jeudi 16 juin 2016

Internet: IOL : un radeau nommé Confiance, de quel type de surveillance parle-t-on ?

Par redaction
14 juin 2016



BloodyQosmos-Évoquer  un programme visiblement secret-défense portant sur des outils de  surveillance du trafic Internet n’est pas chose aisée. Notre premier article était trop technique pour les uns, pas assez détaillé pour les autres, inintéressant pour la majorité de la presse qui a ignoré superbement nos révélations, il nous fallait revenir sur le sujet.
Tout  d’abord les mots. De quel type de surveillance parle-t-on ? Massif, pas massif ? Jean-Marc Manach (1) martèle, comme à chacun de nos articles sur le sujet, qu’en France, on pêche au harpon, pas à la grenade. Discours officiel répété par ailleurs par tous les responsables  des services de renseignement et tous les ministres avant, pendant et  après le débat sur la Loi Renseignement. IOL ne ferait donc pas de massif. Il nous faut définir les termes que nous utilisons.


En France, il  existe deux principaux régimes d’interception. Celui, d’abord, concernant les écoutes réalisées pour la surveillance dite « internationale », notamment par la  DGSE sur les câbles sous-marins qui relient les côtes françaises à d’autres pays, voire à d’autres continents. Les communications par satellite sont en effet extrêmement minoritaires, 99 % des communications transcontinentales voyagent aujourd’hui au milieu des  poissons. Pour ces écoutes de surveillance internationale, c’est quasiment open-bar. D’autres pays ont mis en place ce genre de choses,  par exemple le programme « Upstream Collection » de la NSA américaine,  ou « TEMPORA » du GCHQ britannique. Ce n’est pas de ce type d’interceptions dont nous parlerons ici.
Les interceptions qui visent les citoyens sur le sol français sont en pratique plus encadrées, et de deux types : judiciaires et administratives. Les  premières sont réalisées sous le contrôle d’un juge. Tout est  transparent et se retrouvera dans le dossier d’instruction, consultable  par les parties. Illustration : un certain Paul Bismuth. Les secondes, également appelées « interceptions de sécurité »,  sont bien plus opaques. Elles sont autorisées par le Premier ministre et émanent  généralement d’un service de renseignement. Les demandes sont transmises au GIC, le Groupement Interministériel de Contrôle, qui en assure l’exécution. Il peut exister une interception administrative vous concernant sans que vous ayez le moyen de le savoir. Tout ce qui a trait à cette écoute est classé secret-défense.
Dans les deux cas, sur le papier, les interceptions concernent une personne. Pas une ville ou un quartier.

Dat veniam corvis, vexat censura columbas

Aux États-Unis, les révélations Snowden l’ont montré, la philosophie est différente. La NSA ne jure que par le « collect it all« . On prend tout ce  que l’on peut, avec les limites techniques et de stockage et l’on fait le tri après. En France, ce serait plutôt, on prend tout ce que l’on  peut dans les limites de la Loi. Et ces limites sont nombreuses : la procédure judiciaire et ses restrictions pour protéger les parties d’un délire intrusif, par exemple. Pas de massif donc. En tout cas pas sur le territoire.
Oui,  mais… C’est quoi exactement du massif ? Pour Reflets, on entre dans  du massif lorsque l’on dépasse les limites habituelles. Prenons une interception visant un parrain  de la drogue. Un juge décide d’autoriser un interception concernant un individu. Les interceptions ou l’enquête mettent en lumière des liens étroits avec d’autres dealers de  gros calibre. Imaginons qu’ils fassent également l’objet d’une  interception. In fine, on aboutit, disons, à 20 interceptions ? Au delà, on entre dans du massif. Autre approche, quand on commence à rechercher une information  pouvant incriminer une personne dans une masse de données récoltées au hasard, on entre  dans du massif. Il y a une grosse différence entre suspecter quelqu’un  de contrevenir à la Loi et déclencher une interception et ramasser à  l’aveugle des données pour ensuite rechercher des comportements  contraires à la loi.
Conclusion  ? Si l’on décide d’intercepter, par exemple, tout le trafic Internet  d’un quartier, d’une ville, même de 1000 habitants, d’un immeuble,  c’est du massif. Si l’on cherche à capter tout le trafic concernant un  protocole en particulier pour repérer dans la masse celui qui concerne M. Tartampion, c’est du massif.
Ce  massif, est très différent du systématique à l’américaine. Il est bien  moins volumineux. Mais il est plus volumineux que la pêche au harpon.  C’est de la petite grenade. Du genre qui fait plus de dégâts que le  harpon. Des dégâts à la Démocratie.

