Le Guardian a révélé que l'Agence nationale de sécurité américaine aurait demandé à la société de téléphonie Verizon des informations sur les données de tous ses clients. Le Washington Post affirme que les services de renseignement ont également accès aux serveurs de Google ou Facebook.
Jacques Cheminat est chef des informations chez IT News Info, société spécialisée dans les technologies de l'information et le renseignement d'entreprise.
Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de communication électronique.
Michel Nesterenko est Directeur de recherche au Centre Français de Recherche sur le Renseignement (CF2R), spécialiste du cyberterrorisme et de la sécurité aérienne.
Michel Nesterenko : Aux Etats-Unis, 100% des communications sont enregistrées, y compris les contenus. On a effectivement pu le constater dans certaines affaires de renseignements. Cette pratique s'applique à tous les contenus et sur tous les médiums. L’ensemble des citoyens américains ont été traités comme des terroristes. Tout le monde a été espionné, on peut clairement parler de Big Brother. Tout est enregistré et en cas de besoin, les autorités vont piocher dans ces données.
Les Etats-Unis disposent de moyens colossaux, financiers et techniques, pour récolter les données de leurs citoyens. Le gouvernement américain, le président Obama, les représentants du Sénat qui sont chargés de surveiller ce système, admettent ce qu’ils ont fait et le justifient par la défense de la sécurité nationale. Et depuis le Patriot Act, entré en vigueur sous George W. Bush, à partir du moment où une affaire est considérée comme liée au terrorisme, la Constitution ne tient plus.
La France n’a pas les moyens de mettre en place un tel système. Le pays espionne effectivement des groupes dangereux mais dans les limites constitutionnelles. Les pays européens ont réussi à contrôler leurs groupes terroristes sans entraver les lois.
Michel Nesterenko : La France ne dispose certainement pas d’arrangements semblables à ceux qui lient les Etats-Unis aux entreprises de téléphonie ou autre géants du web. Pour cela, il faut en avoir les moyens. L’Etat français dans la majorité des cas ne s’est pas affranchi des règles de la Constitution. Le droit français estime certes qu’à partir du moment où un attentat de grande ampleur se prépare, les juges anti-terroristes ont la capacité de mener des enquêtes très approfondies, mais cela ne date pas d’aujourd’hui. Leurs moyens ont été accrus mais leurs investigations restent basées sur des suspicions raisonnables. Alors qu’aux Etats-Unis, pas besoin de suspicions.
Jacques Cheminat : Il est effectivement possible sur le plan technique que ce type d’espionnage ait pu avoir lieu, le plus étonnant étant que cela se soit su ! Bien que je n'en sache évidemment rien, des membres des services de renseignement auraient pu pénétrer les comptes de plusieurs de ces personnes et donc avoir accès à l’ensemble de leurs messageries privées. Il est néanmoins étonnant que les adresses de connexion concordent avec celles du siège de la DCRI à Levallois ou à la direction zonale des CRS à Villacoublay, ces derniers étant j'imagine assez habiles pour masquer les traces de leur surveillance.
Michel Nesterenko : L’Etat français collecte des données de manière furtive mais dans un contexte juridique bien précis alors qu’aux Etats-Unis, l’Etat collecte tout qu’il y ait une suspicion ou non. Outre-Atlantique, les données sont collectées systématiquement et analysées en fonction des besoins.
Mais il est normal que nous ne soyons pas au courant des données et de la façon dont elles sont collectées, je pense notamment aux affaires comme celle des meurtres commis par Mohamed Merah. Il est normal que le gouvernement français ait les moyens d’espionner des individus comme Mohammed Merah et il ne faut pas que toute la presse le sache, sinon nous ne pourrions jamais attraper les terroristes. Les Etats doivent pouvoir collecter des données, mais dans un contexte juridique bien précis.
Etienne Drouard : J’ai beaucoup de doutes sur le fait que Facebook donne des mots de passe. Je suppose qu’ils donneraient davantage un statut d’ami invisible que des mots de passe. Si Facebook l’avait fait, sur une affaire qui n’est pas liée au terrorisme, Facebook aurait pris un risque immense pour sa réputation. J’ai tout de même un très gros doute quant au fait qu'ils aient pris la liberté de fournir des mots de passe sur ce type de requête, même si elle vient de la DCRI.
Jacques Cheminat : Tout d’abord on trouve aujourd’hui, même pour les entreprises privées, des produits qui permettent de surveiller ce qui se dit publiquement (hors messages privés, NDLR) sur les réseaux sociaux grâce à un système de repérage par mots-clés. Les plus connus d’entre eux sont des logiciels américains comme Needium ou Radiance X qui offrent une surveillance assez large de ce que l’on peut trouver sur les réseaux sociaux. Ces outils permettent de récolter très rapidement un ensemble conséquent d’informations sur un point donné (une marque, un événement une personnalité…). Il s'agit d'une méthode qui est surtout utilisée dans le marketing, mais qui est aussi valable pour le renseignement. Depuis deux, trois ans, ces systèmes se sont développés dans le privé et peuvent aussi potentiellement être réutilisés par les services secrets s’ils souhaitent avoir une vision assez globale d'un phénomène particulier.
Une autre méthode, plus longue à exécuter, s’appelle le "Deep Packet Inspection" (DPI) qui analyse le trafic internet dans son ensemble. Il s’agit ici d’analyser des transits bien délimités (adresses IP, mails, réseaux sociaux….) au moyen d’en-têtes préalablement définis qui vous donnent la provenance et la destination précises de messages que vous souhaitez observer.
On trouve aussi par ailleurs des attaques dites de "force brute" qui consistent à briser les mots de passe d’un compte particulier. Il s’agit de prendre une ressource informatique de calcul qui tentent en un temps record (via des chaînes de caractère) autant de combinaisons que possibles avant de tomber sur celle qui représente le code d’accès. Néanmoins il s’agit d’une pratique extrêmement ciblée qui ne peut concerner qu’un noyau très restreint d’individus. Il faudrait en conséquent que les services secrets savent exactement ce qu’ils comptent trouver et où avant de pratiquer ce genre d’attaques.
David Fayon : On peut effacer certaines traces, mais Facebook a toujours des logs de connexion avec ces événements. La personne n’a pas accès à ces log. En se connectant, l’intrus crée lui-même des traces permettant à Facebook de dire que quelqu’un d’autre s’est connecté, sans savoir si un humain ou un automate est derrière.
Si vous vous adressez à Facebook, il est peu probable que l’on vous réponde, car cela ne rapporte rien et représente une charge pour l’entreprise. La demande restera lettre morte. Il faut vraiment avoir un pouvoir d’influence pour que Facebook daigne répondre.
Jacques Cheminat : Il n’y a pas de recettes magiques, mais une succession de précautions peut déjà être utile. La première est évidemment d’être extrêmement vigilant quant aux informations que l'on publie sur les réseaux sociaux, que ce soit en public ou même en privé. C’est un principe forcément difficile à respecter de par la nature même d’outils comme Facebook qui sont forcément portés sur l'échange d'informations.
Pour ce qui est des "craquages" de mots de passe, il est possible de limiter voire d’annuler l’efficacité du système de chaîne de caractères en utilisant tout simplement, comme c’est recommandé sur la plupart des sites contenant des informations personnelles, des codes complexes fait de caractères peu usités (*%3 »#...) et de majuscules placé de manière "incohérente" à première vue.
Michel Nesterenko : L’utilisateur moyen ne peut pas échapper à ce type de surveillance. C’est une illusion. Simplement, si vous voulez dire quelque chose de confidentiel, ne le mettez pas sur un réseau social.
Etienne Drouard : La DCRI est l’héritière des Renseignement Généraux (RG) et de la Direction de la Surveillance du Territoire (DST). Elle est en charge de missions de préservation de l’ordre public (anciennement dévolues aux RG) et également de sécurité du territoire et de sûreté de l’Etat (qui était dévolue à la DST). Dans sa seule mission de préservation de l’ordre public, elle a le droit de mener des enquêtes sur des personnes qui ont une activité politique, syndicale, etc. Elle dispose aussi de la possibilité de demander l’organisation de l’interception de correspondances privées, d’écoutes téléphoniques ou de consultations et d’accès à un compte de messagerie électronique. On appelle cela des "interceptions de correspondance émises par voie des communications électroniques" (téléphone, courrier électronique). Ce qui soulève la question de l’accès à des espaces privés d’un compte Facebook.
