« Boîtes noires » : la délégation parlementaire au renseignement veut étendre la surveillance des URL

« Boîtes noires » : la délégation parlementaire au renseignement veut étendre la surveillance des URL

diplomatie.gouv.fm

13

« Boîtes noires » : la délégation parlementaire au renseignement veut étendre la surveillance des URL

Le rapport annuel de la délégation parlementaire au renseignement propose d'étendre à la lutte contre les ingérences numériques étrangères la surveillance algorithmique des URL, introduite par la loi Renseignement de 2015 mais cantonnée jusqu'alors à la seule lutte contre le terrorisme.

La Délégation parlementaire au renseignement (DPR) vient de rendre public son rapport annuel. Il qualifie les ingérences étrangères en France de « menace protéiforme, omniprésente et durable » dont certaines puissances « profitent » du fait « d’une forme de naïveté et de déni qui a longtemps prévalu en Europe », et de « vulnérabilités persistantes » : 

« Les ingérences étrangères s’opèrent de façon de plus en plus décomplexée et concernent tous les secteurs d’activité, de la vie démocratique à la vie économique, du monde de la recherche aux espaces numériques. Elles prennent des formes multiples : opérations de désinformation, cyberattaques, espionnage, opportunités juridiques liées à l’extraterritorialité, corruption, trahison, etc. »

Un problème, rappelle la DPR, qu'avait déjà identifié le Livre blanc sur la défense et la sécurité nationale de 2008, qui soulignait que « les actions étrangères privilégieront les attaques informatiques. Dans d’autres cas, elles peuvent viser l’affaiblissement d’une entreprise ou une personne, par une désinformation générale propagée sur les médias et via Internet. Pourront aussi être visées par de telles actions les communautés françaises à l’étranger et les communautés étrangères en France ».

Cinq ans plus tard, le Livre blanc « sécurité et défense » de 2013 soulignait lui aussi la montée en puissance des nouveaux champs de confrontation, au premier rang desquels le cyber : 

« Le cyberespace est donc désormais un champ de confrontation à part entière. La possibilité, envisagée par le précédent Livre blanc, d’une attaque informatique majeure contre les systèmes d’information nationaux dans un scénario de guerre informatique constitue, pour la France et ses partenaires européens, une menace de première importance. »

La stratégie nationale du renseignement publiée en juillet 2019 relevait, de son côté, que « parmi les formes préoccupantes d’ingérences, notons l’acuité et la sophistication des actions de manipulation de l’information, tout particulièrement celles orchestrées par des puissances étrangères hostiles à nos intérêts ».

Une industrialisation des outils offensifs proposés sur étagère

Au-delà des formes classiques et traditionnelles (manœuvres d’approche des élites politiques et administratives, espionnage économique), la DPR relève que l’espace cyber est « devenu un vecteur majeur » d’ingérences étrangères. Le nombre de cyberattaques, causées par des acteurs hostiles, étatiques ou non, et visant à collecter des données, manipuler l’information ou saboter des infrastructures critiques, est « en progression sensible » ces dernières années :

« Les mondes physique et virtuel sont si étroitement liés qu’il est difficile de tracer une séparation nette entre les deux. La protection des informations ne concerne plus seulement les documents classifiés. On assiste à une forme d’arsenalisation des données à caractère personnel ou de la propriété intellectuelle, qui deviennent autant une cible qu’une arme dès lors qu’un acteur se les approprie. »

Cette « arsenalisation » s'explique aussi du fait qu'un nombre croissant d’États possède désormais la capacité de commanditer des actions de cyberespionnage « grâce à un ticket d’entrée devenu abordable », bénéficiant d’investissements conséquents et du développement d’un marché privé, avec des sociétés proposant des services de lutte informatique active :

« De plus, l’offre d’outils offensifs sur étagère, qu’ils soient proposés par des entreprises privées ou des groupes cybercriminels, se poursuit et contribue à la multiplication d’acteurs malveillants. »

La DPR observe ainsi une tendance globale à la « standardisation » des techniques, tactiques et procédures (TTP) des attaquants, parallèlement à l’ « industrialisation » des écosystèmes cyber-offensifs à partir desquels les opérations sont menées : 

« Il peut s’agir d’opérations entièrement cyber, qui mettent en œuvre un mode opératoire d’attaque cyber (MOA) qui, parce qu’il s’apparente à une boite à outils, est difficilement attribuable à ses opérateurs et à leurs commanditaires sans une investigation approfondie en renseignement. »

Une extension des « boîtes noires » aux ingérences étrangères

La DPR note à ce titre que, parmi les autres documents transmis à la DPR au cours de l’année écoulée, figurent notamment une note classifiée du directeur de cabinet de la Première ministre datée du 6 janvier 2023, relative aux modalités d’extension aux URL de la technique de renseignement dite de « l’algorithme ». Un sujet auquel nous avons consacré plusieurs articles, à mesure qu'avec la généralisation du HTTPS, seuls les noms de domaine peuvent être identifiables, et non les URL.

La DPR n'en estime pas moins que cette « technique de renseignement dite de l’algorithme » (qualifiées de « boîtes noires » lors de l'adoption de la Loi Renseignement en 2015, et depuis pérennisée par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement) « permet un traitement automatisé des données de connexion et de navigation sur Internet, grâce à la coopération des fournisseurs d’accès », aux fins de détecter des comportements.

À l'en croire, le recours à cette technique, « toutefois exclusivement limité à la finalité 4 liée à la prévention du terrorisme », serait de nature à « renforcer les capacités de détection précoce de toute forme d’ingérence ou de tentative d’ingérence étrangère des services de renseignement » en matière de contre-espionnage et de contre-ingérence :

« Il est en effet possible de modéliser les méthodes opératoires propres à certains services de renseignement étrangers agissant sur le territoire national, en termes de déplacements comme d’habitudes de communication, de manière à détecter sur les réseaux des opérateurs téléphoniques des comportements susceptibles de révéler une menace pour les intérêts fondamentaux de la Nation. »

La DPR propose dès lors, « à titre expérimental et pour une durée de 3 ans », d’élargir le champ d’application de ladite « technique de l’algorithme » aux finalités 1 (« indépendance nationale, intégrité du territoire et défense nationale ») et 2 (« intérêts majeurs de la politique étrangère, exécution des engagements européens et internationaux de la France et prévention de toute forme d’ingérence étrangère »). 

Une extension qui pourrait notamment identifier les usurpations de noms de domaine, modus operandi utilisés par certains acteurs de la désinformation, comme l'avait documenté VIGINUM en juin dernier, dans un rapport évoquant 355 noms de domaine usurpant l'identité de médias, dont plusieurs français (exemples).

MEAE Viginum

Capture d'écran du site typosquatté du MEAE diplomatie[.]gouv[.]fm

Le niveau « insuffisant » de sécurité des systèmes d’information

La DPR déplore le niveau « insuffisant » de sécurité des systèmes d’information, publics comme privés qui, « au-delà des vulnérabilités humaines », se révèle encore, « à bien des égards, perfectible au vu de l’utilisation fréquente de systèmes obsolètes ou en voie d’obsolescence, d’absence de correctifs de sécurité à jour, de recours à des protocoles de communication non sécurisés, etc. » : 

« La sensibilisation fait régulièrement défaut, quand les entreprises n’ont tout simplement pas de chaîne SSI clairement identifiée en leur sein. Ceci est d’autant plus important que l’aspect humain est une composante essentielle dans les cyberattaques observées : l’ouverture d’un courriel d’hameçonnage par un salarié reste efficace pour déjouer les meilleurs dispositifs de sécurité. »

Au-delà des missions confiées à l'ANSSI et au ComCyber, pour ce qui est de la cyberdéfense civile et militaire, la DPR rappelle que la Direction du renseignement et de la sécurité de la Défense (DRSD, ex-DPSD, le service de contre-espionnage militaire) « accompagne » (et surveille, donc) « plus de 4 000 entités » de la base industrielle et technologique de défense (BITD, et donc ses employés, matériels, informations, entreprises et emprises immobilières).

Un Conseil, un Réseau et deux Comités

La DPR souligne en outre que le volet influence de la lutte informatique repose également, autour de VIGINUM, le service, créé en 2021. Celui-ci est chargé de la vigilance et de la protection contre les ingérences numériques étrangères, « sur une gouvernance interministérielle renforcée » et que « plusieurs réseaux de coopération ont en effet été mis en place pour assurer un échange fluide et réactif d’informations » : 

« Au niveau stratégique, le Conseil de défense et de sécurité nationale, présidé par le Président de la République, définit les grandes orientations qu’il appartient au Comité de direction (CODIR) cyber (qui réunit le chef d’État-major particulier du Président de la République, le CNRLT et le directeur de cabinet du Premier ministre) de mettre en œuvre.