Cogito ergo sum

On  entre dans la zone philosophie/psychologie de comptoir. Après les mots, les concepts. Dans quel esprit dérangé naît l’envie de mettre sur écoute  des pans entiers de la population ? On pourrait au surcroît s’interroger sur le principe même de l’interception des communications privées. Dans vie  privée, il y a le mot « privé ». Si la grande majorité de la population  d’un pays respecte le contrat social qui l’unit, il est impossible de  viser une population qui suivrait scrupuleusement toutes les règles qui  lui sont imposées. Une soupape de sécurité est essentielle. Sans quoi, c’est généralement le craquage assuré en fin de course. Doit-on  forcément punir, réprimer tout écart ? Les plus vertueux, sur le papier,  les députés eux-mêmes, les membres du gouvernement ont droit à leur vie  privée, car il est possible, si, si, de trouver chez eux des tendances  sexuelles un peu particulières sur les sites des sex-shops. Ne parlons pas des comptes cachés dans des paradis fiscaux…
Qu’on me donne six lignes écrites de la main du plus honnête homme, j’y trouverai de quoi le faire pendre,disait le Cardinal Richelieu…
Dans  le cas d’interceptions massives, où l’on recherche dans une masse de  données des comportements « déviants », ce n’est pas six lignes dont disposeraient les « autorités », mais des milliards. What could go wrong?
Pour  ce qui est des mots et des concepts, nous pouvons dire que IOL, sur le  papier, peut faire du massif, pas du systématique, mais que la Loi, les  problématiques techniques et les pratiques françaises auraient poussé  les autorités à faire du ciblé. Reste que l’infrastructure installée  permet de faire du massif et que la seule chose qui nous sépare de cet  usage, c’est la volonté politique de ne pas le faire. En outre, l’une  des personnes ayant évoqué avec nous le projet IOL dans le cadre de  notre enquête a été très claire : la collecte massive de métadonnées a été testée. Impossible toutefois d’obtenir des détails sur ce qui a été collecté, pendant combien temps et pour quoi faire.

