Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

La vie privée et le train de 17h49

Les défenseurs des libertés ont toujours un train de retard

Lorsqu'un projet de loi vous semble être la manifestation d'une dystopie, si vous pensez que des libertés individuelles sont attaquées par ce texte, partez du principe qu'il vient simplement légaliser une situation préexistante. Et inquiétez-vous de ce qui est déjà en cours, forcément pire.

Interceptons, il en restera toujours quelque chose - Midjourney - CC

La thématique de la vie privée revient sur le devant de la scène médiatique épisodiquement. Parfois à l'occasion d'un scandale comme celui de « Pegasus », parfois lorsque le législateur se penche sur un projet de loi. En ce moment, Pegasus revient à la Une avec un documentaire diffusé sur Arte et le barreau de Paris fustige dans un communiqué de presse la loi d’orientation et de programmation du ministère de la justice 2023-2027 qui prévoit, entre autres choses, la possibilité d'activer le micro et la caméra des appareils électroniques sans le consentement de leurs propriétaires. Le combo... Il n'en fallait pas plus pour que tous les défenseurs des libertés individuelles s'offusquent et que les papiers inspirés, écrits par les meilleurs journalistes spécialisés, fusent.

Avec Pegasus, le logiciel de la société NSO, les services de renseignement d'ici ou d'ailleurs pouvaient prendre possession d'un téléphone portable sans que la cible n'en ait conscience. La liste des cibles s'allonge toujours aujourd'hui. Bien malin qui pourrait savoir où elle se terminera. Les armes numériques ont un défaut : elles se retournent toujours contre leur créateur et on ne sait jamais où elles atterrissent. Nous avons longuement disserté chez Reflets au fil des années sur les migrations fantômes de ces armes. Elles sont achetées dans des pays développés, finissent dans les pays les plus fâchés avec les droits de l'homme. Soit parce que nous les bêta-testons là-bas, soit parce qu'un revendeur les a finalement livrées à un pays B qui les a revendues à un pays C qui lui-même...

Les fabricants de ces armes sont le plus souvent situés dans des pays « démocratiques » (même si la tendance est à la délocalisation au Emirats, par exemple, pour éviter les problèmes liés à l'arrangement de Wassenaar). La légende veut que les pays démocratiques n'utilisent pas ces armes contre leurs propres ressortissants. Mais c'est une légende. D'une part il existe un cadre légal le permettant. D'autre part, ce cadre légal a tendance à se dilater chaque jour un peu plus pour finir par l'être comme jamais. Enfin, il existe une place de marché internationale du renseignement où les pays démocratiques peuvent récupérer les informations qu'ils n'ont pas le droit de récupérer (légalement). Cela a été démontré clairement dans les documents rendus publics par Edward Snowden. Nous vous en parlons depuis des lustres.

Le train de 17h49 à destination de la dystopie partira quai 9

La légende,... C'est une légende. La réalité est sans doute très différente. Les États démocratiques disposent des forces de police et de la Justice pour faire appliquer un contrat social voté par les représentants du peuple. Pourquoi donc auraient-il besoin de services de renseignement qui, par nature, ont une marge de manoeuvre pour opérer en dehors du cadre légal (à condition de ne pas se faire prendre comme ici ou ) ? Qu'il s'agisse des renseignements intérieurs ou extérieurs, les services « secrets » ont une latitude pour agir en dehors d'un cadre légal. Et leur recours aux armes numériques est connu de longue date. En France, la DGSI a longtemps utilisé les services de Vupen. Il est fort probable qu'elle fasse désormais appel à ceux de Zerodium qui lui a succédé et à d'autres sociétés du même acabit.

Ce que les services ont mis en place depuis le milieu des années 2000, et selon les descriptions qui nous en ont été faites au fil des ans, dépasse largement la fiction. La blague lancée par Bernard Barbier, l'ancien patron de la direction technique et de l'innovation, reprise par les politiques comme Jean-Jacques Urvoas et selon laquelle en France on pêche au harpon, pas aux chalut, est... Une blague pas drôle.

Nous vous avions parlé de IOL (notre plus beau flop journalistique). L'infrastructure technique de base pour intercepter tout ce qui transite dans le domaine résidentiel est en place depuis 2009. Depuis, tout cela s'est très lourdement amélioré. Sans que nous puissions valider ces informations, plusieurs sources nous ont parlé de passage à la moulinette de l'ensemble des mails des Français (probablement les métadonnées), d'accès complet aux requêtes DNS des opérateurs, de fichage systématique et très approfondi de tous les téléphones portables qui se connectent sur un réseau en France, d'IMSI catchers positionnés dans les aéroports, les gares et même les centres commerciaux. C'est dire l'étendue de la défiance de l'exécutif vis-à-vis de la population.

