CNCTR Le Coordonnateur national du renseignement et de la lutte contre le terrorisme a réussi à trouver un compromis avec les deux services de renseignement, qui rechignaient jusque-là à centraliser la surveillance de leurs logiciels espion auprès de la Commission nationale de contrôle des techniques de renseignement.
Libération révèle que l'Élysée a validé, fin décembre, un projet technique devant permettre, à l'horizon 2028, à l'autorité de contrôle des techniques de renseignement de mieux contrôler les logiciels espion de « captations de données informatiques ».
Moins connu que la plateforme nationale des interceptions judiciaires (PNIJ), créée pour centraliser l'ensemble des procédures d'écoutes judiciaires en France, le Groupement interministériel de contrôle (GIC) vise de son côté à centraliser les « techniques de renseignement » exploitées par les services de renseignement. Cet organisme est rattaché au Secrétariat général de la Défense et de la Sécurité nationale (SGDSN, lui-même rattaché à Matignon) et situé dans les sous-sols des Invalides.
Les « interceptions de sécurité » (du nom donné aux écoutes téléphoniques effectuées au profit des services de renseignement), les géolocalisations et demandes d'accès aux données de connexion, doivent ainsi être effectuées dans les locaux du GIC.
Ce faisant, la Commission nationale de contrôle des techniques de renseignement (CNCTR), l'autorité administrative indépendante chargée d'autoriser les demandes émanant des services français, peut également les contrôler, a posteriori.
Mais tel n'est pas le cas des caméras, micros et (surtout) logiciels espion de « captations de données informatiques ». Ils sont introduits lors de « visites domiciliaires » voire, pour certains chevaux de Troie, installés à distance, et ne sont pas centralisés au GIC, échappant donc au contrôle de la CNCTR.
4260 « captations de données informatiques » en 2022
Au printemps 2023, la CNCTR s'était en outre « ouvertement alarmée du décrochage entre l'augmentation, constante, du volume des données collectées par ces derniers et sa propre capacité à s'assurer de la légalité de ces récoltes », rappelle Libé.
« La commission est dépourvue des moyens de contrôle optimisés s'agissant des techniques les plus attentatoires à la vie privée ou permettant le recueil d'un volume important de données », déplorait la CNCTR dans son rapport annuel, publié mi-juin 2023.
La CNCTR déplorait de ne pouvoir les contrôler que dans les seuls locaux de la DGSI et de la DGSE, et dans un temps « nécessairement limité », soulignent nos confrères. Or, depuis 2018, les demandes de « captations de données informatiques » émanant des services de renseignement « ont augmenté de 38 %, pour atteindre un peu plus de 4 200 en 2022 ».
La CNCTR déplorait en outre un manque de vision d’ensemble sur « la cartographie des flux de données exploitées ». Elle plaidait un renforcement de ses pouvoirs, au motif que « si le contrôle de la CNCTR ne progresse pas, cela signifie qu’il s’affaiblit. Il ne saurait donc demeurer figé dans ses modalités ».
La DGSE avait réussi, comme nous l'avions raconté, à bloquer une précédente tentative législative visant à permettre à la CNCTR, via la loi de programmation militaire, un accès « permanent, complet, direct et immédiat » à ces techniques de renseignement.
Les trois techniques les plus intrusives ont bondi de 45 % à 157 %
Le sénateur socialiste Yannick Vaugrenard, membre de la Délégation parlementaire au renseignement (DPR) et du collège de la CNCTR depuis 2020, avait en effet expliqué lors de la commission mixte paritaire que « l’efficacité des écoutes traditionnelles, qui constituait le cœur du système de surveillance, se heurte au développement des messageries chiffrées ».
« Dans les trois dernières années, les écoutes ont diminué de 0,7 % et les services privilégient trois autres techniques plus intrusives qui ont bondi de 45 % à 157 % – la captation de paroles prononcées à titre privé ; la captation d’images dans un lieu privé ainsi que la captation et le recueil de données informatiques », avait-il précisé.
