« Boites noires » : les services de renseignement n’ont pas encore demandé à surveiller les URL
Pas de quoi URLer avec les loups
Le 27 juillet 2023 à 14h30
13 min
Droit
Droit
Les récentes passes d'armes parlementaires au sujet des pouvoirs de contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR) sont d'autant plus intrigantes que son dernier rapport révèle que plusieurs des techniques de renseignement légalisées en 2021 par ce même Parlement n'ont toujours pas été mises en œuvre par les services de renseignement.
La commission mixte paritaire a supprimé « in extremis », rapporte Intelligence Online (IO), un article rajouté dans le projet de loi de programmation militaire (LPM) 2024 - 2030 visant à étendre les pouvoirs de contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en matière de captation sonore ou vidéo et de recueil de données informatiques des services de renseignement :
« L'article de loi, porté par le sénateur socialiste Yannick Vaugrenard, membre de la Délégation parlementaire au renseignement (DPR) et du collège de la CNCTR depuis 2020, avait été validé par la commission des affaires étrangères, de la défense et des forces armées du Sénat. »
Yannick Vaugrenard avait en effet expliqué lors de la commission mixte paritaire que « l’efficacité des écoutes traditionnelles, qui constituait le cœur du système de surveillance, se heurte au développement des messageries chiffrées » :
« Dans les trois dernières années, les écoutes ont diminué de 0,7 % et les services privilégient trois autres techniques plus intrusives qui ont bondi de 45 % à 157 % – la captation de paroles prononcées à titre privé ; la captation d’images dans un lieu privé ainsi que la captation et le recueil de données informatiques. »
IO rappelle que les éléments ainsi collectés par la DGSE et la DGSI « demeurent stockés au sein de ces services, obligeant les agents de la CNCTR, déjà débordés, à s'y déplacer pour exercer un contrôle a posteriori » :
« L'article premièrement adopté par le Sénat prévoyait donc, comme pour les écoutes, un dispositif autorisant "un accès direct et immédiat" de la CNCTR à ces captations à partir de 2025 et un contrôle a posteriori confié au GIC. »
Les contrôles ont une vertu pédagogique pour les agents du renseignement
Mais d'après IO, « la direction de la DGSE s'est activée pour que la mesure disparaisse de la loi de programmation militaire » :
« Bernard Emié, le directeur général du service de renseignement extérieur, a en particulier insisté à plusieurs reprises, notamment par téléphone, auprès du sénateur Christian Cambon, président de la commission des affaires étrangères, de la défense et des forces armées de la chambre haute, pour que l'article soit abandonné. Ce qui a été fait. »
L'article 22 quater en question, ajouté par amendement adopté au Sénat, prévoyait que « la Commission nationale de contrôle des techniques de renseignement (CNCTR) dispose d’un accès permanent, complet et direct et immédiat aux renseignements collectés » par les services de renseignement dans le cadre de la mise en œuvre de trois techniques de renseignement :
- la captation de paroles prononcées à titre privé (article L. 853 - 1 du code de la sécurité intérieure) ;
- la captation d’images dans un lieu privé (article L. 853 - 1 du code de la sécurité intérieure) ;
- le recueil ou la captation de données informatiques (article L. 853 - 2 du code de la sécurité intérieure).
En réaction, le gouvernement avait de son coté déposé un amendement visant à le supprimer, « pour plusieurs raisons ».
« De principe tout d’abord », à mesure qu'il permettrait à la CNCTR de bénéficier, pour les trois techniques précitées, « d’un accès à distance aux données collectées par les services [...] depuis ses locaux, et non plus au sein des services de renseignement ».
