huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Pouvoirs et information
Le bon Noël de Big Brother, la suite
Comparaison France-USA : qui gagne ?

Dans l'article précédent, nous avions évoqué la loi de programmation militaire récemment votée et dont l'article 20  (ex 13) va autoriser des services de renseignement à accéder aux métadonnées des communications électroniques. Nous avions critiqué le flou de ce texte  contesté (donnera-t-il accès à ces seules métadonnées ou au contenu de certaines messageries ? quelle limite ? conférera-t-il aux services la possibilité de prélever indistinctement et directement chez les fournisseurs d'accès et opérateurs ? comment contrôler la justification et l'utilisation de ce ce recueil de données  ?). Les opposants ont fait remarquer que la France s'engageait dans cette voie - faire quelque chose qui est souvent comparé au Patriot Act de G.W.  Bush - juste au moment où outre-Atlantique :
- un juge fédéral de Washington D.C., l'honorable Richard Léon, considère la collecte de métadonnées à l'échelle pratiquée par la NSA comme violant la constitution et dénonce une dérive "orwelienne", opinion qui, il est vrai vient d'être contredite par un autre tribunal.
- un groupe de travail mandaté par Obama lui-même (le Review Panel) et qui comprend d'aussi dangereux bobos gauchistes que Richard Clarke, ancien coordinateur national pour la sécurité, les infrastructures vitales et le terrorisme, condamne la collecte (et la conservation par les administrations) d'une telle quantité de métadonnées. C'est essentiellement de ce second rapport, peu suspect de préjugés anti-américains ou anti-Obama que nous retirerons les informations qui suivent.

Pour mémoire non seulement le fameux système Prism ("portes de derrière" de la NSA et de son équivalent britannique chez AOL, Skype, Apple, Facebook, et.) gère des milliards de métadonnées, mais la plupart des autres systèmes de la NSA le font également comme 
-Tempora (prélèvement sur les câbles de fibre optique...), 
-Fairview (partenariats avec plusieurs pays) 
- et surtout le programme Eliolive qui permet de prélever chez Verizon, AT & T et un troisième opérateur inconnu des métadonnées de communications "américaines". Comprenez que des "filtres" placées sur plusieurs nœuds du réseau national collectent 75% du trafic, sélectionne les métadonnées intéressantes (Internet et téléphone) et le stocke. Cela a commencé il y a une dizaine d'années sur la base de mandats de surveillance délivrés par la Federal Intelligence Security Court (voir plus loin).

Pour comparer le cas français et celui des États-Unis, il faut revenir plus haut que le onze septembre, aux raisons historiques et technologiques des pratiques du renseignement aux États-Unis.

Pour ce qui est des raisons historiques, rappelons d'abord l'importance d'une double tradition américaine. D'une part, celle de la protection juridique des libertés, notamment le quatrième amendement qui est sensé garantir les citoyens contre des perquisitions et saisies non motivées et requiert à la fois un "due warrant" (un mandat en bonne et due forme) et une cause vraiment plausible et vérifiable pour qu'un agent du gouvernement puisse violer l'intimité ou la propriété d'un Américain.

D'autre part, il existe une tradition de méfiance à l'égard du reste du monde (R.O.W, Rest of the World) ou du moins une idée bien ancrée depuis avant la Guerre Froide : à savoir qu'il faut surveiller les nations étrangères, leurs agents et de façon générale des non-Américains extrémistes, subversifs, ennemis de la liberté et susceptibles de comploter contre la grande Nation. 

Quant au changement technique, il est évident : nous sommes tous pourvus d'appareils nomades, avec lesquels nous nous téléphonons et nous connectons sur Internet. Non seulement il y a explosion du nombre de terminaux (donc de numéros ou d'adresses Internet) que peut utiliser un individu et explosion des usages qu'il fait de ses connexions (pour acheter, se documenter, se déplacer, par exemple), mais les métadonnées sont de plus en plus riches et révélatrices. La question de leur usage en rejoint deux autres cruciales pour les libertés 

- celle des traces que nous laissons à chacune de nos transactions ou déplacement, que nous passions devant une caméra de surveillance, fassions un payement, franchissions un portail, voyagions, prenions de l'argent, partagions des photos ou des vidéos, donnions notre avis de citoyen ou de consommateur, ou tout simplement allions consulter un site ou fassions une recherche sur un sujet qui nous intéresse

- celle des "Big Data", c'est-à-dire du traitement qui peut être fait à une échelle phénoménale pour rapprocher des milliards de données éparses, dans le but de mieux connaître un individu ou le comportement présumé d'un groupe.

