GuiGui's Show

Ouais, j'ai encore décidé de perdre une partie de mon après-midi de repos à contacter mon représentant qui m'ignore (c'est toujours mieux que sa prédécesseuse, qui, de visu, marquait clairement son ennui et son jemenfoutisme) au sujet du projet de loi relatif au renseignement dont l'examen par l'Assemblée commencera demain.

« Monsieur le Député,

Je fais suite à mon mail « À propos du projet de loi relatif au renseignement » du 01/04/2015 dont je n'ai pas reçu de réponse de votre part. Même si je déplore ce fait, je souhaite une nouvelle fois vous exposer mes craintes justifiées et mes arguments contre ce projet de loi.

Le projet de loi relatif au renseignement a été amendé en commission des lois au début du mois d'avril et sera examiné en séance plénière à partir de demain (lundi 13 avril à 16h).


Malgré les amendements adoptés, ce projet de loi n'est toujours pas satisfaisant pour les raisons suivantes (liste non exhaustive et personnelle) :
* Les finalités pour lesquelles le recours aux techniques de renseignement sera autorisé ainsi que les services de l'État qui pourront utiliser ces techniques de renseignement ont déjà été étendus et élargis en commission des lois alors que ce texte n'est pas encore en vigueur. Cela laisse craindre des élargissements futurs qui, comme les finalités actuelles, seront à même de porter atteinte, de manière injustifiée, à des mouvements sociaux et politiques légitimes et, de manière plus générale, à tout citoyen ;

*  Un grand flou entoure toujours les fameuses boîtes noires qui seront installées au coeur des réseaux des fournisseurs d'accès à Internet, des fournisseurs de services et des hébergeurs informatiques français et dont les algorithmes (dont il n'est toujours pas dit s'ils seront vérifiés et par qui ils le seront) devront identifier des comportements suspects (qu'est-ce qu'un comportement suspect ? qui en décidera ?). Ces dispositifs peuvent conduire uniquement à l'auto-censure des citoyens et à des dérives totalitaires sans précédent.

* La durée de conservation des données de connexion des personnes identifiés par un algorithme (5 ans) est totalement démesurée puisque ces données permettent de tracer l'intégralité d'une vie (contacts, fréquences et durée des échanges, sites web consultés, démarches effectuées, opinions, préférences (religieuses, politiques, sexuelles,,...). Pour rappel, la Cour de justice de l'Union européenne a sabré la directive de 2006 sur le stockage des données de connexion par les fournisseurs d'accès à Internet/fournisseurs de services Internet au motif d'une durée de conservation trop longue alors qu'elle est d'un an ;

* La CNCTR, commission chargée du contrôle légal des techniques de renseignement, manquera de pouvoir, de moyens, de temps et ne pourra donc pas exercer son activité de manière à garantir la sûreté (au sens de la Déclaration des Droits de l'Homme et du Citoyen de 1789) aux citoyens. Cette commission est consultative (le Premier ministre peut l'ignorer) et elle ne peut faire directement stopper les activités illégales qu'elle constate (elle doit passer par le Premier ministre puis par le Conseil d'État). L'étude d'impact est indigente sur l'évaluation budgétaire. Dans tous les cas excépté les demandes d'autorisation, il faut que la commission soit à l'initiative de la récupération des données/documents lui permettant d'effectuer son travail. La composition de cette commission laisse craindre un vrai manque de temps dans l'agenda professionnel des personnes qui la compose (députés, sénateurs, magistrats) pour mener à bien les missions qui lui sont confiées ;

* Ce texte confie toujours l'intégralité du pouvoir et du décisionnel à l'exécutif, ne fait toujours pas appel au pouvoir judiciaire pour contrebalancer cet immense pouvoir et ne met toujours aucune vraie garantie pour éviter les dérives sauf pour quelques professions sensibles (avocats, parlementaire, journaliste) et uniquement contre les techniques les plus "violentes" comme les IMSI catcher ;

* Le citoyen dispose toujours d'aucun vrai recours : tout est couvert par le secret défense donc il ne se sait pas surveillé, il faut un motif pour saisir la CNCTR (« intérêt direct et personnel »), la CNCTR et le Conseil d'État répondent uniquement avec une sorte de lettre type "aucune illégalité n’a été commise", le droit d'accès indirect (via la CNIL) est raboté pour répondre au besoin du secret défense,...


Par ailleurs, je vous invite à lire l'interview suivante, de M. Octave Klaba, CEO de l'entreprise française OVH, troisième hébergeur informatique mondial : <http://www.lesechos.fr/tech-medias/hightech/0204293839757-octave-klaba-en-pologne-communiste-jai-connu-ce-genre-de-regime-1110227.php>;. Pour vous y inciter, je me permets la citation de deux passages clés de cet interview :
* « Qui prend cette décision ? Dans quel cadre ? Tout cela doit être encadré par un juge. En tout cas, le projet de loi va permettre la surveillance de masse de la société française. Peut-être qu’en venant de Pologne communiste, je sur-réagis. Mais j’ai connu ce genre de chose dans mon enfance. C’était il y a à peine 25 ans. On est proche des pires régimes. En Chine, c’est une réalité. Il y a une énorme incohérence entre l’objectif et les méthodes utilisées. »

* « Nous avons annoncé un plan d’investissement de 400 millions d’euros sur trois ans. Nous devons décider d’ici à septembre comment répartir cette somme et où investir. Si la loi est votée, nous irons mettre nos serveurs ailleurs. Actuellement, en France, nos principaux « data centers » sont situés à Roubaix, à Gravelines et à Strasbourg. Si la loi passe, nous irons de l’autre côté de la frontière au Royaume Uni, en Allemagne… Si nous ne le faisons pas, il faudra nous résoudre à voir nos clients partir : 40 % de notre activité concerne des clients étrangers (de Singapour, des Etats-Unis, d’Italie, etc.). Les Allemands, pour des raisons historiques, sont très soucieux de ces questions de surveillance. »


De plus, je vous invite à lire l'article de presse suivant dont je partage totalement la prise de position : <https://reflets.info/pjlrenseignement-le-pistolet-qui-tire-dans-le-pied-des-politiques/>;. Je me permets une fois de plus de citer l'essence de ce texte :
* « Lorsque les révélations du Monde sur l’affaire Woerth-Bettencourt deviennent gênantes pour le pouvoir en place, l’équipe de Nicolas Sarkozy, alors président, demande au patron du renseignement intérieur d’identifier la source du Monde. Sans procédure judiciaire, les services vont se procurer les fadettes (les listes détaillées des appels téléphoniques) des journalistes du quotidien du soir. [...] L’affaire est jugée et Bernard Squarcini, condamné pour cela. »

* « Et demain, avec des grosses « boites noires » bardées d’algorithmes [...] placées chez les FAI, que va-t-il se passer ? Rappelons que pour fonctionner, les algorithmes prédictifs des services de renseignement devront analyser les données. Ces données, ce sont tous nos échanges [...]. Ce qui va se passer, c’est que très probablement, l’exécutif aura a sa discrétion un outil lui permettant de tout savoir sur à peu près n’importe qui. Massif ou pas, chalut ou harpon, peu importe. L’outil est là et peut cibler telle ou telle personne avec une précision chirurgicale et une efficacité totale. »

* « Lorsque l’alternance aura joué, les responsables de l’opposition seront à la merci d’un nouvel exécutif et de ses boites noires. Bien entendu, on a peu de mal à entrevoir ce que ferait le Front National avec un tel outil. Mais il ne faut pas non plus beaucoup d’imagination pour évaluer ce qu’en feraient [...] Nicolas Sarkozy, Claude Guéant ou Brice Hortefeux… »


Enfin, je souligne à nouveau que plus de 30 organisations et personnalités qui vont bien au-delà du militant ont exprimé de sévères critiques à l'encontre de ce projet de loi voire s'y sont fermement opposés. Ces organisations vont du secteur économique (les hébergeurs informatiques OVH, Online, Gandi, l'Association des services Internet communautaires, ...) à des personnalités (Jean-Marie Delarue (CNCIS), Marc Trévidic (juge antiterroriste),...) en passant par des syndicats et regroupements professionnels (le Syndicat de la Magistrature, le Syndicat national des journalistes, l’Ordre des avocats de Paris, le Syntec Numérique,...), des associations de défense des libertés (La Quadrature du Net, Amnesty International, Reporters Sans Frontières,...) et des institutions (CNIL, ARCEP, la Commission du numérique, la Commission nationale consultative des droits de l’homme,...). Pour moi, c'est un marqueur fort indiquant que ce texte n'est pas mûr et doit encore être discuté.


