PROJET AUTOBLOG


BUG BROTHER

Site original : BUG BROTHER

⇐ retour index

« Une journée dans la peau d’Edward Snowden »

lundi 16 décembre 2013 à 18:39

mischs8couv-200x260Vous savez comment font Edward Snowden, le "lanceur d'alertes" de la NSA, et Glenn Greenwald, le journaliste à qui il a confié des dizaines de milliers de documents classifiés, pour protéger, non seulement leur "vie privée", mais aussi tout (ou partie) de leurs (télé)communications, surfs sur le web, échanges Internet, alors qu'ils sont devenus les ennemis n°1 de la NSA ?

Sachant que l'objectif de la NSA ne serait rien moins que de pouvoir espionner la totalité des télécommunications de tout le monde et dans le monde entier -cf Pourquoi la NSA espionne aussi votre papa (#oupas)-, on imagine que l'exercice doit être un tantinet compliqué.

Et quid des vrais "cybercriminels" qui doivent, eux, se protéger de tous ceux qui, travaillant pour des antivirus, entreprises de sécurité informatique, services de (cyber)police ou de renseignement, cherchent à les identifier, & surveiller ?

@FredRaynal, co-rédacteur en chef de MISC (aka @MISCRedac), la revue (papier) française de référence en matière de sécurité informatique, m'avait proposé d'écrire le texte d'intro de son hors série intitulé "Apprenez à protéger votre vie privée".

Les révélations de Snowden & Greenwald vont bien au-delà de ce que l'on pouvait imaginer, et je ne saurais donc que vous conseiller d'acheter (9€) ce hors série de MISC, ne serait-ce que pour les articles de Thomas Chopitea (@tomchop_, sur Twitter) qui, entre autres choses, explique donc notamment ce que pourrait être "Une journée dans la peau d'Edward Snowden", ainsi que de l'article de Guillaume Arcas (aka @y0m sur Twitter) & Sébastien Larinier (@Sebdraven) sur les façons & moyens qu'ont les "pirates informatiques" (malveillants, escrocs voire criminels) de protéger leur "vie privée", et donc leur identité.

Leurs explications ne visent pas à permettre à un pirate amateur de devenir un hacker de choc, et montrent par ailleurs à quel point un niveau élevé de sécurité informatique repose, non seulement sur une hygiène et un cloisonnement très stricts, mais donc aussi et surtout sur des processus, modes de vie, réflexes, et non sur l'utilisation de tels ou tels logiciels, illustrant bien le célèbre adage de Bruce Schneier pour qui :

« La sécurité est un processus, pas un produit. »

En guise d'amuse-bouche, voici donc le "témoignage" qui sert d'introduction à ce très bon hors série, que je ne saurais trop que vous inciter à acquérir (voire à offrir /-)

« Vous êtes en état d'interception »

En 1968, Andy Warhol avait prédit que "dans le futur, chacun aura droit à 15 minutes de célébrité mondiale". L'explosion des technologies et systèmes de télécommunication -et donc de leurs corollaires, visant à surveiller et espionner les premières- fait qu'aujourd'hui, nous somme tous "en état d'interception : toutes vos télécommunications pourront être retenues contre vous." Dès lors, le problème, aujourd'hui, serait plutôt de savoir en quelle mesure il sera encore possible, à l'avenir, d'avoir son "quart d'heure d'anonymat", comme j'ai déjà moult fois eu l'occasion de l'écrire (voir aussi mon mode d'emploi pour protéger ses sources, sa version courte sur le site de RSF, ou encore l'excellente défense et illustration politique qu'en donne Guy Birenbaum).

Cette question, je me la pose depuis la fin des années 90. J'ai en effet eu la chance de découvrir Internet juste avant que le journaliste écossais Duncan Campbell ne révèle l'existence du programme anglo-saxon Echelon de surveillance des télécommunications.

Au moment même où je découvrais qu'Internet allait probablement -tout comme l'imprimerie l'avait déjà fait- changer le cours des choses et la face du monde, je découvrais également que -et contrairement à ce qui se passe avec les livres de papier- ce qu'on lit, partage, fait et écrit sur Internet est surveillé, voire espionné. Ce cauchemar, proprement orwellien, est devenu réalité.

L'imprimerie de Gutenberg n'aurait probablement pas contribué au Siècle des Lumières -et donc à l'apparition de démocraties- si les livres, leurs auteurs, imprimeurs, éditeurs et distributeurs, avaient été en mesure de surveiller leurs lecteurs.