Au niveau technique, le réseau Veille, Détection, Caractérisation et Proposition (VDC‑P) rassemble les administrations dotées des capacités techniques en matière de lutte contre les manipulations de l’information. Les échanges sont d’ordre opérationnels, techniques ou méthodologiques.

Au niveau opérationnel, le Comité opérationnel de lutte contre les manipulations de l’information (COLMI), présidé par le SGDSN, réunit la direction des services disposant de capacités opérationnelles ainsi que leurs autorités de rattachement et les représentants des cabinets ministériels concernés. »

10 000 actions de sensibilisation concernant « environ 55 000 personnes »

Rappelant que les services utilisent, afin de désigner les leviers traditionnels de la manipulation, opportunément exploités par des professionnels du renseignement, l’acronyme « MICE » (pour Money, Ideology, Coercion et Ego, ou VICE en français, pour vénal, idéologie, compromission, ego), la DPR souligne que « les principales vulnérabilités demeurent humaines ».

En 2021, un plan global de sensibilisation des acteurs publics et privés aux ingérences étrangères a été mis en place sous l’égide du SGDSN et du coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT), entraînant près de 10 000 actions de sensibilisation concernant « environ 55 000 personnes ». 

En étroite coordination avec le ministère de l’Enseignement supérieur et de la recherche, la DGSI a en outre élaboré à l’été 2021 un plan d’action dédié au renforcement et au suivi des structures et organismes de recherche académiques les plus stratégiques, afin de renforcer le travail de sensibilisation effectué auprès de la communauté scientifique, notamment auprès de directeurs d’unités, de chercheurs et d’experts, et diversifier les points de contacts du Service.

Le suivi des structures sensibles a en outre été « renforcé », et 300 contacts auprès des établissements d’enseignement supérieur et de recherche ont été réalisés au premier semestre 2022, soit « autant que sur l’ensemble de l’année 2021 ».

80 % des jeunes pousses med' & biotech rachetées par des groupes US

La DGSI a par ailleurs sensibilisé, en 2022, l’ensemble des cabinets ministériels et, à l'initiative des deux chambres du Parlement, les collaborateurs parlementaires (la DPR ne précise pas, cela dit, combien ont été « briefés » de la sorte).

Le rapport a remplacé les mentions classifiées « secret défense » par des « ***** », on n'en saura pas plus sur les conférences effectuées en 2022 « dans le domaine de la protection économique » par la DGSI et la DRSD, sinon qu'elles en ont fait « plus de 700 »

« Il est fréquent qu’une entreprise incubée en France n’ait d’autre choix que de se tourner vers un investisseur étranger pour changer d’échelle », déplore DPR, pour qui le basculement du capital de start-up stratégiques à l’occasion d’une levée de fonds « peut certes être une chance pour l’entreprise concernée mais aussi une vulnérabilité pour la souveraineté nationale » :

« Dans les secteurs de la medtech et de la biotech, on estime en effet à 80 % le pourcentage de jeunes pousses françaises rachetées, in fine, par de grands groupes américains. [...] En 2022, s’agissant des investissements étrangers en France, 325 opérations ont été examinées (contre 328 en 2021) et 131 d’entre elles ont été autorisées dont plus de la moitié (53 %) sous condition. »

L'ensemble de ces actions vise « à participer au développement d’une culture de la sécurité chez les publics destinataires », explique la DPR : « elles ont conduit à un accroissement du nombre de signalements de situations inappropriées qui, lorsqu’elles le justifiaient, ont donné lieu à des investigations. »

Une stratégie du « sharp power » VS le « soft power »

Les campagnes de manipulation de l’information à grande échelle, de leur côté, « prennent une ampleur sans précédent, au point de représenter un défi pour les démocraties dans la guerre informationnelle et de réputation que leur livrent certains régimes autoritaires » : 

« Les modes opératoires sont hybrides en ce qu’ils associent plusieurs leviers : médias à la main de puissances étrangères, pseudo ONG et think tank, outils techniques de diffusion de fausses informations sur les réseaux sociaux (faux comptes, robots, trolls) qui participent à une brutalisation du débat public. »

Une stratégie du « sharp power » qui, à la différence du « soft power », ne vise pas à promouvoir un modèle et des valeurs, mais consiste au contraire à nuire au modèle adverse, en l’affaiblissant et en le décrédibilisant de l’intérieur, précise la DPR.

