Agent de double-langage
Dans le projet de loi sur le renseignement, deux points - au moins - posent question : pour chacun d'eux le gouvernement affirme l'inverse de ce que tous les experts dénoncent. Pour le gouvernement - qui l'a répété à de nombreuses reprises - "il n'y aura pas ni DPI ni boîtes noires" (terme pourtant proposé par des conseillers de Matignon eux-mêmes lors de la présentation du texte à la presse, le 17 mars dernier).
Dans le projet de loi sur le renseignement, deux points - au moins - posent question : pour chacun d'eux le gouvernement affirme l'inverse de ce que tous les experts dénoncent.
Pour le gouvernement - qui l'a répété à de nombreuses reprises - "il n'y aura pas ni DPI ni boîtes noires" (terme pourtant proposé par des conseillers de Matignon eux-mêmes lors de la présentation du texte à la presse, le 17 mars dernier).
Pour les spécialistes, cette affirmation sonne faux, puisque dans le même temps les services précisent ne vouloir accéder qu'aux métadonnées correspondant aux cibles que leur fameux "algorithme" aura définies.
Or de deux choses l'une: soit les services auront un accès direct aux données stockées par les fournisseurs de services (hébergeurs, serveurs de mail, moteurs de recherche...) français - exactement comme dans le programme PRISM de la NSA, qui fut à l'origine du scandale révélé par E. Snowden - soit il devra placer des sondes "boîtes noires" à des points stratégiques du réseau pour extraire du flux de toutes les données échangées celles qui l'intéresse. Ce qui ne peut se faire sans DPI.
We don't need no DPI
On peut - sans prendre beaucoup de risque - supposer que le processus décrit par Octave Klaba (OVH) après la réunion
Pas besoin de faire du DPI quand on a un accès direct aux données émises ou reçues aux extrémités: le boulot a déjà été fait par la couche IP de l'hébergeur.
Du coup, "pas de DPI" ? Ce n'est pas si clair.
D'après les promesses du gouvernement (retranscrites dans le schéma ci-contre fait par Gandi), les données fournies par les hébergeurs se limiteront aux seuls
C'est déjà grave: c'est exactement ce que fait le programme PRISM, rappellons-le, le tout sans la moindre autorisation judiciaire.
Mais d'où viendront donc les renseignements permettant ce ciblage ?
Another brick in the net
Soyons clairs : meme si les hébergeurs partaient de France, comme ils ont menacé de le faire, le probleme resterait entier. Pourquoi ? Simplement parce que nous parlons d'écoute du réseau lui-même, et donc du rôle central des fournisseurs d'accès (FAI), qui sont eux aussi concernés par la loi.
Chez eux, point de métadonnées déjà décodées: ils ne sont pas en bout de chaîne, ce sont de simples tuyaux par lesquels passent tous nos petits paquets IP pas encore remis dans l'ordre. Les métadonnées sont quelque part dedans, mais éparpillées «façon puzzle», parfois chiffrées, souvent pas, en désordre complet. Impossible pour les fournisseurs d'accès de ne fournir "que les métadonnées" dont ils disposent: il n'en disposent pas.
Sauf si... Après tout, la promesse de ne pas "tout surveiller" et de ne recueillir "que les métadonnées", pour ce qu'elle vaut (rien n'a été inscrit dans la loi, tout se passera donc dans ses décrets d'application, modifiables à tout instant par d'autres décrets comme Gandi le remarque), cette promesse, donc, le gouvernement ne l'a faite qu'aux hébergeurs. Pas aux FAI.
Un FAI, par définition, ça ne peut pas s'expatrier, et ça dépend du pouvoir pour - notamment - l'attribution des fréquences de téléphonie portable: un FAI, ça ferme sa gueule ou ça démi ferme tout court.
Pour qu'un "algorithme de détection de signal faible" soit un tant soit peu efficace (mouahaha), il faut qu'il traite tout le tas de données disponibles en vrac pour essayer d'en extraire quelque chose d'intelligible. Et pour le faire, il faut du DPI.
Il est probable, si on veut croire (re-mouahaha) les promesses du gouvernement, que seul un équivalent de PRISM soit imposé aux hébergeurs.
Tout comme il est quasi-certain que, côté FAI, on conservera boîte-noire, algorithme, et surveillance de masse. Et, que vos serveurs soient ou non hébergés en France, vous passerez toujours par votre FAI pour y acceder.
Et donc, quoi qu'en dise Bernard Cazeneuve (qui a sans doute un peu trop écouté les vendeurs de solutions de surveillance prêts à tout pour emporter le marché), on fera bien du DPI.
Ce qui nous amène au second point posant question: l'affirmation selon laquelle il n'y aura "pas de surveillance de masse".
We don't need no thought control
On est là, typiquement, dans une pure sémantique politicienne.
Pour n'importe quelle personne normale, dès lors que tous les échanges passent au travers de filtres gouvernementaux, il ne peut s'agir d'autre chose que de surveillance de masse, et ce quel que soit l'usage qui sera fait de ces filtres.
Pour un politicien qui veut défendre son bout de gras, cependant, c'est cet usage qui va définir si oui ou non on pèche "au chalut" ou "au harpon": selon lui, du moment qu'il ne fait que regarder tout ce que nous faisons sans rien en faire (pour le moment) sauf si ça touche au terrorisme, alors il ne s'agit que de pèche au harpon.
Pur artifice de langage, qu'on peut traduire en français courant par "je regarde tout ce que tu fais, mais promis je te surveille pas". Ou, pour rester dans la métaphore chalutière, "pour savoir où planter le harpon, il faut d'abord utiliser le sonar".
Accessoirement se pose une question rigolote : un fonctionnaire qui découvre un crime ou un délit - même s'il n'a rien à voir avec le terrorisme - est tenu d'en informer les autorités judiciaires. Est-ce que l'algorithme du gouvernement est considéré comme un fonctionnaire ? Si oui, évitez de sortir des clous de quelque manière que ce soit, puisque vous serez poursuivis selon le bon-vouloir d'une machine, réglée par le gouvernement alors en place.
On peut - naïvement - imaginer que le gouvernement n'a pas les compétences techniques pour comprendre que son projet implique l'usage de DPI: après tout sa seule faute aura été dans ce cas d'avoir pris conseil auprès de commerçants (souvenez-vous de la vraie-fausse intervention de Bluecoat à l'Assemblée) plutôt qu'auprès de scientifiques.
Mais on peut être certain qu'en matière de double-langage, Bernard Cazeneuve n'a de conseil à recevoir de personne.