Connexion
Abonnez-vous

6 000 comptes informatiques sont connectés aux « grandes oreilles » du renseignement

GIC lab

6 000 comptes informatiques sont connectés aux « grandes oreilles » du renseignement

Le 22 août 2022 à 09h44

Le rapport annuel du Secrétariat général de la défense et de la sécurité nationale (SGDSN) lève (un peu) le voile autour du mystérieux Groupement interministériel de contrôle (GIC), l'organisme dépendant du Premier ministre en charge des « interceptions de sécurité » (du nom donné aux écoutes téléphoniques effectuées pour les services de renseignement) et autres techniques de renseignement.

Le rapport d'activité 2021 du SGDSN indique qu'au 31 décembre 2021, le GIC employait 258 agents (contre 235 fin 2020, et 132 en 2015) :

« Alors qu’il a connu des mouvements de personnels importants en 2021 (24 %) et procédé à près d’une cinquantaine de recrutements, l’atteinte de la cible des effectifs demeure une préoccupation permanente pour assurer la plénitude des missions. Les compétences recherchées relèvent principalement du domaine de l’informatique, des réseaux, des télécoms et de la cybersécurité. »

L'organigramme du SGDSN précise que l'Opérateur des systèmes d’informations interministériels classifiés (OSIIC), créé en 2020, en employait de son côté 274, et l'ANSSI 573. Des chiffres qui éclairent un peu plus l'activité du GIC, les problématiques et enjeux auxquels il est confronté, que nous avions déjà commencé à décrypter à l'occasion de la publication du dernier rapport de la Commission nationale de contrôle des techniques de renseignement (CNCTR) :

Sur un marché de l'emploi très tendu, le SGDSN souligne que, « fait rare au sein de l’État, le GIC dispose d’équipes de développeurs au plus près du noyau Linux, des développeurs back, front ou fullstack d’applications métiers sur des technologies cloud-native (kubernetes, bus kafka, microservices, authentification SSO), ainsi que des data engineers et des data scientists compétents en technologies Big Data (Hadoop, Elastic Search...). »

Reste que « pour tous ces métiers en tension, le recrutement de nouveaux agents et leur fidélisation constituent la priorité du GIC en 2022 ». On se reportera également, à ce titre, aux articles que nous avions par ailleurs consacrés aux offres d'emploi des deux principaux services de renseignement français.

Une nouvelle « boîte noire », dédiée aux URLs

Le rapport de 40 pages du SGDSN n'y consacre que 2 au GIC. On y apprend notamment que son activité opérationnelle « s’est une nouvelle fois accrue en 2021 » : 

« Elle a augmenté de 10 %. Chaque jour, le GIC a traité 350 demandes, a exercé son pouvoir de réquisition auprès des opérateurs ou fournisseurs de communications électroniques des milliers de fois et a validé 1 100 transcriptions. »

En matière de lutte contre le terrorisme, le GIC a en outre poursuivi la mise en œuvre des algorithmes (les fameuses « boîtes noires » de la loi renseignement de 2015), et « lancé en octobre les travaux pour étendre ces traitements aux données Internet, au terme d’un cadrage entamé dès l’été 2020 ».

Pour rappel, ces algorithmes, qui nous avaient été présentés par ses détracteurs comme susceptibles de permettre « une interception de l'ensemble des données de tous les citoyens français en temps réel sur Internet », étaient jusqu'à l'an passé limités au nombre de 3, et cantonnées aux seules métadonnées téléphoniques. 

Ils avaient permis de générer 1 739 alertes en 2020 (nous ne disposons pas, à notre connaissance, de chiffres plus récents), entraînant autant de levées d’anonymat de personnes ayant ainsi été identifiées pour des « comportements suspects » à partir de l'analyse algorithmique de leurs métadonnées téléphoniques.

Un 4e algorithme a depuis été validé pour permettre de l'étendre à la surveillance des URLs, sans que l'on comprenne cela dit comment cela serait possible, les URLs étant très majoritairement chiffrées depuis que le trafic https s'est généralisé suite aux « révélations Snowden », ne permettant la surveillance que des seuls noms de domaine, et pas le reste des URLs.

Tout juste avions-nous appris que le GIC avait estimé que « ces évolutions nécessitent un renfort de 25 équivalents temps plein », et que « le coût d’adaptation de l’architecture technique est évalué à 20 millions d’euros pour l’achat et la mise en œuvre des dispositifs techniques et de 4 millions d’euros annuels pour leur maintien en condition opérationnelle. »

2 000 postes de travail, 6 000 comptes informatiques

Le GIC aurait également étendu l’exercice de ses réquisitions auprès de nouveaux interlocuteurs, tels que des hébergeurs, des opérateurs de communications par satellite et des opérateurs ultra-marins, ouvert un nouveau « centre d’exploitation des interceptions de sécurité », et entièrement déménagé et modernisé une autre de sa quarantaine de centres d’exploitation disséminés sur le territoire, « sans interruption d’activité ».