Plus de 4 000 personnes ont été surveillées

Mediapart relève à ce titre que le nombre de demandes de techniques de renseignement (accès aux données de connexion, géolocalisation, interception téléphonique, etc.) est en matière d’ingérences « en augmentation significative ces dernières années, surtout depuis 2020 ». 

Les services français ont en effet obtenu à 17 900 reprises de pouvoir utiliser différentes techniques de renseignement auprès de la commission nationale de contrôle des techniques de renseignement (CNCTR), « contre 13 000 fois en 2020 et 11 900 fois en 2017 ». 

Pour autant, le nombre de personnes surveillées est resté relativement « stable » sur cette période, passant de 3 885 à 4 191 entre 2020 et 2022, « ce qui signifie que la surveillance est plus intense sur les personnes faisant l’objet d’une technique de renseignement ». 

Le volet renseignement de la loi de programmation militaire (LPM) pour les années 2024 à 2030 renforce par ailleurs « sensiblement les moyens humains et budgétaires alloués aux services de renseignement du ministère des Armées, avec une enveloppe supplémentaire de 5 milliards d’euros sur la période qui va conduire au doublement des budgets de la DGSE, de la DRM et de la DRSD », relève la DPR.

Commentaires (13)


Hmmm … en imposant l’usage d’une autorité de certification, ils pourraient y arriver…



Il faut juste qu’ils attendent un peu et l’U.E. devrait leur donner l’outil nécessaire à la récupération des URL et bien plus…


Brillant cet article !!


Keu-wa ?!
Quelle surprise !




  1. On introduit une surveillance pour les mêmes raisons indiscutables (hier pédocriminalité, aujourd’hui terrorisme)

  2. On étend le mécanisme à d’autres motifs, de plus en plus larges



Vraiment, ce scénario est surprenant, car jamais rencontré ni anticipable !
Si seulement certains avaient prévenu qu’il fallait se battre contre toute mesure liberticide, quelque soit le motif invoqué initialement, car c’est bien in fine le droit commun qui est visé… mais personne n’a jamais dit cela, sinon bien évidemment on l’aurait écouté !



Berbe a dit:


car c’est bien in fine le droit commun qui est visé… mais personne n’a jamais dit cela, sinon bien évidemment on l’aurait écouté !




Les boites noires sont des outils pour les services de renseignement. Je ne vois pas trop à quoi elles pourraient être utilisées pour le droit commun, mais tu peux peut-être m’éclairer.



Je ne vois pas de raison pour empêcher de les utiliser pour lutter contre les ingérences numériques étrangères, sauf peut-être une efficacité à démontrer.


L’enregistrement des IP aussi c’était uniquement pour lutter contre le terrorisme normalement…


Mihashi

L’enregistrement des IP aussi c’était uniquement pour lutter contre le terrorisme normalement…


N’inversons pas tout.



Avant les décisions de la CJUE dans ce sens qui s’imposent aux pays de l’UE, les enregistrements d’IP, c’était pour tout. C’est récent que ça a été restreint au terrorisme (et de mémoire aux crimes les plus graves).


fred42

N’inversons pas tout.



Avant les décisions de la CJUE dans ce sens qui s’imposent aux pays de l’UE, les enregistrements d’IP, c’était pour tout. C’est récent que ça a été restreint au terrorisme (et de mémoire aux crimes les plus graves).


Non non :non: . Dès le départ, en France c’était annoncé uniquement pour le terrorisme.


Mihashi

Non non :non: . Dès le départ, en France c’était annoncé uniquement pour le terrorisme.


Tu as une source ?



La première version de l’article L32-3-1 devenu article L34-1 du Code des postes et télécommunications qui autorise de garder des données techniques relatives au trafic est celle-ci.



Elle dispose que :




Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, détermine, dans les limites fixées par le IV, ces catégories de données et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications ainsi que les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’Etat, par les opérateurs.




Elle parle d’infractions pénales en général et pas du tout de terrorisme.


fred42

Tu as une source ?



