PROJET AUTOBLOG


BUG BROTHER

Site original : BUG BROTHER

⇐ retour index

#SolereGate : s’il vous plaît… dessine-moi un espion !

mercredi 20 avril 2016 à 16:12

BYmYLrlUne semaine après que Le Monde ait révélé que la DGSE a « surveillé » et même « espionné » Thierry Solère en mars 2012, lorsqu’il fut exclu de l’UMP pour avoir osé se présenter contre Claude Guéant, qui était à l’époque ministère de l’Intérieur, l’affaire commence à faire pschitt. Il suffit en effet de comparer les titres avec le contenu des articles du Monde pour voir que l’affaire a été pour le moins survendue. Elle n’en soulève pas moins plusieurs questions (voir aussi la MaJ suite au classement sans suite de l’enquête judiciaire).

Dans son enquête intitulée « Comment la DGSE a surveillé Thierry Solère« , Le Monde précisait en effet que « des moyens de la DGSE ont été utilisés, hors de tout contrôle, pour surveiller M. Solère, candidat dissident« , mais également que « la surveillance n’a été interrompue qu’après la découverte fortuite de son existence par la direction technique (DT) de la DGSE (qui) a les moyens de remonter la piste de toutes les requêtes« , tout en laissant entendre que ce n’était pas la DGSE en tant qu’administration qui avait espionné le futur député, mais un (ou plusieurs) bras cassés de sa direction du renseignement qui auraient intercepté « les communications de Français – ce qui leur est interdit« .

L’article précise à ce titre que « Pascal Fourré, le magistrat attaché à la DGSE, prend parti pour la direction technique, et milite aussi pour que ces interceptions sur les citoyens français ne puissent plus être faites « en premier rang », c’est-à-dire sans être soumises à la Commission nationale de contrôle des interceptions de sécurité (CNCIS)« , ce que confirme dans la foulée Erard Corbin de Mangoux, directeur de la DGSE qui, toujours d’après le quotidien, « tranche en faveur de la direction technique et de M. Fourré« , et bloque la possibilité technique de pouvoir surveiller des identifiants français.

Premier pschitt : l’article explique donc le contraire de ce qu’avance le titre. La DGSE, en tant qu’administration, n’a pas « surveillé Thierry Solère« , mais découvert qu’il l’avait été, en toute illégalité, par un ou plusieurs de ses analystes du renseignement, et mis fin à cette surveillance. Reste que c’est moins vendeur que de laisser entendre que « la DGSE a surveillé Thierry Solère« .

Un « détournement frauduleux des moyens techniques » ?

Le lendemain, dans un article intitulé « Comment la DGSE a pu espionner des Français« , Le Monde se faisait d’ailleurs encore plus clair, évoquant cette fois un « détournement frauduleux des moyens techniques de ce service de l’Etat« , et la découverte, par la direction technique de la DGSE, que « des officiers de la direction du renseignement peuvent procéder à des interceptions d’identifiants français, sans contrôle et sans justification« , en entrant sur leurs recherches « des 06 et des adresses françaises, une pratique qui a pu être détournée au profit de surveillance n’ayant aucun rapport avec leur mission« .

La DGSE est en effet, et comme son nom l’indique, en charge du renseignement extérieur. Et l’on peine en effet à comprendre pourquoi et comment Claude Guéant (qui nie toute implication dans cette affaire), aurait pu faire une telle requête auprès de la DGSE (qui n’a de compétence qu’à l’international, et relève du ministère de la défense), et non aux renseignements généraux de la préfecture de police de Paris, ou à la DGSI (alors dirigée par le fidèle Squarcini), seuls compétents sur le territoire national et dépendants, eux, du ministère de l’Intérieur… et donc de Claude Guéant.

L’article du Monde se conclue en notant qu' »au terme d’un vif débat interne à la DGSE, la direction technique installera, à la fin de l’été 2012, des filtres sur les consultations informatiques interdisant d’y introduire « en première requête », des identifiants français« . Or, ladite DT, dont les techniques de renseignement utilisées sur le territoire nationale doivent être validées par la Commission nationale de contrôle des interceptions de sécurité (CNCIS), chargée de contrôler les demandes d’écoute émanant des services de renseignement, et contrôlées par le Groupement interministériel de contrôle (GIC), en charge des interceptions administratives (les écoutes téléphoniques réclamées par les services de renseignement), avait mis en place de tels filtres dès 2008, comme l’avait souligné le journaliste Vincent Jauvert dans l’Obs lorsqu’il avait révélé, en juillet 2015, que la DGSE avait à cette date déployé un système de surveillance des télécommunications internationales.

Evoquant un accord passé entre la DGSE et la CNCIS, un « officiel » alors interrogé par Jauvert expliquait que « si, par le hasard des routes internet, on tombe sur un échange entre des interlocuteurs ayant des identifiants (numéro de téléphone, adresse IP…) français, cette communication est automatiquement rejetée du système. Si l’un d’eux seulement est dans ce cas et s’il intéresse les services, la DGSI prend le relais de l’écoute après autorisation de Matignon et de la CNCIS« . L’Obs soulignait cela dit qu’il était « impossible de savoir si cette clause est respectée, ni même si la commission de contrôle est capable de vérifier qu’elle l’est« .