Autre élément : lorsque nous nous adressons à X ou Y nous décidons si nos propos seront confidentiels et si nous voulons, nos interlocuteurs et nous, conserver le secret. Par exemple en fermant l'enveloppe d'une lettre ou en adressant un courriel à un interlocuteur précis, nous manifestons notre volonté de protéger le contenu et cette décision résulte de notre seule volonté du seul émetteur et du choix d'un certain vecteur (courrier postal, téléphone, mail, Voice over Internet...) pour le message. Le contenu ne peut être consulté que par une forme d'effraction (enregistrer l'appel téléphonique, ouvrir le courrier électronique dans un boîte à lettre, ouvrir puis recoller l'enveloppe) et pour le temps limité ou le message circule ou n'est pas encore détruit.

Mais lorsque nous nous mettons en communication avec quelqu'un,  nous devons utiliser des dispositifs qui ne dépendent pas de nous , que ce soient la boîte postale et la tournée du facteur,  l'ordinateur central de l'opérateur et les balises de connexion,  des routeurs et  un système d'adressage, des logiciels ou  des  plateformes.  Dans tous ces cas nous avons confié à un tiers des informations partielles, qui nous voulons joindre, par exemple, ou combien nous voulons retirer. Certaines de ces données peuvent ne pas être isolément très  compromettantes, mais rapprochées, elles en révèlent beaucoup et, dans tous les cas,  il était au moins implicite que le tiers à qui nous les avions confiées  en reconnaissaient le caractère privé.  Et il semble normal que ce dépôt ne puisse être transmis à un service de police ou de renseignement que dans des conditions légales strictes. A priori sur mandat d'un juge (on dirait "due warrant" outre-Atlantique).

Le problème est en effet que vos métadonnées peuvent en dire énormément sur vous.

 Aimeriez-vous :

- que l'on surveille Pierre qui a contacté Paul qui a fréquenté Jules qui connaît un présumé jihadiste (principe de contagion), surtout si Pierre est de votre famille ?

- que l'on sache si vous avez été en contact avec un centre de prêts, un psychiatre, un chirurgien esthétique, un service médical spécialisé dans le cancer ou le SIDA, une escort girl, un bar gay, un copain de jeunesse ayant milité dans un groupe révolutionnaire, un candidat aux élections ou une secte ?  Et cela même si on recueille vos métadonnées un peu par hasard (par contagion : Paul connaît Pierre...) dans une affaire de terrorisme international, de drogue ou d'espionnage industriel qui n'a rien à voir a priori avec toutes les connexions qui précédent ?

Raison de plus pour en revenir à la comparaison avec les États-Unis dont notre pays aime dénoncer les dérives  liberticides sous Bush, mais ne s'offusque guère de l'espionnage de l'Élysée ou de grandes sociétés françaises sous Obama.

Le juges américains se sont intéressés assez tôt aux questions d'interceptions téléphoniques. Mais à l'époque du téléphone filaire, les choses étaient assez simples et la distinction entre ce qui se dit (qui est perdu si la ligne n'est pas écoutée) et quel poste a appelé quel poste et à quelle heure, informations conservées, ne serait-ce que pour pouvoir facturer) n'a pas une importance bouleversante.

Le Foreign Intelligence Surveillance Act (FISA) adopté en 1978, sous la présidence de Carter, est une loi destinée à réguler l'activité des services de renseignement. L'idée est d'éviter les excès de la chasse aux sorcières ou de la chasse aux espions sur le territoire national. Cela renvoie aux pratiques qui, sous Johnson ou Nixon avaient conduit à surveiller des citoyens américains ou des associations sous de vagues prétextes qu'ils pourraient un avoir des activités antinationales ou dangereuses ou que leurs opinions les y préparaient. Le Fisa et ses réformes servent de base à tout l'édifice.

