Données de connexion : les avis de la CNCTR classés secret-défense

Données de connexion : les avis de la CNCTR classés secret-défense

La boîte un peu plus noire

Avatar de l'auteur
Marc Rees

Publié dans

Droit

15/11/2017 7 minutes
21

Données de connexion : les avis de la CNCTR classés secret-défense

Quelles sont exactement les nouvelles données de connexion que peuvent surveiller les services du renseignement ? Saisie d’une demande de communication de documents administratifs, la Commission nationale de contrôle des techniques du renseignement (CNCTR) s’abrite derrière le secret défense pour refuser de révéler ses avis.

Lorsqu’on s’intéresse à l’activité de surveillance des agents des services du renseignement, la question du périmètre des données de connexion est de premier ordre. Ces données de contenant, pourrait-on résumer, s’opposent aux données de contenu.

Selon l’une ou l’autre des deux catégories, les techniques de renseignement ne sont pas les mêmes. Un exemple : les boîtes noires, tout juste lancées, ne peuvent aspirer que les données de connexion, alors que les interceptions frappent au contraire le cœur de l’échange, le contenu.

Une atteinte différente à la vie privée

On pourrait estimer que l’atteinte à la vie privée consécutive à l’espionnage d’une donnée de connexion est moindre que face à une donnée de contenu. Dans le premier cas, on s’attaque à la surface ou au sillage des données (expéditeur, destinataire, lieux, adresse IP, heures, etc.), dans le second, à l’intérieur des échanges (le contenu).

Mais ce n’est vraiment pas l’analyse de la Cour de justice de l’Union européenne :

« Ces données (de connexion, ndlr), prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Voilà ce qu’elle a dit dans son arrêt Digital Rights du 8 avril 2014. En somme, contenant ou connexion, il y a toujours une atteinte à la vie privée, celle-ci est simplement différente.

Le 14 avril 2015, durant les débats sur la loi Renseignement, la députée Isabelle Attard ne disait pas autre chose. Armée de deux exemples, elle expliquait elle aussi comment « les données de connexion fournissent finalement autant d’informations que le contenu des messages » :

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

De ces éléments, il est donc assez simple de tirer bon nombre d’indices sur la vie privée d’une personne.

Juridiquement, que sont exactement ces données de connexion ?

En décembre 2015, un décret a fixé la liste intégrale des services du renseignement. Un mois plus tard, un autre décret fondamental signé du Premier ministre Manuel Valls a cette fois énuméré les données de connexion susceptibles d'être aspirées par chaque technique de renseignement.

À l’aide de plusieurs articles du Code des postes essentiellement, nous avions alors dressé ce long inventaire des métadonnées. Un inventaire imparfait, déjà parce que non exhaustif, mais surtout en raison d'un nœud existant sur l’adresse URL. Est-ce une donnée de connexion ou de contenu ?

Pour la CNIL, prudence. L’URL a parfois une nature mixte : « Si elle est nécessaire à l’acheminement d’une communication, l’URL permet également de révéler des informations consultées ». Lorsqu’elle véhicule ces éléments, l’adresse se range donc dans les données de contenus. Dans la lignée de cette décision du Conseil constitutionnel (considérant n°55), elles ne peuvent donc être exploitées, fouillées, analysées, que par le biais d’une interception administrative.

Dans son avis accompagnant ce deuxième texte, la CNCTR a partagé l'analyse, considérant ces URL « comme des données mixtes, qui peuvent comporter à la fois des données de connexion et des mots faisant référence au contenu de correspondances échangées ou d’informations consultées ».

Pour la Commission présidée par Francis Delon, le recueil au titre des données de connexion serait donc possible, mais seulement s’il a « pour objet que de reconstituer, grâce aux seules parties d’URL pertinentes, le chemin informatique utilisé pour échanger des correspondances ou consulter des informations ».