L’article du Monde montre que la DT n’en aurait pas moins détecté une utilisation frauduleuse du système, en 2012. Et la loi relative à la surveillance internationale, adoptée en novembre dernier, entérine cette pratique qui, jusqu’alors, n’était encadrée que par un décret secret, précisant à ce titre que « lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

#SolereGate VS journalisme moutonnier

Le Monde évoquait également l’article 20 de la loi de 1991 sur les écoutes téléphoniques, qui excluait du champ de compétence de la CNCIS « la surveillance et le contrôle des transmissions empruntant la voie hertzienne« , laissant entendre que la DGSE pouvait surveiller « des numéros français ou des adresses Internet rattachées à la France« . Or, la jurisprudence de la CNCIS était très claire, et ce depuis la fin des années 1990 : en aucun cas l’article 20 de la loi de 1991 ne peut être invoqué pour recueillir les données personnelles non plus que des « communications individualisables« , comme l’avait rappelé Jean-Paul Faugère, directeur de cabinet de François Fillon, fin 2010 après que la DCRI s’en soit servi pour accéder aux fadettes de Gérard Davet, le journaliste du Monde qui enquêtait sur les affaires Woerth-Bettencourt.

Or, et c’est le deuxième effet pshitt, si ce que d’aucuns qualifient de « SolereGate » a entraîné des tombereaux d’articles dans la presse, aucun journaliste ne semble avoir fait l’effort de demander à Thierry Solère quel était, à l’époque, son opérateur téléphonique. Il suffisait pourtant de le lui demander, et pour le coup, il s’agit d’Orange, tout comme Gérard Davet.

Et il serait d’autant plus douteux et improbable que les responsables des obligations légales d’Orange, qui venaient d’avoir eu chaud aux fesses pour avoir accepté, dans le dos de la CNCIS et du GIC, de confier les fadettes de Davet à la DCRI, aient pu ainsi accepter de collaborer de la sorte avec la DGSE, alors même que Bernard Squarcini venait précisément d’être mis en examen, en octobre 2011, soit quelques mois avant l’affaire Solère, pour « atteinte au secret des correspondances », « collecte illicite de données » et « recel du secret professionnel » dans l’affaires des fadettes de Davet (il a depuis été condamné à 8000€ d’amende pour « collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite », passible d’une peine maximale de cinq ans de prison et 300 000 euros d’amende, et n’a pas fait appel).

La remise en contexte du timing est d’autant plus importante que, début décembre 2011, Le Monde avait également révélé que l’inspection générale des services (IGS) avait elle aussi exploité les fadettes de Gérard Davet et de… Jacques Follorou, le journaliste du Monde à l’origine de l’affaire Solère, rendant d’autant plus improbable un éventuel détournement de l’article 20 de la loi de 1991 en mars 2012.

Une source proche des services de renseignements a déclaré la semaine passée à l’AFP que les services extérieurs français « vont faire preuve de toute la transparence et l’ouverture nécessaire » dans l’enquête ouverte par le parquet de Paris après les révélations du Monde, et même que « la DGSE se réjouit de l’ouverture de cette enquête (et) espère que toute la lumière sera faite et l’exacte vérité rétablie« .

Mieux : la DGSE qui, après vérification dans ses fichiers, nie en bloc, « espère que les conclusions de cette enquête conduiront chacun à rendre compte de ses propos, au besoin devant la justice« , sans que l’on sache si c’est Le Monde qui, accusant la DGSE au premier chef, avant d’évoquer un « détournement frauduleux des moyens techniques de ce service de l’Etat« , serait visé, ou bien tous ceux qui, dans la foulée, ont bêtement copié/collé son titre erroné et sensationnaliste, sans rappeler que la DGSE n’a ni demandé ni obtenu de placer Thierry Solère sous surveillance mais bien, dixit Le Monde lui-même, mis précisément un terme à cette surveillance.

Les questions qui restent en suspens

Reste donc, cela dit, à savoir comment cette surveillance, illégale, aurait été techniquement rendue possible sans que le GIC ni la CNCIS ne s’en rendent compte, jusqu’à ce que la DT de la DGSE n’y mette un terme.

Mais aussi pourquoi ni le GIC ni la CNCIS n’en auraient alors été tenues informées.

Pourquoi les filtres et mécanismes censés écraser les communications des identifiants français n’auraient pas fonctionné, et ce qui aurait changé suite à cette affaire, voire depuis l’adoption de la loi sur la surveillance internationale.

Et, comme vient de le souligner le Canard Enchaîné, pourquoi Matignon n’a pas voulu saisir l’Inspection des services de renseignement (ISR) dont la création, en 2014, s’inscrivait pourtant dans « un processus visant à garantir l’équilibre entre les objectifs de sécurité et le respect des libertés individuelles et de la vie privée« , soit précisément ce que révèle aussi en creux cette affaire Solère.

Le Canard révèle également que Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR, qui a succédé à la CNCIS) allait elle aussi mener des investigations à ce sujet, « pour s’assurer que les faits allégués par Le Monde ne peuvent pas se produire aujourd’hui« . On en saura donc plus lors de la publication de son premier rapport, à l’automne prochain.

MaJ : En réponse à un recours des éxégètes amateurs portant sur la « surveillance secrète par la DGSE (2008-2015), le ministère de la défense vient de prétendre (.pdf) qu' »aucun décret non publié relatif aux mesures de surveillance des communications internationales n’a été édicté, que ce soit antérieurement ou postérieurement à l’adoption de la loi n° 2015-1556 du 15 novembre 2015« … Je peine à croire que la DGSE ait pu déployer de tels systèmes de « collecte de masse » sans se border par un texte signé par les responsables politiques d’alors (aka Nicolas Sarkozy).

L’avocat de Thierry Solère, de son côté, vient d’annoncer qu’il allait porter plainte.

MaJ : l’enquête à été classée sans suite le 30 novembre 2016 pour « absence d’infraction », au motif que « les investigations approfondies (…) n’ont démontré l’existence d’aucune surveillance technique de Thierry Solère par la Direction générale de la sécurité extérieure » (DGSE).

La question reste donc de savoir pourquoi Le Monde s’était-il d’abord fait l’écho d’un placement sous surveillance de Thierry Solère par la DGSE, avant d’évoquer, le lendemain, un « détournement frauduleux » de ses moyens techniques, auquel la DGSE avait mis un terme…

Ladite « absence d’infraction » pose également la question de savoir s’il y a bien eu « détournement frauduleux », dans la mesure où l’on peine à croire que, s’il a eu lieu, il n’ait pas été sanctionné en interne, voire notifié à la CNCIS et/ou au Conseil d’État.

Parce qu’en l’espèce, cette « absence d’infraction » peut se traduire de deux façons : soit Le Monde a monté en épingle un incident ne pouvant être qualifiée d’infraction, soit la DGSE (voire la CNCIS, et le Conseil d’État) a fait le ménage en interne de sorte d’éviter que ledit incident ne puisse être qualifié d’infraction devant la justice… l’un n’excluant pas forcément l’autre.

Force est cela dit de constater que, et contrairement à ce qui se passe en Grande-Bretagne et aux Etats-Unis par exemple, les précédents rapports de la CNCIS ne comportaient aucune information concernant les mésusages des techniques de renseignement, qu’il s’agisse de détournements frauduleux ou d’erreurs par inadvertance ou inattention. La CNCTR gagnerait à être plus transparente à ce sujet, et permettrait de répondre à ces questions.

MaJ : voir aussi De la surveillance de masse à la paranoïa généralisée, qui reprend l’ensemble de mes 7 fact-checks ès-DGSE &/ou NSA.

Voir aussi les analyses de Jean Guisnel, « A qui profite cette fable ?« , et Jean-Dominique Merchet, pour qui, « Boulevard Mortier, on reste très interrogatif sur cet article, jugé à la fois « faux » et « insultant » » et, sur ce blog :
Crypto: pourquoi l’ex-chef de la NSA défend Apple
Le darknet est trop compliqué pour les terroristes
DDAI, la discrète cagnotte des « fonds spéciaux »
Surveillance: pourquoi je suis assez optimiste
(à moyen terme en tout cas)

Le darknet est trop compliqué pour les terroristes

vendredi 1 avril 2016 à 17:31

Tor project« Ceux qui nous frappent utilisent le Darknet et des messages chiffrés pour accéder à des armes qu’ils acquièrent en vue de nous frapper », affirmait récemment Bernard Cazeneuve à l’Assemblée. Or, Cryptopolitik and the Darknet, une étude de Thomas Rid et Danny Moore, respectivement professeur et thésard en cybersécurité au département de la guerre du King’s College London, vient tempérer ce genre d’affirmations péremptoires.

Après avoir développé un robot pour analyser et indexer les « services cachés » en .onion uniquement accessibles grâce au navigateur et réseau sécurisé Tor, les deux chercheurs ont découverts que la majeure partie de ces sites web anonymes (2 482) étaient inaccessibles ou inactifs, 1021 n’avaient rien d’illicite, 423 relevaient du trafic de drogue, 327 du blanchiment d’argent, de fausse monnaie ou de n° de CB volés, 140 d' »idéologies extrêmistes« , 122 de pornographie illégale, 118 de portails indexant les sites accessibles en .onion, et 42 la vente d’armes.

« La chose la plus surprenante fut de découvrir une si faible présence des militants et extrêmistes« , a déclaré Thomas Rid au magazine Quartz. De fait, l’une des découvertes les plus notables de leur étude est précisément « notre confirmation de la quasi-absence de l’extrémisme islamique sur les services Tor cachés, avec moins d’une poignée de sites actifs ».

Pour les deux chercheurs, cette faible présence s’explique par le fait que les terroristes sont des internautes comme les autres et que « les djihadistes utilisent internet comme tout le monde », comme le soulignait récemment David Thomson.

« Les services cachés sont lents, et pas aussi stables qu’on pourrait l’espérer. Ils ne sont pas si faciles à utiliser, et il existe d’autres alternatives« , explique Rid à Quartz. « En terme de propagande et de communication, ils sont moins utiles que d’autres alternatives« .

De plus, et contrairement aux réseaux sociaux et aux sites web classiques, ils ne touchent pas grand monde, on ne peut pas les trouver par hasard ou via Google.