A contrario, les ordinateurs gardent la trace de ce qu'on y fait, la majeure partie des sites web surveille ce qu'on y lit (et comment, et pendant combien de temps, et sur quels liens vous cliquez, etc.), "loggue" et modère vos commentaires... les fournisseurs d'accès à Internet (FAI) étant par ailleurs légalement obligés de conserver nos "données de connexion" à disposition des autorités.

Coincé entre le FBI et des "éco-terroristes"

Or, les journalistes, tout comme les médecins, avocats, prêtres, juges, détectives privés ou banquiers, fonctionnaires, militaires & policiers, sont tenus au "secret professionnel", impératif catégorique dont la violation peut briser la vie de ceux à qui ils ont affaire et, accessoirement, leurs propres carrières.

Journaliste, j'ai donc cherché à apprendre à protéger mes sources. Et le seul site qui, à la fin des années 90, expliquait aux béotiens (non informaticiens) comme moi comment sécuriser ses communications sur l'Internet, security.tao.ca, avait été créé par des anarchistes canadiens, sur la base de modes d'emploi écrits par des hackers non identifiés, et par des "éco-terroristes" américains (pour reprendre la terminologie du FBI).

Ce manuel, je l'ai traduit en français, histoire de me faire la main, et d'aider les autres internautes qui, comme moi, voulaient apprendre à sécuriser leurs communications et accès Internet.

Quelques mois plus tard, l'unité du FBI en charge du "terrorisme domestique" pointait du doigt security.tao.ca dans une de ses alertes, au motif qu'il pouvait aider des "hacktivistes" à échapper à la surveillance du FBI, et que son principal objectif était d'apprendre à "se protéger dans un monde sous constante surveillance" (sic).

Je voulais apprendre à "protéger mes sources", et je me retrouvais dans la focale du FBI... L'ambiance était donnée.

États schizophrènes

A l'époque, en l'an 2000, la CNIL expliquait "comment vous êtes pisté sur Internet"... mais pas comment s'en protéger. Il existait pourtant déjà des dizaines de moyens, méthodes, trucs et astuces, logiciels et modus operandi, pour ne pas laisser de traces, les effacer, ou communiquer de façon sécurisée. La CNIL, elle, se contentait d'expliquer aux gens comment ils étaient pistés. Sans leur expliquer comment se protéger.

Il a fallu attendre 2008 pour que le gouvernement français se décide enfin à lancer un portail intitulé securite-informatique.gouv.fr, émanation de l'Agence nationale de la sécurité des systèmes d’information (ANSSI), le bras armé -en terme de "cyberdéfense"- de la France, censée aider les Français à sécuriser leurs données & télécommunications... mais dont le logiciel ANSMO d’éducation et de recommandations en la matière, censé nous aider à "apprécier le niveau de sécurité d’un micro-ordinateur", n'a toujours pas, 5 ans après, été rendu public.

En 2009, je déplorais cette schizophrénie des autorités françaises, promptes à dénoncer & déplorer l'espionnage des télécommunications dont les citoyens, administrations et entreprises françaises feraient l'objet, mais dont les seuls conseils "grands publics", en matière de sécurité informatique, visaient les... enfants de 7 à 12 ans.

Et il a fallu attendre 2010 pour que les autorités françaises publient enfin deux guides pratiques expliquant comment protéger son son téléphone mobile, son assistant personnel ou son ordinateur portable. Et encore : ces conseils ne visaient pas le "grand public", mais uniquement les professionnels susceptibles de faire l'objet, notamment en se rendant à l'étranger, de tentative d'espionnage industriel.

Snowden, et après ?

Gag (ou lapsus révélateur) : alors que les révélations d'Edward Snowden défraient la chronique depuis juin 2013, et démontrent l'ampleur, sinon la démesure, de l'espionnage des télécommunications made in NSA, securite-informatique.gouv.fr n'a pas été mis à jour depuis... juin 2012.

La rubrique Vos traces sur internet du site de la CNIL, se borne encore à expliquer que les internautes laissent des traces... mais sans jamais expliquer comment les effacer, et encore moins comment communiquer de façon sécurisée.

Duncan Campbell à la fin des années 1990, Edward Snowden depuis l'été dernier, ont pourtant démontré que la National Security Agency (NSA) américaine cherche à espionner l'intégralité des télécommunications, et notamment celles qui transitent par les câbles sous-marins, tout en obligeant Google, Facebook, Microsoft & Cie à leur permettre d'accéder aux télécommunications & données personnelles de dizaines de milliers de leurs utilisateurs, ou encore en piratant les systèmes de communication sécurisée du ministère français des affaires étrangères, ou encore l'ordinateur de la présidente du Brésil, entre autres.

