Nous révélons l’avant-projet de lettre rectificative du gouvernement. Cette mise à jour vient compléter le tout récent projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement », présenté le 28 avril dernier en Conseil des ministres.
Une rustine, ou « lettre rectificative », a été examinée cette semaine par le Conseil d’État. Nous avons pu obtenir une version antérieure à cette saisine pour avis. Pour mémoire, ce second texte vient « patcher » le projet de loi pour tenir compte notamment d’une jurisprudence de la Cour de justice de l’Union européenne et du Conseil d’État.
- Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque
- Comment le Conseil d’État a sauvé la conservation des données de connexion
Le projet de lettre rectificative que s’apprête à présenter le Conseil des ministres devrait être court. Dans la version que nous diffusons, moins d’une dizaine d’articles.
Des algorithmes pérennisés, étendus aux URL
Le cœur de ces nouvelles dispositions n’est pas une surprise : le texte met fin au caractère expérimental d’un outil introduit avec la loi Renseignement de 2015 pour détecter les germes de menaces terroristes sur les données de connexion électroniques. Ces « algorithmes » devaient en effet s’achever à la fin de l’année après déjà plusieurs reports.
Pour justifier la pérennisation de ce dispositif, l’Intérieur vante « sa pertinence opérationnelle, cette capacité de détection ne pouvant pas être remplie par aucun des moyens traditionnels des services de renseignement ».
Toujours pour le gouvernement, les actions terroristes sont « de plus en plus, le fait d’individus qui s’inspirent des messages de propagande qui émanent des organisations terroristes, incitant au passage à l’acte en fournissant les tutoriels pour leur réalisation, mais qui ne sont pas entrés en contact visible ou direct avec des organisations, réseaux ou groupes terroristes, échappant ainsi à toute capacité de détection par le biais d’une surveillance ciblée ».
Ces « boites noires » ne sont pas seulement pérennisées. Elles sont également étendues aux URL, ou « adresses complètes de ressources sur Internet », dixit le texte. Cette extension, susceptible de ne pas passer le cap du Conseil constitutionnel, permettra à ces traitements automatisés d’ingurgiter les contenus des informations consultées par les internautes. L’argument du ministère ? Alors que ces contenus « échappent aujourd’hui au champ d’application », « leur recueil permettrait de fournir des renseignements particulièrement utiles à la prévention du terrorisme ».
Même extension pour la surveillance en temps réel
Comme prévu également, le champ de l’article 851 - 2 du Code de la sécurité intérieure subit la même extension aux adresses.
Cet article met en œuvre non plus une recherche indiscriminée, mais une surveillance en temps réel des données de connexion d’une personne identifiée, susceptible d'être en lien avec de tels faits. La surveillance des URL pourra tout autant concerner son entourage, si les personnes qui le composent sont « susceptibles de fournir des informations » utiles.
Réforme de la conservation des données de connexion
Le Code des postes et des télécommunications subit également une réforme appelée par la jurisprudence du Conseil d’État. Elle concerne la conservation des données de connexion, jusqu’à présent généralisée et indiscriminée, mais qu’a plusieurs fois condamnée la Cour de justice de l’Union européenne.
Alors que la Cour constitutionnelle belge a tiré comme conséquences la destruction de l’édifice légal, le régime français a été maintenu à flot par le Conseil d’État en avril dernier, au prix d’un arrêt d’une quarantaine de pages et d’une gymnastique digne d’un contorsionniste.
En substance, le gouvernement déduit de cette décision un nouveau régime :
- Les opérateurs de communications électroniques doivent conserver toutes les informations relatives à l’identité des utilisateurs, jusqu’à l’expiration d’un délai de cinq ans après la fin de validité de son contrat
- Les autres informations fournies lors de la souscription d’un contrat ou de la création d’un compte, ainsi que les informations relatives au paiement, seront conservées pendant un an, comme aujourd’hui.
- Même délai de 12 mois, pour l’ensemble des données techniques permettant d’identifier l’utilisateur ou relatives aux équipements terminaux de connexion utilisés (adresses IP).
La conservation généralisée est donc maintenue par défaut pour ces trois séries de données, qui seront détaillées dans un décret en Conseil d’État. Dans l’hypothèse d’une menace grave, actuelle ou prévisible sur la sécurité nationale, le Premier ministre pourra enjoindre aux opérateurs « de conserver de manière générale et indifférenciée, pendant une durée d’un an, certaines catégories de données relatives aux communications électroniques ».
La grille de lecture de l'arrêt du 21 avril dernier ne nous semble pas être totalement respectée (nous y reviendrons).
Retenons aussi que c’est encore un décret qui définira le spectre de l'état de la menace, comme l’avait réclamé le Conseil d‘État. Avec une subtilité : le texte ne sera pas renouvelé tous les 6 mois mais pourra l’être autant de fois que nécessaire si les conditions prévues pour son édiction, à savoir la menace grave actuelle ou prévisible, continuent d’être réunies. Ce renouvellement sans fin n’aura toutefois aucune incidence sur la durée de conservation de chacune de ces données, fixée à un an.
Rappelons également que la notion de sécurité nationale est très vaste. Le Conseil d’État raccroche à ce train l’ensemble des finalités prévues par le Code de la sécurité intérieure (L.811 - 3 du Code de la sécurité intérieure) : cela concerne évidemment la lutte contre le terrorisme, mais également la défense ou promotion des intérêts majeurs de la politique étrangère ou encore des intérêts économiques, industriels et scientifiques majeurs de la France. Bref, du vaste, du large.
Pas d'avis conforme de la CNCTR
Le Conseil d’État avait par ailleurs exigé un « contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction », avant tout déploiement de certains outils de surveillance. Nous en avions rapidement déduit l’introduction d’un mécanisme d’avis conforme avant cette mise en œuvre.
Le choix opéré par l’exécutif est plus fin : la CNCTR continuera à émettre des avis simple. En cas d’avis défavorable de la Commission nationale de contrôle des techniques du renseignement, préalable à la mise en œuvre en France de n’importe quelle technique de recueil de renseignements, le Conseil d’État pourra être saisi. Il rendra le cas échéant sa décision dans les 24 heures.
Dans ce laps de temps, la décision d'autorisation à la surveillance du Premier ministre sera suspendue, « sauf en cas d’urgence dûment justifiée et si le Premier ministre a ordonné sa mise en oeuvre immédiate ». Une exception dans l’exception : ce régime d’urgence ne pourra être activé pour la technique de l’algorithme.
Transmission entre judiciaire et l’ANSSI en cas d’attaque informatique majeure
Le dernier article de la lettre rectificative dresse une passerelle entre le judiciaire et d’autres services, notamment l’ANSSI. La loi de programmation militaire de 2014 a ouvert la possibilité pour la France de répondre à une attaque informatique. L’article L 2321 - 2 du Code de la défense rend cette réponse informatique possible dès qu'est affecté « le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».
Et c’est notamment l’ANSSI qui se voit dotée de ce pouvoir, outre le service du commandement opérationnel de cyberdéfense de l'état-major des armées, la direction technique de la direction générale de l'armement, etc.
La lettre rectificative crée donc une incise dans le secret des procédures judiciaires. Elle ouvre la possibilité de transmettre à ces entités les éléments nécessaires à l’exercice de leur mission en matière de sécurité et de défense des systèmes d’information.
Un pont identique est créé avec les services du renseignement entre le Procureur de la République de Paris et les services du renseignement chargé « de la prévention de la criminalité et de la délinquance organisées ».
Lorsque les procédures font l’objet d’une information, précisons que ces communications sont conditionnées à l’avis favorable du juge d’instruction, qui peut de lui-même procéder à ces envois.
La lettre est susceptible d’avoir évolué depuis l’avis du Conseil d’État. Relevons que sont également attendus ceux de la CNIL, de l’ARCEP et de la CNCTR. Elle sera présentée officiellement la semaine prochaine.
