14 juin 2016
Imaginons maintenant qu’un opérateur souhaite intercepter ce qui se passe chez Air France qui dispose de son propre AS composé de six /24, des classes C, donc.
Évoquer un programme visiblement secret-défense portant sur des outils de surveillance du trafic Internet n’est pas chose aisée. Notre premier article était trop technique pour les uns, pas assez détaillé pour les autres, inintéressant pour la majorité de la presse qui a ignoré superbement nos révélations, il nous fallait revenir sur le sujet.
Tout d’abord les mots. De quel type de surveillance parle-t-on ? Massif, pas massif ? Jean-Marc Manach (1) martèle, comme à chacun de nos articles sur le sujet, qu’en France, on pêche au harpon, pas à la grenade. Discours officiel répété par ailleurs par tous les responsables des services de renseignement et tous les ministres avant, pendant et après le débat sur la Loi Renseignement. IOL ne ferait donc pas de massif. Il nous faut définir les termes que nous utilisons.
En France, il existe deux principaux régimes d’interception. Celui, d’abord, concernant les écoutes réalisées pour la surveillance dite « internationale », notamment par la DGSE sur les câbles sous-marins qui relient les côtes françaises à d’autres pays, voire à d’autres continents. Les communications par satellite sont en effet extrêmement minoritaires, 99 % des communications transcontinentales voyagent aujourd’hui au milieu des poissons. Pour ces écoutes de surveillance internationale, c’est quasiment open-bar. D’autres pays ont mis en place ce genre de choses, par exemple le programme « Upstream Collection » de la NSA américaine, ou « TEMPORA » du GCHQ britannique. Ce n’est pas de ce type d’interceptions dont nous parlerons ici.
Les interceptions qui visent les citoyens sur le sol français sont en pratique plus encadrées, et de deux types : judiciaires et administratives. Les premières sont réalisées sous le contrôle d’un juge. Tout est transparent et se retrouvera dans le dossier d’instruction, consultable par les parties. Illustration : un certain Paul Bismuth. Les secondes, également appelées « interceptions de sécurité », sont bien plus opaques. Elles sont autorisées par le Premier ministre et émanent généralement d’un service de renseignement. Les demandes sont transmises au GIC, le Groupement Interministériel de Contrôle, qui en assure l’exécution. Il peut exister une interception administrative vous concernant sans que vous ayez le moyen de le savoir. Tout ce qui a trait à cette écoute est classé secret-défense.
Dans les deux cas, sur le papier, les interceptions concernent une personne. Pas une ville ou un quartier.
Dat veniam corvis, vexat censura columbas
Aux États-Unis, les révélations Snowden l’ont montré, la philosophie est différente. La NSA ne jure que par le « collect it all« . On prend tout ce que l’on peut, avec les limites techniques et de stockage et l’on fait le tri après. En France, ce serait plutôt, on prend tout ce que l’on peut dans les limites de la Loi. Et ces limites sont nombreuses : la procédure judiciaire et ses restrictions pour protéger les parties d’un délire intrusif, par exemple. Pas de massif donc. En tout cas pas sur le territoire.
Oui, mais… C’est quoi exactement du massif ? Pour Reflets, on entre dans du massif lorsque l’on dépasse les limites habituelles. Prenons une interception visant un parrain de la drogue. Un juge décide d’autoriser un interception concernant un individu. Les interceptions ou l’enquête mettent en lumière des liens étroits avec d’autres dealers de gros calibre. Imaginons qu’ils fassent également l’objet d’une interception. In fine, on aboutit, disons, à 20 interceptions ? Au delà, on entre dans du massif. Autre approche, quand on commence à rechercher une information pouvant incriminer une personne dans une masse de données récoltées au hasard, on entre dans du massif. Il y a une grosse différence entre suspecter quelqu’un de contrevenir à la Loi et déclencher une interception et ramasser à l’aveugle des données pour ensuite rechercher des comportements contraires à la loi.
Conclusion ? Si l’on décide d’intercepter, par exemple, tout le trafic Internet d’un quartier, d’une ville, même de 1000 habitants, d’un immeuble, c’est du massif. Si l’on cherche à capter tout le trafic concernant un protocole en particulier pour repérer dans la masse celui qui concerne M. Tartampion, c’est du massif.
Ce massif, est très différent du systématique à l’américaine. Il est bien moins volumineux. Mais il est plus volumineux que la pêche au harpon. C’est de la petite grenade. Du genre qui fait plus de dégâts que le harpon. Des dégâts à la Démocratie.