43% des sites en .onion n’ont rien d’illicite

Reste que sur les 2723 sites actifs, 1547 relevaient de contenus illicites, soit 57%. Ce qui signifie aussi, et à rebours de ce que l’on entend d’ordinaire dès qu’il s’agit du darknet, que 43% des sites en .onion n’ont rien d’illicite…

Otakuthon_2014_(14850728278)Une autre étude, plus récente, portant sur 13 000 sites, révélait que seule la moitié relevait d’activités illégales, déconcertant là aussi son auteur : « Cela nous a vraiment surpris. On pensait que ce serait bien pire« , expliquait Eric Michaud, CEO de Darksum, une entreprise spécialisée dans la surveillance du darknet, qui a également découvert que les services cachés étaient régulièrement utilisés par des communautés cherchant des espaces ultraprivés pour se socialiser, évoquant notamment des forums de fandom furry, qui aiment se déguiser en animaux à fourrure :

« Ces gens veulent rencontrer des personnes partageant les mêmes intérêts, sans qu’ils puissent être reliés à leurs véritables identités, parce que cela pourrait se retourner contre eux. Par exemple, il existe des forums pour les trans’, qui y partagent les détails de leurs vies quotidiennes.« 

Un documentaire sur le Darknet qui sera prochainement diffusé sur France 4 fait de même parler une journaliste arabe qui ironise sur la diabolisation qui est faite du Darknet, dans la mesure où c’est précisément là que vont se réfugier militants ou personnes LGBT notamment, de sorte de pouvoir converser sans risquer d’être arrêtés et inculpés, comme ils pourraient l’être s’ils discutaient « en clair« .

Le fait que, en octobre 2014, Facebook ait lancé son propre https://facebookcorewwwi.onion/, accessible uniquement via TOR, n’est donc qu’un des nombreux exemples illustrant le fait que, suite notamment aux révélations Snowden, de plus en plus de gens ont besoin de pouvoir rester anonymes pour se socialiser, discuter et échanger. Reste qu’on ne pourra plus réduire le Darknet à ses seules utilisations illégales ou illicites.

Maj, 10/11/2016 : Researchers Claim the Darknet Has More Legal Sites Than Illegal Ones.

Crypto: pourquoi l’ex-chef de la NSA défend Apple

jeudi 31 mars 2016 à 19:28

Le fait que le FBI ait pu débloquer l’iPhone du tueur de San Bernardino ne signe pas, loin de là, la fin de la saga opposant le FBI à Apple (et autres acteurs de la Silicon Valley en particulier, et du chiffrement en général). On vient ainsi d’apprendre que le FBI aurait fait 63 autres demandes plus ou moins similaires, un peu partout aux Etats-Unis (voir l’enquête (et la carte) de l’ACLU, une des principales ONG de défense des droits de l’homme aux USA)…

web16-blog-allwritsfinal-1160x768

220px-Michael_Hayden,_CIA_official_portraitDans une interview vidéo accordée à l’American Enterprise Institute, un think tank conservateur, Michael Hayden, qui dirigea la NSA de 1999 à 2005, puis la CIA entre 2006 et 2009, expliquait récemment ce pourquoi il comprenait et même soutenait Apple face à la demande du FBI, qui voulait pouvoir disposer d’un logiciel permettant de passer outre le mécanisme de chiffrement des iPhone.

Etrangement, ladite vidéo ne recense que 4270 « vues« , et tout aussi étrangement, les médias francophones ne semblent pas avoir relayé son point de vue, pourtant largement relayé par les médias anglo-saxons.

L’analyse de Michael Hayden est d’autant plus instructive que c’est lui qui développa une bonne partie des programmes de surveillance de la NSA mis en cause par Edward Snowden, celui qui expliqua que les USA « tuaient des gens à partir des méta-données » (vous pouvez activez les sous-titres en anglais si vous n’êtes pas parfaitement bilingue) :

« Je défends Apple. Du point de vue de la sécurité, au vu de la variété de menaces auxquelles l’Amérique doit faire face, je pense qu’il faut être prudent, parce que cela ouvrirait largement les possibilités de dégrader son système incassable de chiffrement point à point.

Jim Clapper, le directeur du renseignement américain, a déclaré que la première menace à laquelle nous faisons face, c’est la menace cyber. En tant que professionnel de la sécurité, je pense qu’on ferait mieux de ne pas introduire de trou de sécurité dans un système sécurisé de chiffrement. »

Interrogé sur le fait que les autorités ont pourtant le droit d’entrer dans les maisons des personnes considérées comme « suspectes« , Michael Hayden rétorque que « oui, mais là vous êtes en train de demander aux compagnies technologiques de fabriquer une clef permettant d’entrer dans les 320 millions de maisons… Cette clef n’ouvrirait pas que ma maison. Cette clef ouvrirait toutes les maisons. »

« Cette clef ouvrirait toutes les maisons »

Udo Helmbrecht, le directeur de l’ENISA (l’Agence européenne chargée de la sécurité des réseaux et de l’information), qui s’oppose lui aussi à la création de « portes dérobées » qui permettraient aux services de sécurité d’accéder aux systèmes de communication chiffrés, ne dit pas mieux :

« Ce que nous entendons aujourd’hui est la réaction typique après un incident, les gens réagissent et utilisent parfois les événements pour leurs propres objectifs. Nous avons déjà des règles pour ce type d’affaires, mais elles ne sont pas assez utilisées.

Si vous créez une porte dérobée dans les systèmes de cryptage, comment pouvez-vous vous assurer que les criminels et terroristes ne l’utiliseront pas ? C’est comme de quitter sa maison en sachant que quelqu’un d’autre a la clé. »

Les données seront toujours dans le système d’Apple

Michael Hayden reconnaît que les services de renseignement et de sécurité auront certes un accès moindre au contenu des télécommunications et de nos « ordiphones« , mais « l’accès au contenu sera de plus en plus difficile, quoi que nous fassions dans cette affaire » :

« C’est le sens inévitable du progrès technologique, mais si l’on obligeait les compagnies US à satisfaire à la demande du FBI, les solutions de chiffrement se délocaliseraient à l’étranger.

Regardez : Apple collabore régulièrement avec les autorités, et leur a confié énormément de données, parce qu’Apple y avait accès parce que les suspects utilisaient des produits Apple. Elles étaient dans le système Apple.

Si on force Apple à collaborer, les entreprises étrangères récupéreront le marché, et nous aurons encore moins accès aux données. »

Moins de contenu, mais pas moins de (méta)données

Revenant sur la Clipper chip, cette puce conçue par la NSA permettant à ses utilisateurs de sécuriser leurs données (mais aussi à la NSA de pouvoir y accéder), que l’administration Clinton avait tenté (en vain) d’imposer dans les 90, Michael Hayden explique également que cet échec ouvrit paradoxalement les « 15 plus belles années en matière de surveillance électronique« , dans la mesure où, confiants de pouvoir utiliser du matériel informatique exempt de backdoor, les internautes ont dès lors commencer à créer des « océans de données et de méta-données, et qu’avec les méta-données, on peut faire énormément de choses » :

« Donc pour répondre à votre question, nous aurons accès à moins de contenu. Mais cela ne veut pas dire que nous aurons accès à moins de renseignement. »

Voir aussi, à ce titre, « DON’T PANIC » Making Progress on the « Going Dark » Debate, un récent rapport qui montre que, si de plus en plus d’internautes chiffrent leurs données (même et y compris à l’insu de leur plein gré : 83% des messages de Gmail à destination d’autres fournisseurs, 73% des messages d’autres fournisseurs à destination de Gmail, et 77% des requêtes effectuées sur les serveurs de Google -81% en France- sont chiffrées), l’explosion de l’internet des objets, et des méta-données associées, permettra aux services de sécurité et de renseignement de continuer à pouvoir enquêter, surveiller voire espionner.

MaJ : Robert Hannigan, le directeur du GCHQ (l’équivalent britannique de la NSA) s’est lui aussi prononcé contre l’insertion de backdoor dans les logiciels de chiffrement. La CNIL aussi, le SGDSN également.

DDAI, la discrète cagnotte des « fonds spéciaux »

vendredi 25 mars 2016 à 14:31

fondsspeciauxLe Canard Enchaîne de ce 23 mars 2016 révèle que depuis plus de 10 ans, les services de renseignement abondent leurs « fonds spéciaux » en puisant dans une discrète cagnotte destinée à couvrir des « dépenses accidentelles et imprévisibles« .

L’info figure dans le rapport annuel de la Délégation Parlementaire au Renseignement, et plus précisément dans le tout « premier rapport public de la commission de vérification des fonds spéciaux » (CVFS), composée de 4 parlementaires, créée en 2002 et qui a été rattachée à la Délégation Parlementaire au Renseignement suite au vote de la loi de programmation militaire en 2013 :

« Depuis son premier exercice en 2002, la CVFS n’avait jamais publié de rapport public, la loi ne le prévoyant pas mais ne l’interdisant pas explicitement non plus. Le présent document constitue donc une première dont la survenance paraît nécessaire.

En effet, (…) nous estimons que le contrôle parlementaire s’exerce certes au profit du Parlement, mais avant tout à destination de nos concitoyens qui ont le droit et le besoin de connaître – pour reprendre une terminologie juridique fréquente en ce domaine – les actions conduites en leur nom ou, à tout le moins, les supports financiers de ces opérations ».

La CVFS n’en déplore pas moins que « la réforme de 2001 s’est traduite par un recul dans les capacités de contrôle des fonds spéciaux en même temps que par un élargissement de la liste des services soumis à ce contrôle ».

Elle attire également l’attention du Premier ministre « sur l’impérieuse nécessité de revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement [recommandation n°10] » dans la mesure où « les budgets octroyés aux services de renseignement ont connu une progression appréciable et conforme à la reconnaissance de la fonction stratégique assumée ainsi qu’à la hausse de leur activité, la Commission constate que les fonds spéciaux n’ont pas bénéficié d’une revalorisation alors même qu’ils financent la partie la plus sensible de l’activité de ces administrations« .

La CVFS a en effet découvert que, pour faire face à cette situation, les services de renseignement (la DGSE en tête) ont, sinon détourné depuis des années, tout du moins procédé à un « recours routinisé » (sic) aux « DDAI« , une ligne budgétaire de « décrets de dépenses accidentelles et imprévisibles » initialement conçus pour des motifs écologiques et humanitaires :

« Conçus pour faire face à des dépenses urgentes et imprévisibles telles les catastrophes naturelles ou sanitaires, ces décrets sont pris en application du programme budgétaire 552 (Dépenses accidentelles et imprévisibles), l’une des deux composantes de la mission Provisions.