Au-delà de la NSA (et de ses équivalents chinois, russes, britanniques, etc.), on sait aussi que de nombreuses entreprises commercialisent des logiciels & systèmes espion, pratiquent l'espionnage industriel, et que de nombreux employeurs et particuliers espionnent leurs employés, collègues, conjoints, enfants (ou parents).

Le fait que ni l'ANSSI ni la CNIL ne proposent à ceux qui pourraient éventuellement être surveillés voire espionnés d'apprendre à sécuriser leurs communications est incompréhensible. Sauf à imaginer que nos autorités ne veulent surtout pas que nous apprenions à garantir le secret de la correspondance, la confidentialité de nos données, la sécurité de nos télécommunications, et donc notre droit à la vie privée.

En tout état de cause, plus de 10 ans après avoir commencé à m'intéresser à ces questions, j'en suis arrivé à la conclusion que s'il est impossible à un non-professionnel de sécuriser son ordinateur de façon à empêcher un professionnel motivé d'y pénétrer, il est par contre tout à fait possible de créer des fenêtres de confidentialité, de disparaître le temps d'une connexion, d'apprendre à communiquer de façon furtive, discrète et sécurisée, à échanger des fichiers sans se faire repérer et donc d'avoir "droit à son quart d'heure d’anonymat".

Voir aussi :
Comment protéger ses sources ?
« Les écoutes made in France », ma 1ère BD
Comment sécuriser son téléphone mouchard portable?
Pourquoi la NSA espionne aussi votre papa (#oupas)
Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander

« Les écoutes made in France », ma 1ère BD

jeudi 12 décembre 2013 à 11:48

pieds nickelés copie copieLa Revue Dessinée (Twitter, Facebook) a été créée par une bande de potes, dessinateurs & auteurs de bandes dessinées, qui ont décidé de proposer à des journalistes de faire des reportages & enquêtes en mode BD. Ils m'ont contacté, j'ai adoré l'idée, et leur ai donc proposé de dessiner :

« Les aventures des Pieds Nickelés chez Kadhafi »

Quelque peu interloqués, je leur ai donc raconté l'histoire d'Amesys, cette PME française qui avait conçu un système de "surveillance massive" de l'Internet à la demande du beau-frère de Kadhafi, condamné (le beauf', pas Kadhafi) à la prison à perpétuité par la justice française pour son implication dans le pire attentat terroriste qu'ait jamais connu la France, et qui a depuis pris le contrôle de BULL. Une histoire incroyable, mais vraie.

LRD2Un peu plus d'un an plus tard, ça donne une enquête de 50 pages, publiée dans le n°2 de la Revue Dessinée (228 pages), en compagnie d'une enquête de David Servenay sur Jacques Monsieur, le marchand d'armes belge qui a inspiré le scénariste du film Lord of War, de la suite de l'enquête de Sylvain Lapoix sur le lobbying pro-gaz de Schistes, d'un reportage d'Emmanuel Lepage qui a pu rentrer dans la zone d'exclusion de Fukushima, et plein d'autres chroniques dessinées... disponibles en librairie & relais H depuis le 9 décembre (15€, ou 3,59€ sur iPad via l'appstore), sachant que vous pouvez aussi opter pour l'abonnement (60€ -c'est un trimestriel, et un super cadeau de Noël /-)

La Revue Dessinée m'a aussi proposé de venir la dédicacer ce vendredi 13 décembre à 18H, à la Librairie de Paris, 7 place de Clichy dans le 17è, en compagnie de Marion Montaigne (aka Professeur Moustache sur Facebook), de l'excellent Tu mourras moins bête, mais aussi et surtout de Nicoby, le dessinateur qui a traduit mon enquête en mode BD, co-auteur, notamment, de la BD 20 ans ferme, témoignage poignant sur l'"indignité" du système carcéral, scénarisé par un détenu, ex-braqueur, qui le qualifie de "glauque, terrible, cruel voire hors-la-loi", dans la mesure où il chercherait plus à "briser" les prisonniers qu’à essayer de les "réinsérer", & co-publié par l'association Ban Public, "qui a pour but de favoriser la communication sur les problématiques de l’incarcération et de la détention, et d’aider à la réinsertion des personnes détenues".

En guise d'introduction, la Revue Dessinée m'avait demandé de raconter les origines du projet, et de résumer ces "aventures des Pieds Nickelés chez Kadhafi", auxquelles j'avais déjà consacré des dizaines d'articles sur ce blog et chez OWNI, plus un livre numérique, Au pays de Candy; alors voilà :

JMtasvucaUn jour, quelqu’un m’a dit que, du temps de Nicolas Sarkozy, une entreprise française avait vendu (et installé) un système de surveillance massive de l’Internet à la Libye de Kadhafi. Problème : je n’avais aucun moyen de le recouper.