Cogito ergo sum
On entre dans la zone philosophie/psychologie de comptoir. Après les mots, les concepts. Dans quel esprit dérangé naît l’envie de mettre sur écoute des pans entiers de la population ? On pourrait au surcroît s’interroger sur le principe même de l’interception des communications privées. Dans vie privée, il y a le mot « privé ». Si la grande majorité de la population d’un pays respecte le contrat social qui l’unit, il est impossible de viser une population qui suivrait scrupuleusement toutes les règles qui lui sont imposées. Une soupape de sécurité est essentielle. Sans quoi, c’est généralement le craquage assuré en fin de course. Doit-on forcément punir, réprimer tout écart ? Les plus vertueux, sur le papier, les députés eux-mêmes, les membres du gouvernement ont droit à leur vie privée, car il est possible, si, si, de trouver chez eux des tendances sexuelles un peu particulières sur les sites des sex-shops. Ne parlons pas des comptes cachés dans des paradis fiscaux…
Qu’on me donne six lignes écrites de la main du plus honnête homme, j’y trouverai de quoi le faire pendre,disait le Cardinal Richelieu…
Dans le cas d’interceptions massives, où l’on recherche dans une masse de données des comportements « déviants », ce n’est pas six lignes dont disposeraient les « autorités », mais des milliards. What could go wrong?
Pour ce qui est des mots et des concepts, nous pouvons dire que IOL, sur le papier, peut faire du massif, pas du systématique, mais que la Loi, les problématiques techniques et les pratiques françaises auraient poussé les autorités à faire du ciblé. Reste que l’infrastructure installée permet de faire du massif et que la seule chose qui nous sépare de cet usage, c’est la volonté politique de ne pas le faire. En outre, l’une des personnes ayant évoqué avec nous le projet IOL dans le cadre de notre enquête a été très claire : la collecte massive de métadonnées a été testée. Impossible toutefois d’obtenir des détails sur ce qui a été collecté, pendant combien temps et pour quoi faire.
Tarde venientibus ossa
Maintenant, les aspects techniques. Que trouve-t-on sur un plan technique dans le document de Qosmos qui explicite le projet ?
Chaque foyer connecté à l’ADSL l’est par le biais d’un modem ADSL connecté à une ligne téléphonique. Chez les plus grands opérateurs, le modem est généralement intégré dans une « box » qui joue également le rôle de routeur. À l’autre bout, toutes les lignes de tous les abonnées atterrissent dans un « noeud de raccordement abonné », ou NRA, qui contient les DSLAM, équipement dont le rôle est de donner accès à leurs abonnés aux réseaux des différents opérateurs, de les connecter à Internet. Les NRA, au nombre de 17 000 environ, sont répartis sur l’ensemble du territoire français et contiennent généralement autant de DSLAM que d’opérateurs. Soit au total, environ 60 000 DSLAM. Dans le cas de la fibre optique, le principe est assez similaire, mais l’on parle alors de NRO, pour « noeud de raccordement optique ».
En France et contrairement à ce qui peut exister dans d’autres pays, le réseau physique est extrêmement décentralisé. Cela signifie qu’une partie significative du trafic n’emprunte pas le coeur de réseau des opérateurs, mais reste en périphérie et circule sur des voies plus « locales ». Installer des équipements d’interception en coeur de réseau aurait ainsi été très inefficace pour les grandes oreilles, il leur fallait au contraire imaginer un système qui leur permette d’écouter le trafic là où il passe, c’est à dire, dans la mesure du possible, sur chacun des DSLAM des « noeuds de raccordement abonnés » des grands opérateurs français.
L’architecture proposée par Qosmos se base ainsi sur l’intégration d’équipements d’analyse de trafic, des sondes DPI, dans les noeuds de raccordement, à côté de chaque DSLAM. En dehors des sondes, le système s’appuie sur deux composants principaux : le serveur de configuration et l’équipement d’intermédiation.
Le serveur de configuration, « convertit les demandes d’interception reçues, en commande de configuration à appliquer sur l’ensemble des sondes ». Autrement dit, c’est lui qui pilote les sondes, notamment pour la sélection des cibles. Rien à voir avec la bretelle d’interception téléphonique de Papy, ici tout est dirigé à distance et les sondes sont reconfigurées en moins de temps qu’il n’en faut pour le tapoter sur un clavier.
Lorsqu’une sonde détecte du trafic correspondant aux sélecteurs, à la cible, elle effectue (effectuait ?), à la bourrin, une copie en temps réel de ce trafic — données de connexion et contenus — et la transfère en temps réel à l’équipement d’intermédiation. Ce dernier marque, d’un côté, la fin du réseau de l’opérateur et, de l’autre, le début réseau de collecte, le réseau du GIC, qui centraliste les interceptions de sécurité et auquel l’équipement d’intermédiation transmet les flux de données interceptés.