Au total, son système d'information serait « déployé sur près de 70 sites », entre la quarantaine d’emprises du GIC, à Paris, en métropole et outre-mer, et les unités qui y sont connectées depuis les QG des différents services habilités à mettre en œuvre des techniques de renseignement. 

Le rapport 2019 - 2020 du SGDSN avançait que « 4 000 utilisateurs accèdent aux systèmes d’information protégés du GIC ». Le rapport 2021 évoque quant à lui « 2 000 postes de travail déployés, 6 000 comptes informatiques actifs », et 413 formations dispensées aux agents des services exploitants sur l’utilisation des applications du GIC.

Dans le domaine du renseignement, le GIC précise avoir procédé à « plusieurs coopérations techniques » avec les services de renseignement, « notamment sur l’affaire NSO Pegasus », ainsi que sur le traitement automatique du langage.

Le GIC ne se contente pas de mettre en œuvre et contrôler les techniques de renseignement : en parallèle de ses activités opérationnelles et techniques, il a ainsi adressé sept mémoires à la formation spécialisée du Conseil d’État chargé des contentieux en matière de techniques de renseignement, « qui a rendu en 2021 sept décisions favorables au Premier ministre ».

Il a en outre « largement contribué à l’élaboration du projet de loi PATR » du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, « puis à la mise en œuvre de la loi dès son entrée en vigueur ».

L'an passé, le GIC expliquait avoir consommé 29,1 M€ de crédits de paiement (CP), « hors fonds spéciaux ». Cette année, il précise avoir exécuté son budget 2021 à 98 % et, « en suivant les recommandations de la commission de vérification des fonds spéciaux », poursuivi la bascule sur fonds budgétaires de droit commun de dépenses autrefois effectuées en fonds spéciaux, et « restitué des fonds spéciaux au dernier trimestre ».

Le programme 129 de Coordination du travail gouvernemental du projet de loi de finances (PLF) 2021 précise que le GIC a bénéficié de 9,5 M€ de CP pour ses dépenses de fonctionnement, plus 7,4 M€ de CP de dépenses d’investissement, soit 16,9 M€.

Le PLF 2022 lui a octroyé 11,8 M€ de CP de dépenses de fonctionnement, plus 7 M€ de CP de dépenses d’investissement, soit 18,8 M€ (+ 11 %). L'an passé, le GIC précisait en outre se préparer à « adopter un fonctionnement nouveau, dans des conditions optimales », à mesure qu’une partie de ses agents occupera un nouveau site qui se substituera à la deuxième emprise parisienne du GIC en 2023. Le rapport 2021 n'en parle pas.

Whisky, Café, Thé, Icetea, Heineken, Vodka, Coca, etc.

L'an passé, lors d'une visite guidée, Libé avait narré une démonstration, faite « via une version fonctionnant sur des données fictives, de l’application qui extrait la substantifique moelle des métadonnées recueillies lors des écoutes » : 

« Sur l’écran d’accueil s’affichent les pseudos des "objectifs" d’un même "exploitant" : "Orangina", "Get27", etc. Un clic sur un pseudo, et apparaît un tableau de bord de l’activité numérique de la cible : expéditeurs et destinataires des derniers appels, SMS et MMS reçus et émis, mais aussi correspondants les plus fréquemment contactés, sites web les plus consultés, protocoles de communication les plus utilisés. »

En 2015, lors d'une précédente visite guidée, L'Obs précisait en effet que « les agents ne travaillent pas sur le nom réel de la cible mais sur son pseudo. Pas de Jean Dupont mais "Ecureuil", par exemple ».

De fait, le rapport du SGDSN est illustré par une capture d'écran du tableau de bord et de synthèse de l'un des outils d'exploitation des communications électroniques (contenus et métadonnées) collectées par le GIC, dont on distingue le logo en haut à droite, accompagné d'une ribambelle de pseudos reposant sur des noms de boissons. 

Nous n'avons pas, par contre, pu identifier à quoi correspond le rapace couleur or figurant en haut à gauche, sinon que le nom du logiciel (ou de son fournisseur, qui figure à sa droite), semble avoir été flouté.

