Journal d'investigation en ligne et d'information‑hacking
par Laurent Chemla

Agent de double-langage

Dans le projet de loi sur le renseignement, deux points - au moins - posent question : pour chacun d'eux le gouvernement affirme l'inverse de ce que tous les experts dénoncent. Pour le gouvernement - qui l'a répété à de nombreuses reprises - "il n'y aura pas ni DPI ni boîtes noires" (terme pourtant proposé par des conseillers de Matignon eux-mêmes lors de la présentation du texte à la presse, le 17 mars dernier).

Dans le projet de loi sur le renseignement, deux points - au moins - posent question : pour chacun d'eux le gouvernement affirme l'inverse de ce que tous les experts dénoncent.

Pour le gouvernement - qui l'a répété à de nombreuses reprises - "il n'y aura pas ni DPI ni boîtes noires" (terme pourtant proposé par des conseillers de Matignon eux-mêmes lors de la présentation du texte à la presse, le 17 mars dernier).

Pour les spécialistes, cette affirmation sonne faux, puisque dans le même temps les services précisent ne vouloir accéder qu'aux métadonnées correspondant aux cibles que leur fameux "algorithme" aura définies.

Or de deux choses l'une: soit les services auront un accès direct aux données stockées par les fournisseurs de services (hébergeurs, serveurs de mail, moteurs de recherche...) français - exactement comme dans le programme PRISM de la NSA, qui fut à l'origine du scandale révélé par E. Snowden - soit il devra placer des sondes "boîtes noires" à des points stratégiques du réseau pour extraire du flux de toutes les données échangées celles qui l'intéresse. Ce qui ne peut se faire sans DPI.

 

We don't need no DPI

On peut - sans prendre beaucoup de risque - supposer que le processus décrit par Octave Klaba (OVH) après la réunion

entre hébergeurs et gouvernement correspond trait pour trait à la première option: contraints par le pouvoir en place, les hébergeurs devront fournir à la demande toutes les métadonnées en leur possession aux équivalents hexagonaux des DITUs du schéma ci-contre.

Pas besoin de faire du DPI quand on a un accès direct aux données émises ou reçues aux extrémités: le boulot a déjà été fait par la couche IP de l'hébergeur.

Du coup, "pas de DPI" ? Ce n'est pas si clair.

D'après les promesses du gouvernement (retranscrites dans le schéma ci-contre fait par Gandi), les données fournies par les hébergeurs se limiteront aux seuls

services visés dans l'autorisation de l'exécutif: il n'y aura pas de surveillance générale de tous les sites hébergés. On en déduira que, forcément, l'information qui permet de sélectionner tel ou tel service, telle ou telle boîte email, viendra d'ailleurs: s'il y a "boîte noire" et "détection de signal faible", ça ne peut pas se faire en bout de chaîne, ni sur des services précisément définis. On n'est plus, là, dans la détection: on est dans la surveillance d'une cible déjà identifiée.

C'est déjà grave: c'est exactement ce que fait le programme PRISM, rappellons-le, le tout sans la moindre autorisation judiciaire.

Mais d'où viendront donc les renseignements permettant ce ciblage ?

 

Another brick in the net

Soyons clairs : meme si les hébergeurs partaient de France, comme ils ont menacé de le faire, le probleme resterait entier. Pourquoi ? Simplement parce que nous parlons d'écoute du réseau lui-même, et donc du rôle central des fournisseurs d'accès (FAI), qui sont eux aussi concernés par la loi.

Chez eux, point de métadonnées déjà décodées: ils ne sont pas en bout de chaîne, ce sont de simples tuyaux par lesquels passent tous nos petits paquets IP pas encore remis dans l'ordre. Les métadonnées sont quelque part dedans, mais éparpillées «façon puzzle», parfois chiffrées, souvent pas, en désordre complet. Impossible pour les fournisseurs d'accès de ne fournir "que les métadonnées" dont ils disposent: il n'en disposent pas.

Sauf si... Après tout, la promesse de ne pas "tout surveiller" et de ne recueillir "que les métadonnées", pour ce qu'elle vaut (rien n'a été inscrit dans la loi, tout se passera donc dans ses décrets d'application, modifiables à tout instant par d'autres décrets comme Gandi le remarque), cette promesse, donc, le gouvernement ne l'a faite qu'aux hébergeurs. Pas aux FAI.

Un FAI, par définition, ça ne peut pas s'expatrier, et ça dépend du pouvoir pour - notamment - l'attribution des fréquences de téléphonie portable: un FAI, ça ferme sa gueule ou ça démi ferme tout court.

Pour qu'un "algorithme de détection de signal faible" soit un tant soit peu efficace (mouahaha), il faut qu'il traite tout le tas de données disponibles en vrac pour essayer d'en extraire quelque chose d'intelligible. Et pour le faire, il faut du DPI.

Il est probable, si on veut croire (re-mouahaha) les promesses du gouvernement, que seul un équivalent de PRISM soit imposé aux hébergeurs.

Tout comme il est quasi-certain que, côté FAI, on conservera boîte-noire, algorithme, et surveillance de masse. Et, que vos serveurs soient ou non hébergés en France, vous passerez toujours par votre FAI pour y acceder.

Et donc, quoi qu'en dise Bernard Cazeneuve (qui a sans doute un peu trop écouté les vendeurs de solutions de surveillance prêts à tout pour emporter le marché), on fera bien du DPI.

Ce qui nous amène au second point posant question: l'affirmation selon laquelle il n'y aura "pas de surveillance de masse".

 

We don't need no thought control

On est là, typiquement, dans une pure sémantique politicienne.

Pour n'importe quelle personne normale, dès lors que tous les échanges passent au travers de filtres gouvernementaux, il ne peut s'agir d'autre chose que de surveillance de masse, et ce quel que soit l'usage qui sera fait de ces filtres.

Pour un politicien qui veut défendre son bout de gras, cependant, c'est cet usage qui va définir si oui ou non on pèche "au chalut" ou "au harpon": selon lui, du moment qu'il ne fait que regarder tout ce que nous faisons sans rien en faire (pour le moment) sauf si ça touche au terrorisme, alors il ne s'agit que de pèche au harpon.

Pur artifice de langage, qu'on peut traduire en français courant par "je regarde tout ce que tu fais, mais promis je te surveille pas". Ou, pour rester dans la métaphore chalutière, "pour savoir où planter le harpon, il faut d'abord utiliser le sonar".

Accessoirement se pose une question rigolote : un fonctionnaire qui découvre un crime ou un délit - même s'il n'a rien à voir avec le terrorisme - est tenu d'en informer les autorités judiciaires. Est-ce que l'algorithme du gouvernement est considéré comme un fonctionnaire ? Si oui, évitez de sortir des clous de quelque manière que ce soit, puisque vous serez poursuivis selon le bon-vouloir d'une machine, réglée par le gouvernement alors en place.

On peut - naïvement - imaginer que le gouvernement n'a pas les compétences techniques pour comprendre que son projet implique l'usage de DPI: après tout sa seule faute aura été dans ce cas d'avoir pris conseil auprès de commerçants (souvenez-vous de la vraie-fausse intervention de Bluecoat à l'Assemblée) plutôt qu'auprès de scientifiques.

Mais on peut être certain qu'en matière de double-langage, Bernard Cazeneuve n'a de conseil à recevoir de personne.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée