Une enquête conjointe du Spiegel et de la radio bavaroise révèle comment le BND, le service de renseignement extérieur du gouvernement fédéral allemand, se fait livrer, sur ordre de la Chancellerie, des données non traitées émanant des nœuds d'échange Internet allemands, mais aussi et surtout comment il les filtre, traite et analyse.
En octobre 2019, des techniciens du Deutscher Commercial Internet Exchange (DE-CIX) – le plus important point d’échange Internet au monde en termes de trafic et basé à Francfort – avaient effectué des calculs à la demande de la Cour constitutionnelle pour estimer la quantité de données. Sur les 47 500 milliards de connexions IP transitant quotidiennement par DE-CIX, le BND serait techniquement en mesure d'en traiter 1 200 milliards, soit 2,5 %.
Les 151 pages de documents obtenus par les deux rédactions indiquent que le BND, en tant que service de renseignement extérieur, a mis en place un vaste système pour s’assurer que leurs ressortissants et les personnes vivant en Allemagne, ainsi que les enfants, les avocats, les clercs, les journalistes, entre autres personnes protégées, ne puissent pas être surveillés accidentellement.
Les systèmes de filtrage, d'évaluation et de minimisation des données (de sorte, par exemple, d'exclure toutes les données passées par des téléphones dotés de l'indicatif allemand + 0049) lui permettent d'en rejeter l'essentiel, pour ne conserver (temporairement) que 150 000 communications par jour, débouchant sur la production quotidienne d'environ 260 rapports rédigés par les analystes du BND.
Le filtrage est d'abord effectué à partir des adresses IP (qui seraient « exactes de 96 à 98 % en termes de localisation au niveau de l'État »). 24 milliards de données brutes (par jour) ne seraient pas supprimées immédiatement, mais envoyées à une autre étape de filtrage.
Celle-ci, permettant d'analyser les métadonnées voire le contenu des communications, repose sur une liste de plus de 100 000 mots-clefs et termes de recherches (allant du nom de certaines substances chimiques utilisées pour fabriquer des armes de destruction massive à du code binaire), numéros de téléphone, adresses e-mail, indicatifs téléphoniques et codes pays, noms de domaine, etc.
Avant d'utiliser les termes de recherche, les analystes du BND vérifient s'ils sont légalement autorisés. Par exemple, si le BND veut surveiller un citoyen de l'UE parce qu'il travaille pour un « fabricant d'armes iranien », il peut utiliser son numéro de téléphone comme terme de recherche. Mais seuls ses appels professionnels peuvent être écoutés, pas ses appels privés, selon les documents.
Le gouvernement fédéral sait que des erreurs se produisent. Aucun filtrage ne peut « jamais fournir une protection à 100 % », selon les documents. Si un Allemand appelle un numéro syrien en Syrie, il peut arriver que l'on reconnaisse uniquement pendant l'appel que cette personne bénéficie d'une protection spéciale. Les résultats correspondants seraient supprimés et documentés, ce qui se produirait environ 30 fois par mois, a-t-on appris lors d'une audition au tribunal de Karlsruhe.
Entre autres « règles strictes », détaillées dans un règlement de service Sigint (pour Signal INTelligence) de 72 pages, on découvre que « chérie, je t'aime » peut être enregistré, mais que les « communications avec un contenu purement sexuel » doivent, elles, être effacées.
Commentaires