L’ingénieur Stéphane Bortzmeyer avait critiqué vertement cette ventilation : « Même un nom de domaine est une information très précise sur ce que l’on consulte : http://www.lutte-ouvriere.org/ donne des informations tout aussi précises sur l’engagement de l’internaute. Un nom de domaine relatif aux alcooliques anonymes peut aussi être révélateur de ce sur ce que l’on est ».

Une demande CADA visant les avis de la CNCTR sur les données de connexion

Un peu plongée dans le flou, la même commission avait dans sa foulée estimé que « les développements (...) sur la nature des données de connexion constituent une analyse globale, empirique, non exhaustive et non définitive » . Elle suggérait au Premier ministre que « les nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion fassent l’objet d’un avis de sa part avant toute autorisation de recueil, afin qu’elle puisse s’assurer qu’aucun contenu de communications ne sera collecté ».

Cette prudence laisse entendre que des flottements existent sur la catégorisation de certaines données. La suggestion a en tout cas inspiré le FAI French Data Network qui, le 12 octobre dernier, a demandé communication des avis de la Commission nationale sur ces « nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion ».

On comprend la démarche : lorsque les services du renseignement contactent un intermédiaire pour glaner par diverses techniques des données de contenant, il est important que le FAI, l’opérateur, l’hébergeur ou le service en ligne sache si les agents sont bien dans les clous de la loi ou du règlement.

Un refus pour cause de secret-défense

Surprise : la CNCTR a finalement refusé d’apporter cet éclairage élémentaire. Le 8 novembre, Francis Delon a répondu en effet à FDN que, « comme la majeure partie des travaux de la commission (…), les avis correspondant à votre demande sont couverts par le secret de la défense nationale ». Or, le Code des relations entre le public et l’administration rend vaines les demandes CADA dans une telle hypothèse.

Selon le président de cette autorité indépendante, la communication de ces avis n’est pas possible, car de nature « à révéler des méthodes d’investigations et des capacités techniques de certains services de renseignement ».

Et pour fermer plus sèchement encore les vannes, Delon ajoute que « les avis demandés sont intégralement composés d’informations couvertes par le secret : il n’est pas possible d’envisager leur communication après occultation ou disjonction des mentions protégées ».

Hier, à Grenoble, le même personnage a révélé qu’une boite noire était mise en œuvre en France depuis début octobre. Aujourd’hui, on apprend donc que les avis sur le périmètre même des futures données de connexion traitées par ces outils sont eux-mêmes classés secret défense.

avis CNCTR données de connexionavis CNCTR données de connexion

21

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une atteinte différente à la vie privée

Juridiquement, que sont exactement ces données de connexion ?

Une demande CADA visant les avis de la CNCTR sur les données de connexion

Un refus pour cause de secret-défense

Commentaires (21)


Pour reprendre l’adage populaire: “celui qui n’a rien à se reprocher n’a rien à cacher” :)



Ah, on me dis que ce n’est valable que pour les citoyen.ne.s, tou.te.s potentiel.le.s ennemi.e.s de la nation, pas pour les autorités bienveillantes et éclairées de la “nation des droits de l’homme”.



Bien bas nos démocraties tombent.


On s’en serait doutés, les actions par la CADA concernant les renseignements ou la défense, ça va être difficile.



J’ai eu la vague impression que plein de choses ont été classées confidentiel défense pour pas grand chose quand il y a quelques années.

Des projets qui n’avaient pas de classification qui se retrouvent confidentiel et où ça génère de la paperasse afin que les équipes puissent juste continuer à travailler.

Est-ce que le ministère de la défense a réagi de cette manière à la création de la CADA ?



Au final, ils ont fait fort, directement les classer “secret défense” si c’est bien le statut précis qu’ils ont, ils ne veulent vraiment pas les communiquer. Si leur classification avait été plus élevée, la réponse aurait plutôt été qu’ils ne savaient pas de quoi on parle…

Selon ce qu’ils font à l’avenir, les réponses de la CADA pourraient devenir comiques concernant les sujets de renseignement et de défense.








ragoutoutou a écrit :



Pour reprendre l’adage populaire: “celui qui n’a rien à se reprocher n’a rien à cacher” :)



 

C’est parce que je n’ai rien à me reprocher qu’il est contre-productif de me surveiller.