GIC

La capture d'écran porterait sur les données allant du 1er mai 2022 au 8 juin... 2021 (signe qu'il s'agirait donc bel et bien de « données fictives »), « pour tous les dispositifs », laissant entendre que ce tableau de bord couvrirait tant les interceptions de sécurité que d'éventuelles autres techniques de renseignement (recueil et captation de données informatiques, recueils de données de connexion par IMSI catcher, géolocalisations, etc.). 

En vert : les appels émis, en mauve, les appels reçus, regroupés par jours de la semaine, et tranches horaires. Étrangement, nulle mention de SMS, alors qu'il totaliserait une centaine d'appels téléphoniques par jour.

Alors que les réseaux sociaux arrivent en avant-dernière position (juste devant... la physique théorique) des centres d'intérêt de Whisky, le nom de code de la cible du GIC, le top des sites visités indique qu'il aurait cela dit consulté, pendant cette période, Facebook 388 fois (à égalité avec leboncoin.fr) et Twitter 262 fois, contre 277 pour iTunes, 123 pour Google, et 23 pour Tor.com, pour un total de 2 510 sites web visités.

On y voit en outre un « graphe de relation » et que Whisky serait directement en relation avec 4 individus (Café, Thé, Icetea et Heineken) et, par extension, via ses autres relations à n+1 ou n+x, 6 autres individus identifiés (Fanta, Coca-Cola, Rhum, Gin, Orangina et Vodka), plus deux téléphones dont les identifiants ont, eux, été floutés, potentiellement parce que leurs utilisateurs n'avaient pas encore été identifiés.

Une capture d'écran qui ne permet pas vraiment de prendre la mesure de ce que peut vraiment faire le GIC, ni comment, mais qui semble confirmer ce qu'avaient avancé L'Obs et Libé. C'est la deuxième année consécutive que le SGDSN communique de la sorte au sujet du GIC, ce qu'il n'avait semble-t-il jamais fait jusqu'alors.

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Le logo, ce n’est pas simplement une chouette, symbole du GIC ?

votre avatar

leur exemple est quand même complètement pourri, j’imagine pour ne pas faire trop peur aux gens.
Whisky a un compte facebook, un compte twitter, un compte Google, et seulement 4 contacts direct et 6 indirects. à d’autres. :mdr:

votre avatar

« Sur un marché de l’emploi très tendu, le SGDSN souligne que, « fait rare au sein de l’État, le GIC dispose d’équipes de développeurs […] »



Reaaaallllyyy ?

votre avatar

(reply:2089667:doc herbst)


Pour une fois que c’est pas Capgemini, faisons au moins semblant d’être contents !



J’espère qu’ils payent mieux que l’ANSI

votre avatar

@Manach, tu sais que tu es sur la liste :D :mdr2: :langue:

votre avatar

Pour rappel, ces algorithmes, qui nous avaient été présentés par ses détracteurs comme susceptibles de permettre « une interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet », étaient jusqu’à l’an passé limités au nombre de 3, et cantonnées aux seules métadonnées téléphoniques.


Je trouve ce passage d’une incroyable (notamment en regard de l’auteur) mauvaise foi.



La loi cadre un objectif. Quand certains pointent du doigt l’objectif, serait-il possible de ne pas seulement regarder le doigt, voire le discréditer ?

votre avatar

”….. tous les citoyens français en temps réel sur Internet »



on aura compris !!! :fumer:

votre avatar

L’objectif n’a jamais été de permettre « une interception de l’ensemble des données de tous les citoyens français en temps réel sur Internet », ce qui est techniquement et financièrement impossible, au demeurant. Cf aussi Pour en finir avec la « surveillance de masse ».

votre avatar

Pourtant l’objectif d’une couverture mobile asymptotique et serrée autour de 100%, au nom du droit de communication, produit bien un ensemble d’équipements communiquants entre-eux sans action particulière de l’utilisateur et individuellement identifiés par adresse mac ou IMEI.



Quand bien même la granularité des données récupérables serait innoportune ou incomplète pour l’état, le privé, lui, a loisir de copier les méta-données qui transitent par son service (souvent par nécessité de fonctionnement) sans pâtir de ne plus respecter la bienséance du gentleman ou du facteur qui ne lit pas le courrier de ses pairs.



Puisque la responsabilité des actions des machines relève de ceux qui en ont la garde et qu’il n’existe pas encore (et on se demande quel jour cela pourrait être) de définitions règlementaires des périmètres techniques accordés par avance aux opérateurs, alors, par les moyens habituels du marché, la surveillance de masse n’est qu’une reconnaissance de ce que le secteur privé se permet déjà sans en rendre de comptes aux rares programmeurs ou ingénieurs ayant encore la dignité de leur titre universitaire.

votre avatar

Une surveillance de tout le monde en permanence, peut-être pas (quid des boites noires, alors ? il y a bien une recherche de collecte de masse/indiscriminée), mais une surveillance ciblée arbitraire (contrôle a posteriori… quand il y en a un de prévu) en temps réel, oui.



Cela adossé à la définition floue de ce qui qualifie la nécessité de cette surveillance, et les sueurs froides sont bien là.

votre avatar

hellmut a dit:


leur exemple est quand même complètement pourri, j’imagine pour ne pas faire trop peur aux gens. Whisky a un compte facebook, un compte twitter, un compte Google, et seulement 4 contacts direct et 6 indirects. à d’autres. :mdr:


Ha ben c’est sûr que le graphe est simplifié pour la démo. Sinon, à mon avis les noms correspondent uniquement aux contacts effectivement surveillés. Possible qu’il y ai un filtrage pour afficher uniquement les contacts “sensibles” ou “non qualifiés” qui exclue de fait les contacts “sans risque” déjà identifiés au prélable.



En revanche, il semble manquer une épaisseur de lien variable en fonction des volumes d’interactions, ça améliorerait vachement la lecture du schéma…

votre avatar

Bonjour manhack et à tous.



Je me permets une intervention un peu technique au sujet de la phrase suivante:



les URLs étant très majoritairement chiffrées depuis que le trafic https s’est généralisé



Il me semble que HTTPS (qui encapsule une connexion HTTP via SSL/TLS) permette de chiffrer le contenu transmis à partir d’une page X ou Y, mais que néanmoins, l’URL elle-même n’est pas chiffrée par le protocole “S” de HTTPS:
l’URL, même consultée via HTTPS, reste (d’après ce que je comprends) lisible parmi les requêtes DNS que votre fournisseur d’accès (entre autres) peut lire facilement. En gros, pour moi, le contenu est chiffré grâce à HTTPS, mais l’adresse fréquentée reste connue (IRL: nous ignorons les conneries que vous avez faites dans tel bar, mais nous savons que vous y êtes allé).



D’où d’ailleurs l’avénement récent de technologies de “chiffrement des noms de domaines consultés”, telles que “DoH” ou “DNS over TLS”, mais c’est hors-sujet.



Là-dessus, c’est ce que je comprends de ces technologies, et ne demande qu’à être détrompé par les lecteurs qui s’y connaissent mieux que moi!

votre avatar

zizitist a dit:


Il me semble que HTTPS (qui encapsule une connexion HTTP via SSL/TLS) permette de chiffrer le contenu transmis à partir d’une page X ou Y, mais que néanmoins, l’URL elle-même n’est pas chiffrée par le protocole “S” de HTTPS: l’URL, même consultée via HTTPS, reste (d’après ce que je comprends) lisible parmi les requêtes DNS que votre fournisseur d’accès (entre autres) peut lire facilement. En gros, pour moi, le contenu est chiffré grâce à HTTPS, mais l’adresse fréquentée reste connue (IRL: nous ignorons les conneries que vous avez faites dans tel bar, mais nous savons que vous y êtes allé).


Je pense qu’il ne faut pas confondre l’URL et le nom DNS.



Le paquet HTTPS (donc, comme tu dis, HTTP over SSL) contient l’URL précise & complète.
Mais la requête DNS elle ne contient pas l’URL complète.



Comme tu le dis ça donne déjà une indication. Et ça permet au FAI de bloquer des sites (si l’on utilise le DNS du FAI).



Mais l’URL exacte n’est pas connue sauf de ton navigateur et du gestionnaire du site web (ou de l’opérateur global si il y a des proxy SSL frontaux ou des CDN dans le circuit)



C’est ce que je comprends de ça :
https://www.cloudflare.com/fr-fr/learning/ssl/what-is-sni/



Comme tu le dis, dans ce cadre précis DoH ou DoT permet de se protéger de cela, au prix de la confiance que tu as dans le fournisseur de DNS.
Typiquement, moi j’ai de gros doutes sur Cloudflare, que je n’imagine pas ne pas être noyauté par les autorités US vu son hégémonie.

6 000 comptes informatiques sont connectés aux « grandes oreilles » du renseignement

  • Une nouvelle « boîte noire », dédiée aux URLs

  • 2 000 postes de travail, 6 000 comptes informatiques

  • Whisky, Café, Thé, Icetea, Heineken, Vodka, Coca, etc.

Fermer