Tarde venientibus ossa

Maintenant, les aspects techniques. Que trouve-t-on sur un plan technique dans le document de Qosmos qui explicite le projet ?
Chaque  foyer connecté à l’ADSL l’est par le biais d’un modem ADSL connecté à  une ligne téléphonique. Chez les plus grands opérateurs, le modem est généralement intégré dans une « box » qui joue également le rôle de  routeur. À l’autre bout, toutes les lignes de tous les abonnées  atterrissent dans un « noeud de raccordement abonné », ou NRA, qui  contient les DSLAM,  équipement dont le rôle est de donner accès à leurs abonnés aux  réseaux des différents opérateurs, de les connecter à Internet. Les NRA,  au nombre de 17 000 environ, sont répartis sur l’ensemble du territoire  français et contiennent généralement autant de DSLAM que d’opérateurs.  Soit au total, environ 60 000 DSLAM. Dans le cas de la fibre optique, le  principe est assez similaire, mais l’on parle alors de NRO, pour «  noeud de raccordement optique ».
En  France et contrairement à ce qui peut exister dans d’autres pays, le  réseau physique est extrêmement décentralisé. Cela signifie qu’une  partie significative du trafic n’emprunte pas le coeur de réseau des  opérateurs, mais reste en périphérie et circule sur des voies plus «  locales ». Installer des équipements d’interception en coeur de réseau  aurait ainsi été très inefficace pour les grandes oreilles, il leur  fallait au contraire imaginer un système qui leur permette d’écouter le  trafic là où il passe, c’est à dire, dans la mesure du possible, sur  chacun des DSLAM des « noeuds de raccordement abonnés » des grands  opérateurs français.
L’architecture proposée par Qosmos se base ainsi sur l’intégration d’équipements d’analyse de trafic, des sondes DPI,  dans les noeuds de raccordement, à côté de chaque DSLAM. En dehors des  sondes, le système s’appuie sur deux composants principaux : le serveur  de configuration et l’équipement d’intermédiation.
Le serveur de configuration, « convertit les demandes d’interception reçues, en commande de configuration à appliquer sur l’ensemble des sondes  ». Autrement dit, c’est lui qui pilote les sondes, notamment pour la  sélection des cibles. Rien à voir avec la bretelle d’interception  téléphonique de Papy, ici tout est dirigé à distance et les sondes sont  reconfigurées en moins de temps qu’il n’en faut pour le tapoter sur un clavier.
descriptif-schema-capture
Lorsqu’une  sonde détecte du trafic correspondant aux sélecteurs, à la cible, elle  effectue (effectuait ?), à la bourrin, une copie en temps réel de ce  trafic — données de connexion et contenus — et la transfère en temps  réel à l’équipement d’intermédiation. Ce dernier marque, d’un côté, la  fin du réseau de l’opérateur et, de l’autre, le début réseau de  collecte, le réseau du GIC, qui centraliste les interceptions de  sécurité et auquel l’équipement d’intermédiation transmet les flux de données interceptés.
screen-trafic
Les  commandes de contrôle des sondes Qosmos permettent d’intercepter une  adresse IP spécifique, ou l’ensemble d’un sous-réseau, ou encore cibler  un ou plusieurs appareils spécifiques via leur adresses MAC (les sondes sont utilisées à d’autres fins, mais dans le cas précis des DSLAM la sélection par adresse MAC ne sert probablement à rien).  Les capacités de ces sondes et du protocole ixM de Qosmos n’ont cessé de  progresser, d’après la communication de la société, et et les mises à jour ont été récentes, sinon fréquentes. Néanmoins, si les sondes sont  directement exposées au(x) serveur(s) qui les contrôle(nt), ce dernier est lui-même soumis aux instructions de l’équipement d’intermédiation, qui pilote les demandes d’interception, en amont, et est censé vérifier la conformité des données interceptées, en aval.
Ce  dispositif d’intermédiation, l’un des rares éléments placé  véritablement sous le contrôle de l’opérateur, joue un rôle  prépondérant. Au delà de sa fonction de transmission des données, il  s’assure que les données poussées vers le GIC puis aux services  demandeurs correspondent à une demande d’interception légitimement reçue en amont. Figurez-vous que, pour le meilleur et pour le pire, il existe  un standard pour les « interceptions légales ». Si, si. Il porte un  joli acronyme rien qu’à lui, celui de l’ETSI. On y trouve trois types  d’interfaces, numérotées HI1, HI2, et HI3 (Handover interfaces). HI1 normalise les demandes  que reçoit la passerelle d’intermédiation. HI2 et HI3 correspondent, respectivement,  aux flux sortants de « métadonnées » et de contenus. Chez  Qosmos, visiblement, à l’époque, on était plutôt parti directement sur du HI3 (avec du HI2 en remorque).
Et devinez quoi ? Le système proposé par Qosmos est compatible avec le protocole ETSI, bien que les sondes soient initialement beaucoup plus… compétentes.
screen-etsi
60  000 interceptions judiciaires, contre 6 000 interceptions de sécurité.  Bon, l’ordre de grandeur n’est vraiment pas le même, à première vue. Nous voyons bien que les juges, gardiens des libertés, sont  beaucoup plus gourmands que les services et le GIC. Oui. Mais alors il  faut s’intéresser au rapport d’activité 2013-2014 de la Commission Nationale de Contrôle des Interceptions de Sécurité, qui nous explique, avec force arguments, qu’elle a accepté de modifier un chouilla les règles de comptage.
En  effet, en judiciaire, chaque ligne interceptée est comptabilisée comme une  interception, à l’unité. Ainsi, si un magistrat accepte que vous soyez  écoutés, il est probable que vous comptiez au minimum pour deux, pour  trois, ou pour quatre, ou plus, selon le nombre de bidules et de machins correspondant à des abonnements à votre nom. Depuis 2013, en ce qui concerne les  interceptions de sécurité, c’est exactement la logique inverse qui  s’applique, dans la mesure où si vous devenez une « cible », vous  compterez pour une unité, quel que soit le nombre d’abonnements (ou de lignes qui seront concernées).
Autrement dit, si vous divisez 60 000 par 3  d’un côté, ou multipliez 6 000 par 3 de l’autre, vous obtenez un compte de cibles beaucoup plus proche, du même ordre de grandeur. Dans un cas, un juge aura autorisé chaque interception individuellement, dans l’autre, les services de renseignement ou de police seront passés au travers du tamis de la CNCIS, devenue CNCTR.
On  pourrait donc mesurer l’étendue du dispositif d’interception à l’aune du nombre de sondes, correspondant au nombre de DSLAM et à la quantité  d’abonnés. Mais on pourrait aussi tenir compte du  nombre d’étages composant notre fusée IOL, des sondes, en passant par la passerelle d’intermédiation, le réseau du GIC, les autorisations des commissions de « contrôle » — CNCIS puis CNCTR, jusqu’aux demandes des services qui, on le rappelle, s’appuient  régulièrement sur de vagues notes blanches pour tenter d’encabaner de vilains anarcho-gauchistes.

Abusus non tollit usum

Pour  ce qui est de la possibilité de faire du « massif » (tel que défini  ci-dessus) avec IOL, il faut se plonger dans le détail des paramétrages possibles d’IOL, selon Qosmos.
Le document explique comment ajouter ou supprimer un couple adresse/masque de sous-réseau (network/netmask).
Cela  veut dire, et les détails sont intéressants, que l’opérateur du système peut ajouter comme cible une adresse unique, ou une plage d’adresses IP. Sachant qu’un réseau local « classique » (de classe C) peut identifier jusqu’à 254 machines, cela peut sembler un petit « massif ».
Pas  de souci, Qosmos précise que l’on peut choisir une plage d’adresses de  type « 182.23.32.0/255.255.0.0 », donc de classe B. Ce qui veut dire, en clair, que cette cible, donnée à titre  d’exemple, désignera 65 534 adresses IP, soit potentiellement 65 534 connexions individuelles. Notez que sur le papier, il s’agirait d’une cible et donc, d’une seule interception…
En jouant avec cette option, on pourrait même entrer le couple 0.0.0.0/0 qui écouterait… Tout Internet.
Bien entendu, rien ne dit que :
  1. l’État ait testé ces options,
  2. que le système (du côté des infrastructures de l’État ou de celles des opérateurs) ait été dimensionné pour recevoir ce volume de trafic, ça doit quand même piquer un peu.
Mais trois éléments (au moins) sont très inquiétants :
  1. la gourmandise démesurée de l’Etat en matière d’interceptions n’est plus à démontrer
  2. le fait d’utiliser ou pas cette option, si elle dépend aussi des moyens alloués et des capacités techniques, découle essentiellement de la volonté politique. Et celle-ci est changeante.
  3. plusieurs ministres (dont Bernard Cazeneuve) et députés ont promis que le DPI était exclu, alors qu’il est pratiqué depuis 2009, à l’échelle du pays entier, pour les interceptions (non judiciaires) du trafic résidentiel.
Prenons un exemple plus explicite de ce qui peut être fait avec cette fonctionnalité proposée par Qosmos dans IOL :
« Les Local_network et global_network sont gérés comme des pool de réseau et non des listes »
L’exemple donné dans la documentation Qosmos porte sur l’AS5089 (Virgin Media) :
li_target tune add local network 82.23.0.0/255.255.254.0
Imaginons maintenant qu’un opérateur  souhaite intercepter ce qui se passe chez Air France qui dispose de son propre AS composé de six /24, des classes C, donc.
Il lui suffit  de quelques commandes :
li_target tune add local network 193.57.218.0/255.255.255.0
li_target tune add local network 193.57.219.0/255.255.255.0
li_target tune add local network 193.57.220.0/255.255.255.0
li_target tune add local network 193.57.244.0/255.255.255.0
li_target tune add local network 193.57.245.0/255.255.255.0
li_target tune add local network 193.57.218.0/255.255.255.0
Parlons maintenant du pourquoi… pourquoi vouloir intercepter tout l’AS d’AirFrance ?
Réponse possible, si la volonté politique de le faire est au rendez-vous :  par exemple pour savoir si un mouvement de grève va être suivi pendant  l’euro de foot… est-ce une bonne raison, est-ce une mauvaise ? Peu importe, c’est techniquement possible… et bien documenté.  Rien de neuf sous le soleil du renseignement. Les politiques ont  toujours adoré que les renseignements généraux prennent le pouls de la  société. Seule différence, on est passé de Marcel qui va boire un coup au Bar des Amis avec un syndicaliste, à une arme d’interception massive pouvant induire des analyses et conclusions complètement fausses.
Reste la question du futur. Vers quoi vont évoluer les systèmes d’interception. Si l’on se réfère à la tendance politique depuis le 11 septembre, à l’évolution des technologies, à la baisse du coût du stockage, on peut raisonnablement anticiper le renforcement des structures existantes, un durcissement de la tendance « collect it all » et une évolution vers du systématique dans tous les pays disposant des capacités. Le vote comme un seul homme (ou presque) par les
représentants du peuple députés et sénateurs de la Loi sur le Renseignement militent en ce sens.
En outre, il est légitime de s’interroger sur la politique budgétaire des gouvernements successifs dans ce domaine. Les impôts des citoyens sont ils bien employés lorsqu’ils sont dépensés pour intercepter les communications privées… des mêmes citoyens ?
D’un côté, on a Kairos pour les interceptions internationales. De l’autre la PNIJ pour les interceptions judiciaires domestiques. Maintenant ÌOL pour les interceptions de sécurité nationales.
Existe-t-il une rationalisation des moyens mis en place pour en limiter les coûts ? Les technologies étant proches, il y a sans doutes des voies possibles en ce sens. Ont-elles été explorées ? Quelle serait l’implication d’une perméabilité entre ces systèmes ? Nous n’en saurons à priori rien puisque le gouvernement se refuse à répondre à nos questions.
Surveillance et confiance sont sur un radeau, devinez qui est tombé à l’eau ?…


(1) full disclosure : l‘un des auteurs de cet article (Kitetoa) connait Jean-Marc Manach depuis 2001. Jean-Marc Manach était journaliste au service Société de Transfert dont Kitetoa était le responsable.
php

Aucun commentaire:

Enregistrer un commentaire