Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Skype, WhatsApp… Les pistes de la France pour faciliter l’accès aux données des messageries

Rien à déclarer

Skype, WhatsApp... Les pistes de la France pour faciliter l'accès aux données des messageries

Le 04 janvier 2018 à 15h35

En France, l'idée de déclarer chaque service de messagerie comme opérateur, pour les soumettre à des obligations de partage de données, serait tombée aux oubliettes. Les espoirs se portent désormais sur le futur Code européen des télécoms, censé poser les mêmes obligations pour les services en ligne que pour les opérateurs.

À la mi-novembre, la cour d'appel d'Anvers a sommé Skype de fournir des messages et appels à la justice. La Belgique considère ainsi que l'entreprise est bien un opérateur télécom, soumis à une obligation de partage des données de communications. En France, la question reste ouverte, alors que les outils comme WhatsApp, Facebook Messenger ou Telegram sont utilisés en masse, notamment au sein du gouvernement.

En mars 2013, l'autorité des télécoms, l'Arcep, saisissait le procureur de la République de Paris pour que Skype se déclare en tant qu'opérateur. L'objectif : le soumettre aux obligations d'interception auxquelles sont soumis les groupes télécoms. Un an plus tard, L'Expansion révélait que le procureur de la République avait ordonné l'ouverture d'une enquête.

Depuis la loi Macron de 2015, l'Arcep peut déclarer de force le service comme opérateur. En septembre 2016, l'autorité affirmait travailler sur la déclaration de ces messageries en ligne. Pourtant, rien n'a été fait jusqu'ici, ces sociétés et l'État collaborant de mieux en mieux sur les enquêtes.

Aujourd'hui, une collaboration « volontaire et gracieuse » des grandes plateformes

Les communications via les services en ligne deviennent habituelles dans les enquêtes, même si aucune statistique précise n'existerait aujourd'hui. Dans ce cadre, les forces de l'ordre peuvent demander trois types de données : celles sur les clients, les « données de connexion » (métadonnées) et le contenu des communications.

Comment les services de messagerie répondent-ils ? « La plupart des opérateurs internationaux collaborent assez bien, pour les données clients et métadonnées. En revanche, il est généralement indispensable d'obtenir une commission rogatoire internationale pour avoir le contenu » nous explique le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie.

Les services les plus populaires étant étrangers, il est difficile de les contraindre. « La loi française s'applique de manière coercitive sur les entreprises en France. Pour les entreprises étrangères, il s'agit d'une collaboration volontaire et gracieuse de leur part » poursuit le responsable. « Il faut une demande formelle des autorités françaises sur autorisation d'un procureur ou d'un juge d'instruction, pour une affaire donnée. »

Les discussions autour de la déclaration des services comme opérateurs ont débuté avec Skype. Pour Nicolas Duvinage, « Skype n'est pas un mauvais élève. Ils collaborent bien et nous fournissent les données client et de connexion, sous le contrôle d'un magistrat dans le cadre d'une enquête judiciaire ». Il refuse tout de même de détailler s'il s'agit des métadonnées des discussions écrites ou celles des appels audio ou vidéo. Cette collaboration nous a été confirmée par ailleurs.

Apple et Facebook collaboreraient aussi facilement avec les forces de l'ordre, envoyant données clients et métadonnées. Par contre, WhatsApp (filiale de Facebook) « ne fournit rien sans commission rogatoire internationale, ce qui est extrêmement complexe et extrêmement long ».

Depuis les attentats de 2015, une partie de ces entreprises participe à un groupe de contact permanent avec le ministère de l'Intérieur, qui devrait être étendu à l'ensemble des ministères. Un groupe stratégique, réunissant politiques et directions générales de ces sociétés, existerait depuis peu en parallèle, même si nous n'avons pas pu en avoir confirmation.

Des services assimilables à des opérateurs

Pour leur part, les services de messagerie français peuvent donc être déclarés comme opérateurs par l'Arcep. Même sans cela, ils sont assimilables auxdits opérateurs. Selon l'article L34-1 du Code des postes et des communications électroniques (CPCE), les opérateurs de communications électroniques incluent « les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ».