Les commandes de contrôle des sondes Qosmos permettent d’intercepter une adresse IP spécifique, ou l’ensemble d’un sous-réseau, ou encore cibler un ou plusieurs appareils spécifiques via leur adresses MAC (les sondes sont utilisées à d’autres fins, mais dans le cas précis des DSLAM la sélection par adresse MAC ne sert probablement à rien). Les capacités de ces sondes et du protocole ixM de Qosmos n’ont cessé de progresser, d’après la communication de la société, et et les mises à jour ont été récentes, sinon fréquentes. Néanmoins, si les sondes sont directement exposées au(x) serveur(s) qui les contrôle(nt), ce dernier est lui-même soumis aux instructions de l’équipement d’intermédiation, qui pilote les demandes d’interception, en amont, et est censé vérifier la conformité des données interceptées, en aval.
Ce dispositif d’intermédiation, l’un des rares éléments placé véritablement sous le contrôle de l’opérateur, joue un rôle prépondérant. Au delà de sa fonction de transmission des données, il s’assure que les données poussées vers le GIC puis aux services demandeurs correspondent à une demande d’interception légitimement reçue en amont. Figurez-vous que, pour le meilleur et pour le pire, il existe un standard pour les « interceptions légales ». Si, si. Il porte un joli acronyme rien qu’à lui, celui de l’ETSI. On y trouve trois types d’interfaces, numérotées HI1, HI2, et HI3 (Handover interfaces). HI1 normalise les demandes que reçoit la passerelle d’intermédiation. HI2 et HI3 correspondent, respectivement, aux flux sortants de « métadonnées » et de contenus. Chez Qosmos, visiblement, à l’époque, on était plutôt parti directement sur du HI3 (avec du HI2 en remorque).
Et devinez quoi ? Le système proposé par Qosmos est compatible avec le protocole ETSI, bien que les sondes soient initialement beaucoup plus… compétentes.
60 000 interceptions judiciaires, contre 6 000 interceptions de sécurité. Bon, l’ordre de grandeur n’est vraiment pas le même, à première vue. Nous voyons bien que les juges, gardiens des libertés, sont beaucoup plus gourmands que les services et le GIC. Oui. Mais alors il faut s’intéresser au rapport d’activité 2013-2014 de la Commission Nationale de Contrôle des Interceptions de Sécurité, qui nous explique, avec force arguments, qu’elle a accepté de modifier un chouilla les règles de comptage.
En effet, en judiciaire, chaque ligne interceptée est comptabilisée comme une interception, à l’unité. Ainsi, si un magistrat accepte que vous soyez écoutés, il est probable que vous comptiez au minimum pour deux, pour trois, ou pour quatre, ou plus, selon le nombre de bidules et de machins correspondant à des abonnements à votre nom. Depuis 2013, en ce qui concerne les interceptions de sécurité, c’est exactement la logique inverse qui s’applique, dans la mesure où si vous devenez une « cible », vous compterez pour une unité, quel que soit le nombre d’abonnements (ou de lignes qui seront concernées).
Autrement dit, si vous divisez 60 000 par 3 d’un côté, ou multipliez 6 000 par 3 de l’autre, vous obtenez un compte de cibles beaucoup plus proche, du même ordre de grandeur. Dans un cas, un juge aura autorisé chaque interception individuellement, dans l’autre, les services de renseignement ou de police seront passés au travers du tamis de la CNCIS, devenue CNCTR.
On pourrait donc mesurer l’étendue du dispositif d’interception à l’aune du nombre de sondes, correspondant au nombre de DSLAM et à la quantité d’abonnés. Mais on pourrait aussi tenir compte du nombre d’étages composant notre fusée IOL, des sondes, en passant par la passerelle d’intermédiation, le réseau du GIC, les autorisations des commissions de « contrôle » — CNCIS puis CNCTR, jusqu’aux demandes des services qui, on le rappelle, s’appuient régulièrement sur de vagues notes blanches pour tenter d’encabaner de vilains anarcho-gauchistes.
Abusus non tollit usum
Pour ce qui est de la possibilité de faire du « massif » (tel que défini ci-dessus) avec IOL, il faut se plonger dans le détail des paramétrages possibles d’IOL, selon Qosmos.
Le document explique comment ajouter ou supprimer un couple adresse/masque de sous-réseau (network/netmask).
Cela veut dire, et les détails sont intéressants, que l’opérateur du système peut ajouter comme cible une adresse unique, ou une plage d’adresses IP. Sachant qu’un réseau local « classique » (de classe C) peut identifier jusqu’à 254 machines, cela peut sembler un petit « massif ».