« Selon que vous serez puissant ou misérable, Les jugements de cour vous rendront blanc ou noir. »



Donc nous qui n’aurions de choix que de tout exposer ou devenir immanquablement suspects, nous devrions souffrir que nous soient cachés — pour notre bien (?!) — tout un tas de choses qui n’ont pas à l’être par essence, comme en l’espèce (la liste des) des méta-données d’usage de biens et services du commerce, placés dans ce contexte sous le sceau du secret-défense ?



Merci M. de La Fontaine, tes enseignements passent les siècles sans perdre une once de leur richesse.



<img data-src=" />


C’est simple, la prochaine fois où un service demandera à FDN des données de connexion “nouvelles”, FDN demandera le texte qui définit ces données nouvelles comme données de connexion.



Enfin, je parle de FDN parce que c’est eux qui ont fait la demande. Dans les faits, il y a peu de chance qu’on leur demande des URL qu’ils n’ont pas obligation de stocker en tant que FAI. Et les URL consultées sur leurs sites WEB, pas sûr qu’elle soient très utiles aux services de renseignement.








ragoutoutou a écrit :



les citoyen.ne.s, tou.te.s potentiel.le.s ennemi.e.s





<img data-src=" />









Ricard a écrit :



<img data-src=" />





+1



manque plus q’un petit malin créé un logiciel résident qui va se connecter à des urls au hasard pour noyer le poisson…








Ricard a écrit :



<img data-src=" />





+2 (sans compter le sexisme de cette écriture…)



résident où ça ?


Comme ceci, l’expression serait plus galante et plus régulière ?



pour les citoy(enne|en)s, (toute|tou)s potenti(elle|le)s enne(mie|mi)s de la nation


Oui, mais retournons cet adage justement vers ceux qui veulent nous surveiller…&nbsp; S’ils sont si preux, ils peuvent donner les modalités de ce qu’ils font.



&nbsp;


Le problème c’est qu’ils n’ont même plus besoin de rien de demander aux opérateurs ou hébergeurs. Les boîtes noires sont placées directement sur le matériel et « aspirent » les données qui les intéressent.


Cela ne va pas couvrir tous les cas et ce n’est manifestement pas dans ce cadre que FDN se positionnait pour sa demande.



  1. Déjà un point c’est uniquement en fin de phrase, si on veux écrire de façon horrible, faut le faire correctement et écrire “les citoyen·ne·s, tou·te·s potentiel·le·s ennemi·e·s de la nation” (le symbole c’est · pas . )



    1. Ce format d’écriture rend très difficile la lecture, merci de respecter les lecteurs, nous somme chez Nextinpact, pas chez mémé <img data-src=" />



A noter la différence entre “couvert par le secret DE défense” et “secret défense”.

Le premier peut concerner aussi bien confidentiel défense que secret défense, c’est un terme plus générique. “Secret défense” étant une classification.

https://fr.m.wikipedia.org/wiki/Information_classée_secrète_en_France


Il va falloir sécuriser au max nos communications


Faut voir… vu l’état des droits humains en France, utiliser le chiffrement peut potentiellement entrainer une incarcération à domicile.








ragoutoutou a écrit :



Faut voir… vu l’état des droits humains en France, utiliser le chiffrement peut potentiellement entrainer une incarcération à domicile.





Oui mais le juge aura son mot à dire!

Un jour



Pour ceux qui ont vu “Le Cercle”, j’attends avec une grande impatience le moment où un groupe bien motivé va choper les backdoors qui vont bien et étaler au grand jour, preuves à appui, les fameux dirigeants “qui n’ont rien à cacher”. Les “défenseurs de la démocratie” qui nous enfoncent chaque jour de plus en plus dans une dictature.



Ca risque de moins faire les malins là…