Ce programme se caractérise par une souplesse avantageuse : contrairement aux autres leviers d’aménagements budgétaires à disposition de l’exécutif (loi de finances rectificative, décrets d’avance, virements et transferts entre programmes, dégel de crédits mis en réserve) qui supposent de recueillir l’avis et/ou l’accord de différentes institutions, les DDAI ne sont pas soumis aux mêmes obligations. En effet, les fonds affectés au programme 552 relèvent d’un simple décret du Premier Ministre pris sur rapport du ministre chargé des Finances.

Ces documents ne font pas nécessairement l’objet d’une publication, notamment lorsqu’ils relèvent de la Défense nationale. Ils sont d’ailleurs fréquemment utilisés pour financer des opérations extérieures, s’éloignant quelque peu de l’épure du droit selon la Cour des comptes. Dans le même ordre d’idées, ils ont permis, depuis 2009, d’acquérir un immeuble, de financer la campagne de vaccination contre le virus H1N1, de consulter les habitants sur le projet du Grand Paris, de payer des crédits de personnel en fin d’année…

En sus de sa souplesse, le programme se caractérise par l’absence d’évaluation et de contrôle prévus par la LOLF au regard des objectifs poursuivis (parer à l’imprévisible). Seul le contrôle des fonds spéciaux, lorsque des DDAI concernent des services de renseignement, introduit une nuance à ce propos. »

Or, « la CVFS a constaté le recours systématique à des DDAI afin de financer, au-delà du déclenchement de la crise, des dépenses qui, avec le temps, deviennent prévisibles », ce que la CFVS qualifie de « cercle vicieux dans la mesure où la crise dure généralement plus longtemps que le décret (…). En conséquence, la Commission réaffirme son désir de voir la dotation en fonds spéciaux accrue de manière conséquente afin d’intégrer le montant cumulé des DDAI et d’offrir aux services concernés une gestion plus saine et sereine de leurs budgets sur le moyen terme. Pareille décision permettra de limiter le recours aux DDAI et de le restreindre à son objet principal : la gestion temporaire de l’imprévisible [recommandation n°18]. »

Des dépenses « accidentelles, imprévisibles et surtout urgentes »

En 2007, un rapport de la commission des finances rappelait que si la dotation des DDAI, « comme son nom l’indiquait clairement, avait pour objet de prévoir les crédits nécessaires à des dépenses accidentelles, imprévisibles et surtout urgentes (…) liées à des catastrophes naturelles, en France ou à l’étranger, ou à des événements extérieurs qui nécessiteraient le rapatriement de ressortissants français (…) votre rapporteur spécial et la Cour des comptes se rejoignent pour juger qu’il est peu orthodoxe d’utiliser une dotation pour dépenses accidentelles et imprévisibles pour régler des dettes pourtant bien prévisibles ».

Évoquant une « mauvaise utilisation des crédits (qui) menace le principe de la sincérité budgétaire« , le rapporteur mettait alors en garde « contre les éventuels « détournements » dont cette dotation aurait pu faire l’objet« , pratique qui avait d’ailleurs déjà « été dénoncée par la Cour des comptes dans son rapport sur les résultats et la gestion budgétaire de 2006″, et qui « ne devrait plus se reproduire à l’avenir. »

En novembre 2008, Yves Fromion, président de la Commission de vérification des fonds spéciaux, n’en proposait pas moins, de son côté, d’avoir précisément recours aux DDAI pour abonder les fonds spéciaux : « la justification de l’emploi des fonds spéciaux s’est révélée satisfaisante (et) toutes les dépenses contrôlées paraissant correspondre strictement à un objet opérationnel bien défini. Quant au montant de la dotation des fonds spéciaux, qui s’établit dans le projet de loi de finances à 48,9 millions d’euros, elle me paraît répondre à l’essentiel des besoins, en particulier de la DGSE, sous réserve naturellement des compléments que pourrait nécessiter la gestion de crises, par nature imprévisibles. Les ressources destinées à ces abondements pourraient d’ailleurs, si nécessaire, être versées aux fonds spéciaux par répartition de la dotation pour dépenses accidentelles et imprévisibles »…

De fait, les DDAI ont dès lors abondé les fonds spéciaux :En 2008, la commission des finances relevait ainsi que trois DDAI avaient « permis d’abonder, à hauteur de 7,46 millions d’euros (en AE et CP), les fonds spéciaux employés au financement d’opérations menées par la direction générale de la sécurité extérieure (DGSE) ».En 2009, 19 millions d’euros ont été prélevés sur la provision pour dépenses accidentelles et imprévisibles : 11,5 millions d’euros pour indemniser certaines collectivités locales de dégâts provoqués par des intempéries ; 7,5 millions d’euros pour abonder les fonds spéciaux.En 2010, la dotation des fonds spéciaux s’élevait en LFI 2010 à 53,9 M€, mais plusieurs DDAI l’ont abondé de 11,2M€ supplémentaires.En 2011, la dotation de la sous-action « Fonds spéciaux et GIC » s’élevait en à 53,9 M€. Et si la Cour des Comptes relevait (.pdf)  qu »‘aucun décret pour dépenses accidentelles ou imprévisibles n’a été publié en 2011″, elle n’en relevait pas moins que « seuls deux décrets non publiés allouant des crédits de paiement aux fonds spéciaux de 11,28 M€, montant constatable par la différence entre les crédits ouverts et les crédits restants, ont été pris »… tout en constatant que les DDAI représentaient désormais plus de 20% du montant des fonds spéciaux :

« Il est d’usage que des dépenses d’opérations extérieures de la DGSE soient financées sur la mission provision. La direction du budget n’est pas informée des motifs précis d’utilisation de ces fonds, les rapports de motivation des décrets étant couverts par le « secret défense ». Sans remettre en cause le caractère urgent et imprévisible des demandes formulées par la DGSE, la Cour constate que les crédits affectés aux fonds spéciaux en 2011 représentent 21 % du budget des fonds spéciaux votés en 2011 (53,9 M€) ».

