La DGSE puise à sa guise dans les flux d'Orange

Un « Prism à la française » mais au fonctionnement très différent 170
Vincent Hermann

Alors que les questions sur le respect de la vie privée n’ont jamais été aussi intenses et que la NSA a confirmé tout récemment que les géants du cloud savaient et aidaient dans le cadre du programme Prism, une enquête du Monde révèle qu’Orange fournit à la DGSE un accès complet aux données circulant en France dans ses réseaux.

fibre optique

Crédits : Frédéric BISSON, licence Creative Commons.

Une relation privilégiée depuis trente ans 

Dans un article du Monde paru hier et mis à jour ce matin, on apprend qu’Orange a fait office de portail d’accès géant aux données circulant en France dans les infrastructures de l’opérateur, et ce pour le compte de la DGSE. Les faits sont révélés dans une documentation interne de l’agence de renseignement britannique, le GCHQ. Et non seulement l’agence française dispose d’un accès total à ces données, mais la relation ne date pas d’hier.

La documentation du GCHQ fait état d’une « coopération étroite avec un opérateur de télécommunication français ». Le Monde précise qu’à la vue de ce rapport interne, l’ancienneté des liens et les « savoir-faire spécifiques de l’entreprise » ne peuvent indiquer qu’Orange, anciennement France Telecom. Et il ne s’agit pas d’une relation mise en place sous François Hollande ni même Nicolas Sarkozy, puisqu’elle existe depuis une trentaine d’années.

Sans cadre légal ni supervision

Ce rapport ne sort pas du néant : il s’agit en fait de l’un des milliers de documents dérobés par Edward Snowden à la NSA. Et il se révèle riche de détails puisqu’il précise par exemple que la DGSE dispose d’un avantage de taille par rapport à la NSA justement ou à d’autres agences équivalentes. Ainsi, la Direction Générale de la Sécurité Extérieure opère en dehors de tout cadre légal et sans aucune supervision.

Du côté d’Orange, la collecte des données semble par ailleurs très proche des programmes mis en place par la NSA : une aspiration géante des informations, une récupération de masse et aveugle pour remplir d’imposantes bases de données qui sont ensuite mises à disposition des analyses de la DGSE pour y effectuer des requêtes. Pas question ici de Section 702 de la loi FISA comme aux États-Unis puisque les citoyens français sont tout aussi concernés que les utilisateurs étrangers.

Peu de personnes habilitées 

Toujours selon les documents de Snowden, seul « un très petit nombre de personnes » au sein d’Orange pilote les relations avec la DGSE. Trois services sont concernés par l’accord avec le renseignement français :

  • Les sites « d’atterrissement », qui correspondent aux zones d’accostage des câbles sous-marins en France et qui permettent un accès à toutes les données devant transiter par le pays. Le Monde précise qu’un « tri préalable peut aisément être réalisé en fonction des pays et des régions d'origine ».
  • La direction internationale qui gère l’ensemble des filiales à l’étranger et qui permet notamment un accompagnement des opérations militaires dans certains pays (Le Monde cite le Mali et la Centrafrique).
  • La direction sécurité, « principal interlocuteur des services secrets », qui réfléchit essentiellement sur tout ce qui touche à la sécurité des données et au déchiffrement.

Plusieurs points sont de fait à préciser. D’une part, Orange travaille bien sur la capacité à déchiffrer les données qui circulent à travers sa tuyauterie. Le document ne précise pas en revanche quel est l’état actuel du savoir-faire de l’opérateur dans ce domaine, mais indique qu’un partenariat existe avec la DGSE sur des recherches en cryptologie.

Tantôt une entreprise, tantôt une administration 

D’autre part, même si Orange est une entreprise privée, l’État reste l’actionnaire principal avec 27 % de parts et le fournisseur dispose d’une délégation de service public. Dans la pratique, Orange est donc une entreprise privée pour les opérations « classiques » mais est considérée comme une administration quand il s’agit de sécurité intérieure. Le changement de statut n’a donc eu aucune influence dans les relations entre l’agence de renseignement et l’entreprise.

Signalons également que la présence de ces informations dans un rapport du GCHQ n’est pas non plus un hasard. Les données collectées entrent directement dans le cadre des accords de partage d’informations avec les puissances alliées, dont fait évidemment partie le Royaume-Uni. Le GCHQ reçoit donc au moins une partie des données, et on peut supposer qu’il en va de même avec la NSA. Un ancien article du Monde indiquait en effet que la DGSE avait des liens solides avec les fameux « Five Eyes » : États-Unis, Royaume-Uni, Nouvelle-Zélande, Canada et Australie.

Enfin, et c'est un élément important, Le Monde souligne le caractère crucial des interconnexions avec les autres fournisseurs d'accès. Selon un cadre attaché à la direction des réseaux, le « transit massif des données est stocké pour un usage interne et non officiel. Mais le point névralgique, c'est l'accès au fournisseur d'accès, comme ça, vous croisez la circulation de la donnée et l'identité de ceux qui l'échangent. C'est pour cette raison que la DGSE est en contact avec l'ensemble des opérateurs français ».

Un « Prism à la française » mais basé sur un autre modèle 

Ces informations peuvent ne pas surprendre car beaucoup estiment qu’un « Prism » à la française est une évidence. Il y a cependant des différences notables avec la situation américaine. Outre le cadre légal, il faut rappeler que le programme Prism est fondé sur la participation plus ou moins volontaire des grandes entreprises du cloud. Or la France ne dispose pas de ces puissantes firmes (Microsoft, Google, Apple, Facebook, Yahoo et autres), qui brassent des quantités phénoménales de données personnelles. Il serait donc naturel que l’Hexagone se soit tourné vers une source équivalente de données - dans le cas présent Orange.

Le Monde n’a pas obtenu de réaction du gouvernement, mais il a tout de même été indiqué au journal qu’Orange participait activement, « aujourd'hui comme hier », à la « sécurité du territoire et à l'autonomie de décision des dirigeants français ». Selon un ancien de la DGSE, le « rapport entre France Télécom et la DGSE n'est pas de même nature que celui révélé dans le programme Prism de la NSA, qui a des liens contractuels avec les géants d'Internet. En France, c'est consubstantiel », soulignant ainsi le rapport privilégié entre l’État et l’opérateur historique. Pour autant, cette coopération n’est « pas formelle » selon Le Monde car portée uniquement par un petit nombre de personnes spécialement « habilitées secret-défense ».

Ce sont les mêmes qui, selon le PDG d’Orange Stéphane Richard, « peuvent avoir à gérer, au sein de l'entreprise, la relation avec les services de l'État et notamment leur accès aux réseaux, mais elles n'ont pas à [lui] en référer. Tout ceci se fait sous la responsabilité des pouvoirs publics dans un cadre légal ». Une réponse qui n’est pas sans rappeler celle donnée systématiquement par la NSA et le GCHQ chaque fois que les agences sont interrogées sur les nouvelles révélations issues des documents de Snowden.


chargement
Chargement des commentaires...