Le Gouvernement avait de son côté rétorqué qu'il demeurait « attaché aux contrôles sur place », qui « répondent à un besoin d’accompagnement et de contextualisation des motifs pour lesquels les renseignements contrôlés ont été recueillis et exploités ».
Évoquant des raisons « de méthode et d’efficacité », il estimait que « l’interprétation des résultats se fait de façon collégiale avec les agents des services » lors des contrôles sur place. En effet, « l’accès à distance priverait la CNCTR d’explications directes, pourrait induire la multiplication d’échanges ultérieurs et accentuer fortement la charge administrative que font peser ces contrôles sur les agents des services ».
En outre, « ces contrôles ont une vertu pédagogique pour les agents des services car ils sont l’occasion, pour la Commission, d’expliquer sa doctrine ainsi que ses attentes, et de contribuer à la bonne application du cadre légal. »
Le gouvernement évoquait également des raisons « d’ordre opérationnel et technique », eu égard aux « travaux et ressources à allouer », qui « soulèvent des difficultés techniques et opérationnelles importantes qui ne sauraient être prises à la légère ».
Il soulignait, enfin, des problèmes d’agenda, au motif que « ces évolutions ne sont, en tout état de cause, pas envisageables dans un futur proche alors que le Gouvernement demande à l’ensemble des services, et particulièrement à leurs directions techniques, d’être pleinement mobilisés pour assurer le bon déroulement des Jeux olympiques et paralympiques ».
Il arguait par ailleurs de « nombreuses améliorations des contrôles sur place, actions saluées par la CNCTR : formations des chargés de mission de la CNCTR aux outils techniques, mise en place de pré-contrôles… », et appelait à « dresser un bilan de ces actions, parallèlement à celui que le Gouvernement devra présenter au Parlement avant la fin de l’année 2024 sur la mise en œuvre de certaines dispositions expérimentales de la loi relative au renseignement ».
82 sites informatiques, 250 agents, 6 000 utilisateurs
L'Élysée n'en avait pas moins alors demandé, révèle Libé, au préfet Pascal Mailhos (Coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT)), de travailler à une solution alternative avec les directions techniques de la DGSE et de la DGSI.
En contrepartie d'une centralisation des « captations de données informatiques » dans les réseaux du GIC, ce dernier déploiera des plateformes déconcentrées aux sièges et dans les antennes des deux services de renseignement.
Un compromis « gagnant-gagnant » : les agents du renseignement devaient en effet jusqu'alors se rendre dans les locaux du GIC pour retranscrire les écoutes ou éplucher les données de connexion de leurs « cibles ».
Reste à déployer ces infras, « à échéance de 2027 ou 2028, l'affaire posant indéniablement de gros enjeux de sécurité informatique », souligne Libé. Notre confrère note en outre que « le budget et les effectifs, eux, restent à négocier ».
« Le chantier n’est pas mince », renchérit Le Monde : « prévu pour durer quatre ans, il conduira à la construction de data centers, de circuits sécurisés, et mettra fin à la dispersion sur le territoire d’une quarantaine de centres de stockage de ces données ».
Dans son rapport annuel 2022, le SGDSN expliquait que le GIC avait « installé plusieurs centaines
de postes de travail sur ses 82 sites informatiques », qu'il dénombrait 250 agents, et 6 000 utilisateurs, et qu'il serait doté début 2024 d'un nouveau bâtiment « situé en proche banlieue » afin d'accompagner sa montée en puissance et l'accroissement de ses effectifs.
Le GIC vient de son côté de publier une offre d'emploi de « directeur de programme interministériel de centralisation d’une technique de renseignement, marqué par une forte dimension informatique ». Rattaché directement au sous-directeur technique du GIC, il devra piloter le programme « en liaison permanente avec les directions techniques des services de renseignement », et sera basé à Montrouge, dans le nouveau bâtiment qu'évoquait le SGDSN.
Commentaires (0)