Vous êtes sur la page 1sur 8

1

Big brother nous surveillait dj


Il ny avait pas de quoi tre bien surpris des rvlations concernant le programme de surveillance PRISM de la NSA. Nous allons ici relativiser cette dcouverte avec ce qui se pratique dans bien dautres pays dont la France. Et aussi voir o cela pourrait nous mener. Vieilles interceptions La NSA intercepte les communications lectromagntiques depuis des dcennies. Elle a mme t cre spcialement pour rationnaliser cette mission en 1952, en pleine guerre froide. Elle le faisait sur les communications tlphoniques, notamment satellitaires, via le programme Echelon. Elle avait mis en place au milieu des annes 2000 un programme dinterception des communications Internet trs bien document dans lexcellent The shadow factory. Ce livre est le troisime crit par le journaliste James Bamford sur la NSA, aprs The puzzle palace (1982) et Body of secrets (2001). Paru en 2008, il explique comment, en marge de la loi amricaine, la NSA a install aprs 9/11 des salles noires dans les nuds de rseaux optiques des grands oprateurs tlcoms amricains (les Regional Bell Operating Companies ou RBOC) tels que AT&T ou Verizon.

Ces salles rpliquent les signaux transitant dans les fibres optiques. Ces signaux sont ensuite filtrs localement par des serveurs ddis. Ne sont conserves que les trames IP provenant
Opinions Libres -1/8Edition PDF du 8 juillet 2013

dendroits ou sujets surveiller, tels que ceux qui sont issus des pays dits risques pour la scurit des USA. Iran, Ymen, Syrie, etc. Le rsultat du filtrage est alors envoy dans lun des centres danalyse de ces donnes de la NSA, dont le sige situ Fort Meade prs de Washington DC (ci-dessous). Ce systme permet de savoir qui cause avec qui, qui consulte quoi, et ventuellement, de quoi il sagit. En parallle, la NSA termine la construction dun norme data center Bluffdale dans lUtah. Il est cens stocker toutes les donnes dinterception.

PRISM complte ce dispositif qui avait dj quelques annes dexistence avec, semble-t-il, des serveurs installs chez les oprateurs de services Internet : Google, Yahoo, Microsoft et plein dautres. Ces serveurs permettraient de fouiller non plus simplement dans les flux de donnes circulant sur Internet via les RBOC, mais aussi dans les stocks de donnes, situs dans les serveurs des pure players Internet. Les derniers slides de la prsentation dvoile par Edward Snowden expliquent cela trs bien. Ils montrent dailleurs que cest lensemble de la communaut du renseignement US est implique dans PRISM et pas seulement la NSA. Le FBI est en effet lorganisation qui gre le lien avec les services Internet tandis que la NSA continue de filtrer les communications Internet au niveau des RBOC.

Opinions Libres

-2/8-

Edition PDF du 8 juillet 2013

En rsum : sauf tre trs fortement cryptes, nos communications Internet qui ont de grandes chances de transiter par les USA sont potentiellement interceptes par la NSA et le FBI. De l ce que vous faites les intresse, cela dpend videmment de vos activits ! Vos donnes seront examines si vous faites partie de la centaine et quelques de milliers de cibles de la NSA. Les infrastructures de la NSA sont videmment intressantes au niveau de leur architecture technique. Lagence a toujours t la pointe dans deux domaines cls : le dcryptage des donnes chiffres, laide de supercalculateurs avec une forte consommation de Cray en leur temps, maintenant probablement remplacs par des architectures plus distribues et de lautre, lusage de technologies de tlcommunication ultra-rapides. En effet, les donnes interceptes reprsentent des volumes trs importants faire circuler. La NSA est donc le premier client au monde dinfrastructures de tlcommunications base de fibres optiques ultra-haut dbit comme celles que nous avions explores dans mon premier article sur Alcatel-Lucent. Aussi ironique que cela puisse paraitre, dans The shadow factory, James Bamford indique que la vision big brotherienne du film Ennemi dEtat (Ennemy of the State) sorti en 1998 navait rien voir avec la ralit. A lpoque, la NSA savait bien intercepter les communications tlphoniques mais tait compltement la rue pour ce qui concernait celles qui transitaient sur Internet, et notamment la VOIP. Il faut dire qu lpoque, lInternet grand public navait que quatre petites annes dexistence ! On peut dater larrive du web grand public lmergence de Netscape Navigator fin 1994 ! Ennemi dEtat prsentait une vision prospective ne collant pas du tout la ralit au moment de sa ralisation. 15 ans aprs, cette vision est devenue ralit. Cest le lot commun des films de science fiction dHollywood qui prsentent des scnarios technologiques futuristiques qui inspirent ensuite les chercheurs, entrepreneurs et les tats ! Mais mme aujourdhui, avec tous les moyens dont ils disposent, les services de renseignement amricain et autres ont bien du mal prvenir des oprations terroristes ou autres, surtout
Opinions Libres -3/8Edition PDF du 8 juillet 2013

lorsquelles sont dclenches par des individus isols et communiquant peu.

Dernire rvlation en date de laffaire PRISM : la NSA espionnerait les ambassades europennes ou diverses missions lONU, y compris de pays amis. L-dessus, rien de nouveau sous le soleil : lespionnage est vieux comme le monde et celui des ambassades trangres a dmarr bien avant lavnement du numrique ! Seuls les moyens ont volu. Il est moins utile dinstaller des micros dans les murs comme du temps de la guerre froide ! Quoique ! En fait, avec des lasers, on peut couter distance une communication dans une pice en visant une fentre. Mais les ambassades bien quipes disposent en gnral de salles isoles, sans fentres, et construites dans des cages de Faraday tanches aux ondes lectromagntiques. Et si vous visitez une ambassade des USA, on vous videra de la tte aux pieds de tout objet numrique, cls USB comprises ! Cest lun des rares endroits que je connaisse o de telles prcautions dusages soient de rigueur. A un moment, certains commentateurs se sont tonns que la NSA nespionne pas Twitter. Et pour cause la majeure partie des donnes qui y circulent sont publiques. Ne restent plus qu rcuprer les Direct Message qui ne le sont pas. Cela ne devrait pas tre trop difficile de le faire sans mme passer par les serveurs de Twitter ! Et en France ? Ca na pas loup, la rvlation du programme PRISM a gn les USA et oblig les autres gouvernements rclamer des explications. Explications que leurs services spciaux ont dj largement en main quand ils ne collaborent pas dj ensembles et exploitent des donnes captes par leurs systmes respectifs, notamment dans la traque de terroristes potentiels. Mais pour le thtre de la politique, les chefs dEtats doivent jouer les vierges effarouches ! Ce sont surtout les organisations de dfense des citoyens ou de la vie prive qui se sont le plus rebiffes. La Quadrature du Net dfend ainsi le sort dEdward Snowden, lemploy amricain de Booz & Allen lorigine des fuites sur PRISM. Sa difficult rcente trouver un pays dasile tmoigne de lembarras des pays occidentaux face lalli amricain ! On a mme vu des articles presse expliquant aux Internautes comment viter de voir leurs communications Internet espionnes par la NSA. Jusqu recommander darrter dutiliser Google ou Facebook.
Opinions Libres -4/8Edition PDF du 8 juillet 2013

L-dessus, les journalistes ont un peu enqut du ct franais en se disant juste titre que les pratiques de la NSA ne devaient pas relever de lexception. Et on sest rappel de lexistence de programmes similaires en Europe et notamment en France. Cf Frencheleon, la DGSE est en premire division, Rvlations sur le big brother franais ou La DGSE coute le monde (et les franais) depuis 30 ans. Les diffrences entre les pratiques de la DGSE et de la NSA ? Elles se situent au niveau des moyens, bien plus importants aux USA (x10 x20) et dans larsenal juridique qui encadre ou pas ces systmes dcoute. Aux USA, il sagit de la loi FISA (Foreign Intelligence Surveillance Act) qui permet de surveiller les trangers, et thoriquement pas les citoyens des USA (cf lexcellent fiche Wikipedia sur PRISM). En France, les lois concernes sont multiples et disparates, et on trouve diverses dispositions dans la LCEN et la LOPPSI 2. Les similitudes : des moyens techniques voisins et une mutualisation des systmes dcoute par lensemble des organisations du renseignement franais (DCRI, DGSE, DRM, Douanes, etc). Ces grandes oreilles sont opres par la Direction Technique de la DGSE qui reprsenterait plus de la la moiti de ses effectifs, soit environ 2000 personnes. La France na pas lavantage des USA davoir ses grosses artres Internet connectes au reste du monde. Mais tout de mme, les ntres sont relies aux pays avoisinants et ceux de la mditerrane et qui plus est nous sommes prsents dans diverses rgions du monde via nos DOM/TOM. Mais lhistoire ne dit pas encore si la DGSE intercepte en temps rel les communications des oprateurs tlcoms comme la NSA le fait dans les centres des Baby Bells RBOC. Quid des relations entre les services franais et les acteurs du numrique ? L-aussi, elles existent et ce, depuis des annes. Les grands acteurs sont tenus diverses obligations que nous allons ici rappeler.
G

Les oprateurs tlcoms franais mettent en place des coutes cibles par dizaines de milliers chaque anne. Elles sont lances sur commissions rogatoires de la justice. Il y a plusieurs personnes en charge de les lancer chez chacun des grands oprateurs. Cela concerne les menaces terroristes (via demandes de la DCRI) mais aussi la grande dlinquance et toutes sortes denqutes judiciaires en cours. Ces interceptions concernent lensemble des communications transitant via les oprateurs : tlphonie fixe et mobile, VOIP, transits Internet, sites visits. Elles donnent lieu un versement dune compensation du Ministre de la Justice. Diverses lois rgissent la manire dont les utilisateurs cryptent leurs donnes numriques. La LCEN (Loi sur la Confiance dans lEconomie Numrique) de 2004 permet ce cryptage mais impose de fournir aux autorits, notamment judiciaires, toutes les cls de cryptage utilises. Leur taille nest plus limite. La LOPPSI 2 vote en 2011 (loi dorientation et de programmation pour la performance de la scurit intrieure) autorise la police sous contrle judiciaire dutiliser tout moyen pour sintroduire dans les ordinateurs de personnes suspectes de crimes graves, de trafic darmes et de stupfiants, de blanchissement dargent ou daide limmigration illgale. Evidemment sans le consentement des propritaires des ordinateurs en question ! Les dispositions sur la scurit informatique relatives au cryptage des donnes et des liaisons sont gres par lANSSI, lAgence Nationale de la Scurit des Systmes dInformation. Cette agence, anciennement DCSSI, dpend du Secrtariat Gnral de la Dfense et de la Scurit Nationale (SGDSN, anciennement SGDN). Elle soumet la mise sur le march franais et lexportation de logiciels de cryptage une demande pralable.

Opinions Libres

-5/8-

Edition PDF du 8 juillet 2013

Dun point de vue pratique, ces contrles imposent aux diteurs de logiciels de fournir lANSSI les moyens techniques de dcoder les fichiers encrypts par ces logiciels. Cela concerne notamment les usuels formats Office lorsque lon y adjoint un mot de passe (une protection trs trs lgre). Cette capacit permet ainsi la Police Judiciaire, entre autres organes dpendant de lEtat, de dcrypter certaines des donnes rcupres sur des disques durs saisis auprs de personnes suspectes de dlits. LANSSI dispose mme des codes sources des systmes dexploitation propritaires tels que ceux de Windows pour les examiner volont et ce depuis prs de 10 ans. Lhistoire ne dit pas si lANSSI dispose de ceux de lintgralit de MacOS. Dun point de vue pratique, cela met Windows presque sur un pieds dgalit par rapport Linux dont le code est open source (mais pas celui de toutes les applications que lon exploite dessus). Presque car le nombre de personnes qui sont mme dexaminer le code source de Windows est probablement bien infrieur ceux qui dcortiquent celui de Linux. LANSSI est mise au courant par les grands diteurs, dont Microsoft, des vulnrabilits concernant leurs logiciels, et avant le march. Cela leur donne la fois de lavance pour se protger, mais aussi pour exploiter ces failles. Les agences de renseignement nont pas besoin de mythiques portes drobes ddies ! Il leur suffit dexploiter les nombreuses failles identifies, le plus en amont possible. Les ordinateurs de la base installe, y compris de dlinquants, ne sont pas toujours suffisamment protgs et les dernires mises jour ny sont pas toujours installes rgulirement. Cest aussi le cas de nombreux ordinateurs dentreprises pouvant tre la cible dactivits de renseignement conomique, notamment dans les PME industrielles.

Face cet arsenal, les dlinquants de tout poil peuvent videmment viter de voir leurs communications dchiffres. Ils peuvent soit cacher leurs messages dans des contenus anodins, comme avec les techniques de stganographie qui servent planquer des messages dans des images. Soit, il peuvent crypter fortement leurs donnes avec des cls qui ne sont pas fournies lEtat franais. Ils peuvent aussi utiliser un tunnel VPN fortement crypt pour les communications de machine machine. Cest l quinterviennent les spcialistes du dchiffrement de la DGSE, trs gourmande en mathmaticiens de haut vol. Comme la crit Eric Schmidt dans son dernier livre The New Digital Age: Reshaping the Future of People, Nations and Business, se cacher sur Internet deviendra suspect. Cest dailleurs lun des facteurs qui a permis de retrouver Ben Laden Abbottabad en 2011. Sa grande maison ntait pas connecte Internet et nmettait aucune onde lectromagntique ! Ce vide tait louche. A contrario, lusage de VPNs et de donnes fortement cryptes, pas faciles casser pour les grandes cls, sont tout aussi louches. Dans ce cas, les services de renseignement sintresseront aux informations sur les terminaisons de ces communications : qui met quoi et reoit des informations quel endroit. Ce sont dj des informations de grande valeur ! En quelques sortes, le graphe social des criminels !

Opinions Libres

-6/8-

Edition PDF du 8 juillet 2013

Faut-il sinquiter ? Deux arguments sopposent : dun ct celui selon lequel le renseignement est utile pour prserver ltat de la socit et de lautre celui selon lequel toute forme despionnage des citoyens est liberticide. Dun point de vue pratique, votre vie prive nintresse pas du tout la NSA ou la DGSE sauf si vous menez des activits potentiellement dangereuses pour la scurit des pays concerns. Dans le reste des cas, cest--dire, 99,999% des situations, la NSA et la DGSE se tapent de vos faits et gestes comme de lan 40 ! Cest un argumentaire qui ne justifie rien, mais qui permet de relativiser les menaces. Pour linstant. Sans tre dlinquants, vous tes par contre concerns et potentiellement vulnrables si vous dtenez des secrets industriels ou politiques. Les dispositifs de renseignement sont utiliss pas seulement pour prvenir des menaces terroristes mais aussi pour faire du renseignement politique et conomique actif. Cest ce titre que lANSSI fournit des recommandations aux organismes publics et aux entreprises industrielles franaises pour leur permettre de se protger. Il y a aussi le big brother dont on ne parle jamais : les hypermarchs qui savent ce que vous achetez et les banques qui en savent autant, sans compter les organismes de sant qui en savent aussi beaucoup sur vous. Les donnes quils collectent sur nous sont rarement bien utilises et les lois franaises ainsi que la CNIL nous protgent de rapprochements entre les bases correspondantes. Ce nest pas faute denvie, mais plutt de moyens, doutils adapts et de savoir faire. On a beau nous abreuver de concepts big data depuis au moins deux ans et de marketing 1 to 1 depuis encore plus longtemps, la mise en pratique dans les grandes entreprises est bien rare. Le virus de la recommandation de produits na pas encore atteint ces acteurs. On se contente den bnficier dans les systmes de vido la demande ou avec les publicits plus ou moins bien cibles sur Internet (via AdWords, ou le re-ciblage sauce Crito). Autre menace : les services en ligne pour qui la vie prive est une valeur relative malgr toutes les dclarations de bonnes intentions. Les risques sont rels avec Facebook qui change ses rgles dutilisation comme de chemise et o lon ne sait jamais clairement ce qui est public ou pas dedans tant son interface utilisateur est devenue complique. Cest pareil dans Google+, dans Flickr, et tout un tas de services en ligne. L encore, la prudence est de mise concernant les traces de votre vie que vous laisser dans ces services ou que dautres y laissent concernant votre vie. Dernire menace et non des moindres : lEtat qui sait tout et voit tout de nos gestes et nous rprimande la moindre incartade. LEtat omniprsent qui fait respecter la loi 100%. Le respect 100% des lois prpares par nos gouvernement librement choisis et votes lgalement par nos reprsentants tout aussi choisis au suffrage universel peut pourtant tre liberticide. Dura lex sed lex, mais trop de lois tue la loi et le peuple ! Difficile de concilier scurit et libert. La loi du mme nom de dbut 1981 vote la fin du septennat de Valry Giscard dEstaing contenait plus de mesures sur la scurit que sur les liberts ! Prenons comme exemple les radars routiers qui enquiquinent pas mal de conducteurs. Leur concept pourrait stendre tout un tas dactivits. Et pourquoi sembter avec des radars ? Il suffirait dans un monde ultra-rpressif dinstaller des boites noires dans les voitures, comme dans les camions. Elles mesureraient les coordonnes GPS de nos dplacements et la vitesse corOpinions Libres -7/8Edition PDF du 8 juillet 2013

respondante. En temps rel ou en diffr, on pourrait recevoir une amende mensualise intgrant nos invitables dpassements de vitesse et autre violations de priorits, stops et feux rouges. Le systme rduirait nos points de permis dautant. Ce genre de surveillance permanente demanderait une punition moins ponctuelle pour les dpassements. Elle serait moyenne et reflterait notre style de conduite dans la dure et pas seulement dans le passage pige de la route qui passe subrepticement de 70 km/h 50 km/h sans forcment prvenir.

Ce concept est dailleurs dj oprationnel en France avec plus de 50 radars tronons qui mesurent votre vitesse moyenne sur un tronon de route. Ce nest pas de la science fiction ! Est-ce acceptable ? Pas vident ! Est-ce plus juste que les amendes ponctuelles ? A mditer ! Mais la question ne se posera plus dans 10 ou 20 ans quand nous utiliserons des voitures conduite automatique ! Elles seront probablement programmes pour respecter scrupuleusement le code de la route. Le risque est cependant l : la mesure permanente de nos faits et gestes, en ligne ou hors ligne. Tout ce qui se mesure et se transmet numriquement est potentiellement liberticide. Et les objets connects coupls au big data et au cloud permettront de surmultiplier ces scnarios. Cela pourrait aboutir la pnalisation de tous les errements, petits ou grands, ponctuels ou moyenns. Les objets connects, le quantified self, la communication machine to machine, la vidosurveillance tout va et tout le toutim peuvent gnrer ce genre de drives. Au niveau des Etats comme dans les entreprises, aussi potentiellement friandes de mtriquisation des activits de leurs salaris. Toutes ces drives potentielles ou avres sont plus inquitantes que PRISM et la NSA ! Il est donc bon de rester vigilant. PS : je vais ralentir le rythme de publication pendant ces deux mois dt et plus que dhabitude. Besoin dun peu de repos !

Cet article a t publi le 7 juillet 2013 et dit en PDF le 8 juillet 2013. (cc) Olivier Ezratty - Opinions Libres - http://www.oezratty.net

Opinions Libres

-8/8-

Edition PDF du 8 juillet 2013