Pour pouvoir le faire légalement, il faut que les agents passent par une demande provenant d’un fonctionnaire du ministère de l’intérieur, qui détermine s’il y a un motif légitime ou non pour préserver l’ordre public et donc effectuer une telle interception. C’est ainsi qu’on autorise une écoute administrative de ligne téléphonique et un accès à une messagerie électronique.
Un réseau social est un service qui obéit à plusieurs régimes juridiques, selon le périmètre de diffusion de l’information qui y figure. Le mur d’un compte Facebook relève de la communication publique. Il ne s’agit pas de correspondance privée. Aucune autorisation particulière n’est requise pour prendre connaissance des informations qui y figurent.
Viennent ensuite les contenus qui sont accessibles aux amis des amis du titulaire du compte. Ils verront tous les contenus rendus accessibles par le titulaire aux amis de ses amis. Le titulaire n’a pas le contrôle sur qui sont les amis de ses amis. On n’est toujours pas dans un régime de correspondance privée.
Troisième cercle de diffusion d’information sur un compte de réseau social, qui lui n’est plus de l’ordre de la communication privée : l’espace réservé à des amis. Les amis relèvent de la correspondance privée. Accéder à cet espace nécessite donc une autorisation d’interception de correspondances par voies de communications électroniques.
Dans ces deux dernières hypothèses, j’accède à un compte Facebook pour voir ce qui est accessible aux amis ou aux amis des amis, il faut passer par une procédure qui a été instaurée dans une loi de janvier 2006 qui consiste à obtenir une autorisation en invoquant un motif légitime d’accéder au compte en question.
Dans ce cas, la DCRI peut avoir utilisé deux types de procédures : la procédure administrative qui passe par le ministère de l’intérieur, et non le truchement d’un juge judiciaire. Deuxième voie procédurale, qui est plus hypothétique: la voie judiciaire, par laquelle on est autorisé par un juge d’instruction. Je suppose que ce n’est pas cette voie qui a été utilisée, car elle n’est pas naturellement ouverte à la DCRI.
C’est l’une des deux qui a pu être retenue pour pouvoir s’adresser à l’éditeur de réseau social et lui demander de disposer d’un accès aux comptes en question. Si c’est le cas, Facebook a l’obligation de s’y soumettre. Le seul fait de fournir des éléments d’identification d’un titulaire de compte a déjà été refusé par Twitter, au motif qu’il s’agit d’une société américaine.
Facebook a été plus collaboratif vis-à-vis des pouvoirs publics français, même si elle aurait pu se retrancher derrière le fait qu’elle était une société américaine. C’est simplement parce que Facebook a ouvert des locaux en France et que l’on peut considérer qu’elle a un établissement stable qui la soumet à la réglementation française.
S’ils ont été saisis par l’une des deux autorités citées (Ministère de l’intérieur ou autorité judiciaire), ils ont l’obligation de se taire et de fournir des éléments permettant d’accéder au compte. Cela a pu se faire sous les formes suivantes :
Voilà comment, sur un plan procédural les choses devraient se faire. Sur le cas que vous me citez, je ne sais pas comment elles ont été effectuées. Elles ne peuvent pas avoir été effectuées sans s’être fait passer pour quelqu’un d’autre (en ayant été accepté comme ami), ou sans le concours de Facebook pour obtenir un privilège d’accès à ce compte. Soit le titulaire détient ces droits et les accorde à des amis qu’il croit être ses amis, soit on passe par Facebook.
A supposer que les services de renseignement parviennent à trouver les mots de passe de comptes et se connectent à ces derniers, de quels moyens judiciaires la personne dont le compte a été piraté dispose-t-elle ?