La première version de l’article L32-3-1 devenu article L34-1 du Code des postes et télécommunications qui autorise de garder des données techniques relatives au trafic est celle-ci.



Elle dispose que :




Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, détermine, dans les limites fixées par le IV, ces catégories de données et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications ainsi que les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’Etat, par les opérateurs.




Elle parle d’infractions pénales en général et pas du tout de terrorisme.


C’était pendant les débats à l’assemblée. J’ai pas de sources, mais je m’en rappelle très bien.


Mihashi

C’était pendant les débats à l’assemblée. J’ai pas de sources, mais je m’en rappelle très bien.


:bravo:



Suite au 11 septembre 2001, le ministre a proposé d’ajouter par amendement gouvernemental cet article :




Vous sont également proposées la conservation des données de communication pendant un an, ainsi que la possibilité de saisir des données informatiques et les codes de données chiffrées. Il s’agit, au travers de ces trois dispositions issues du projet de loi sur la société de l’information - bien entendu, ce projet de loi a été soumis au Conseil d’Etat - de renforcer l’efficacité des services d’enquête, agissant sur réquisitions judiciaires, aux fins de recherches d’infractions utilisant les nouveaux supports informatiques ou de protection de nos propres sites informatiques.




Mais comme on peut le lire, cette mesure était prévue dans un autre projet de loi (sur la société de l’information) et le 11 septembre a juste précipité son vote. C’est probablement pour cela qu’il était plus général et ne s’appliquait pas qu’au terrorisme.



On voit quand même un procédé bien puant qui utilise le 11/09/2001 pour avancer et faire passer facilement un article de loi violant la vie privée pour toute infraction pénale.



Édit : pour chipoter, c’était au Sénat. :D



fred42 a dit:


Les boites noires sont des outils pour les services de renseignement. Je ne vois pas trop à quoi elles pourraient être utilisées pour le droit commun, mais tu peux peut-être m’éclairer.



Je ne vois pas de raison pour empêcher de les utiliser pour lutter contre les ingérences numériques étrangères, sauf peut-être une efficacité à démontrer.




Si les boîtes noires sont conçues pour analyser les activités des français, sont-elles seulement capables d’identifier des “ingérences étrangères” ??? En quoi un suivi des url consultées par les Français peut-il




  • fonctionner avec le TLS

  • donner des résultats?



Ce genre d’outils laisse plus à penser à un moyen pour se battre contre des “ennemis intérieurs” que des “ennemis extérieurs”.



ragoutoutou a dit:


Si les boîtes noires sont conçues pour analyser les activités des français, sont-elles seulement capables d’identifier des “ingérences étrangères” ??? En quoi un suivi des url consultées par les Français peut-il




  • fonctionner avec le TLS




C’est bien le problème, d’où mon doute sur l’efficacité.





  • donner des résultats?




Pourquoi ne surveilleraient-elles que les Français et pas les accès aux sites français d’où qu’ils viennent ?




Ce genre d’outils laisse plus à penser à un moyen pour se battre contre des “ennemis intérieurs” que des “ennemis extérieurs”.




Ah, si ça laisse à penser ! En aucun cas tu ne réponds à ma question sur ton affirmation précédente.



Et les ennemis de l’intérieur sont tout-à-fait être dans les missions de la DGSI, justement.



fred42 a dit:


C’est bien le problème, d’où mon doute sur l’efficacité.




ça dépend quel est le résultat recherché… ils ne dépenseraient pas des millions pour juste regarder la couleur de la porte fermée.




Pourquoi ne surveilleraient-elles que les Français et pas les accès aux sites français d’où qu’ils viennent ?




Tous les sites français sont-ils couvert par les fameuses “boîtes noires”? On fait quoi pour ceux hébergés dans le reste de l’U.E., ou dans les pays proches comme la suisse?
Une bonne partie de la surface d’attaque échappe juste complètement à l’observation.




Ah, si ça laisse à penser ! En aucun cas tu ne réponds à ma question sur ton affirmation précédente.




Désolé, pour avoir une conversation sur un forum, il faut d’abord que la personne ait publié son message. Je n’ai pas encore de sonde des services secrets belges pour lire tes messages en cours de rédaction.



Mais oui, le point est de savoir contre qui l’outil de surveillance est vraiment tourné, vu les défis technologiques et de couverture.


Fermer