LES ARTICLES DE LA RUBRIQUE
• les Jeux olympiques d’été de 2024
• vidéosurveillance, argent public, Nice
• la course folle à la surveillance internationale de masse
• loi “renseignement” : les Français seront sous la surveillance de l’État
• loi sur le renseignement : #OccupyDGSI
• non à la surveillance généralisée !
• loi renseignement : agissons avant qu’il ne soit trop tard
• note technique de l’INRIA sur le projet de loi relatif au renseignement
• la LDH et la FIDH contestent le classement de leur plainte
• non à la surveillance généralisée !
• la société Qosmos placée sous statut de témoin assisté
• un appel à manifester contre la surveillance généralisée
• surveillance en France : les défenseurs des droits humains s’inquiètent
• projet de loi renseignement : légalisation de la surveillance
• recours contre le décret d’application de l’article 20 de la LPM
• le 28 janvier, journée internationale de protection des données personnelles
• la plateforme nationale des interceptions judiciaires se met en place
• création de l’Observatoire des libertés et du numérique (OLN)
• l’article 20 de la LPM instaure une surveillance sans limites sur l’Internet
• vers une surveillance généralisée d’Internet en France ?
• affaire Amesys : la justice poursuit son enquête
• plainte de la FIDH contre la société Amesys pour “complicité d’actes de torture”
LA SECTION
article de la rubrique Big Brother > surveillance française
date de publication : lundi 3 mars 2014
version imprimable :
Les prochaines semaines vont voir la mise en place de la Plateforme nationale des interceptions judiciaires (PNIJ) dont le ministère de la Justice a confié la réalisation à la société Thales. Une installation à la Big Brother censée remplacer – dans un premier temps – tous les systèmes d’écoutes, puis – d’ici environ un an – l’ensemble des dispositifs de géolocalisation. Seules devraient lui échapper les interceptions dites « de sécurité », qui nécessitent l’accord écrit du Premier ministre.
Selon Le Canard enchaîné du 19 février 2014, « cette plateforme qui a reçu la bénédiction de la Cnil et qui n’attend plus que l’onction du Conseil d’État, se veut sans reproche. Pourtant, elle n’a pas été installée dans une enceinte judiciaire, mais directement dans les locaux privés de la société Thales, qui a remporté le marché en 2010. Une multinationale qui se retrouve ainsi en position de contrôler toutes les écoutes de France et de Navarre. Au risque d’alimenter de noirs soupçons sur la confidentialité du nouveau système. »
Ce projet n’a fait l’objet d’aucun débat public, et son fonctionnement est protégé par la classification « confidentiel-défense ». Diverses organisations, dont la LDH, avaient adressé le 13 décembre 2013 une lettre ouverte aux parlementaires pour attirer leur attention sur l’article 20, anciennement article 13, de la loi de programmation militaire qui encadre les modalités des interceptions légales mais qui, d’après elles, viole plusieurs dispositions constitutionnelles. Mais la loi a été promulguée ... Les interrogations que suscite la PNIJ n’ont pas été levées – elles ont été reprises dans une question écrite posée par un député.
Question écrite N° : 28378 du député Alain Tourret adressée au ministère de la Justice [1]
M. Alain Tourret interroge Mme la garde des sceaux, ministre de la justice, sur la prochaine mise en service de la Plateforme nationale des interceptions judiciaires (PNIJ), projet piloté par la Délégation aux interceptions judiciaires (DIJ) et dont la réalisation a été confiée à Thales en 2010.
Ce système d’interception, d’écoute, d’identification, de géolocalisation, de stockage des échanges téléphoniques ou électroniques permettra de traiter en un lieu unique (à Elancourt, dans les Yvelines) la masse annuelle des 5 millions de réquisitions judiciaires et 40 000 écoutes autorisées par les juges.
Beaucoup vanteront la prouesse technique, insisteront sur les avantages d’un centre unique dans lequel ils voient la promesse d’une efficacité accrue de nos services de police, de gendarmerie ou de douanes dans la lutte contre la délinquance et la criminalité.
D’autres verront dans la réalisation d’une structure unique un moyen de maîtriser la progression des frais de justice.Législateur et juriste, défenseur des droits de l’Homme et des libertés, il ne peut pour sa part taire un certain trouble, des interrogations, des craintes même, alimentées par la lecture des informations distillées par la presse ces derniers mois.
Ce dossier sensible puisque couvert par la classification « confidentiel défense » suscite en effet bien des réserves exprimées par les spécialistes, les organisations professionnelles de policiers et de magistrats. De Wikileaks aux affaires de « fadettes », les exemples ne manquent pas pour démontrer que l’inviolabilité des systèmes de stockage ou de transmission de l’information n’existe pas.
Des procédures de contrôles et de sécurité sont fréquemment contournées ; les systèmes informatiques les mieux protégés sont victimes d’intrusions ou de tentatives d’intrusions ; des données sensibles, confidentielles, stratégiques ou touchant à la vie privée des citoyens circulent en nombre toujours croissant sur le net sans qu’il soit toujours possible d’y faire obstacle.
Les interrogations qui suivent portent donc sur la dérive financière du projet PNIJ, mais aussi sur les garanties de sécurité, d’inviolabilité, de confidentialité apportées par Thales et sur les moyens de contrôle mis en place par l’État qui a choisi de déléguer à une entreprise privée l’une de ses fonctions régaliennes.
Selon les informations recueillies, le projet dont le coût était estimé à 17 millions d’euros approcherait désormais les 47 millions d’euros, auquel il conviendra d’ajouter une cinquantaine d’autres millions pour couvrir des dépenses qui n’avaient apparemment pas été prévues (indemnisation des fournisseurs d’accès internet qui ont dû déployer leur réseau de fibre optique jusqu’à Elancourt, redimensionnement des réseaux et équipement des centres de la police judiciaire, de la gendarmerie et des douanes, etc.). Cette dérive financière est-elle exacte ? Comment est-elle justifiée par les responsables de ce projet ? Les prestataires qui travaillent actuellement avec l’État sur ces dossiers d’interceptions et d’écoutes ont saisi le tribunal administratif de Paris pour contester l’attribution du marché à Thales.
Les demandeurs n’auraient pu prendre directement connaissance du dossier d’appel d’offres du fait de son classement « confidentiel défense ». Le tribunal administratif a annulé l’appel d’offres. Quelles sont les conséquences juridiques et économiques de cette décision ? Est-il exact que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a émis des réserves sur l’infogérance et l’hébergement de la PNIJ par Thales ? Et si c’est le cas, quel cas a-t-il été fait de ces réserves ? - Les spécialistes de la cyber sécurité émettent des craintes fondées sur la fragilité d’un système centralisé constituant une cible de choix pour les groupes criminels et les hackers. Ces craintes sont d’autant plus vives que la « redondance de sécurité » serait installée sur le même site, à 300 mètres seulement de la plateforme. Quelles sont les réponses apportées par Thales à ces craintes notamment exprimées, dès 2011, par le directeur national de la Police nationale ? La technologie DPI (Deep Packet Inspection) permettant de gérer les trafics de communications numériques et d’en scruter les caractéristiques est-elle utilisée par Thales dans le cadre de ce projet, comme l’avancent certains spécialistes ? Quelles sont les mesures prises pour empêcher les « écoutes-taxis » qui ont malheureusement été pratiquées dans le passé ?
Quand et comment sera constitué le comité de contrôle de six sages qui doit permettre d’apporter aux citoyens toutes les garanties d’encadrement, de respect des procédures, de confidentialité des demandes et des données recueillies ? Il lui demande aussi de quels moyens disposera ce comité pour exercer sa mission.
J’ai visité le "Big Brother" à la française
Classée "confidentiel défense", la plateforme nationale des interceptions judiciaires, gérée par la société Thales, sera opérationnelle en avril. Enquête.
Un bunker enfoui à dix mètres sous terre. Trois niveaux séparés par de multiples sas de sécurité et espacés d’épaisses couches de béton armé. La plateforme nationale des interceptions judiciaires (Pnij), le nouveau Big Brother à la française, est nichée là, à Élancourt dans les Yvelines. C’est ici, dans des kilomètres de câbles, que la vie privée de milliers d’individus est acheminée. Écoutes téléphoniques, SMS, fax, mails, factures détaillées (les fameuses "fadettes")... Des pétaoctets de données sont accumulés dans les serveurs de la société Thales, pour être analysés par les magistrats et les services de police et de gendarmerie. Les voyants s’allument, tantôt en rouge, parfois en bleu ou en vert. Des informations s’affichent sur de petits écrans. "Cluster = slave", "Warning : 30d Unit going activ". Sans doute faut-il être un peu geek pour pouvoir les déchiffrer. Au-dessus des têtes, une paroi vitrée régule la chaleur. Sous les pieds, de l’air froid sort de grilles d’aération destinées à rafraîchir des serveurs qui tournent à plein régime.