Pas de souci, Qosmos précise que l’on peut choisir une plage d’adresses de type « 182.23.32.0/255.255.0.0 », donc de classe B. Ce qui veut dire, en clair, que cette cible, donnée à titre d’exemple, désignera 65 534 adresses IP, soit potentiellement 65 534 connexions individuelles. Notez que sur le papier, il s’agirait d’une cible et donc, d’une seule interception…
En jouant avec cette option, on pourrait même entrer le couple 0.0.0.0/0 qui écouterait… Tout Internet.
Bien entendu, rien ne dit que :
- l’État ait testé ces options,
- que le système (du côté des infrastructures de l’État ou de celles des opérateurs) ait été dimensionné pour recevoir ce volume de trafic, ça doit quand même piquer un peu.
Mais trois éléments (au moins) sont très inquiétants :
- la gourmandise démesurée de l’Etat en matière d’interceptions n’est plus à démontrer
- le fait d’utiliser ou pas cette option, si elle dépend aussi des moyens alloués et des capacités techniques, découle essentiellement de la volonté politique. Et celle-ci est changeante.
- plusieurs ministres (dont Bernard Cazeneuve) et députés ont promis que le DPI était exclu, alors qu’il est pratiqué depuis 2009, à l’échelle du pays entier, pour les interceptions (non judiciaires) du trafic résidentiel.
Prenons un exemple plus explicite de ce qui peut être fait avec cette fonctionnalité proposée par Qosmos dans IOL :
« Les Local_network et global_network sont gérés comme des pool de réseau et non des listes »
L’exemple donné dans la documentation Qosmos porte sur l’AS5089 (Virgin Media) :
li_target tune add local network 82.23.0.0/255.255.254.0
Imaginons maintenant qu’un opérateur souhaite intercepter ce qui se passe chez Air France qui dispose de son propre AS composé de six /24, des classes C, donc.
Il lui suffit de quelques commandes :
li_target tune add local network 193.57.218.0/255.255.255.0
li_target tune add local network 193.57.219.0/255.255.255.0
li_target tune add local network 193.57.220.0/255.255.255.0
li_target tune add local network 193.57.244.0/255.255.255.0
li_target tune add local network 193.57.245.0/255.255.255.0
li_target tune add local network 193.57.218.0/255.255.255.0
Parlons maintenant du pourquoi… pourquoi vouloir intercepter tout l’AS d’AirFrance ?
Réponse possible, si la volonté politique de le faire est au rendez-vous : par exemple pour savoir si un mouvement de grève va être suivi pendant l’euro de foot… est-ce une bonne raison, est-ce une mauvaise ? Peu importe, c’est techniquement possible… et bien documenté. Rien de neuf sous le soleil du renseignement. Les politiques ont toujours adoré que les renseignements généraux prennent le pouls de la société. Seule différence, on est passé de Marcel qui va boire un coup au Bar des Amis avec un syndicaliste, à une arme d’interception massive pouvant induire des analyses et conclusions complètement fausses.
Reste la question du futur. Vers quoi vont évoluer les systèmes d’interception. Si l’on se réfère à la tendance politique depuis le 11 septembre, à l’évolution des technologies, à la baisse du coût du stockage, on peut raisonnablement anticiper le renforcement des structures existantes, un durcissement de la tendance « collect it all » et une évolution vers du systématique dans tous les pays disposant des capacités. Le vote comme un seul homme (ou presque) par les
représentants du peuple députés et sénateurs de la Loi sur le Renseignement militent en ce sens.
En outre, il est légitime de s’interroger sur la politique budgétaire des gouvernements successifs dans ce domaine. Les impôts des citoyens sont ils bien employés lorsqu’ils sont dépensés pour intercepter les communications privées… des mêmes citoyens ?
D’un côté, on a Kairos pour les interceptions internationales. De l’autre la PNIJ pour les interceptions judiciaires domestiques. Maintenant ÌOL pour les interceptions de sécurité nationales.
Existe-t-il une rationalisation des moyens mis en place pour en limiter les coûts ? Les technologies étant proches, il y a sans doutes des voies possibles en ce sens. Ont-elles été explorées ? Quelle serait l’implication d’une perméabilité entre ces systèmes ? Nous n’en saurons à priori rien puisque le gouvernement se refuse à répondre à nos questions.
Surveillance et confiance sont sur un radeau, devinez qui est tombé à l’eau ?…
(1) full disclosure : l
Aucun commentaire:
Enregistrer un commentaire