En novembre 2012, la Commission des Finances relevait que « Les crédits ouverts en loi de finances initiale pour 2012 s’élevaient à 51,7 millions d’euros. Ils ont par la suite été modifiés sous l’effet d’un dégel de la réserve de précaution, de deux décrets pour dépenses accidentelles et imprévisibles et d’un décret de transfert en provenance du ministère de la Défense et portés à 65 millions« , tout en soulignant qu' »Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire« .

En 2013, la Commission des Finances entérinait le dispositif : « les crédits programmés initialement en 2013 s’élevaient à 49 725 077 euros. La prévision de consommation, sous l’effet de trois décrets pour dépenses accidentelles et imprévisibles (9 966 000 euros), a été portée à 59 691 077 euros et devrait atteindre 68 804 077 euros. Il est habituel que des abondements en gestion interviennent. La DGSE en demeure la principale bénéficiaire. »

En 2014, elle relevait que « des abondements de crédits ont majoré les dotations des fonds spéciaux de 23,5 millions par cinq décrets pour dépenses accidentelles et imprévisibles et un décret de transfert. La consommation des crédits de fonds spéciaux s’est élevée à 73,4 millions d’euros, en augmentation au regard de celles de 2013 (68,8 millions) et 2012 (68,3 millions), pour une dotation initiale de crédits de 49,9 millions ».

La commission des finances anticipait même la prévisibilité du recours aux décrets de dépenses accidentelles et imprévisibles : « Les crédits programmés initialement en 2015 s’élevaient à 49,9 millions d’euros, comme en 2014. La prévision de consommation, sous l’effet de deux décrets pour dépenses accidentelles et imprévisibles (14 millions) a été portée à 58,4 millions d’euros. »

Plus généralement, elle remettait également en question l’utilité même de la présente mission : « L’absence de doctrine d’emploi, la faiblesse des montants inscrits sur la mission et l’existence d’autres dispositifs permettant de faire face à des dépenses urgentes et imprévues (mise en réserve, auto-assurance) conduisent à s’interroger sur la nécessité de doter la mission ».

Pour autant, cette routinisation du détournement des DDAI rencontrait quelques résistances ces derniers temps. En 2013, la commission des finances avait ainsi rappelé que la Cour des comptes jugeait « globalement irrégulière l’utilisation des crédits en 2012 » et qu’elle préconisait de « limiter l’utilisation de la dotation pour dépenses accidentelles de la mission « Provisions » aux situations de calamités ou aux dépenses réellement imprévisibles ».

Dans sa Note d’analyse de l’exécution budgétaire 2014, la Cour des comptes relevait de son côté que « l’utilisation des crédits (DDAI, NDLR) n’est qu’accessoirement en rapport avec l’objet de la mission tel que défini à l’article 7 de la LOLF : la gestion des calamités et les rémunérations décidées tardivement« , tout en concédant « un usage modéré de cette souplesse : une trentaine de millions d’euros de CP et entre une dizaine et une centaine de M€ en AE consommées par an pour traiter un nombre limité de situations d’urgence : crises humanitaires, attribution des fonds spéciaux, signature des baux dont la signature n’est possible qu’en disposant rapidement d’autorisations d’engagement couvrant la totalité de leur durée, résolution de dysfonctionnements informatiques inopinés sur les rémunérations ».

La Cour des comptes n’en rappelait pas moins que « lors de la discussion du projet de loi de finances initiale pour 2008, le ministre du Budget, des Comptes publics et de la Fonction publique s’était engagé à «réserver l’utilisation de la provision pour dépenses accidentelles et imprévisibles aux seules dépenses présentant un caractère d’urgence et résultant de la survenance d’aléas climatiques et sanitaires». »

Dans son rapport 2015, la CVFS relève que « ces positions sont réaffirmées chaque année dans le rapport sur l’exécution du budget de l’Etat par mission et programme« … et demande donc à y mettre terme. Sauf que pour y parvenir, il faudrait donc « revaloriser au moins à hauteur de 50% le montant octroyé aux services de renseignement« …

Un clandestin se cachait Place Beauvau depuis… 1972

jeudi 28 janvier 2016 à 17:28

Safari, Système automatisé pour les fichiers administratifs et le répertoire des individusCe 27 janvier, journée européenne des données personnelles fêtée par les CNIL de toute l’UE, le Canard Enchaîné révélait l’existence d’un nouveau fichier policier clandestin créé en… 1972.

