Le cadeau de Noël du gouvernement aux internautes : la surveillance
Le 24 décembre, Matignon a publié un décret sur une mesure très contestée permettant aux agents de l’État de surveiller le Net français. Habile.
C’est un cadeau de Noël dont les internautes et les opérateurs français se seraient bien passés. Le gouvernement a publié mercredi 24 décembre, à la faveur des fêtes de Noël, le décret d’application du très contesté article 20 de la loi de programmation militaire (LPM). Ce texte prévoit un accès très vaste des services de l’État aux télécommunications (téléphone, SMS, Internet, etc.) des Français, et à toutes les informations qui transitent par les réseaux nationaux.
La mesure de surveillance, pudiquement nommée « accès administratif aux données de connexion », avait été votée fin 2013 et entrera en vigueur le 1er janvier 2015. Dénichées par notre excellent confrère Next INpact, qui évoque « un décret qui sent le sapin », ce sont les modalités de sa mise en œuvre, tout aussi importantes, qui ont été dévoilées pour Noël.
Comme dans de nombreuses démocraties, le spectre terroriste permet au gouvernement de faire passer des mesures très floues et de tirer pleinement parti des systèmes d’information de plus en plus performants afin de surveiller la population.
Qui chapeaute le système ?
Le décret du 24 décembre présente « le groupement interministériel de contrôle […], un service du Premier ministre chargé des interceptions de sécurité et de l’accès administratif aux données de connexion ». Ce groupement est chargé de centraliser les demandes des agents et de les transmettre aux opérateurs concernés, en les épurant de toute information sensible.
En effet, si les services de l’État doivent justifier leurs requêtes auprès du Premier ministre (qui nomme une « personnalité qualifiée »), il est hors de question de transmettre ces explications aux opérateurs. Les fournisseurs d’accès ne sauront même pas de quel service ou ministère émane une demande, ni à quelle date elle a été formulée.
Quelles données sont concernées ?
Sans surprise, le décret se réfère à l’article 20 de la LPM, sans vraiment le préciser. Peuvent donc être interceptés les « informations ou documents traités ou conservés par les réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications ».
On notera l’utilisation de la formule « y compris », qui n’est aucunement exhaustive : difficile de faire plus vaste.
Un contrôle démocratique insignifiant
Face aux critiques sur l’intrusion dans la vie privée, le gouvernement invoque la Commission nationale de contrôle des interceptions de sécurité (CNCIS), un organe très joli sur le papier mais qui n’a jusqu’à présent pas été doté d’un réel pouvoir. Cette commission « dispose d’un accès permanent aux traitements automatisés », et « l’autorité ayant approuvé une demande de recueil d’informations ou de documents fournit à la commission tous les éclaircissements que celle-ci sollicite », promet le décret, plein de bons sentiments.
Néanmoins, la CNCIS n’a toujours pas le pouvoir de sanction et ne peut même pas alerter la justice en cas de manquement sur un dossier couvert par le secret de la défense nationale. Habile…
Par ailleurs, le gouvernement se protège en supprimant ses archives en un temps record. Si l’on peut saluer la suppression des informations et des fichiers recueillis au bout de trois ans, on ne peut être que surpris par le fait que les registres mentionnant qui a autorisé telle ou telle surveillance soient eux aussi « automatiquement effacés » après trois ans. Le seul contrôle démocratique possible lorsqu’on jongle avec le secret défense, celui qui s’effectue a posteriori, est donc rendu impossible, pour la CNCIS comme pour la justice.
À quel prix ?
« Les coûts supportés par les opérateurs pour la transmission des informations ou des documents font l’objet d’un remboursement par l’État », précise le décret. Pas un mot sur la grille tarifaire qui sera appliquée, car ils seront définis par les ministères concernés.
Qui peut demander les informations ?
Trois ministères sont habilités à émettre des demandes. Le décret détaille le nombre impressionnant de services pour lesquels les vannes du Web français sont ouvertes :
• Au ministère de l’Intérieur : la Direction générale de la sécurité intérieure (DGSI), la Direction générale de la police nationale (unité de coordination de la lutte antiterroriste, Direction centrale de la police judiciaire, Direction centrale de la sécurité publique, Direction centrale de la police aux frontières), la Direction générale de la gendarmerie nationale (sous-direction de la police judiciaire ; sous-direction de l’anticipation opérationnelle ; service technique de recherches judiciaires et de documentation ; sections de recherches), la préfecture de police (Direction du renseignement ; direction régionale de la police judiciaire ; service transversal d’agglomération des événements ; cellule de suivi du plan de lutte contre les bandes ; sûreté régionale des transports ; sûretés territoriales).