Le système se veut infaillible. Le bunker a d’ailleurs été construit à 130 mètres au-dessus du niveau de la Seine, pour éviter tout risque d’inondation. Dans cet espace très sécurisé et classé "confidentiel défense" n’entre pas qui veut. Les photos sont interdites. Seuls les agents assermentés de Thales, munis d’un badge et de leurs codes personnels, peuvent pénétrer dans les lieux. Chacune de leurs actions est scrutée par une caméra implantée dans les "baies" qui hébergent les serveurs. La moindre manipulation est parfaitement retraçable, jurent-ils. Un employé confie : "Un coup de badge vaut signature numérique." La société Thales se prépare car, en avril, les premières expérimentations seront lancées à Paris et à Rouen. Ce nouveau système centralisé d’écoutes, qui doit simplifier le travail des enquêteurs, doit être déployé sur toute la France à l’été 2014. Derrière leurs écrans, ce sont plus de 62 000 magistrats et officiers de la police judiciaire (OPJ) qui manipuleront ces données sensibles.
Les coûts exorbitants de l’espionnage
Et les enjeux sont considérables. En 2012, 650 000 réquisitions judiciaires ont été adressées aux opérateurs de communication électronique. La même année, 20 000 interceptions téléphoniques (écoutes) et 12 000 géolocalisations ont été menées par les forces de l’ordre. Thales, véritable ogre dans le secteur de la défense et de la sécurité, se frotte les mains. Tout, dans ses locaux, rappelle sa puissance. Les bâtiments sont ultramodernes et très sécurisés. Dans le hall d’entrée, une maquette de drone fait face à celle d’un Rafale. Thales cumule 14,2 milliards d’euros de chiffre d’affaires et possède 65 000 collaborateurs présents dans 56 pays, expliquent les employés. "Plus de 80 % des informations bancaires transitent ici au niveau mondial", lâche Christian Rivierre, un des superviseurs du projet Pnij.
En centralisant les interceptions judiciaires chez Thales, le gouvernement espère limiter "la dérive des dépenses" et cantonner les frais annuels à 12 millions d’euros. Car le système actuel est intenable. Les enquêteurs louent auprès de sociétés privées, comme Elektron ou Foretec, des centrales d’écoutes. La douloureuse est élevée : 30,6 millions d’euros en 2012, plus de 45 millions d’euros en 2013. Le gouvernement se méfie également de la multiplication de ces sociétés et craint que de nombreuses écoutes illégales n’aient été faites pendant des années. Les réquisitions, adressées aux opérateurs (Free, Bouygues, Orange, Numericable...), ne sont pas non plus gratuites. Le ministère de la Justice n’arrive plus à assumer les frais et ne règle pas ses factures. D’après nos informations, la chancellerie aurait une ardoise de plus de 20 millions d’euros à Orange.
Des données ultrasécurisées
Mais le recours à Thales n’est pas sans problèmes. Dans une salle de conférences, au sixième et dernier étage du bâtiment, un journaliste ose la question qui fâche : "Et si Thales était elle-même prise dans un scandale judiciaire ?" Une allusion à peine voilée à l’affaire Karachi, dans laquelle le nom de la société avait circulé. Thales pourrait prochainement faire l’objet de réquisitions judiciaires... qu’elle recevra donc dans ses propres locaux ! Richard Dubant, magistrat responsable du dossier, se veut rassurant : "Pour le personnel de Thales, la Pnij est une boîte noire. Ils n’ont aucun regard sur les données."