« De méthode et d’efficacité ensuite », d’une part parce que la CNCTR « n’aurait accès à aucune information supplémentaire », d’autre part parce que le Gouvernement « demeure attaché aux contrôles sur place », qui « répondent à un besoin d'accompagnement et de contextualisation des motifs pour lesquels les renseignements contrôlés ont été recueillis et exploités » :
« L'interprétation des résultats se fait de façon collégiale avec les agents des services. L’accès à distance priverait la CNCTR d’explications directes, pourrait induire la multiplication d’échanges ultérieurs et accentuer fortement la charge administrative que font peser ces contrôles sur les agents des services. En outre, ces contrôles ont une vertu pédagogique pour les agents des services car ils sont l'occasion, pour la Commission, d'expliquer sa doctrine ainsi que ses attentes, et de contribuer à la bonne application du cadre légal. »
Le gouvernement évoquait également des raisons « d'ordre opérationnel et technique », eu égard aux « travaux et ressources à allouer », qui « soulèvent des difficultés techniques et opérationnelles importantes qui ne sauraient être prises à la légère ».
Il soulignait, enfin, des problèmes d'agenda, au motif que « ces évolutions ne sont, en tout état de cause, pas envisageables dans un futur proche alors que le Gouvernement demande à l’ensemble des services, et particulièrement à leurs directions techniques, d’être pleinement mobilisés pour assurer le bon déroulement des Jeux olympiques et paralympiques ».
Il soulignait par ailleurs les « nombreuses améliorations des contrôles sur place, actions saluées par la CNCTR : formations des chargés de mission de la CNCTR aux outils techniques, mise en place de pré-contrôles... », et appelait à « dresser un bilan de ces actions, parallèlement à celui que le Gouvernement devra présenter au Parlement avant la fin de l’année 2024 sur la mise en œuvre de certaines dispositions expérimentales de la loi relative au renseignement ».
Un recul de 15 % des demandes de surveillance des communications internationales
Le dernier rapport de la CNCTR, dont les comptes-rendus s'étaient principalement focalisés sur sa résistance aux désidératas du ministère de l'Intérieur de pouvoir surveiller des écologistes « radicaux », comportait plusieurs « signaux faibles » particulièrement éclairants, eu égard à ce que peuvent faire et font (ou pas) les services de renseignement.
- Le gendarme des écoutes soucieux de la surveillance des militants radicaux
- La CNCTR et Matignon résisteraient aux demandes de techniques de renseignement visant les écolos
La CNCTR y relève par exemple avoir rendu 3 715 avis sur des demandes tendant à l’exploitation de communications internationales interceptées en 2022, contre 4 374 en 2021, « soit un recul de 15 % » Et ce, alors que sur les 121 contrôles sur pièces et sur place réalisés en 2022, tous services confondus, « 30 ont été consacrés à la surveillance des communications électroniques internationales, contre un peu plus d’une vingtaine en 2021 ».
- 87 588 techniques de renseignement, 22 958 personnes surveillées
- Comment s'organise le contrôle des techniques de renseignement
- Les irrégularités constatées par la CNCTR
Trois des quatre boites noires sont cantonnées aux seules métadonnées téléphoniques
Le compte-rendu de la mise en œuvre des « innovations » de la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (dite loi « PATR ») est encore plus instructive, à mesure qu'elle rélève que plusieurs des nouveaux pouvoirs de surveillance et techniques de renseignement, validés par le Parlement, n'ont toujours pas été mis en œuvre.
La CNCTR rappelle que ces « innovations » visaient à « apporter les ajustements nécessaires pour que les services de renseignement continuent de disposer de moyens d’action adéquats et proportionnés face aux menaces persistantes qui pèsent sur les intérêts fondamentaux de la Nation ».
Il en allait par exemple du « recueil en temps réel des adresses complètes de ressources utilisées sur internet, plus communément dénommées "URL" », un vecteur de surveillance qui nous avait alors laissé d'autant plus dubitatif qu'avec la généralisation du HTTPS, seuls les noms de domaine peuvent être surveillés, les adresses à droite des noms de domaine étant quant à eux chiffrés.
- Renseignement : pérenniser la surveillance algorithmique pour l’étendre aux URL
- À quoi pourrait servir une surveillance des URL ?