Etienne Drouard : On estime qu’environ 12% des mots de passe peuvent être retrouvés en moins de 20 tentatives dès lors que l’on en sait un peu sur la personne : le nom de son chien, le prénom de son fils, sa date de naissance, etc. Au bout de x tentatives sur Facebook, on vous demande de répondre à une question secrète ou de taper les lettres qui s’affichent devant vous pour vérifier que vous n’êtes pas une machine.
Une personne qui réussit à trouver le mot de passe et entrer dans l’espace d’un autre tombe sous le coup des articles 323-1 et suivants du Code pénal, prévus par la loi Godfrain, au sens de la pénétration frauduleuse dans un système d’information. L’intention frauduleuse peut être suffisante (le simple fait de tenter de trouver les mots de passe, de les trouver tout en sachant pertinemment qu’on n’a pas le droit de le faire), quand bien même on n’a pas utilisé un procédé informatique pour pénétrer dans un système d’information. Les peines encourues sont cinq ans et 75 000 euros d’amende.
Etienne Drouard : L’agent peut le faire, toujours en ayant obtenu l’autorisation déjà mentionnée. Il présente le mode opératoire qu’il souhaite suivre. Une intervention physique peut consister à chercher à savoir ce qui se passe entre le clavier et l’ordinateur. Cela fait partie des pouvoirs d’investigation de la DCRI. Là encore, il serait intéressant de savoir quelle a été la validation du mode opératoire par un fonctionnaire qui est certes rattaché au ministère de l’Intérieur, mais qui est censé donner sa validation.
Etienne Drouard : C’est là que réside la différence entre l’avis d’un juriste et une opinion personnelle sur ce qu’il est légitime de faire dans un rôle de police administrative et de sauvegarde de l’ordre public. S’il s’agissait d’accéder au compte Facebook d’une personne qui appelle à manifester pour l’amélioration du pouvoir d’achat, il y aurait tout de même une dimension de maintien de l’ordre, qui consiste pour l’État à être autorisé à se renseigner sur des militants, qu’ils soient ou non violents, dès lors qu’ils vont bloquer une rue, organiser une manifestation…
La question de l’ordre public ne se juge pas seulement au caractère violent de ceux qui veulent le troubler mais au fait que cela puisse avoir un impact. Dans le cadre du débat sur le mariage pour tous, il y a des personnes dans les rues, des risques lié à la sécurité… donc sur le terrain de la préservation de l’ordre public, cela se discute. C’est l’éternel débat consistant pour l’État à se demander si oui ou non il veut une police politique chargée de surveiller les personnes qui ont envie de provoquer des manifestations ou des mouvements de foule. Par exemple, des étudiants qui voulaient faire des flash mob ou des dégustations de vins dans la rue, comme cela avait été le cas à Montpellier il y a 3 ans, étaient suivis par les Renseignement généraux. On pouvait estimer qu’il y avait un intérêt à pénétrer leur vie privée pour savoir ce qu’ils préparaient, même si c’était simplement une histoire d’étudiants qui se regroupaient à raison de 800 ou 1000 personnes pour boire des coups dehors.
Les questions de prévention en matière de sauvegarde de l’ordre public laissent une marge d’appréciation énorme qui est versée au débat public. C’est l’opinion de chacun. Juridiquement, la frontière est compliquée à situer lorsque l’on a pour argument la préservation de l’ordre public..
Etienne Drouard : Si les citoyens ont peur d’être surveillés par les services administratifs, la loi Informatique et libertés leur donne un droit d’accès pour savoir ce que l’État sait sur eux. C’est le droit d’accès indirect. Il faut s’adresser à la Commission nationale informatique et libertés en indiquant à quel domicile on réside. Les commissaires de la CNIL interrogeront les administrations en question, feront rapatrier toutes les informations, et jugeront de la pertinence de ces informations. Ils peuvent demander l’effacement des informations qui leur paraissent non pertinentes. Les citoyens sont informés de ces suppressions. L’administration ne s’est jamais opposée à une demande d’effacement de la CNIL. Cette autorité indépendante peut surveiller les "surveilleurs".
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !