement TLS ? ont-il un accord avec google pour tracer certains mots-clés ?

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 18/05/20 à 09:33:22

Et vu que les Allemands collaborent "accidentellement" avec les autres pays "démocratiques" qui mettent en place la même chose... et qui surveillent les Allemands sans aucunes limites, cadres, lois: l'état allemand a accès à toutes les données sur tous les Allemands, c'est la loi "fascisme déguisé en démocratie" :roll:

Avatar de Paul Muad'Dib Abonné
Avatar de Paul Muad'DibPaul Muad'Dib- 18/05/20 à 09:38:59

Avec la généralisation du chiffrement applicatif/réseau pour les communications sur IP et sous réserve que celui-ci soit robuste et dénué de failles aussi bien du point de vue protocolaire que dans son implémentation, ce genre de dispositif est efficace en quoi ?

Avatar de Ramaloke Abonné
Avatar de RamalokeRamaloke- 18/05/20 à 09:39:45

luckydu43 a écrit :

Ce qui est bien dans cet exemple, c'est que le gouvernement allemand a fait en sorte de mettre en place un cadre avec des règles. Ne pas mettre en danger des personnes, limiter l'exposition d'informations personnelles...
Cela dit :

  • ce cadre protège les résidents/ressortissants allemands, pas les autres
  • si le cadre tombe, l'outil reste
  • on parle quand même de surveillance, quid des informations "pertinentes" ? Quels actions peuvent être menées aujourd'hui à partir des rapports ? Et demain ?
  • quels outils sont en mesure de se prémunir de cette surveillance (DNSSEC ? HTTPS ? chiffrement de bout en bout à partir de quel type ? Utiliser un VPN fait-il entrer dans le cadre de la surveillance ; l'IP exposée n'étant alors plus en Allemagne ?)

Depuis Snowden tout le monde sait que c'est le principe de fonctionnement du renseignement : Comme les constitution/loi empêche la surveillance de ses propres citoyens (et encore, ils le font quand même), tu demandes à ton voisin d'espionner ta population et toi tu espionnes la leur, puis tu échanges les données car rien dans la Loi ne l'empêche.

Donc les USA espionne l'Europe et l'Europe espionne les USA (mais moins efficacement, l'Europe étant toujours le dindon de la farce : RU, Pays-Bas et Allemagne travaillant plus avec les USA qu'avec le reste de l'Europe, sans parler des "5 Eyes").

Ca a été le même foutage de gueule avec le RGPD : Au départ pas de traitement de citoyens Européen en dehors de l'UE (enfin une politique forte où les grosses boites auraient dû construire et travailler en Europe, en favorisant les acteurs EU...) mais non : En a peine quelque mois le "Privacy Shield" et hop, on peut tout envoyer aux USA quand même !

Avatar de BurritoBob Abonné
Avatar de BurritoBobBurritoBob- 18/05/20 à 11:28:10

"le BND serait techniquement en mesure d'en traiter 1 200, soit 2,5 %."

Ma question est peut être conne, mais ces 2,5% de données traitées c'est avant ou après le filtrage ?

Ou pour reformuler : ces 2,5% correspondent au résultat du filtrage des données (mots clef, IPs, téléphones, etc). Où ils n'appliquent ce filtrage que sur 2,5% des données du fait de moyens limités (trop gros volume de données)

Édité par BurritoBob le 18/05/2020 à 11:28
Avatar de zouzou INpactien
Avatar de zouzouzouzou- 18/05/20 à 11:44:40

D'après le texte, ce sont les données primaires , avant filtrage et donc à faire passer dans le filtrage ensuite.

Avatar de luckydu43 Abonné
Avatar de luckydu43luckydu43- 18/05/20 à 11:50:30

Ramaloke a écrit :

Depuis Snowden tout le monde sait que c'est le principe de fonctionnement du renseignement : Comme les constitution/loi empêche la surveillance de ses propres citoyens (et encore, ils le font quand même), tu demandes à ton voisin d'espionner ta population et toi tu espionnes la leur, puis tu échanges les données car rien dans la Loi ne l'empêche [...] pluzin pluzin

J'aurais du le voir comme ça oui. Raison de plus de se prémunir

Y a pas 2 jours j'ai (enfin !) passé mon S9 sous /e/ (Lineage oreo + MicroG mais non root), passant enfin sous le radar de Google. J'avais déjà AVL, un VPN et HTTPS Everywhere, reste à savoir quels trous restent encore à boucher.

zouzou a écrit :

D'après le texte, ce sont les données primaires , avant filtrage et donc à faire passer dans le filtrage ensuite.

Je l'ai lu comme ça aussi

Édité par luckydu43 le 18/05/2020 à 11:52
Il n'est plus possible de commenter cette actualité.
Page 1 / 2