Pendant de nombreux mois, et encore aujourd’hui, l’entreprise a dû se soumettre aux contrôles de la Cnil et de l’Agence nationale de la sécurité des systèmes d’information (Anssi). "Chaque semaine, elle a de nouvelles exigences", explique Christian Rivierre. Les données sont cryptées et cloisonnées (réparties entre différents serveurs). Une équipe de hackers travaille à identifier les éventuelles failles du système. "Des forces d’intervention rapide sont prêtes pour empêcher tout acte criminel", poursuit le superviseur. À 300 mètres de là, un "dual building" (centre de secours) a été installé en cas de panne ou de coupure d’électricité. "Aucune personne ne pourra entrer dans le système de façon malveillante", assurent les employés.
"La Pnij n’est pas un aspirateur à données" (chancellerie)
Au sous-sol, des OPJ se lancent dans une démonstration du logiciel. Chaque magistrat et officier de la police judiciaire (OPJ) devra insérer sa carte dans son ordinateur et composer son code secret pour avoir accès au logiciel. Pour envoyer une réquisition aux opérateurs de communication électronique (Bouygues, Orange, SFR, Numericable...), un formulaire doit être rempli. Il faut préciser le cadre de l’enquête (flagrance, commission rogatoire, enquête préliminaire), la date de la demande ou encore le tribunal ordonnateur. Surtout, les OPJ devront donner le nom du magistrat référent. "Le magistrat recevra alors un mail et pourra accéder depuis son propre ordinateur au brut des écoutes", lâche Richard Dubant. Un dispositif qui devrait restreindre les "écoutes-taxis", une pratique qui consiste à introduire dans la réquisition d’autres numéros de téléphone que ceux visés par l’enquête en cours. Cela permettait à certains policiers d’obtenir des renseignements sur une personne qui n’avait absolument rien à voir dans l’affaire.
Reste ensuite à demander les renseignements voulus. À partir d’un seul numéro de téléphone, les enquêteurs ont la possibilité d’obtenir le nom d’un usager, ses coordonnées bancaires et son adresse. Fax, SMS, écoutes téléphoniques, mails, fadettes, géolocalisations, historiques de navigation, vidéos consultées, accès aux serveurs FTP, etc., les possibilités sont immenses. Le ministère de la Justice est actuellement en discussion avec Skype et la messagerie instantanée WhatsApp, récemment achetée par Facebook, pour obtenir leur clé de chiffrement et ainsi avoir accès à leurs données. "Mais la Pnij n’est pas un dispositif de captation massive ou un aspirateur à données, précise Richard Dubant. Les enquêteurs ne demandent qu’un seul type de données à la fois, concernant un seul utilisateur, et dans le cadre d’une enquête pénale."
Le fourre-tout du "confidentiel défense"
Désormais, tout se fera par voie informatique. Chaque réquisition, nous explique-t-on, laisse des traces informatiques, qui sont conservées dans la Pnij pendant cinq ans. De même, les enquêteurs saisiront leurs procès-verbaux directement dans le logiciel. Adieu, donc, les fameuses "pelures écrites" de retranscription des écoutes. Toutes les données placées sous scellés sont conservées dans des coffres-forts numériques, conçus par la société sous-traitante Dictao. Et seuls les magistrats et juges d’instruction référents, c’est-à-dire ceux qui instruisent l’affaire, pourront y avoir accès. Enfin, un comité de contrôle sera institué, réunissant des personnalités politiques, des magistrats et des spécialistes issus de la société civile. Ce comité aura le pouvoir de prendre toute mesure utile pour assurer la protection des données, lesquelles seront supprimées une fois les délais de prescription écoulés.
En centralisant toutes les interceptions judiciaires et en les confiant à la Pnij, le ministère de la Justice a donc voulu rationaliser les coûts et les procédures. Mais surtout agir en toute transparence. Mais le "classé confidentiel" a déjà permis bien des entorses. En premier lieu, celle de s’affranchir des règles de marché public. "Toutes les règles du Code du marché public ont été respectées, assure Richard Dubant. À l’exception de la publicité." Thales s’est ainsi emparée de la Pnij sans même qu’il y ait un appel d’offres. Surtout, le "confidentiel défense" permet de repousser les curieux. "Interceptions traitées en instantané, nombre d’utilisateurs connectés, volume de données, type de matériel utilisé... Révéler tout cela serait préjudiciable", poursuit le magistrat. Fin de l’opération Transparence.
Notes
[1] Question publiée au JO le : 04/06/2013 page : 5727
Date de signalement : 25/02/2014
Date de renouvellement : 26/11/2013