• Au ministère de la Défense : la Direction générale de la sécurité extérieure (DGSE), la Direction de la protection et de la sécurité de la défense, la Direction du renseignement militaire.
• Au ministère des Finances et des Comptes publics : la Direction nationale du renseignement et des enquêtes douanières, le service de traitement du renseignement et d’action contre les circuits financiers clandestins.
Dans tous ces services, seuls les agents et officiers « dûment habilités » par leur directeur pourront réclamer des informations, assure le décret.
Des perspectives inquiétantes
La loi de programmation militaire a mis en place un outil de surveillance de la population française qui aurait fait pâlir d’envie les pires dictateurs de l’histoire. Si nous sommes très loin d’un régime totalitaire en France, il n’est pas exclu que des leaders extrémistes disent demain merci au gouvernement Valls pour leur avoir fourni un tel outil clé en main.
Publié par des larbins de la maison Poulaga (Guerric Poncet, LePoint.fr, 26 décembre 2014) via Brèves du désordre, 29 décembre 2014
Le SS7, le réseau des opérateurs qui permet de surveiller vos téléphones portables
Grâce à quelques lignes de code informatique, il est facile de localiser en temps réel votre téléphone portable, d’intercepter vos appels ou vos SMS, et ce depuis n’importe quel point du globe. C’est le constat pour le moins alarmiste de deux chercheurs en sécurité qui ont présenté leurs travaux, samedi 27 décembre, au Chaos Communication Congress, à Hambourg (Allemagne).
Cette possibilité est offerte aux agences de renseignement, à des entreprises ou à de simples individus grâce au réseau SS7. C’est ce réseau, interne aux opérateurs de téléphonie mobile, qui permet à ces derniers de diriger appels et SMS vers leurs clients, même quand ceux-ci se trouvent dans un autre pays. C’est en effet par le biais du SS7 que les opérateurs des deux pays échangent les informations nécessaires, notamment pour localiser l’abonné.
En théorie, l’accès au réseau SS7 est réservé aux opérateurs de téléphonie. Dans les faits, de nombreuses entreprises et individus peuvent s’y connecter : même si l’exploitation des failles de SS7 n’est pas à la portée du premier venu, elle ne présente pas de difficultés techniques majeures, ce qui inquiète beaucoup les experts.
« À partir du moment où vous avez accès au réseau, il n’y a quasiment plus aucun mécanisme de sécurité » explique Tobias Engel, l’un des deux chercheurs s’exprimant sur le sujet à Hambourg. Résultat : il est possible de se faire « passer » pour un opérateur et accéder à des informations concernant une majorité de détenteurs de téléphone mobile dans le monde.
La localisation est « très facile »
Pour Karsten Nohl, le deuxième chercheur, qui travaille au sein de l’entreprise allemande Security Research Lab, les principaux risques pour l’utilisateur sont sa localisation, qui peut être « très précise » et l’interception de ses appels et de ses SMS. « La localisation, par exemple, est très facile à mettre en œuvre » explique-t-il.
Lors de sa conférence à Hambourg, Tobias Engel a présenté les résultats d’une expérience. Il a localisé pendant plusieurs jours, dans plusieurs pays, les téléphones mobiles de certaines de ses connaissances, tous volontaires. A l’écran, des petits points représentent chacun des téléphones et dessinent avec précision les trajets des uns et des autres, y compris lorsque ces derniers se trouvent à l’autre bout du monde. Plusieurs entreprises américaines fournissent même ce service de localisation des téléphones à leurs clients, comme l’a récemment détaillé le Washington Post.
L’interception des appels n’est guère plus compliquée. Sur scène, Karsten Nohl a également mené une petite expérience, en appelant à deux reprises un même numéro de téléphone. Après un premier essai, il a manipulé le réseau SS7 à l’aide de quelques lignes de code, une opération de quelques secondes seulement. Lorsqu’il a renouvelé l’expérience, c’est un autre téléphone qui a sonné. Il aurait été simple, a-t-il expliqué, de remplacer ce deuxième téléphone par un ordinateur, lui permettant de transférer ensuite l’appel au numéro original en enregistrant au passage la conversation. La même opération peut être facilement reproductible pour les SMS, rendant, par exemple, les mécanismes de sécurité bancaire qui reposent sur des SMS – et qui sont présentés comme très fiables – complètement caducs.