Commentaires (14)
#1
Rien de mieux qu’un article comme ça pour commencer la journée x)
Darmanin a quand même cet incroyable pouvoir de me faire bouillir le sang en moins de 30 secondes, chaque décision de sa part menant un peu plus vers son sacro-saint 1984.
Mais trêves de plaisanteries, j’ai quand même une paire de questions.
est ce qu’on a une idée de comment il veut les récupérer, ces urls ? parce que les 3 derniers sites au monde qui restent en HTTP plain text, on s’en fout un peu. Du coup, hormis demander les logs aux sites (lol), je ne vois pas grand chose d’autre à part casser le SSL. Et ça, il en serait possible, le bougre…
cette rustine, il arrive en mode “hey mes petits potes à la compote, je vous ai pondu ça hier devant ‘Plus belle la vie sécuritaire’, donc vous me ferez le plaisir de le rajouter dans votre bouquin rouge là, le dalloz-j’sais-pas-quoi”, ou alors ça suit un circuit classique de validation ?*
il existe quelque part des stats/données/résultats de ce qui est collecté ? Et de l’utilité réelle que ça apporte ?
quelqu’un pourrait refaire du café svp ?
Have fun
ElCroco
* Le lecteur avisé se rendra compte que je n’y connais rien dans ce domaine ^^’
Edit : fix typos
Edit 2 : Merci Marc pour cet article qui, même si je vais encore m’énerver contre ma cafetière, est comme toujours clair et instructif
#2
« de plus en plus, le fait d’individus qui s’inspirent des messages de propagande
qui émanent des organisations terroristes, incitant au passage à l’acte”
ça…c’est le CONSTAT (on est, tous, d’accord avec…)
ET MAINTENANT, on fait QUOI contre ?…
#3
Les actions faciles :
L’accès aux journaux des serveurs DNS des FAI français ? (nom de domaine uniquement)
Demande aux propriétaires/hébergeurs/… d’ajouter aux données de connexions les URL complètes ?
Les actions plus compliquées :
Faire de l’écoute ciblée avec boîte noire sur le réseau : capture du trafic non chiffré, DNS et autres.
Les actions de la fin du monde :
Utilisation de proxy/rechiffrement du trafic SSL pour l’ensemble de l’internet Français (avec installation de certificat étatique obligatoire) comme cela peut se faire dans quelque pays malheureusement.
#4
C’est très simple : il suffit de faire le lien entre IP (ou DNS) et le poids de chaque flux qu’il est facile de mesurer en se connectant soi-même au site…
Les données collectées sont donc a priori le log des flux de paquets de chaque abonné. Avec un peu de méthode il est facile de statistiquement dire qui, à quelle heure, a consulté quelle page du web dont la version simple a préalablement été interpétée côté attanquant par un hash ou tout autre élément discretisant une page et permettant de comparer des choses comparables.
Même idée IRL : un facteur connaissant le poids de chaque article vendu par amazon peut savoir ce que tu achètes sans ouvrir le colis qu’il te livre. Si en plus tout est automatique la marge d’erreur est quasi-nulle…
#5
Le problème des algorithmes, c’est qu’ils ne rentrent pas dans les mosquées, qui sont les premiers lieux de radicalisation, bien avant l’internet. Quant à empêcher la consultation de sites terroristes, ça produira exactement l’effet inverse : plus on les poussera techniquement à se rendre invisibles, plus on aura de mal à suivre leurs traces ! Vouloir fliquer le net est un non sens absolu, mais pas étonnant venant de gens qui n’y comprennent rien au fonctionnement des NTIC, parce que tout simplement trop vaniteux pour apprendre.
Sinon c’est fou ce que je me sens en sécurité avec un gouvernement de terroristes, aux ordres d’une UE fasciste, dont la gestion de la crise sanitaire est depuis le début une ode consacrée aux labos US, reniant toute autre solution que le vaccin miraculeux consacré ! Plus de 100 000 morts au compteur et toujours aucune condamnation des charlots, qui traînent déjà des centaines de procès au derrière - c’est magnifique ! Rappelez moi déjà combien de morts en France a déjà fait le terrorisme islamiste pour comparaison ?