Les défenseurs des libertés publiques ont toujours un train de retard. Les propositions de loi « liberticides » ne viennent que rendre légales des pratiques illégales existantes. À tel point que les services de renseignement ont soufflé une expression aux politiques lorsque cela chauffe un peu trop : « les pratiques alégales ». Une façon de ne pas employer le mot qui fâche dans un État démocratique : illégal. Car de fait, tous les étudiants en droit de première année le savent. Une pratique est soit légale, soit illégale. Il n'existe pas d'entre-deux. Et c'est tant mieux.

Et si on déclenchait le micro et la caméra ?

Le barreau de Paris s'est ému dans un communiqué de presse du fait que la loi d’orientation et de programmation du ministère de la justice 2023-2027 déposée au sénat le 3 mai 2023 comporte la possibilité d'activer à distance le micro et la caméra des appareils électroniques sans le consentement des personnes écoutées. Le barreau ne manque pas d'expliquer qu'il s'agirait d'« une atteinte particulièrement grave au respect de la vie privée qui ne saurait être justifiée par la protection de l’ordre public ». Mais c'est surtout pour leur pomme que les avocats plaident : « en outre, le projet n’interdit pas, par leur collecte, l’écoute des conversations dans son cabinet, entre l’avocat et son client, même si leur transcription est prohibée. Il s’agit-là d’une atteinte inadmissible et contraire au secret professionnel et aux droits de la défense ». D'ici à ce qu'on leur fasse un nouveau Bismuth version 2.0 sans les avertir...

 Loi d’orientation et de programmation du ministère de la justice 2023-2027 - Copie d'écran
Loi d’orientation et de programmation du ministère de la justice 2023-2027 - Copie d'écran

On a là une très belle illustration de cette lutte désespérée des défenseurs des libertés individuelles qui se battent contre des moulins à vent. Cette possibilité de déclencher le micro et la caméra des téléphones est déjà utilisée, selon plusieurs de nos interlocuteurs. À ce détail près qu'il faut être proche de la cible, ce qui en limite l'utilisation. Mais..., il y a un mais...

Cette méthode nous est décrite dans le cadre d'un outil de pêche au chalut (très global). Pour la pêche au harpon, nul besoin d'être proche de la cible. Où l'on retombe dans les outils comme Pegasus et autres armes numériques fabriquées à l'époque par Vupen ou aujourd'hui sur la base de zero-days vendues allègrement et sans le moindre contrôle digne de ce nom par les différentes plateformes de bug bounty.

Midjourney (sous LSD sans doute) imaginant un système illégal d'interception des communications - Midjourney
Midjourney (sous LSD sans doute) imaginant un système illégal d'interception des communications - Midjourney

Depuis 2011, Reflets fait de la pédagogie sur ce que les nouvelles infrastructures techniques permettent de faire en matière d'interceptions massives. Au début, bien sûr on nous traitait de « blog complotiste ». Puis sont arrivés nos détails sur Amesys et les révélations sur la base des documents fournis par Edward Snowden. Nous n'étions plus complotistes, il suffisait de faire comme si nous n'existions pas. Comme Jean-Jacques Urvoas lorsque nous lui avons posé une question dans un événement où il était l'invité d'honneur.

Depuis 2011, date à laquelle nous avons appris que la France avait vendu à Kadhafi, un dictateur sanguinaire, un système permettant d'intercepter toutes les communications du pays, rien de ce qui a été révélé dans le domaine des interceptions ne nous a étonné. Rien qui nous ait fait lever un sourcil. La réalité est pire que ce qui est décrit dans la presse. À chaque loi aggravant la situation, on nous a dit que c'était pour sortir de pratiques alégales. C'est bien qu'à chaque fois, on légalise une pratique alégale et qu'une nouvelle pratique illégale est déjà en place pour être légalisée au prochain texte... En outre, il faut partir du principe que lorsqu'une technologie rend une pratique possible, elle a été déployée. Si le commun des mortels (sans bagage technique) n'a pas idée de l'étendue desdites technologies et ne sait donc pas dans quel environnement nous évoluons, ceux qui maîtrisent les outils techniques ont une vision plutôt claire : c'est tout simplement effrayant.

2 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée