En 2009, la surveillance alégale de l’ADSL s’appelait « interception obligations légales »

Des lois venues encadrer des pratiques alégales. Ainsi ont été « vendues » aux parlementaires les derniers textes sécuritaires. Hier, Reflets et Mediapart ont donné de nouvelles briques sur la situation antérieure aux lois de programmation militaire et sur le renseignement.

« IOL » pour Interceptions obligations légales. Voilà le doux acronyme détaillé hier par nos confrères, préparé en France dès 2005, généralisé en 2009 auprès de tous les opérateurs. Le principe ? Un système de « sondes » installées chez ces fournisseurs d’accès, spécialement sur les DSLAM, censé permettre le recueil en temps réel des données d’une personne déterminée.

Du massif potentiel

« L’interception est fondée sur une liste contenant les identifiants des cibles. L’application détermine l’adresse IP d’une cible, dont l’un au moins des identifiants a été reconnu dans le trafic analysé par la sonde, explique l'entreprise Qosmos dans une ébauche du guide dédié à ce type de surveillance. Une fois la cible fixée, le trafic remontait vers un « Mediation Device » pour être enfin adressé à un « Monitoring Center. »

« Selon un document interne de Qosmos, dimensionné pour permettre de l’interception sur 6 000 DSLAM, IOL, pour Interceptions Obligatoires [ndlr : lire plutôt obligations] Légales, pouvait analyser jusqu’à 80 000 paquets IP par seconde, éclaire Reflets. Un DSLAM pouvant accueillir à l’époque entre 384 et 1 008 lignes d’abonnés, c’est entre 2,3 et 6,04 millions de lignes qui étaient alors concernées par ce projet pour la seule société Qosmos. Du massif potentiel. »

De l'alégal à la loi Renseignement, via la loi de programmation militaire

Seul souci, la mise en place de ces mécanismes n’était en rien prévue par les textes qui n’autorisaient alors que le recueil a posteriori. Il aura en effet fallu attendre la loi de programmation militaire de 2013 et son décret d’application de décembre 2014 pour permettre aux services de recueillir en temps réel sur « sollicitation du réseau », tous les « documents » et « informations » détenus par les opérateurs, au titre des métadonnées.

Pour cela, il leur suffisait de suivre une procédure déterminée, tout en justifiant d’impératifs tenant à la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, la prévention du terrorisme, la prévention de la criminalité et la prévention de la délinquance organisée et celle de la reconstitution ou du maintien de groupe dissous.

Avec la loi Renseignement de 2015, cette surveillance a gagné en nervosité, si l'on peut dire : l’article L851-2 du Code de la sécurité intérieure organise par exemple le recueil en temps réel des métadonnées visant une personne préalablement identifiée comme présentant une menace terroriste. Il n’est plus question d’une quelconque « sollicitation » préalable. Et préalablement, le mécanisme des boites noires est calibré pour renifler cette menace à partir d'une masse indéterminée de données de connexion.

En résumé, les textes sont passés d’un régime de recueil a posteriori à un système en temps réel sur sollicitation des opérateurs (LPM) pour aboutir à un recueil en temps réel en accès direct (loi Renseignement).  Mais les éléments révélés hier montrent que les pratiques dites « alégales » avaient une belle course d'avance sur le juridique.

Quand IOL flirte avec LOL

Pour mieux contextualiser, il faut d'ailleurs revenir sur l’audition de Jean-Marie Delarue par la commission parlementaire sur le droit et les libertés à l’âge du numérique. En novembre 2014, celui alors président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) avait regretté que la loi de prévention du terrorisme du 23 janvier 2006 ait permis « la saisine de métadonnées » sous autorisation d’une « personnalité qualifiée, placée auprès du ministre de l’intérieur, et sur l’indépendance de laquelle il y a lieu de s’interroger ». Ambiance. Il faut dire que la CNCIS, ancêtre de la CNCTR, était sur ce point reléguée à un simple contrôle a posteriori.

Toujours devant cette commission, le député Jean-Jacques Urvoas, futur rapporteur du projet de loi Renseignement devenu depuis ministre de la Justice, expliquait le même jour que « depuis que je suis président de la délégation parlementaire au renseignement, je n’ai jamais rencontré la structure Qosmos-Amesys et on ne me l’a jamais présentée comme un prestataire des organismes que nous rencontrons ».