Et puis la vaccination a été tellement efficace en Israël que la première dose est déjà obsolète : il faut (déjà) passer à la suivante, mais avec un prix plus cher - business oblige ! Pendant ce temps là, l’UE s’offre une deuxième lot de pfizer en milliards d’€ sur notre dos, afin de pouvoir ensuite dire qu’elle n’a plus besoin des vaccins russes ou chinois, puisqu’elle aura déjà cumulé un stock de vaccins américains. Toute la libre concurrence résumée selon St Barnier !
Bref, la notion même de ce qu’est un terroriste demanderait quand même un certain éclaircissement, parce que la réduire aux seuls débiles mentaux qui passent à l’acte n’a plus aucun sens.
#6
Hmmm c’est assez approximatif comme technique non ? D’une part il faut connaître l’état exact d’une page à un instant T (par exemple, si c’est un forum, la taille va varier selon le nombre exact de réponses au thread et les éditions de posts à l’instant T). D’autre part, ça me paraît super facile à contourner côté fournisseur du contenu, en ajoutant un peu de commentaire HTML de longueur aléatoire, ce qui est ultra-simple à faire.
#6.1
Ce sont des attaques statistiques. Il y en existe sur les darknets du même ordre mais ce n’est manifestement pas cette cible difficile qui est visée.
La seule approximation reste le nombre de faux-positifs et la taille de l’échantillonnage “public”. Aussi je suppose que la collecte de masse, dans ce cas précis, reste très coûteuse même pour l’état Français… il y a donc un tri des sites webs à analyser a priori pour faire baisser le taux de faux-positifs en sortie de la technique comparative.
Les maths ont leurs limites… fort heureusement !
#7
Du même avis que Liam, et pour l’analogie avec la poste, c’est pour cela qu’il faut toujours agrémenter vos colis d’une quantité aléatoire de hash
#8
Et les chiffrements modernes savent très bien faire ça.
#9
Ni dans les salles de réunions des néo-nazis.
Les premiers vaccins homologués sont tout simplement les premiers à avoir été commercialisés et qui ont fait une demande d’homologation. D’autres sont en cours d’évaluation par l’EMA : le vaccin Spoutnik V (Russie), le vaccin CureVac (Allemagne), le vaccin Sanofi-GSK, le vaccin Novavax et le CoronaVac (vaccin chinois développé par Sinovac).
Toi, tu aurais voulu celui de Pasteur? Ben voilà: leurs recherches ont été faites dans d’autres directions, et jusqu’ici de façon peu probante. Il faut dire aussi que chez Pasteur, il y a eu une belle guerre d’egos qui a mené à des sabotages en interne.
#9.1
chez Pasteur, il y a eu une belle guerre d’ego…
(hélas) comme souvent !
c’est la 1ère cause qui fait que la RD. se ‘plante’ !
(chacun tire se son côté)
#10
Et la lutte contre les messages de propagande gouvernementale, on en parle ?
Ils sont en train d’ouvrir une boite de Pandore…
#11
Tu as raison, le contenu complet des URL est maintenant généralement protégé par TLS (SSL étant obsolète) et est donc protégé sur Internet.
Mais comme on parle des algorithmes ici, ils sont mis en place sur les fameuses “boîtes noires” qui peuvent être installées non seulement chez les opérateurs (ce qui ne permet pas d’avoir l’URL complète puisque protégé par TLS) mais aussi chez les hébergeurs ce qui permet de les placer après la “porte d’entrée”, c’est-à-dire après l’équipement qui gère le TLS et le trafic est alors souvent en clair ce qui permet d’avoir accès aux URL complètes.
C’est ce qu’avait dénoncé en son temps Snowden aux USA. Suite à cela, les Google et autres ont rechiffré leur trafic sur leur réseau interne (au moins quand ils changeaient de site physique)
#12
(supprimé)