OSIRIS, pour « outil et système d’informations relatives aux infractions sur les stupéfiants« , fichier créé par un arrêté publié au JO le 19 janvier dernier pour établir des statistiques sur, « par exemple, le nombre de trafiquants de cocaïne, le nombre de trafiquants selon leur âge et un type de produit déterminé, le nombre de trafiquants localisés dans un département déterminé, etc.« , permet également et « par exemple une représentation graphique des quantités saisies par département ou par région, du nombre de trafiquants ou d’usagers par produit, etc. » grâce au futur système de cartographies et d’information géographique (SIG) en cours de développement par le ministère de l’intérieur.

Or, à l’occasion de sa déclaration, la CNIL a découvert qu’OSIRIS « est mis en œuvre depuis 2006 par l’Office central pour la répression du trafic illicite des stupéfiants (OCRTIS)« , et que cela faisait donc au moins que 10 ans qu’il fonctionnait illégalement.

Voire : le site de l’Observatoire français des drogues et des toxicomanies, un groupement d’intérêt public créé pour « éclairer les pouvoirs publics, les professionnels du champ et le grand public sur le phénomène des drogues et des addictions« , avance de son côté qu’il existe depuis… 1972, qu’il est devenu « fichier nominatif depuis 1990« , qu’il s’appelait alors Fichier national des auteurs d infractions à la législation sur les stupéfiants (FNAILS) avant d’être renommé OSIRIS en 2007. Soit 26 ans d’illégalité. Un record.

Mis devant le fait accompli, le gendarme des fichiers se retrouve réduit dans son avis à rappeler le gouvernement à « l’impérieuse nécessité de la saisir préalablement à la mise en œuvre d’un traitement« , comme le prévoit expressément la loi, dans la mesure où elle « ne peut dès lors que déplorer la déclaration très tardive de ce traitement, déjà mis en œuvre depuis plusieurs années« .

Ce n’est en effet pas la première fois, loin de là, qu’un fichier policier est légalisé des années après avoir été créé. Le système JUdiciaire de Documentation et d’EXploitation (JUDEX), le casier judiciaire bis de la gendarmerie, avait ainsi été créé en 1985, mais légalisé qu’en 2006, après 21 ans de clandestinité. La CNIL avait également déjà « regretté » de découvrir que le « logiciel d’uniformisation des procédures d’identification » (LUPIN), qui lui avait été soumis en octobre 2014, avait été « mis en œuvre depuis plusieurs années, (et) déclaré si tardivement« .

Même son de cloche pour la plate-forme de signalement IGPN, déclarée en avril 2014 et dont la Commission avait « regretté qu’il ait été mis en œuvre avant même qu’elle se soit prononcée sur le projet d’arrêté« , ainsi que pour le « bureau d’ordre de l’action publique et des victimes » (BOAPV) de la direction des affaires criminelles et des grâces, créé en février 1994, mais déclaré qu’en février 2012, ou encore pour GASPARD, le fichier de reconnaissance biométrique faciale du ministère de l’Intérieur, dont elle avait appris l’existence au détour de la déclaration d’un autre fichier, alors qu’il n’avait « pas fait l’objet des formalités prévues par la loi » informatique et libertés.

Comme le Canard l’avait alors souligné, ladite loi, adoptée en 1978 pour -précisément- protéger les citoyens français du fichage policier, a en effet été modifiée en 2004 de sorte que le gouvernement, s’il doit toujours demander son avis de la CNIL dès lors qu’il veut créer un « fichier de sûreté« , n’ait plus à en tenir compte. Sa seule obligation : publier l’avis de la CNIL au JO… Depuis, le nombre de fichiers a explosé.

En 2006, le groupe de travail sur les fichiers de police et de gendarmerie présidé par Alain Bauer recensait 34 fichiers. En 2009, les députés Delphine Batho et Jacques-Alain Bénisti, mandatés par l’Assemblée suite au scandale du fichier Edvige, en avait de leur côté répertoriés 58, soit une augmentation de 70% en trois ans, et découvert qu’un quart d’entre-eux ne disposaient d’aucune base légale, faute d’avoir été déclarés à la CNIL.

Un comble, pour des fichiers de police judiciaire. En 2011, j’en avais comptabilisé 70, dont 44 créés depuis l’arrivée de Nicolas Sarkozy au ministère de l’Intérieur, en 2002 (cliquez sur l’image pour accéder au tableur).

NbfichiersPoliciers

Depuis, Nicolas Sarkozy a fusionné (ce fut même sa dernière action en tant que président de la République, le jour de l’élection de François Hollande) les deux principaux fichiers, le STIC et JUDEX, alors qu’ils sont réputés pour être truffés d’erreur, dans l’indifférence générale (voir Pour la CNIL, 18% des Français sont « suspects »), et aucun recensement mis à jour n’a été effectué.

Le moteur de recherche de Legifrance, le service public de la diffusion du droit, n’en répertorie pas moins de 33 décrets, 45 arrêtés et 67 délibérations faisant référence à l’article 41 de la loi informatique et libertés, qui encadre l’accès aux traitements qui intéressent « la sûreté de l’État, la défense ou la sécurité publique« .

La loi informatique et libertés avait pourtant expressément été adoptée suite à un autre projet clandestin de fichier policier, SAFARI (pour « Système automatisé pour les fichiers administratifs et répertoires des individus« ). Allez, circulez.