Une application pour évaluer les risques
Les options offertes aux utilisateurs sont maigres. Tobias Engel ironise : « Il n’y a que deux solutions pour l’utilisateur. Avertir son opérateur, mais je ne suis pas certain qu’un appel à la hotline fonctionne, ou se débarrasser de son téléphone. »
Mais pour éviter de devoir en arriver là, M. Nohl a annoncé, à l’occasion de sa conférence, le lancement de SnoopSnitch, une application gratuite permettant notamment de détecter si un utilisateur est surveillé via le réseau SS7. « Vous recevez des avertissements dès que quelque chose sort de l’ordinaire », résume-t-il. « Par exemple, si je réclame à votre opérateur votre localisation à travers le réseau SS7, votre téléphone est sollicité mais rien ne se passe pour vous. L’application vous avertit si un tel événement se produit ». Cet outil permet aussi de détecter certains types d’interception.
L’application collecte des données tout au long de la journée, « comme un antivirus que les gens ont sur leur ordinateur ». L’utilisateur peut ensuite choisir de partager ces données avec Security Research Lab pour alimenter une carte, GSMMap.org.
Le but ? « Repérer les zones où se concentrent les problèmes, notamment si plusieurs membres d’un même groupe politique reçoivent les mêmes alertes, ou si plusieurs alertes sont émises au même endroit. Bien sûr, nous ne nous attendons pas à ce que la plupart des menaces soient détectées en Europe » précise M. Nohl.
Des questions encore en suspens
Cette application ne permet toutefois que de détecter une éventuelle surveillance, pas de la contrer. Le lancement de l’application SnoopSnitch ne doit donc pas faire oublier les questions posées par la sécurité du réseau SS7.
Quelques correctifs ont récemment été mis en œuvre sur le réseau, surtout en Europe. Cela n’a fait que compliquer, sans l’empêcher, la tâche de ceux qui utilisent les failles du réseau, explique M. Engel, qui résume de façon lapidaire : « Avant, votre opérateur laissait la porte de votre maison ouverte et en indiquait le chemin. Aujourd’hui, la porte est toujours ouverte mais le chemin n’est plus indiqué ».
L’âge de ce réseau, mis en place aux débuts de la téléphonie mobile il y a plus de vingt ans, est la première explication à ces failles. M. Nohl détaille : « Il ressemble à Internet avant les années 90, avant qu’il y ait des pare-feux, lorsque tous les ordinateurs connectés au réseau étaient accessibles de tous. Ce n’est plus le cas. Internet était aussi un vieux réseau qui n’avait pas été conçu dans une optique de sécurité. On l’a réparé ! On peut le faire avec SS7 ».
À qui profite le crime ?
Mais l’âge n’est pas la seule explication à ces défaillances de sécurité, selon M. Engel. « Beaucoup d’acteurs qui connaissent et utilisent ces failles n’ont aucun intérêt à les rendre publiques » affirme le chercheur. Difficile pour autant de savoir qui utilise réellement ce réseau à des fins de surveillance, tempère M. Nohl, qui précise qu’« il n’y a pas de statistiques ». « Ce que l’on sait c’est que des entreprises clientes d’agences de renseignement abusent de SS7 ».
Selon lui, certains documents soustraits à la NSA par Edward Snowden suggèrent même que l’agence de renseignement américaine profite de la faiblesse de SS7. M. Engel abonde en ce sens : « Quelqu’un travaillant au sein d’un opérateur téléphonique ukrainien m’a dit que plusieurs de ses abonnés étaient surveillés depuis la Russie, via SS7 ».
Mais l’espoir de voir les failles de ce réseau corrigées à court terme est bien maigre, explique M. Engel : « Il y aura du changement s’il y a une indignation publique, des gens qui se font vider leur compte en banque, ou des hommes politiques qui se font surveiller leur téléphone.
Martin Untersinger, envoyé spécial à Hambourg, LeMonde.fr, 29 décembre 2014, mis à jour le 30 décembre