Je vous demande expressément à nouveau de prendre une position ferme et d'agir en faveur des libertés, de rejeter ce texte tant que les points problématiques n'ont pas été résolus (restreindre les finalités, supprimer les boîtes noires, organiser un vrai contrôle des services de renseignement, apporter de solides garanties aux citoyens, ...) et de faire naître et grandir un débat construit, rationnel et démocratique au sein de notre Assemblée.


Cordialement. »

« Octave Klaba, le fondateur de l’hébergeur de données OVH, estime que le projet de loi sur le renseignement « va permettre la surveillance de masse de la société français ».

[...]

Il y a deux dispositifs avec lesquels je ne suis pas du tout à l’aise. D’une part, la pose de « boîtes noires » et donc d’algorithmes pré-programmés dans les réseaux et chez les hébergeurs, pour surveiller le trafic. Et d’autre part, le système de captation direct d’informations sur des individus ciblés. Le première mesure est censée permettre ensuite de décider qui l’on surveille en permanence. Qui prend cette décision ? Dans quel cadre ? Tout cela doit être encadré par un juge. En tout cas, le projet de loi va permettre la surveillance de masse de la société française. Peut-être qu’en venant de Pologne communiste, je sur-réagis. Mais j’ai connu ce genre de chose dans mon enfance. C’était il y a à peine 25 ans. On est proche des pires régimes. En Chine, c’est une réalité. Il y a une énorme incohérence entre l’objectif et les méthodes utilisées.

[...]

Qu’est-ce qu’une méta-donnée ? C’est une adresse IP (Internet) qui se connecte à une autre adresse IP. Techniquement, cela permet donc de surveiller qui fait quoi. D’autant qu’ensuite, on peut lever l’anonymat sur les personnes. Le terrorisme, cela concerne 3.000 personnes seulement. Et pour surveiller si peu de monde, on met en place un système complexe qui concerne les fournisseurs d’accès Internet, les hébergeurs, et les fournisseurs de transit ! Aujourd’hui, c’est le terrorisme. Mais demain? Je ne comprends pas bien la logique.

[...]

OVH n’est pas installé en Turquie, ni en Russie parce que ces pays n’offrent pas les meilleures garanties en termes de protection de la vie privée. Outre Atlantique, nous sommes allés au Canada et non aux Etats-Unis, car je ne suis pas à l’aise avec le Patriot Act (la loi adoptée après le 11 septembre 2001 qui donne tout pouvoir aux autorités pour réclamer des informations aux entreprises, ndlr). Nous avions choisi le Canada, car les lois de ce pays sont proches des nôtres en termes de protection des libertés.

[...]

Nous avons annoncé un plan d’investissement de 400 millions d’euros sur trois ans. Nous devons décider d’ici à septembre comment répartir cette somme et où investir. Si la loi est votée, nous irons mettre nos serveurs ailleurs. Actuellement, en France, nos principaux « data centers » sont situés à Roubaix, à Gravelines et à Strasbourg. Si la loi passe, nous irons de l’autre côté de la frontière au Royaume Uni, en Allemagne… Si nous ne le faisons pas, il faudra nous résoudre à voir nos clients partir : 40 % de notre activité concerne des clients étrangers (de Singapour, des Etats-Unis, d’Italie, etc.). Les Allemands, pour des raisons historiques, sont très soucieux de ces questions de surveillance. »

Via http://shaarli.cafai.fr/?P1tX2g

À la base, je voulais juste me connecter au port console de deux switchs dont je n'ai pas les câbles RS232 d'origine : D-link DES-3526 et HP Procurve J4813A 2524.

Commençons par le plus facile : le D-link. Le port console est de type RS232 DB9 femelle. Que nous dit la doc' (http://www.dlink.com/-/media/Business_Products/DES/DES%203550/Manual/DES%203550_CLI_Manual_EN_UK.pdf) ? 9600 baud - 8N1 - pas de flow control (ni logiciel (aussi nommé xon/xoff), ni matériel), compatible VT-100. La documentation ne précise pas s'il faut un câble droit ou croisé. J'ai un câble RS232 DB9 mâle droit <-> USB.

Ça, c'est par défaut mais la vitesse de transmission a pu être modifiée par un utilisateur précédent. Sur ce modèle, la seule solution est de revenir aux paramètres d'usine. Peu de doc' à ce sujet, heureusement que je n'ai pas eu à le faire.

On branche le câble à l'ordi, Linux le reconnaît et le bind sur /dev/ttyUSB0. On vérifie que l'on a les droits lecture+écriture sur ce dev. On lance minicom -D /dev/ttyUSB0. On fait la configuration : ctrl + A puis Z (pour accéder au menu de minicom). O (configurer minicom) puis Configuration du port série puis G pour désactiver le contrôle de flux logiciel puis E puis C pour passer en 9600 baud. Le reste est ok : 8N1 et VT102 est un jeu englobant VT100 donc compatible.

On connecte le série au port console du switch. On alimente le switch en électricité. On attend... Longtemps (au moins deux bonnes minutes) puiiiiiis :
 Boot Procedure                                                    3.00.008
-------------------------------------------------------------------------------
  Power On Self Test ...................................... 100 %

  MAC Address   : 00-15-E9-86-99-64
  H/W Version   : 3A1

  Please wait, loading V3.06-B20 Runtime image ............ 100 %............

Et enfin :
              DES-3526 Fast Ethernet Switch Command Line Interface

                            Firmware: Build 3.06-B20
          Copyright(C) 2000-2004 D-Link Corporation. All rights reserved.
UserName:
PassWord:

DES-3526:4#
DES-3526:4#help

Available commands:
..                  ?                   clear               config              
create              delete              dir                 disable            
download            enable              login               logout              
ping                reboot              reconfig            reset              
save                show                upload              




Attaquons maintenant le plus difficile : le Procurve 2524. Le port console est de type RS232 DB9 mâle. Que nous dit la doc' (http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c01958654&sp4ts.oid=57546 et http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c02597327) ? Entre 1200 et 115200 baud (le switch s'adapte), 8N1, flow control logiciel, compatible VT100. La documentation précise qu'il faut un câble croisé.

Ça, c'est par défaut mais la vitesse de transmission et la présence de flow control ont pu être modifiées par un utilisateur précédent. On utilise DHCP+telnet (si disponible, toujours cette histoire de par défaut ou non) pour vérifier, soit on remet les paramètres d'usine (source : la doc sus-citée) :
« To execute the factory default reset, perform these steps:
    1. Using pointed objects, simultaneously press both the Reset and Clear buttons on the front of the switch.
    2. Continue to press the Clear button while releasing the Reset button.
    3. When the Self Test LED begins to flash, release the Clear button. The switch will then complete its self test and begin operating with the configuration restored to the factory default settings. »

Pour brancher :
    * Soit je reprends mon câble RS232 DB9 mâle droit <-> USB + une rallonge RS232 DB9 femelle <-> RS232 DB9 femelle croisée. Ça fonctionne out-of-box mais je n'avais pas la rallonge au début de cette aventure. L'inverse (câble croisé et donc rallonge droite) est également possible.

    * Soit je reprends mon RS232 DB9 mâle droit <-> USB + 3 fil Arduino femelle<->femelle (ça : http://ecx.images-amazon.com/images/I/51S1M3ALnDL._SY300_.jpg). Il faut alors câbler comme ceci :
switch  <->  câble RS232 droit
2       <->    3
3       <->    2
5       <->    5
Sachant que l'ordre des PIN des deux côtés (câble et switch) sera celui-là : http://www.usconverters.com/images/rs232-pinout.jpg (1 2 3 4 5 sur la première ligne, 6 7 8 9 sur la deuxième, ligne contenant le plus de pin vers le haut). Les autres pin sont inutiles (9 = sonnerie modem, le reste = flow control). Si votre câble mâle est croisé, vous ne devez évidemment pas croiser 2 et 3.