- Surveillance des URL : 25 ETP, 20 M€ d'achats, 4 M€ de frais annuels
- L'astuce qui permet à l'anti-terrorisme de consulter des centaines de messageries chiffrées
- Renseignement : trois boîtes noires, moins de 10 personnes à risque identifiées en France
La commission relève en tout état de cause qu'elle « n’a pour l’heure été saisie d’aucun projet de traitement algorithmique utilisant la faculté ouverte par ces nouvelles dispositions, ni d’aucune modification de l’un des quatre algorithmes en fonctionnement à la date de leur entrée en vigueur ».
Pour rappel, lesdites « boites noires » avaient été initialement accusées, à l'occasion de l'adoption de la Loi Renseignement en 2015 (qui avait elle-même fait l'objet d'une « opposition massive »), mais également lors de celle de la loi « PATR » en 2021, de pouvoir mettre en place une « surveillance de masse des citoyens » via l' « interception de l'ensemble des données de tous les citoyens français en temps réel sur Internet, dans le but de faire tourner dessus des outils de détection des comportements "suspects" ».
Or, les trois premiers algorithmes autorisés ne surveillent que les seules métadonnées téléphoniques, et la quatrième ne surveille donc toujours pas les URL.
Et ce, alors que la direction technique de la DGSE avait demandé, en vain, à pouvoir allonger la durée de surveillance des URL, élargir le champ d'application de sa surveillance algorithmique, aujourd'hui centrée sur le seul terrorisme, « à l'espionnage ou à la détection de cyberattaques », mais également pouvoir transmettre les données collectées de la sorte à d'autres services de renseignement.
La surveillance des URL n'a pas non plus été activée en temps réel
Cette extension aux URL du champ des données traitées concernait également le « recueil en temps réel des données de connexion relatives à une personne identifiée comme susceptible d’être en lien avec une menace terroriste » autorisé depuis 2015 par l'article L.851 - 2 du code de la sécurité intérieure, introduit par la Loi Renseignement.
Or, et bien qu' « effective depuis le mois d’octobre 2021 [...] la CNCTR ne dispose pas d’informations lui permettant de porter une appréciation qualitative sur les données désormais recueillies ».
Elle observe même et « une légère diminution du recours à cette technique de recueil en temps réel depuis deux années consécutives ».
Elle précise en outre n’avoir pour l’heure été saisie d’aucun projet de recherche et développement, non plus que d’aucune demande d’autorisation d’interception des correspondances émises ou reçues par la voie satellitaire.
Un certain nombre d’irrégularités réalisées en méconnaissance de la loi
Évoquant la technique dite de l’« algorithme », qui avait à l'époque de l'adoption de la Loi Renseignement fait polémique sous l'épithète de « boîtes noires », la CNCTR rappelle que la loi « PATR » a prévu « un nouveau rendez-vous devant le Parlement sur la base d’un rapport d’application adressé par le Gouvernement au plus tard le 31 juillet 2024 ».
Dans son rapport, la CNCTR déplorait par ailleurs « un certain nombre d’irrégularités ont concerné des exploitations de données réalisées en méconnaissance de la loi », dont « plusieurs cas dans lesquels une exploitation de données se rapportait à des cibles expressément exclues par l’autorisation délivrée par le Premier ministre », irrégularités qualifiées par la Commission de « très sérieuses ».
Elle a par ailleurs constaté, « à deux reprises en 2022 », des transcriptions de communications utilisant un identifiant technique rattachable au territoire national réalisées au titre d’une finalité légale non autorisée.
La surveillance des communications électroniques internationales, rappelle la CNCTR, ne peuvent en effet porter, de manière individuelle, sur les communications de personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, comme un numéro de téléphone commençant par l’indicatif + 33 ou une adresse de messagerie utilisée par une personne résidant en France.
Peuvent cela dit être autorisées, et « alors même qu’elles communiquent depuis la France », les télécommunications de personnes représentant « certaines menaces présentant un caractère transnational et pour un nombre limité de finalités, telles que la défense nationale, la contre-ingérence, la prévention du terrorisme, la prévention de la criminalité et de la délinquance organisées ainsi que la lutte contre la prolifération d’armes de destruction massive ».