Selon l'article L851-1 du Code de la sécurité intérieure, les « services de communications électroniques » sont tenus de fournir les métadonnées d'une personne ou d'une communication (numéros, géolocalisation, appels...), aux services de renseignement ou de certains ministères. Cela sous contrôle de la Commission nationale de contrôle des techniques de renseignement (voir notre analyse de son premier bilan).

Autrement dit, en principe, les opérateurs et services en ligne sont tenus de fournir ces métadonnées aux autorités. Pourtant, en 2013, Microsoft affirmait que Skype n'est pas l'un de ces services de communications électroniques. Il refusait donc de se déclarer à l'Arcep.

Comme indiqué, depuis la loi Macron de 2015, l'autorité peut le déclarer de force, en vertu de l'article L39 du CPCE, qui punit d'un an de prison et d'une amende de 75 000 euros l'exploitation d'un service de communication non déclaré.

Selon des sources concordantes, l'Arcep aurait abandonné l'idée de forcer la main de Skype sur le sujet, au moins temporairement. L'enquête demandée par le procureur de la République n'a pas eu de suite publique connue. Désormais, Skype fournit bien des métadonnées aux autorités françaises. Le sujet serait donc devenu moins essentiel.

En Europe, un projet pour aligner messageries et opérateurs

Deux pistes éviteraient la déclaration de chaque service comme opérateur. La première est une éventuelle nouvelle loi française, qui pourrait servir de base à un cadre européen. « Ça parait difficile à ce stade au niveau franco-français. Il y a un gros travail à mon avis. Toutes les directions ne sont pas forcément très allantes sur ce projet » commente un connaisseur du dossier.

La seconde piste (plus crédible) est le futur Code télécom européen, débattu depuis septembre 2016. Le texte établit ainsi une équivalence directe entre opérateurs télécom et services en ligne. Dans la version du texte datée du 9 octobre (PDF), les points 10 et 15 mettent ces outils sur le même plan.

« Les utilisateurs remplacent de plus en plus la téléphonie traditionnelle et les SMS par des services en ligne fonctionnellement équivalents comme la VoIP, les services de messagerie et l'e-mail. Pour s'assurer de la protection égale des utilisateurs, une définition à long terme des services de communication électronique ne devrait pas se fonder sur des paramètres techniques mais sur une approche fonctionnelle » statue le texte.

Un Skype ou WhatsApp serait, de fait, soumis aux mêmes obligations nationales qu'un opérateur en matière de partage de données. Le projet de directive (à appliquer dans chaque pays) doit encore passer le parcours du combattant des institutions communautaires.

Le chiffrement, toujours une épine dans le pied

Au fond, pour les forces de l'ordre et services de renseignement, le problème ne se situerait plus tant sur les métadonnées que sur le chiffrement de bout en bout, intégré dans des services comme Facebook Messenger, Signal, Telegram, Viber ou WhatsApp. Ce dernier a bâti une partie de sa base d'un milliard d'utilisateurs sur la confidentialité des échanges, via l'activation par défaut de cette protection. Or cette dernière empêche les messageries de fournir le contenu des échanges.

En septembre 2016, le ministre de l'Intérieur d'alors, Bernard Cazeneuve, souhaitait que Skype et consorts procèdent à des interceptions... quand bien même tout ou partie des contenus sont chiffrés.

En juin dernier, Emmanuel Macron et Theresa May révélaient un plan pour s'attaquer au chiffrement, pour lutter contre le terrorisme. Depuis, les déclarations se sont multipliées, notamment du côté de la Commission européenne, qui a lancé une vaste campagne pour mieux équiper les forces de l'ordre face à cet obstacle aux enquêtes, à la fois techniquement et par les relations avec les services en ligne.

Face à cela, Sheryl Sandberg, la numéro deux de Facebook, estime qu'il serait contre-productif de briser le chiffrement, par exemple via des portes dérobées. Selon elle, un malfaiteur ou terroriste qui utilise WhatsApp fournit au moins ses métadonnées au service, donc potentiellement aux autorités. S'attaquer au chiffrement les ferait basculer sur des outils hors de portée des États, qui y perdraient le peu d'informations dont ils disposent aujourd'hui.

Depuis quelques mois, les responsables français assurent que les portes dérobées sont une piste évacuée, désormais hors des débats. La question de la méthode reste donc ouverte. Contacté, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (Dmisc), Thierry Delville, au ministère de l'Intérieur n'a pas souhaité apporter de commentaire pour cet article.

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est ça qui est bien avec ces applis ayant plusieurs centaines de millions d’utilisateurs : elles captent toute l’attention. Pour être tranquille, il suffit d’en prendre une confidentielle <img data-src=" />

votre avatar

Bon chance pour taper sur des services hébergés en mémoire sur des VM …

votre avatar

ça dépend.

se fondre dans la masse est une des composantes de la sécurité opérationnelle.

votre avatar

je te renvois à Meltdown et Spectre. <img data-src=" />



mais sinon quand je parle d’action ciblée je parle pas forcément des tuyaux ou des serveurs (s’il y en a).

on peut aussi attaquer les terminaux, ou les gens.

votre avatar

Si les portes dérobées n’est plus un sujet&nbsp; c’est peut-être que ce n’est plus un problème.

votre avatar

Les gens, c’est le plus simple.

votre avatar

pas le plus discret par contre. ^^

et pas le plus facile si t’as rien de substantiel contre eux.

sachant que la plupart du temps la récup d’infos a pour but de trouver des choses compromettantes, c’est chaud.

enfin en France quoi. ^^

votre avatar

On n’est plus au temps du Minitel, mais on sent bien que les politiques aimeraient y revenir <img data-src=" />

votre avatar



Depuis les attentats de 2015, une partie de ces entreprises participe à un groupe de contact permanent avec le ministère de l’Intérieur, qui devrait être étendu à l’ensemble des ministères.



Bah tiens…

Bientôt un redressement fiscal parce que l’IA du fisc a détecté sur les messages FB que quelqu’un a travaillé au noir ?

votre avatar







jackjack2 a écrit :



Bah tiens…

Bientôt un redressement fiscal parce que l’IA du fisc a détecté sur les messages FB que quelqu’un a travaillé au noir ?





Perso si quelqu’un se fait choper par le fisc car il bosse ou a fait bosser au black cela ne m’empechera pas de dormir.


votre avatar







bloossom a écrit :



pfff… rien qu’avec les métadonnées, nos chers gouvernements ont déjà bien plus de grain à moudre qu’il ne leur en faudrait. Je note aussi avec amusement que les autorités européennes veulent assurer la “protection” de l’utilisateur en le surveillant.





Raisonnement biaisé à la base vu qu’il n’a jamais été dit que tout le monde allait être surveillé: le principe est (pour l’instant) de pouvoir surveiller des cibles potentielles même si elles utilisent du chiffrement.



Le problème ce sont les gens qui regardent trop la télé et croient que l’état (en tout cas Français) a les moyens informatiques et humains pour surveiller tout le monde 24h/24. Person of Interest ce n’est qu’une série.



Cela me fait penser à certaines personnes de ma famille qui se sont étonnées que je ne puisse avoir une meilleure résolution sur un zoom 20x sur une photo scannée (“parcequ’ils ont vu à la télé que tout le monde le faisait”) <img data-src=" />


votre avatar







carbier a écrit :



Le problème ce sont les gens qui regardent trop la télé et croient que l’état (en tout cas Français) a les moyens informatiques et humains pour surveiller tout le monde 24h/24. Person of Interest ce n’est qu’une série.





Ce qu’il manque dans ton raisonnement c’est le fait que l’on peut bel et bien récupérer les informations de tout un chacun, non pas pour “surveiller tout le monde” individuellement ce qui serait bien trop couteux mais pour avoir assez de donnée afin de cibler des pattern douteux et autres. Bref pour caractériser ces fameuses cibles.



C’est certes un peu différent comme procédé de ce qui se fait avec des droits d’interception téléphonique sur un numéro défini (une fameuse cible) mais c’est il me semble déjà à l’oeuvre comme procédé dans d’autres contexte (notamment dans les banques pour repérer les fraudes). Ainsi il y à bien de quoi s’inquiéter sur la généralisation d’un approche de ce type avec toute les dérive inhérente au stockage de masse de donnée personnelles.


votre avatar

Une fois l’article lu, il me vient la question (réellement): qu’elle est l’info?

ça me semble être uniquement un récapitulatif. Le dernier paragraphe précise bien qu’il n’y a aucune nouvelle info.

Y a-t-il une date pour ce&nbsp; code européen brandi?

votre avatar

Il y a plusieurs infos propres à cette actu : que l’Arcep a lâché l’idée de déclarer de force chaque messagerie en ligne comme opérateur (après un gros débat sur la question en 2013 et 2015), que les services en ligne collaborent déjà bien avec les autorités, qu’une loi française est envisagée et que les espoirs se portent dans le Code télécom européen. Des infos que j’ai obtenu des premiers concernés.

Jusqu’ici, on était dans l’idée que la déclaration “de force” d’un service comme opérateur était toujours la principale piste de la France sur la question, et ce volet du Code télécom européen était largement passé inaperçu.



Et pas encore de date pour le Code télécom, le processus législatif européen n’est pas si prévisible.

votre avatar







dematbreizh a écrit :



Une fois l’article lu, il me vient la question (réellement): qu’elle est l’info?

ça me semble être uniquement un récapitulatif. Le dernier paragraphe précise bien qu’il n’y a aucune nouvelle info.

Y a-t-il une date pour ce&nbsp; code européen brandi?





Comme marqué dans le titre, ce sont des “pistes”.&nbsp;

Je suppose donc qu’on nous délivre ici un statut à l’instant T de l’avancement de la France pour l’accès à ces données.&nbsp;

Ca devrait éviter qu’on tombes des nues lorsque la piste retenue aura été choisie dans le futur.&nbsp;<img data-src=" />



&nbsp;


votre avatar

En quoi mon message a-t-il un rapport avec la surveillance de masse? (même si la question particulière est inquiétante).



Peu importe que tu veuille le croire ou non, les moyens d’interception et les capacités d’intrusion de l’Etat (pas nécessairement même l’usage qui en est fait) n’ont jamais été aussi performants, et le contrôle judiciaire sur leur utilisation est toujours plus remis en question.

&nbsp;

Certaines personnes regardent trop enquête d’action et croient que la police est complètement démunie face aux “méchants” alors qu’en fait, ses moyens augmentent presque exponentiellement.

votre avatar

toi t’as raté la news sur le contrat DGSI/Palantir visiblement. <img data-src=" />

votre avatar

Et des spécialistes du monitoring répondent que fouiller tout le trafic d’un opérateur demanderait des moyens énormes pour un résultat qui ne les mérite pas.

votre avatar

des spécialistes qui disent au gouv que ses idées sont inapplicables ou inefficaces en regard du coût, il y en a tous les jours, mais oui effectivement. sans compter les faux positifs. ^^



Reste que fouiller le trafic d’un opérateur n’a à priori rien à voir avec le fait d’accéder aux données des messageries (qui est déjà un ciblage en soi).



la volonté de traiter des masses de données est bien là, celle d’accéder au contenu des conversations chiffrées aussi…

votre avatar







hellmut a écrit :



toi t’as raté la news sur le contrat DGSI/Palantir visiblement. <img data-src=" />





Ne me dis pas qu’un ingénieur commercial n’a jamais essayé de te faire croire qu’un céléron était un Xéon ?<img data-src=" />


votre avatar

<img data-src=" />

OK mais quand on voit avec qui ils travaillent et où, j’ai du mal à croire qu’ils n’arrivent pas à traiter les données de quelques dizaines de milliers de personnes.

votre avatar

Ce serait pas envisageable un protocole décentralisé comme le mail appliqué a la messagerie ?

votre avatar







Gnppn a écrit :



Et des spécialistes du monitoring répondent que fouiller tout le trafic d’un opérateur demanderait des moyens énormes pour un résultat qui ne les mérite pas.





Bah chacun voit midi à sa porte: Si le financement des mesures de “fouille” est porté par les opérateurs eux-même, ça ne gêne pas du tout le gouvernement de l’imposer , même si c’est techniquement compliqué / impossible (avec la phrase légendaire : “ils le font bien, en chine”). Exemple avec les mesures de blocage (il est vrai d’un niveau bien moins élevé techniquement à assurer… surtout via un blocage DNS efficace uniquement contre les personnes les moins compétentes en informatique) , ou la bataille épique (mais perdue) de l’Hadopi pour éviter de payer pour l’identification.



&nbsp;

Pour moi, aujourd’hui les services de police (au sens large) essaient à tout prix de passer à la surveillance de masse en faisant passer ça pour du ciblé :

* Là on a l’exemple des messageries - où le but, quand même, reste d’automatiser la détection de contenus “terroristes” à priori .

* Un autre exemple que j’ai en tête ce sont les radars automatiques : A l’origine on avait un radar qui n’identifiait (flashait) QUE en cas d’infraction. Après on a vu arriver les radars de tronçon, vendu comme la “même chose” sauf qu’en réalité, ces radars identifient et enregistre TOUS les véhicules qui passent devant, qu’ils soient contrevenant ou pas.

Pour les compteurs électriques “intelligent”, là encore on passe d’un relevé périodique à une possibilité technique* (même si , actuellement, non appliquée) de relevé continu + coupure à distance.



Pour ces 3 cas, on passe d’un système où la technologie protégeait la personne à un système ou la loi (ou les CGU , ou les réglementations, ou l’implémentation actuelle) protègent les personnes. On parle ici des personnes lambda, pas des personnes “ciblées”. Or aujourd’hui, quand on voit que la contestation sociale est de plus en plus considérée par les gouvernement comme illégitime , combien de temps faudra-t-il pour qu’un simple loi permette à tous les services de polices , voire “sociaux” (oui, type CAF / Pole Emploi /…) d’acquérir / traiter / agréger ces données pour motiver une exclusion sous des prétextes non encore en vigueur aujourd’hui…



Faut avoir sacrément confiance dans nos dirigeants actuels & à venir pour se dire que les garde-fou légaux suffirons.

&nbsp;


votre avatar

Il y a tellement de services de messageries cryptées facile d’utilisation hors whatsapp mainstream …



Bon chance pour tous les chasser …

votre avatar

pfff… rien qu’avec les métadonnées, nos chers gouvernements ont déjà bien plus de grain à moudre qu’il ne leur en faudrait. Je note aussi avec amusement que les autorités européennes veulent assurer la “protection” de l’utilisateur en le surveillant.



C’est très bien que les fournisseurs de service chiffrent de bout en bout: ça permettra au moins de faire tomber le masque.



j’aurais beaucoup plus de scrupules si l’Etat mettait autant d’énergie à surveiller (juridiquement) ceux qui surveillent qu’à surveiller.

votre avatar

il ne s’agit pas de ça, les services s’intéressent à la masse.

pour les 3 utilisateurs d’une messagerie exotique, une action ciblée suffit.

Skype, WhatsApp… Les pistes de la France pour faciliter l’accès aux données des messageries

  • Aujourd'hui, une collaboration « volontaire et gracieuse » des grandes plateformes

  • Des services assimilables à des opérateurs

  • En Europe, un projet pour aligner messageries et opérateurs

  • Le chiffrement, toujours une épine dans le pied

Fermer