    * Soit j'achète un câble RS232 DB9 femelle croisé <-> USB. C'est la solution que j'avais choisi initialement. Sauf que ça ne fonctionne pas. Après investigation : mon câble n'est pas croisé (on retiendra donc que câble null modem n'est pas synonyme de câble croisé contrairement à ce que l'on entend beaucoup !). De plus, sur le câble, l'ordre des pins devrait être celui-ci : http://www.datalinkcom.net/images/rs232f9.jpg afin qu'au moins le 5 du switch tombe bien sur 5 du câble. Or, mon câble est inversé donc le 5 du switch arrive sur le 1 du câble... On peut corriger ça avec 3 fil Arduino mâle<->femelle (http://ecx.images-amazon.com/images/I/413iVQHUlQL.jpg). Il suffit de reprendre le schéma de câblage donné au point précédent.


Quelle que soit la méthode retenue, on branche le câble série à l'ordi, Linux le reconnaît et le bind sur /dev/ttyUSB0. On vérifie que l'on a les droits lecture+écriture sur ce dev. On lance minicom -D /dev/ttyUSB0. On fait la configuration : ctrl + A puis Z (pour accéder au menu de minicom). O (configurer minicom) puis Configuration du port série puis G pour désactiver le contrôle de flux logiciel (sisi, on en n'a pas besoin, surtout avec nos câblage avec 3 fil) puis E puis C pour passer en 9600 baud. Le reste est ok : 8N1 et VT102 est un jeu englobant VT100 donc compatible.

On connecte le série au port console du switch. On alimente le switch en électricité. On laisse le switch booter (environ 30 secondes) et on obtient :
Hit Enter to Continue.

---------- (on s'exécute)

Connected at 9600 baud.

----------

HP J4813A ProCurve Switch 2524
Firmware revision F.05.17

Copyright (C) 1991-2003 Hewlett-Packard Co.  All Rights Reserved.

                           RESTRICTED RIGHTS LEGEND

 Use, duplication, or disclosure by the Government is subject to restrictions
 as set forth in subdivision (b) (3) (ii) of the Rights in Technical Data and
 Computer Software clause at 52.227-7013.

         HEWLETT-PACKARD COMPANY, 3000 Hanover St., Palo Alto, CA 94303











Press any key to continue

---------- (on s'exécute)

HP ProCurve Switch 2524# help
 boot               Reboot the device.
 clear              Clear table/statistics or authorized client public keys.
 configure          Enter the Configuration context.
 copy               Copy datafiles to/from the switch.
 end                Return to the Manager Exec context.
[...]




Conclusion : ce que je retiens de RS232 : RS232 = kamoulox = port de communication créé par des sados pour des masos = conçu par des ingénieurs de chez IBM/Microsoft/ITU, pas possible autrement = complot de la NSA et des reptiliens de la zone 51.

Merci aux gentils dinos suivants qui savent encore comment fonctionne RS232 et qui m'ont grandement aidés : DelTree, Valérie, Christian, Karim. :)

«  Ubiquiti Networks is a company which makes long-range wireless equipment. Admittedly, you can do some pretty amazing stuff with it, but the company has a dark history of securities fraud, violation of U.S. sanctions, trademark and copyright lawsuits and software patents, which isn't as amazing.

In addition to this, they have been violating the GPL. However, because they did it creatively, most people don't know about it, and Ubiquiti still hasn't come into compliance.

Here are four ways that they have succeeded in making the violations hard to notice, and even harder to act upon.

[...]

Up until version 5.5.4 of Ubiquiti's airOS, the locally-modified u-boot bootloader contained a security issue - It was possible to extract the plain-text config from devices running the firmware, without leaving a trace. And the plain-text config contains unencrypted WPA/WPA2/RADIUS passwords.

Even worse than this security issue, was Ubiquiti's response to it. Namely, they:

    Refused to provide the source code, even though u-boot is under the GPL
    Didn't fix the security issue for a long time after it was publicly disclosed

To this day, Ubiquiti still has not provided the u-boot source code.

[...]

It would be natural to think that the binaries that Ubiquiti provides were compiled from the source code that Ubiquti provides. As it turns out, for a large number of their releases, the kernel source given does not correspond to the kernel in the official firmware images.

As evidence, consider that in version 5.5.4 of the AirMax firmware, the kernel was modified such that the MTD partitions would be read only, however this change cannot be found in the corresponding kernel patches or source.

Update: Some people have expressed doubt that this is done in the kernel, and could have been done in userspace. In response, I would like to note a violation that is easier to verify. ag7240-eth.ko is a binary-only kernel module contained in Ubiquiti's firmware. Instructions on how to confirm this are here.

Such practices make finding violations extremely difficult, and we can't know for certain that they haven't done this with anything else in the GPL tarball. It's possible that this was just a mistake, but remember that people have complained about this without much of a response. »

Via http://shaarli.cafai.fr/?q77wtw

« Il faut doter la France des moyens de renseignement nécessaires pour lutter contre le terrorisme. Il n’y a aucun débat là-dessus : l’actualité souligne régulièrement l’importance de la lutte contre le terrorisme. Là où le projet de loi renseignement pose problème, c’est qu’en voulant être capable de capter en permanence toutes les données personnelles des utilisateurs, notamment par le biais de « boîtes noires », le projet de loi du gouvernement est non seulement liberticide, mais également anti-économique, et pour l’essentiel, inefficace par rapport à son objectif.

[...]

Imposer aux hébergeurs français d’accepter une captation en temps réel des données de connexion et la mise en place de « boîtes noires » aux contours flous dans leurs infrastructures, c'est donner aux services de renseignement français un accès et une visibilité sur toutes les données transitant sur les réseaux. Cet accès illimité insinuera le doute auprès des clients des hébergeurs sur l'utilisation de ces « boîtes noires » et la protection de leurs données personnelles. Les entreprises et les particuliers choisissent un hébergeur sur des critères de confiance et de transparence, qu'il ne sera plus possible de respecter car seuls les services de l'État auront, directement ou indirectement, le contrôle et la connaissance de ces données.

[...]

 L’algorithme placé à l’intérieur serait validé, souvent a posteriori, par une commission, composée de juristes et de parlementaires (députés et sénateurs) et d'un expert technique nommé par l'Arcep… Sans vouloir être offensant pour la représentation nationale, nos entreprises ont de nombreux experts en algorithmique, si nous ne prétendons pas être capables de contrôler cette boîte noire, nous ne pensons pas que nos représentants le puisse mieux.

[...]

Obliger la mise en place de boîtes noires et permettre la captation de données directement sur le réseau des opérateurs français est la porte ouverte à un risque de nombreuses dérives, qui feraient entrer la France dans une surveillance de masse telle que nous ne l’avons jamais connue. Nous ne voyons pas comment une commission consultative de 9 membres, pouvant décider avec la présence de quatre d’entre eux, peut nous rassurer sur ce point. Malgré ce que certains dans les « services » peuvent expliquer, il ne s’agit pas de mesures techniques, mais bien d’une question démocratique majeure dont nos élus doivent se saisir !

[...]

Au-delà de cette question de fond, l’efficacité de ce dispositif de « boîtes noires » nous semble plus que douteux car il concerne moins de 5 000 personnes en France. Une organisation terroriste bien structurée saura échapper à ces mesures. Un « loup solitaire » sera noyé dans la masse des informations colossales et donc difficilement détectable. Quand bien même, les moyens techniques et financiers des services français ne sont de toute façon pas proportionnés pour traiter la masse totale des données qu’il va résulter de cette "pêche au chalut", car c’est de harpons dont ils ont besoin.

[...]

Petite explication : les hébergeurs sont des acteurs centraux de l’économie numérique. C’est dans leurs usines (les centres de données ou Datacenters), que les informations des entreprises et des particuliers sont stockées et traitées pour de nombreux usages : données médicales, données clients, secrets industriels, photos de vacances, e-mails, etc. C’est sur ces centres de données que se construisent de nombreux secteurs d’activité comme l’Internet des objets, le Big Data, la voiture autonome ou la ville intelligente. L’avenir industriel de la France passe par des centres de données, et donc par ces fameux hébergeurs. Des startups se créent et de « grands industriels » innovent en s’appuyant sur des hébergements français. Il n’y a ni FrenchTech, ni plans industriels numériques sans hébergeurs.

[...]

De plus, les hébergeurs français n’hébergent pas que des clients français : ils accueillent des clients étrangers qui viennent se faire héberger en France : l'Allemagne, la Grande-Bretagne, l’Espagne, la Pologne, les États-Unis, le Brésil, etc. En tout 30 à 40 % du chiffre d’affaire de nos hébergeurs est réalisé par ce biais. Ces clients viennent parce qu’il n’y a pas de Patriot Act en France, que la protection des données des entreprises et des personnes est considérée comme importante. Si cela n’est plus le cas demain en raison de ces fameuses « boîtes noires », il leur faudra entre 10 minutes et quelques jours pour quitter leur hébergeur français. Pour nous le résultat est sans appel : nous devrons déménager nos infrastructures, nos investissements et nos salariés là où nos clients voudront travailler avec nous. »

Bon, ça sonne un peu faux (la grande majorité des clients vient pour les prix et l'innovation, point) mais ça a le mérite d'avoir été dit.

J'en profite pour noter une chose : « Le projet de loi a certes été dézingué par la Quadrature du net, Gandi, le Syndicat de la Magistrature, Amnesty International, la CGT Police, La commission nationale consultative des droits de l’homme, l’Ordre des avocats de Paris, l’Union Syndicat des magistrats, Renaissance numérique, l’AFDEL, le Syntec Numérique, Human Rights Watch, la Commission du numérique, l’actuelle gendarme des écoutes, Jean-Marie Delarue, Alain Marsaud, député, ancien juge anti terroriste, Marc Trévidic, juge antiterroriste, ou encore... Charlie Hebdo, dont l'attentat figure parmi les faire-valoir au texte. » + des hébergeurs ici (IDS, Ikoula, Lomaco, AFHADS, Online et OVH) + des FSI (l'ASIC) + des FAI (FFDN) + la CNIL + l'ARCEP + le CNN + le commissaire aux droits de l’Homme du Conseil de l’Europe et j'en oublie sûrement. Toutes ces personnes et groupements qui vont bien au-delà du militant ont émis des réserves, des critiques construites voire ont manifesté leur totale opposition au projet de loi relatif au renseignement mais non, nos représentants (je pense notamment à Urvoas et Jérôme Lambert, député de la 3e circonscription de la Charente) persistent et signent : il s'agit de 20 relous extrémistes, d'exégètes amateurs qui comblent leurs lacunes par des préjugés et [des gens] de mauvaise foi pour qui le soupçon tient lieu de raisonnement. Si ça ce n'est pas avoir un ego surdimensionné...

Une image qui résume une partie des problèmes que pose le projet de loi relatif au renseignement sur son aspect manque de contrôle.

« 1 — Le PM peut surveiller qui il veut comme i1 veut sans passer par un juge.

2 — La CNCTR est chargée de vérifier s'il n'abuse pas de ce pouvait.

3 — La CNCTR peut être saisie par une victime de la surveillance ou s'intéresser d'elle-même à un dossier.

MAIS

3a — Une victime de surveillance ne sait pas qu'elle est surveillée.
3b — 1e PM peut classer la surveillance secret-défense.

4 — Quand bien même 1a CNCTR parvient a faire son job, elle n'a qu'un pouvoir de recommandation après du PM.

5 — Si le PM s'en fout, elle ne peut alors plus que s'adresser au Conseil d’État.

6 — C'est déjà pas mal ! »

Via https://twitter.com/Oujevipo/status/585800003232342016

« Après avoir examiné le projet de loi sur le renseignement, déposé à l’Assemblée nationale par le gouvernement, passons au texte issu de la commission des lois.

[...]

Inutile ? Mais pourquoi préciser alors la vie privée et le secret des correspondances ? Simple anticipe Urvoas : « les autres notions auxquelles le texte se réfère ici relèvent de la jurisprudence du Conseil constitutionnel, ce qui n’est pas le cas de la protection des données personnelles ». (article L811-1)

[...]

Derrière ces affirmations, l’auteur de cette rustine, le socialiste Pascal Popelin estime que « seul l’État peut mener des activités de renseignement en raison des objectifs poursuivis et des techniques mises en œuvre. De fait, cette politique publique ne saurait faire l’objet ni d’une sous-traitance à des sociétés privées ni d’une privatisation. Car la protection des libertés de nos concitoyens passe par la capacité de contrôle de l’action de l’État qui ne peut par conséquent pas être déléguée à une instance tierce du secteur privé ».

Il n’est toutefois pas certain que cet amendement interdise l’intervention de sociétés privées, compte tenu de l’ampleur technique du projet de loi, et surtout parce que le texte prévient simplement que la politique publique est de la compétence de l’État, non ses modalités pratiques...

[...]

Sept finalités rendues très extensives en commission des lois

La définition posée, embrayons sur les finalités qui peuvent en pratique justifier le déploiement de l’ensemble des mesures de renseignements. Au cinq existant actuellement, le projet de loi de Bernard Cazeneuve en a prévu sept, lesquelles ont toutefois été considérablement étendues en commission parlementaire (article L811-3).

[...]

En commission des lois, une série d’amendements signés principalement Jean-Jacques Urvoas a revu la plupart de ces définitions, pour étendre le plus souvent leur portée. Ces finalités sont désormais :

    L’indépendance nationale, l’intégrité du territoire et la défense nationale
    Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère
    Les intérêts économiques industriels et scientifiques majeurs de la France
    La prévention du terrorisme
    La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212 1
    La prévention de la criminalité et de la délinquance organisées
    La prévention de la prolifération des armes de destruction massive

À plusieurs reprises, on le voit, les intérêts « essentiels » du projet initial deviennent de simples intérêts « majeurs », ce qui abaisse le niveau de justification du déploiement des outils de surveillances (voir notre actualité).

Surtout, alors que le projet de loi visait « le recueil des renseignements relatifs aux intérêts publics », phrase suivie de la liste des finalités, la commission cible désormais : « le recueil des renseignements relatifs à la défense et à la promotion des intérêts publics ». Plus clairement, cet objectif autorise un renseignement non seulement défensif (« la défense »), mais également plus offensif (« la promotion ») ce qui ouvre un plus vaste champ d’actions, notamment s’agissant de la défense des « intérêts économiques, industriels et scientifiques majeurs de la France. »

[...]

Par défaut, le projet attribue cette compétence aux services spécialisés de renseignement « relevant des ministres de la Défense et de l’Intérieur ainsi que des ministres chargés de l’Economie, du Budget ou des Douanes ». Mais le projet de loi prévoit aussi qu’un décret en Conseil d’État pourra l’étendre. Mieux, le ministère de la Justice a d’ailleurs déjà été ajouté dans la liste, en Commission des lois, afin notamment de propager ces technologies dans le système pénitentiaire.

[...]

Ce même décret devra préciser aussi la liste des finalités relevant de tel ou tel service. Par exemple, Bercy s’occupera davantage des intérêts économiques industriels et scientifiques majeurs de la France que de la prolifération des armes de destruction massive… (article L811-4).

[...]

En pratique, comment cela se passe ? C’est la partie purement administrative, donc rebutante pour le lecteur. Résumons : la demande initiale est sécrétée par le service du renseignement spécialisé, portée par le ministre de la Défense, de l’Intérieur, de la Justice ou de Bercy. Ce document écrit précise la ou les techniques à mettre en œuvre (quel outil ?), la ou les finalités poursuivies (terrorisme, promotion économique des intérêts français, etc.), le ou les motifs des mesures (pourquoi ?), la durée de validité (combien de temps ?).

Est aussi renseignée la cible du renseignement : personne, lieu ou véhicule. Sur ce point, la loi est souple : tous peuvent être « désignés par leurs identifiants, leurs caractéristiques ou leur qualité, lorsqu’ils ne sont pas connus mais aisément identifiables ». Ainsi, plutôt qu’un nom (Mme Michu), le service pourra se contenter de mettre en avant le chef présumé d’un groupe plus ou moins menaçant, l’immatriculation d’une voiture, un pseudonyme utilisé sur un réseau social, telle donnée technique, ou la référence client chez un opérateur… (L. 821-2).

[...]

Émanant des services, la demande est ensuite adressée au président de la CNCTR (ou l’un de ses membres magistrats). Celui-ci rend, seul, un avis dans les 24 heures.

Ce cheminement peut toutefois être contrarié si d'une part, le président n’est pas certain de la validité de la demande, et d'autre part, il décide de réunir l’ensemble de la Commission. Celle-ci dispose alors de trois jours pour rendre son avis.

Mais que se passe-t-il si la commission n’est pas réunie ? Les autres membres sont alors informés dans les 24 heures de l’avis rendu par le président. Deux d’entre eux peuvent dès lors activer cette réunion et là encore, un avis est rendu dans les trois jours.

Quid si le président ne rend pas d’avis ? L’avis est tout simplement réputé rendu (positivement), ce qui montre combien la disponibilité du président de la CNCTR (ou son représentant) devra être forte.

L’avis obtenu expressément ou par défaut permet de finaliser l’autorisation du premier ministre. Elle vaut pour une durée maximale de quatre mois. Cependant, elle est renouvelable autant de fois que nécessaire. À chaque fois, cependant, il faudra suivre le même formalisme et respecter la même durée que l’autorisation initiale. (L. 821-3)

Après 24 h (ou trois jours) donc le premier ministre peut accorder son autorisation suprême pour quatre mois (L. 821-4). S’il autorise, malgré l’avis défavorable de la CNCTR, il doit impérativement expliquer pourquoi il a estimé nécessaire d’y passer outre. Dans tous les cas, la demande initiale et l’autorisation du premier ministre sont enregistrées dans un registre mis à la disposition (non communiqué volontairement) de la Commission.

[...]

Voilà pour la procédure normale. Seulement, en présence d’ « une menace imminente » ou d’un risque « très élevé de ne pouvoir effectuer l’opération [de renseignement) ultérieurement », l’urgence prime sur l’encadrement : on passe à l’action ! La décision de déployer directement le renseignement revient en effet au seul chef du service, sans passer par la case premier ministre comme c'était prévu dans le projet de loi initial.

Seules contraintes : sans délai, il doit informer le ministre compétent, le premier ministre et la CNCTR. (L. 821-5). Dans une telle hypothèse, le Premier ministre peut alors ordonner l’interruption de la collecte et la destruction des renseignements glanés. Cette procédure d’urgence n’est toujours pas activable. Elle est interdite pour la mise en place d’écoute dans des lieux privés d’habitation ou quand la technique de renseignement cible une entreprise de presse, un parlementaire ou un avocat, seul véritable filet qui protège ces professions à caractère sensible (L. 821-5).

Urgence ou non, si la commission considère qu’il y a un bug dans l’autorisation, elle devra se contenter d’adresser une simple « recommandation » au premier ministre. Elle lui expliquera pourquoi la technique de renseignement est illicite. Le premier ministre décidera des suites à donner « sans délai ». S’il rejette ses remarques, la CNCTR saisira, si elle le souhaite, le Conseil d’État, dans une formation de jugement spécialisée. (L. 821-6). Un détail important : cette procédure ne gèle pas le renseignement en cours.

[...]

Mais imagions que tout se passe bien. Une fois les autorisations accordées, l’ensemble des données collectées sera tracé et centralisé (L. 822-1). Chaque technique fait en effet l’objet d’un relevé, accompagné de la date de début et de fin, et précisant la nature des renseignements collectés. Un relevé là encore simplement mis à la disposition de la CNCTR, non communiqué mécaniquement.

Toutes ces informations, qui vont révéler à des yeux extérieurs jusqu’à l’intime de la vie d’une personne, seront conservées pendant 12 mois et même, pour les données de connexion, durant 5 ans à compter du recueil. En clair, si vous êtes un possible terroriste théoriquement menaçant, toutes vos métadonnées qui décrivent votre environnement social pourront être gardées en mémoire jusqu’en avril 2020. Il s’agit cependant de plafonds maximums figés par la loi qu’un décret en Conseil d’État pourra raboter, suivant les techniques de renseignement autorisées.

Ce n'est pas tout. Ces plafonds pourront être dépassés dans trois cas. Cela vise :

    Les renseignements liés à une cyberattaque
    Les renseignements chiffrés
    Les renseignements déchiffrés associés à ces derniers

Là, c’est une conservation sans limites de temps, qui ne peut être justifiée que par le besoin d’une analyse technique. La loi assure aussi ces informations ne pourront pas être utilisées pour la surveillance des personnes concernées. (L.822-2).

[...]

Toujours sur la question des délais, si « les renseignements ne peuvent être collectés, transcrits ou extraits à d’autres fins » que les sept finalités, (L.822-3) et ce, pour une durée limitée, « les transcriptions ou les extractions [devront] être détruites dès que leur conservation n’est plus indispensable à la réalisation de ces finalités ». En clair, le fruit des recueils sera conservé sans limite de temps. À toutes fins utiles, un registre sera mis là encore à disposition de la CNCTR.

[...]

L’article L. 822-6 prévoit un joli cas de figure : lors de ces collectes, un agent du renseignement découvre par hasard un crime ou un délit, même sans lien avec l’une de ces sept finalités. Là, pas de choix : il devra en aviser sans délai le procureur de la République, en lui transmettant les procès-verbaux utiles.

C’est une application bête et méchante de l’article 40 du code de procédure pénale. Par ce biais, tout le mécanisme basculera donc dans une procédure judiciaire classique, à partir d’outils exceptionnels de surveillance administrative, si bien sûr le service ne tarde pas trop à faire jouer cette disposition, laps de temps durant lequel le judiciaire restera écarté... Précision importante : cette transmission au Parquet pourrait visiblement se faire même si les mesures de surveillance étaient à l'origine, illicites.

[...]

La Commission nationale de contrôle n’a pas vu sa composition modifiée en commission des lois. Reprenons donc ce que nous disions dans notre première actualité. Cette autorité administrative indépendante est composée de neuf membres (L. 831-1) :

    Deux députés
    Deux sénateurs
    Deux membres du Conseil d’État (actuels ou retraités)
    Deux magistrats (actuels ou retraités) de la Cour de cassation
    Une personnalité qualifiée pour sa connaissance en matière de communications électroniques (nommée sur proposition du président de l’ARCEP)

[...]

Elles pourront démissionner, non être « virées » sauf si la Commission venait à constater un « empêchement » ou « un manquement » dont les modalités sont renvoyées au règlement intérieur. Ces personnalités sont indépendantes, également dans l’exercice de leurs attributions (L.832-1). Elles « ne reçoivent d’instruction d’aucune autorité. »

La fonction de membre de la CNCTR est incompatible avec toute activité professionnelle, tout autre emploi public et tout mandat électif, exception faite des députés et sénateurs qui y siègent. (L.832-2). Autre garantie, les membres de la Commission ne pourront être en liaison d’intérêts directs ou indirects avec les services du renseignement, les FAI, les opérateurs ou les hébergeurs techniques. Cependant, la loi ne prévoit aucune obligation de publier les déclarations publiques d’intérêts de ces personnalités.

En commission des lois, plusieurs voix se sont faites entendre pour dénoncer l’agenda très chargé des députés et sénateurs qui y siégeront. Ils ne peuvent en effet libérer que très difficilement une seule journée par semaine. L’idée a été suggére de proposer d’anciens députés et sénateurs, mais elle a été repoussée. Autant dire, en conséquence, que la charge de travail de cette autorité administrative indépendante reposera essentiellement sur les épaules des magistrats. Selon le texte, la CNCTR ne pourra délibérer que si au moins quatre membres sont présents. Rappelons à ce titre que le silence gardé par le président sur une demande d’autorisation vaut avis…

Quels seront ses moyens ? Comme analysé précédemment, l’étude d’impact est diablement silencieuse sur les versants économiques du projet de loi. L’article L.832-4, modifié en commission, prévient simplement qu’elle « dispose des moyens humains et techniques nécessaires à l’accomplissement de sa mission ainsi que des crédits correspondants ». Il reviendra finalement à la prochaine loi de finances de lui allouer les fonds nécessaires, sauf à vouloir noyer cette autorité sous un déluge de procédures.

Il n’est plus précisé dans le projet de loi amendé que les agents de la CNCTR seront choisis « en raison de leurs compétences juridiques, économiques et techniques en matière de communications électroniques et de protection des données personnelles ». Ce qui laisse une plus large manœuvre d’actions, même si ce genre de profils sera évidemment précieux.

Cette autorité administrative indépendante verra aussi ses comptes vérifiés par la Cour des comptes (L. 832-4). Cependant, sauf erreur, la loi ne prévoit pas de publication du rapport qui en ressortira.

[...]

La mission première de la CNCTR (L. 833-1) sera avant tout de « veiller à ce que les techniques de recueil du renseignement soient mises en œuvre sur le territoire national conformément [aux textes] ». À cette fin (art. L. 833-2.), tous, des agents aux ministres, devront faciliter son action (une obligation de moyen, sans sanction particulière). La CNCTR se verra destinataire de toutes les demandes des services mais également de toutes les autorisations accordées par le premier ministre. Elle disposera aussi d’un droit d’accès permanent à toutes les données relevées, collectées, transcrites, centralisées, etc. Un droit d’accès cependant non absolu cependant puisqu’il ne concernera pas la surveillance des communications internationales.