Le FISA part d'une distinction jurisprudentielle. En principe, le quatrième amendement interdit  d'intercepter les communications d'un citoyen américain sans permission  d'un juge indépendant qui ait été raisonnablement amené à penser que cette interception produira la preuve d'un crime ou d'un délit. Mais pour les étrangers et/ou pour les interceptions réalisées hors des États-Unis ? Et leurs correspondants ? Le Fisa fait donc une distinction entre les interceptions "électroniques" domestiques et celles qui touchent des "puissance étrangères". Pour renforcer cette coupure entre ce qui ressemble quand même un peu à la différence entre compétence de la police et celle des services secrets, le FISA institue une cours spéciale pour les activités de renseignement  sur le territoire des États-Unis. La surveillance électronique ne peut s'y exercer que sur mandat de cette juridiction (le FISC, Federal Intelligence Security Court) sous contrôle de l'attorney général, a priori contre des agents d'une puissance étrangère travaillant sur le territoire américain, tandis que les services sont beaucoup plus libres dans leur action à l'extérieur des USA.  
On comprend donc qu'il y a alors trois cas de figure : crime et délits "ordinaires" où les interceptions relèvent du juge, renseignement sur des activités liées à des puissances étrangères sur le territoire national, sous un régime de contrôle spécial, et activité qu'il faut quand même appeler d'espionnage hors des USA.

Après le 11 septembre, tout part de la mise en cause des services de renseignement - la fameuse communauté de l'intelligence qui, faute de vigilance ou faute de transmission des éléments révélateurs entre les services, n'avait pas eu la "prior knowledge", la connaissance préalable  qui aurait permis d'empêcher la catastrophe en  rapprochant les éléments décisifs -. 

Dans la foulée du Patriot Act, et parmi d'autres  mesures de lutte contre le terrorisme par la surveillance, le FISA est modifié pour ajouter notamment un article 215 qui concerne les enregistrements de numéros, adresses, contacts sur téléphone et Internet détenus pas des compagnies tierces, donc nos sempiternelles métadonnées. L'article étend considérablement les possibilités pour gouvernement de se faire délivrer de tels enregistrements (étendus à toutes sortes de locations ou mise à disposition)
- quant aux "fournisseurs" qui peuvent être sollicités
- quant aux conditions : il suffit qu'il y ait enquête pour une activité de terrorisme ou de renseignement clandestin sans avoir vraiment à démontrer que la personne concernée peut être un agent d'une puissance étrangère. 
Plus besoin de démontrer une "cause probable" pour tout savoir sur quelqu'un en somme. Et plus besoin qu'il y ait une enquête criminelle ouverte pour exercer une contrainte (subpoena) sur le détenteur des archives de vos métadonnées.
De façon générale il suffit qu'une agence gouvernementale ait une vague idée que les métadonnées pourraient avoir un rapport avec une enquête destinée à protéger le pays contre le terrorisme ou l'espionnage et saisissent ce vague prétexte pour que le tiers détenteur n'ait plus qu'à s'exécuter (quand il n'ouvre pas ses dossiers par un système d'accès permanent de type "porte de derrière"). 
Cela équivaut de fait à retirer toute protection aux informations (adresses, connexions, réseaux..) que nous avons bien dû confier à un tiers (opérateur, fournisseur d'accès, plateforme..) mais dans le dessein limité de nous aider à délivrer notre message et pas pour qu'il les publie sur la place publique.
Sans entrer dans les détail disons que l'autorisation de la cour (la FISC) est devenue de pure forme et que des organismes comme le FBI délivrent quasiment à leur gré des National Security Letters pour assurer que la collecte d'informations a un rapport avec une enquête autorisée. Quant à la NSA..., voir Snowden. En tout état, la FISC n'a pas les moyens, ne serait-ce qu'en personnel, de vérifier la pertinence de ces demandes.

Cette notion en trois étapes d'une raison de croire qu'une demande pourrait être en relation avec une enquête qui pourrait être légitime mais dont on ne peut rien révéler permet de ramasser toutes les métadonnées que l'on veut et leur conservation (jusqu'à cinq ans) l'équivalent d'une permission de ficher n'importe qui pourvu que l'on prenne le temps de rapprocher suffisamment d'informations même indirectes.

Il nous semble comprendre que la seule limite théorique qui subsiste est celle du rapport avec une puissance étrangère ("foreign intelligence"). Mais elle saute très vite quand on réfléchit à ce qu'il faut faire pour savoir si une personne présente un risque d'être associée à ces dangereux étrangers, contrairement à un honnête citoyen US protégée par le premier et le quatrième amendements jouissant de toutes les protections que l'on voit dans les feuilletons policiers et qui permettent de faire éliminer facilement une preuve obtenue illégalement.
Le principe de contagion joue à plein : comment puis-je savoir que je ne fréquente pas sur un réseau social le gars qui connaît le gars, qui connaît le gars qui pourrait être terroriste ?
Comment le savent-ils sinon en filtrant des milliards de métadonnées (ou de contenu) en quête d'éléments significatifs.
En clair si j'écris à un ami américain "Connais-tu ce roman de Kessel, le lion, qui se déroule  dans en Afghanistan rebelle et plein de violence ?", ne l'ai-je pas compromis en utilisant trois mots suspects (Afghanistan, violence, rebelle) et mes métadonnées n'ont elles pas aggravé son cas si l'on tient compte de mes voyages ou de mes fréquentes conversations avec des amis libanais ? Et encore j'ai la chance de n'avoir que des prénoms chrétiens !

Dans le monde d'Internet la distinction entre des citoyens sans rapport avec l'étranger et les autres est pour le moins obsolète.
Et la probabilité que ce type de système produise des "faux positifs" et multiplie les suspects imaginaire sont fortes, comme sont fortes les craintes que n'importe quel bureaucrate dans la machine puisse détourner le système pour trouver de l'information sur un adversaire politique de son administration ou sur l'éventuel amant de sa femme.
A fortiori si les données sont conservées par une agence gouvernementale à qui l'on donne ainsi un terrible pouvoir de reconstituer et interpréter le passé.
Nous ne sommes pas non plus persuadés - mais ceci est un autre débat - qu'un tel système "à la nasse" produise des résultats très brillants.
 Ni que le prix à payer, en terme de défiance politique envers les USA et de défiance économique envers les grandes sociétés américaines du Net, soit remboursé au centuple par le nombre de terroristes arrêtés.

Compte tenu de l'expérience américaine (mais aussi de la capacité d'auto-critique de ce pays qui n'est certainement pas celle de notre classe politique), nous pouvons maintenant nous poser quelques questions :
_ L'année dernière la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS) chargée de contrôler la légalité des demandes d'interception formulées par les divers services de l'Etat auprès du Premier Ministre a validé environ 200.000 interceptions de données de connexion. Ce chiffre est-il vraiment si insuffisant qu'il faille le multiplier avec une nouvelle loi ?
_ S'il est exact (Snowden dixit), que, dans les cadre des accords dits "Lustre" 70,3 millions de données téléphoniques collectées en France, et transmises à la la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, d'où venaient ces données ?
_ Si les États-Unis ont obtenu le résultat que nous venons d'exposer sur la seule base de l'action anti-terroriste que feront les braves Gaulois avec une loi qui permet d'obtenir des données de connexion pour cinq motifs - sécurité nationale, sauvegarde des éléments essentiels du potentiels scientifique et économique de la France, prévention du terrorisme, de la criminalité et de la délinquance organisée et reconstitution ou maintien d'une organisation dissoute ?
_ En sachant que la loi française porte sur "les informations et documents traitées par les réseaux ou services de communication électronique" peut-on vraiment se sentir rassuré par la distinction contenant/contenu ?

 Imprimer cette page