Or, relève la CNCTR, les éléments transcrits et conservés dans ce cadre « se rattachaient à une finalité de renseignement économique, non prévue par la loi ».
La CNCTR n'est composée que de 18 agents seulement
La CNCTR rappelle que sur les neuf membres que compte le collège de la commission (dont deux sénateurs et deux députés), ils ne sont que trois seulement à exercer leurs fonctions à temps plein : son président, le conseiller honoraire à la Cour de cassation et la personnalité qualifiée.
Et ce, alors qu'ils doivent se réunir trois fois par semaine, pour un total de « plus de 130 séances par an, auxquelles s’ajoutent les fréquentes réunions, présentations et auditions organisées dans les locaux de la commission afin d’éclairer le collège sur des sujets d’ordre technique ou juridique. »
Le collège s’appuie pour cela sur une équipe ne comptant, au 31 décembre 2022, que 18 agents seulement : une secrétaire générale, un conseiller placé auprès du président, 12 chargés de mission et 4 agents affectés aux fonctions de soutien (une responsable des questions budgétaires et de ressources humaines chargée d’encadrer le pôle du secrétariat, deux assistantes de direction et un conducteur investi par ailleurs des fonctions d’officier de sécurité adjoint).
La loi de finances initiale pour 2022 lui a attribué des montants d’ « un peu plus de 2,6 millions d’euros pour ses dépenses de personnel et de 365 000 euros pour ses dépenses de fonctionnement », tous « presque entièrement consommés ».
Elle souligne en outre que l’élargissement des missions confiées depuis sa création en 2015, couplé à l’accroissement de l’activité des services de renseignement, l'a conduit à solliciter en 2022 une augmentation de ses effectifs, afin notamment de renforcer la compétence technique de son équipe de chargés de mission.
Cette demande, « soutenue par le Gouvernement et accueillie par le Parlement », lui a permis de bénéficier de 6 postes supplémentaires répartis entre 2022 et 2024 (+ 1 en 2022 ;+ 3 en 2023 ;+ 2 en 2024), et son plafond d’emplois devrait dès lors passer de 23 à 24,5 ETPT.
« Boites noires » : les services de renseignement n’ont pas encore demandé à surveiller les URL
-
Les contrôles ont une vertu pédagogique pour les agents du renseignement
-
Un recul de 15 % des demandes de surveillance des communications internationales
-
Trois des quatre boites noires sont cantonnées aux seules métadonnées téléphoniques
-
La surveillance des URL n’a pas non plus été activée en temps réel
-
Un certain nombre d’irrégularités réalisées en méconnaissance de la loi
-
La CNCTR n’est composée que de 18 agents seulement
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/07/2023 à 16h46
Les 2,6 millions, c’est pour les 9 membres du collège + 18 agents (27 personnes en tout) ?
Ça ferait 96 000 euros par personne … ll manque pas du monde ?
Le 27/07/2023 à 17h23
Les 4 parlementaires membres du collège n’émargent pas au budget de la CNCTR, mais ne sais ce qu’il en est pour les autres ; le rapport précise par ailleurs que “les chargés de mission de la CNCTR sont, pour l’essentiel, des agents de catégorie A+ et assimilés” (faudrait aller vérifier les grilles de salaire associées) ; mais sinon ça fait depuis 2021 que le budget alloué à la CNCTR est de 2 506 559 €.
Le 27/07/2023 à 17h59
“Les fonctionnaires de catégorie A+ occupant un poste d’encadrement supérieur ou de direction ont un salaire net moyen de 6 649 euros dans la FPE”, dixit ce document, qui évoque aussi & cela dit un salaire net moyen de 5 867 € pour les emplois d’”Inspection, contrôle et expertise”.
Soit, pour un salaire net de 6000€ dans la fonction publique, un salaire brut de ~7059€ d’après ce simulateur, soit +-1,5M€ pour les 18 agents, chiffres sujets à caution et que je ne partage que pour donner une approximation de ce à quoi pourrait potentiellement correspondre cette composante de la masse salariale de la CNCTR.
Le 27/07/2023 à 17h24
Dans le privé, un superbrut (salaire complet + charges “patronales”, ce que le salarié coûte réellement à son patron) à 96000€, ça fait un brut à 60000€ et un net à 48000€.
Je ne sais pas exactement comment ça se traduirait dans le public, mais ça paraît globalement pas énorme pour un tel niveau de responsabilités en région parisienne.
Le 27/07/2023 à 21h17
Alors des charges patronales je n’en connait pas … Par contre des cotisations patronales oui et des charges (elec, PC, batiment) aussi.
Pour simuler le cout d’un salarié Français, il y a le site officiel : https://entreprise.pole-emploi.fr/cout-salarie/ . Pour un salaire brut de 6649€ (5277€ net) par mois, ça coute à l’entreprise 114 301€ par année selon ce simulateur. Cela fait donc un peut plus de 2M€ de masse salariale pour les 18 agents.
Le 28/07/2023 à 06h56
Il n’y a pas que les salaires. Il faut aussi compter le SI, les locaux et certainement d’autres choses.
Le 28/07/2023 à 07h41
365 000 euros pour les dépenses de fonctionnement, ça me semble pas déconnant pour un loyer et les charges diverses.
C’est pour ça que j’ai tiqué sur les 2,6 millions mais après, c’est sur Paris donc …
Le 28/07/2023 à 10h44
C’est quand même un peu inquiétant que le gouvernement s’oppose à une augmentation des moyens de la commission de contrôle.
Le 31/07/2023 à 16h42
Heuu dans l’article c’est écris que le gouvernement soutient cette demande. D’où les postes attribués. Dernier paragraphe.
Le 30/07/2023 à 22h29
Elles sont où ces boîtes noires ? Internet étant plutôt décentralisé et redondant, je ne vois pas trop où elles pourraient être pour pouvoir tout capter.
Le 31/07/2023 à 05h14
J’aurais envie de dire dans le réseau du FAI vu que c’est l’un des éléments centraux où le traffic peut être intercepté.
Le 31/07/2023 à 07h47
Ben ça dépend qui on veut espionner, mais si c’est le cas quel FAI ? Il en existe pas mal, avec chacun leurs réseaux propres parfois dès le bout de la ligne de l’abonné. Ce sont des réseaux maillés avec redondance et non des réseaux en étoile, surtout dès qu’on commence à s’éloigner des abonnés. Même pour la connexion au réseau mondial, il y a plusieurs points d’interconnexion répartis en France, tout ne va pas à Paris (et même à Paris il y a plusieurs points d’interconnexion).
Ca ne me paraît vraiment pas simple, à moins de viser un endroit en particulier suivant le besoin et de déplacer la boîte quand le besoin change. Mais il faut alors une raison pour choisir cet endroit, ce n’est plus du renseignement général mais ciblé.
Le 31/07/2023 à 11h13
C’est bien la question que je me pose depuis que Le Monde avait titré, en 2013, que la DGSE collecte « systématiquement les signaux électromagnétiques émis par les ordinateurs ou les téléphones en France » (ce qu’elle fait effectivement au niveau des câbles sous-marins), puis quand j’avais tenté d’expliquer ce pourquoi les « boites noires » ne pourraient pas effectuer une « surveillance de masse » en France, du fait même de son réseau Internet maillé…
Après, le diable se niche dans les détails, et s’il y aurait donc 1 algorithme dédié au web, il est possible qu’il puisse être déployé à plusieurs endroits, mais il y a tellement d’Internet eXchange Point en France que je me perds en conjectures.
Accessoirement, je ne sais pas non plus à quoi correspondrait les 3 boites noires téléphoniques, où elles seraient déployées, ni pourquoi il n’y en aurait que 3, alors qu’on a 4 opérateurs de téléphonie mobile…
Le 31/07/2023 à 12h30
Je vois deux possibilités : Soit l’un des opérateurs téléphoniques a toujours fournit les infos de manière “historique”. Soit l’un des opérateurs téléphoniques fournit ses données par l’intermédiaire d’un autre pays via des arrangements entre états, politiques ou même services secrets.