La même CNCTR sera «informée à tout moment (…) des modalités d’exécution des autorisations en cours ». Seul détail, cette information ne se fera qu’ « à sa demande » et non au fil de l’eau…

Au-delà, elle pourra toujours essayer de solliciter du Premier ministre « tous les éléments nécessaires à l’accomplissement de sa mission », mais là encore, cette possibilité ne pourra viser des éléments communiqués par des services étrangers, des organismes internationaux « ou qui pourraient donner connaissance à la commission, directement ou indirectement, de l’identité des sources des services spécialisés de renseignement. »

Pour être mieux éclairée, elle pourra solliciter du premier ministre les éventuels rapports menés en interne sur les services du renseignement (par l’inspection des services du renseignement). Dans le texte initial, c’est le premier ministre qui décidait, ou non, de communiquer d’instinct ces éléments. Cette fois, c’est la CNCTR qui peut solliciter ces documents, nuance importante.

[...]

Si quelqu’un s’estime espionné par les services, il pourra saisir la CNCTR via une réclamation. Il devra d’abord démontrer un « intérêt direct et personnel », histoire d’éviter que tous les paranoïaques en puissance ne se pressent à sa porte. Mais comment démontrer un tel intérêt à agir, face à des opérations couvertes par le secret ?

En commission des lois, il a été cependant confirmé que la CNCTR pourrait également s’autosaisir. Une garantie judicieuse. Dans ce cadre, elle déploie son contrôle pour vérifier que l’éventuel recueil a été correctement mis en œuvre. Une fois son enquête conclue, elle en alerte l’auteur de la réclamation, mais « sans confirmer ni infirmer » de la mise en œuvre de la surveillance (L. 833-3). En interne, si une irrégularité est constatée, on rebascule sur la recommandation au premier ministre, et l’éventuelle saisine du Conseil d’État (L.821-6).

[...]

Enfin, histoire de nourrir un peu plus les échanges, à tout moment la commission « peut répondre aux demandes d’avis du Premier ministre, des présidents des assemblées parlementaires et de la délégation parlementaire au renseignement ».

Nouveauté adoptée en commission, elle pourra enfin consulter pour avis l’ARCEP, évidemment dans le respect du secret de la défense nationale. (L. 833-6).

[...]

Passons maintenant aux différentes techniques de renseignement présentes dans la trousse à outils des services. Le projet de loi réorganise le code de la sécurité intérieure opposant d’un côté l’accès administratif aux données de connexion, de l’autre sur les interceptions (les écoutes).

Commençons par les premières qui concernent non le contenu des correspondances (voix, texte, vidéo), mais tout le contexte d’un échange : le contrat d’abonnement, l’adresse IP, l’adresse postale, le lieu, la date, les numéros de téléphone, etc.,. Pour installer un tel pipeline, il faudra évidemment l’autorisation du Premier ministre, l’inévitable avis de la CNCTR et heureusement le respect de deux grandes conditions (L.851.3). D’une part, le recueil doit viser des personnes « préalablement identifiées comme présentant une menace ». C’est-à-dire identifiées nommément, par qualité, caractéristiques ou identifiant dixit l’article L821-2. D’autre part, ce recueil est fléché à la seule prévention du terrorisme.

Ces conditions réunies, les agents du renseignement peuvent pomper en temps réel toutes les informations autres que le contenu des échanges « relatifs » à ces personnes. Selon nous, le terme « relatif » ne signifie pas seulement émis ou reçus par ces individus, mais tout ce qui est en relation avec elles, nuance d'ampleur.

Ce recueil est alors très énergique : les services profiteront alors d’un accès « en temps réel sur les réseaux des opérateurs » pour récupérer des wagons de données de connexion. Il n’y a pas que les opérateurs télécoms qui sont ici visés, s’y ajoutent les sites, les FAI, les hébergeurs, bref, toute la jungle des acteurs du net qui devront tous ouvrir un accès privilégié. Contrairement à la loi de programmation militaire, qui organisait une transmission sur demande, cette fois on change de niveau : l’accès pourra être direct. Les agents entrent, se servent, repartent, sans rien demander à quiconque. Un service tout confort, open bar.

Dernier détail, les acteurs du numérique se verront interdire de révéler la mise en œuvre d’une technique de recueil du renseignement. Le cas échéant, ils risqueront une amende de 375 000 euros. Ce même montant sera dû s’ils refusent « de communiquer les informations ou documents ou de communiquer des renseignements erronés ». Bref, toute résistance sera futile… car coûteuse.

[...]

L’article L. 851-4 est celui sans doute qui suscite le plus de trouble (relire la réaction de l’ASIC ou de Gandi, par exemple). C’est la fameuse boite noire qui concerne cette fois l’hypothèse de personnes non identifiées. Cet article tente de trouver une solution pour anticiper une possible menace terroriste, qu’elle soit fantôme ou finalement bien réelle.

Concrètement, le Premier ministre pourra imposer à tous les acteurs des nouvelles technologies une « boite noire » sur leurs infrastructures (tuyaux, DSLAM, serveurs, etc.), en fait « un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés ». L’expression de menace terroriste est elle-même très floue, variant selon les sensibilités sécuritaires et anxiogènes.

Mais quelle est exactement cette boite noire, ce dispositif lesté d’algorithmes prédictifs ? Rien n’est décrit précisément dans le projet de loi ou son étude d’impact, laquelle évoque simplement « l’anticipation de la menace attachée aux activités terroristes ». C’est sans doute un chalutage profond de toutes les données de connexion pour tenter de trouver, au tamis,  des signaux faibles. À la barre, un algorithme, et en guise de marins, pourquoi pas du deep packet inspection ? Questionné, Matignon nous a simplement répondu que ces détails seraient discutés avec les opérateurs, sans infirmer notre hypothèse. Une obligation : ce chalutage ne portera que sur les données de connexion, non les contenus, cependant la CNIL a déjà expliqué combien il était simple de retracer toute l'identité d'une personne via ces simples éléments...

Fait important : l’algorithme ne pourra pas procéder à l’identification des personnes concernées. Si les algorithmes « matchent » une possible menace terroriste, cependant, alors le Premier ministre pourra autoriser l’identification des données glanées, après l’avis de la CNCTR. Les services passeront alors à plus musclé, comme c’est déjà prévu par le texte, spécialement à de l’interception judiciaire. On n’ose à peine imaginer les conséquences d’un plantage de l’algorithme, d’un faux positif ou si le logiciel remonte trop tôt dans le précrime.

Nouveauté en commission des lois : pour apporter un peu de lumière dans cette boîte noire, la Commission nationale de contrôle des techniques de renseignement émettra un avis sur le dispositif et les critères des traitements automatisés (pourra-t-elle ausculter techniquement l’algorithme, ou seulement les critères qui le nourriront ?). Elle aura en tout cas un accès permanent à ces traitements et sera informée de toutes les modifications. En cas de doute, jouera l’éternelle recommandation au premier ministre, suivi d’une possible saisine du Conseil d’État.

[...]

Toujours lors de l’examen en commission, Jean-Yves Le Drian, ministre de la Défense a donné un cas pratique que pourrait permettre ce fameux article L.851-4 : « lorsqu’un terroriste décapite un homme dans un pays étranger, des connexions se mettent en place sur notre territoire, pour identifier les réseaux sociaux qui montrent la scène. Un algorithme vérifie immédiatement les connexions qui assurent la diffusion de l’acte terroriste commis en Jordanie, en Iran, en Irak ou en Syrie. Il s’agit non pas de pêche au chalut, mais de ciblage de réseau. Une telle intervention, qui n’existe que dans le cadre de la lutte antiterroriste, ne lèse pas les libertés ». Seul souci, les URL sont considérées comme des données de contenus, non des données de connexion… Erreur ou aveu gênant ?

Bernard Cazeneuve a ajouté son lot de (petites) précisions : « En ce qui concerne la détection sur données anonymes, on ne peut à la fois refuser de recueillir toutes sortes d’informations et rejeter les dispositifs qui permettent de sélectionner les personnes qui doivent être suivies. Les algorithmes permettent justement de cibler les informations dont nous avons besoin. »

De même, il a détaillé (un peu) le mode opératoire : « Les services de renseignement définiront, après avis de la CNCTR, un algorithme permettant de sélectionner des données en fonction de critères préétablis. Ces critères sont précisément destinés à éviter la « pêche au chalut » : ils permettront de sélectionner les caractéristiques spécifiques des modes de communication de personnes engagées dans des activités terroristes (…) Les opérateurs mettront en œuvre le dispositif sur les flux de données de connexion empruntant leurs réseaux. Lorsque l’algorithme détectera un profil correspondant aux critères d’une menace terroriste, ce profil sera communiqué au service de renseignement concerné de manière anonyme. C’est seulement si le service estime que le profil correspond bel et bien à une personne susceptible de représenter une menace terroriste que le Premier ministre pourra, après avis de la CNCTR, autoriser l’identification de la personne. »

La commission des lois a fait sauter au fil des discussions le délai plutôt bref de mise en place de cette boîte noire. Initialement fixé à 30 jours, renouvelables autant de fois, ce délai est maintenant figé dès l’autorisation initiale, soit jusqu’à 4 mois, toujours renouvelables tant que la menace existe ce qui risque d'être du 365j/an puis la prévention du terrorisme est dans l'ADN du renseignement.

[...]

À l’article L. 851-6, sont décrites d’autres techniques, non plus seulement limitées au terrorisme, mais motivées par la prévention des sept plaies de la loi. Il y a d’abord la mise en place d’un mouchard permettant de localiser en temps réel une personne, un véhicule ou un objet. Là encore, tout passe par une autorisation du Premier ministre, en principe, évitée cependant en cas d’urgence, de menace imminente ou « de risque très élevé de ne pouvoir effectuer l’opération ultérieurement ».

[...]

En commission des lois, gros changement passé un peu inaperçu dans le dédale technico-juridique du texte : plutôt que d'autoriser un dispositif « de proximité », le texte adopté fait maintenant référence à un « appareil » ou « un dispositif technique » dans le sens de l’actuel article 226-3 du code pénal.

On étend très clairement les capacités de surveillances sous cette discrète référence. L’article en question ne concerne en effet pas seulement les fausses antennes relai, mais vise également tous les « appareils ou dispositifs techniques » qui permettent d’ « ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination » ou « d'en prendre connaissance » ou « d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ». (L’article 226-3 du Code pénal renvoi à l’article 226-15 du même code). Il voit donc nettement plus large !

Même amendé, le texte prévoit toujours que les informations ou documents recueillis par ce biais seront détruits dans les 30 jours s’ils ne sont pas en rapport avec l’autorisation de mise en œuvre. Sinon, s’appliquera le délai programmé en amont.

[...]

Les interceptions de sécurité

Après l’aspiration des données, on passe en effet aux écoutes (voix, écrits, vidéo, texte). D'entrée, prévenons d'une nuance qu’on retrouve déjà dans l’actuelle législation : si les autres outils de surveillance doivent répondre à l’une des sept finalités, cette fois, les interceptions pouvant être autorisées seront celles « susceptibles de révéler des renseignements » relatifs à l’une des finalités. Ce n’est pas vraiment la même chose et permet de taper un peu plus à l'aveugle.

La CNIL l’a regretté, mais le gouvernement et la commission des lois s’en sont peu souciés : les données de connexion afférentes seront aspirées en même temps que les contenus des échanges. Ces écoutes pourront donc se répandre chez les proches de celui qui est écouté, plus exactement chez ceux « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation ». Un exemple ? Un chauffeur de taxi qui a échangé sans le savoir avec une personne à risque... C’est finalement tout l’environnement social, numérique, sonore, textuel, visuel, professionnel, familial d’un individu qui sera aspiré dès lors que ce tissu est « susceptible » d’être utile pour l’une des sept finalités.

Ces outils pourront être installés et exploités sans autorisation, si urgence, menace imminente ou « risque très élevé de ne pouvoir effectuer l’opération ultérieurement », en suivant la procédure vu plus haut.

En commission des lois, plusieurs mesures ont été adoptées pour assurer une certaine centralisation des interceptions, histoire d’éviter un éparpillement rendant délicat le contrôle de la CNCTR. Le nombre d’interceptions sera comme aujourd’hui contingenté par le Premier ministre (après avis de la CNCTR), sans limites particulières.

[...]

Sonorisation des lieux et véhicules et mouchards informatiques

Ces intrusions très profondes dans la vie privée d’une personne ne seront possibles que subsidiairement, si au regard des sept finalités, les renseignements espérés ne peuvent être recueillis par un autre moyen légalement autorisé (L. 853-1.).

Elles seront conditionnées à un avis exprès de la CNCTR (le silence ne vaudra donc pas acceptation). Et si son avis n’est pas suivi par le Premier ministre, deux de ses membres pourront saisir le Conseil d’État afin de trancher le conflit (L.853-1 et L.853-2).

Le projet de loi est généreux, prévoyant l’installation de caméras et micros, même dans un lieu privé. Évidemment, l’inviolabilité du domicile, affichée fièrement au premier article du texte, ne jouera pas. Symbolisme, on vous dit. Autre chose, des mouchards informatiques pourront aussi être placés sur n’importe quel « système automatisé de données ». Selon Matignon, l'expression vise un ordinateur. Mais juridiquement, cela concerne aussi les tablettes, smartphones, les sites internet, les serveurs... bref, n’importe quel bidule qui manipule des flux d’octets.

Cette foire à l’indiscrétion peut durer deux mois, bien entendu renouvelable si nécessaire. Puisqu’on touche aux correspondances, les données collectées devront cependant être détruites au plus tard à l’expiration d’un délai d’un mois à compter de leur enregistrement.

Ces opérations seront mises en œuvre sous le contrôle de la CNCTR qui pourra solliciter leur interruption et la destruction des renseignements collectés.

[...]

La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR.

Comme mis en lumière par l’ARCEP, ce dispositif pose d’autres soucis. Il sera parfois « délicat pour les opérateurs de déterminer de manière suffisamment certaine le régime dont relèvent les communications internationales émises ou reçues sur le territoire national ». Imaginons en effet des émetteurs et des récepteurs en France, mais qui empruntent des voies internationales (exemple : un VPN à l’étranger). Est-on dans un cas français ou étranger ?

Le projet de loi apporte un peu d’eau au moulin : lorsqu’une communication renvoie à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ou à des personnes surveillées en France, les données seront conservées et détruites conformément aux règles en vigueur dans notre pays, sous le contrôle de la CNCTR. Avec une nuance : « le délai de conservation des correspondances court à compter de la date de leur première exploitation » et non du recueil comme c’est le cas dans les hypothèses franco-françaises.

Contrairement à ce que nous avions (mal) précisé dans notre première actualité, la CNCTR pourra intervenir a posteriori, de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel. L’objet ? S’assurer que les mesures mises en œuvre respectent les conditions des deux décrets. Seulement, la Commission n’a semble-t-il pas possibilité de saisir une quelconque juridiction, laissant une liberté encore plus vaste à l’exécutif. La CNCTR n’aura en tout cas aucun accès permanent « aux relevés, registres, renseignements collectés, transcriptions et extractions » conformément à l’article L.833-2.

[...]

Un amendement porté par Jean-Jacques Urvoas, et adopté en Commission des lois, va aussi obliger les prestataires de cryptologie à remettre désormais « sans délai » les clefs de déchiffrement aux services du renseignement.

À ce jour, l’article L244-1 du Code de la sécurité intérieure (CSI) oblige ceux qui fournissent des prestations de cryptologie à « remettre aux agents (…) sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'ils ont fournies ». Dans son amendement, Urvoas accentue la pression sur ces acteurs en exigeant une fourniture des clefs le plus rapidement possible (« sans délai », article L 871-1) : « cet amendement prévoit de contraindre les personnes physiques ou morales qui fournissent des prestations de cryptologie à remettre sans délai aux agents des services de renseignement les clés de déchiffrement des données transformées au moyen des prestations qu'elles ont fournies » a éclairé le député PS.

Selon l'article L245-2 du CSI, le fait de ne pas déférer aux demandes des autorités habilitées est puni de deux ans d'emprisonnement et de 30 000 euros d'amende…

[...]

Sur le terrain international, nos services du renseignement profiteront d’un beau visa. Comme déjà expliqué, selon l’article 10 du projet de loi, le droit pénal de l’informatique leur sera inapplicable dans cette sphère extraterritoriale. Dans le jargon, c’est là une exceptionnelle « excuse pénale. »

Les services pourront donc pirater, modifier, effacer, copier, enregistrer tout ce bon leur semble, dès lors qu’on reste vissé à l’une des sept finalités. Jamais ils ne risqueront de se voir condamner à une quelconque amende ou peine de prison (sauf cas exceptionnel : pays mis à feu et à sang, etc.). Le périmètre géographique pose aussi des questions ici : quelle est la nationalité d'une donnée, d'un serveur ? Qui sera juge pour l'apprécier ? Quid des Français se retrouvant sur un serveur basé à Cuba ?

Cette disposition a été simplement corrigée à la marge en commission des lois, malgré les inquiétudes de Sergio Coronado (EELV).

[...]

Le Conseil d’État sera la juridiction de premier choix pour ces dossiers sensibles (L. 841-1). Il sera susceptible d’être saisi par trois voies :

Par toute personne « ayant un intérêt direct et personnel » et qui aura préalablement pris soin de saisir la Commission, afin de faire vérifier les activités de renseignement.

Par la CNCTR en cas d’autorisation accordée illégalement, de techniques de renseignement qui dépassent les bornes.

Par une autre juridiction lorsqu’une affaire met en cause le secret de la défense nationale. Il doit alors statuer dans le délai d’un mois à compter de la décision de saisine de la juridiction de renvoi.

Sa compétence est en premier et dernier ressort (Art. L. 311-4-1). Toutefois, c’est une formation spécialisée de la juridiction qui intervient ici (Art. L. 773-2), le secret de la défense nationale interdisant la moindre publicité des débats (huis clos total). Cette formation sera composée de trois membres du Conseil d’État. Ils pourront heureusement soulever d’office tout moyen qui n’aurait pas été signalé par la CNCTR par exemple. En cas de contentieux, les membres de cette juridiction ont accès aux pièces du dossier et la CNCTR peut être entendue.

Si le Conseil d’État constate l’absence d’illégalité (pas de surveillance ou surveillance régulière) sa décision indique au requérant simplement « qu’aucune illégalité n’a été commise » : Il lui sera interdit de confirmer ou infirmer « la mise en œuvre d’une technique ». Au contraire, s’il constate une illégalité, il pourra (ce n’est pas obligatoire) d’un, annuler l’autorisation du recueil, de deux, ordonner la destruction des renseignements irrégulièrement collectés. Dans un tel cas, le requérant est informé de l’illégalité et l’État peut être condamné à indemniser son éventuel préjudice.

Lorsque la même juridiction estime que l’illégalité constatée est susceptible de constituer une infraction, elle doit en aviser le procureur de la République et transmettre l’ensemble des éléments du dossier à la CNCTR. Celle-ci donnera son avis au Premier ministre, qui pourra, s'il le veut, alors déclassifier tout ou partie des pièces en vue de leur transmission au procureur de la République. Autant dire, de l'hypothétique.

[...]

Big data et contrôle du fichage

Toutes les informations glanées lors de ces différentes opérations feront l’objet d’un fichage dont les éléments pourront être croisés à d’autres fichiers de police déjà en place. Soit un joli big data.

Le projet de loi vient du coup modifier le droit d’accès indirect reconnu aux citoyens (article 11 du projet de loi). En principe, quand est en cause la sûreté, la défense ou la sécurité publique, il faut passer par l’intermédiaire de la CNIL pour contrôler ces mécanismes. En cas de contentieux, le projet de loi adapte toutefois le principe du contradictoire normalement respecté en raison de « la nature particulière des traitements concernés ».

Dans un tel cas, en effet, la juridiction chargée de trancher un contentieux ne pourra ni révéler ni préciser si le requérant figure ou non dans le traitement en cause. Celui-ci ne disposera d’informations que si des données personnelles le concernant sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Et encore… C’est une simple option ouverte à la juridiction, qui pourra donc décider de ne rien dire. Sur ce terrain, l'ASIC a de son côté demandé à ce que la CNIL soit davantage mise dans la boucle. On verra en séance, à partir du 13 avril prochain, si ces voeux seront entendus. »


Bref : pas de gros changements :
    * Les finalités et les services pouvant avoir recours aux techniques de renseignement sont déjà étendus ;

    * Toujours un manque de temps/moyens pour la CNCTR et le fait que rien ne lui parvient automatiquement sauf les demandes d'autorisation mais cela démeure à sa disposition (au cas où ils auraient le temps et l'envie spontanée de venir mettre leur nez... sérieusement :/) ;

    * Toujours aucune vraie garantie (en tant que citoyen, je ne peux pas me contenter de croire que les dispositions sont tellement dingues qu'elles ne seront pas appliquées contre un innocent, j'ai besoin de preuve/garantie -> voir la sûreté définie dans la déclaration des droits de l’homme et du citoyen de 1789 aka "la protection de l’individu face à la puissance de l’État, que ce soit un roi ou tout autre dirigeant. Le chef de l’État ne peut se saisir de votre personne ou de vos biens car tel est son bon plaisir."). Quelques exceptions pour les professions sensibles (parlementaire, avocat, entreprise de presse) pour les techniques "violentes" comme IMSI Catcher) ;

    * Aucun vrai recours (tout est couvert par le secret défense, il faut un motif pour saisir la CNCTR (intérêt direct et personnel), la CNCTR et le Conseil d'État répondent avec une sorte de lettre type "aucune illégalité n’a été commise"), le droit d'accès indirect (via la CNIL) est raboté pour répondre au besoin du secret,... ;

    * Les durées de conservation des données de connexion des personnes suspectées (5 ans) est totalement demesurée... Déjà que la Cour de justice de l'Union européenne a sabré la directive de 2006 sur le stockage des données de connexion par les FAI/FSI pendant un an... ;

    * Toujours un grand flou autour des fameuses boîtes noires dont les algorithmes (dont il n'est toujours pas dit s'ils seront vérifiés et par qui) devront identifier les mézants terroristes à partir de comportements (utiliser TLS avec des algos forts, GPG, TOR, OTR, ... seront-ils des éléments à charge pour nous suspecter, prolonger la durée de conservation de nos données personnelles, nous coller une surveillance rapprochée ?).

    * J'aime aussi les mots flous comme « majeurs » et « exceptionnels » qui laissent une vaste marge d'interprétation et d'action à l'exécutif. À mettre en lien avec nos représentants du gouvernements totalement affolés suite au piratage de TV5 qui parlent déjà d'acte de terrorisme (Pellerin), vendent le projet de loi relatif au renseignement comme un remède miracle (Cazeneuve), se déplacent (3 ministres en moins d'une matinée, ils n'ont rien d'autre à faire que de jouer l'affiche !), parlent de réunions à venir et de mesures d'exception. Enjoy !


J'aime également quelques conceptions à l'américaine :
    * Laisser aux FAI/FSI le soin de faire le sale boulot, en proxy (comme le FISA/Patriot Act aux USA) ;

    * Les libertés prises sur les communications internationnales : « La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR. ». Internet est un réseau mondiale, une bonne partie de nos communications avec des serveurs partent à l'étranger. ;)

« import thread
 
def someFunc():
    print "someFunc was called"
 
thread.start_new_thread(someFunc, ()) »

Simple, efficace.

Ha ouais, 1024 FD possibles en même temps (soft limit ulimit). Voir : http://www.cyberciti.biz/faq/linux-increase-the-maximum-number-of-open-files/

Dans le cas présent, on remarquera que cette limite est bien utile pour éviter l'emballement d'un programme. :)

ÉDIT DU 01/05/2015 : ça marche aussi pour éviter d'avoir à killer un gedit qui a ouvert un fichier trop volumineux pour lui (mauvaise association) ce qui permet de préserver les fichiers que l'on n'a pas encore sauvegardés. On identifie le fichier avec ls -lh /proc/<PID_gedit>/fd et ensuite on ouvre gdb (oui, pas obligé d'utiliser un fichier batch), on passe la commande : call close(<FD>) . On quitte gdb : quit. gedit va reprendre ses esprits (il était en pause comme tout programme sur lequel on s'attache avec gdb) et constater : « Impossible d'ouvrir le fichier [...] Erreur inattendue : Erreur lors de la lecture du fichier : Mauvais descripteur de fichier ». \o/  

« call » permet d'appeler n'importe quelle fonction du programme ou des libs linkées au programme. FIN DE L'ÉDIT.

Un échange entre un citoyen et son représentant (Jérôme Lambert) qui part du projet de loi relatif au renseignement mais qui va bien plus loin (préjugés, diffamation, méconnaissance des lois, confirmation de l'absence de représentativité,...)... Tout est dit.

Via http://www.maitre-eolas.fr/post/2015/04/06/Relisons-la-notice