Le printemps arabe, et les bombardements de l’armée française en Libye, allaient me permettre de le vérifier et de découvrir que ce deal avait été orchestré par le sulfureux intermédiaire Ziad Takieddine, cornaqué par l’homme-lige de Nicolas Sarkozy, Claude Guéant.

Mieux : les employés d’Amesys, l’entreprise française chargée de conclure ce marché, n’avaient pas pris la peine de déployer les mesures de sécurité que prennent d’ordinaire les entreprises commerçant avec des dictateurs. Façon Pieds Nickelés, ils ont même été jusqu’à mettre sur le web des preuves de leurs méfaits.

J’ai ainsi trouvé, dans le mode d’emploi du système espion, la preuve que la Libye, avec l’aide d’Amesys, avait également espionné des gens au Royaume-Uni et aux Etats-Unis... Y figurait en effet une liste de "cibles" comprenant de nombreux noms de dissidents libyens, vivant en exil aux Etats-Unis ou en Grande-Bretagne (dont le nouvel ambassadeur de la Libye -post-Kadhafi- à Londres), ainsi que les noms d’un avocat britannique, et de fonctionnaires américains...

Quand la Revue Dessinée m’a contacté pour prendre un café, histoire de voir dans quelle mesure cette histoire pourrait être transposée en BD, j’ai d’abord tenté de leur résumer l’affaire et, très vite, ils se sont marrés. & plus je leur racontais comment j’avais découvert les détails de ce "deal", plus ils se marraient.

De fait, on a rarement affaire à un marchand d’armes donnant des noms de codes de... bonbons (!) à des contrats censés être "secret défense".

De même, on imagine mal des employés d’un marchand d’armes partager sur Vimeo & Flickr des photos et vidéos qui révèlent qu’ils ont bel et bien commercé avec tel ou tel pays, ou encore partager sur un forum de discussion, ouvert au public, le fait que Kadhafi était bel et bien leur "client", tout en précisant qu’ils se foutent que le "grand public" apprennent qu’ils ont bossé pour un dictateur, vu que leurs clients, ce n’est pas le "grand public"...

SkornKadhafiSkornKadhafi2

Nicolas Sarkozy est connu, admiré et respecté en Libye pour avoir contribué à en finir avec Kadhafi. Il mériterait pourtant aussi d’être reconnu comme celui qui avait aussi précédemment permis (du temps où Kadhafi laissait entendre qu’il voulait acheter des Rafale) à mettre les Libyens sous (cyber-)surveillance (française).

D’autant que le "client" d’Amesys, celui qui lui avait réclamé ce "produit" censé -officiellement- "chasser le pédophile, le terroriste, le narcotrafiquant" (voir Amesys accuse l’ambassadeur de Libye de pédophilie), celui qui donnait des ordres aux employés d’Amesys envoyés à Tripoli pour former les espions libyens, était recherché par Interpol, pour "terrorisme (et) crime contre l’humanité".

Abdallah Senoussi, le chef des services de renseignement de Kadhafi, avait en effet été condamné à la prison à perpétuité pour son implication dans l’attentat du DC-10 de l’UTA (170 morts, dont 54 Français) par la Justice… française.

Les auteurs

Un reportage mis en BD par Jean-Marc Manach (@manhack, sur Twitter), journaliste d’investigation qui avait contribué à révéler les arcanes de ce scandale dans ses articles pour OWNI.fr, ainsi que dans "Au pays de Candy", l’ebook qu’il avait consacré à cette affaire, et Nicoby, dessinateur de nombreuses bandes dessinées, dont 20 ans ferme, poignant reportage "embeddé" dans l’administration pénitentiaire qui, rédigé par un détenu, montre l’envers -glauque, terrible, cruel voire "hors-la-loi"- de la prison, qui chercherait plus à "briser" les prisonniers qu’à essayer de les "réinsérer".

Voir aussi :
Barbouzeries au Pays de « Candy »
Longuet, Sarkozy, et l’alibi de la Libye
Amesys/Bull: un parfum d’affaire d’État
Le PDG de Bull se plante un couteau dans le dos
Amesys: les documents qui impliquent Ziad Takieddine et Philippe Vannier, le PDG de Bull

Les portiques écotaxe, un « système orwellien » (qui photographie tout le monde, mais ne sert à rien)

mercredi 11 décembre 2013 à 14:54

Les portiques écotaxe relève d'un "système orwellien" qui... ne sert à rien, leur objectif n'étant pas de calculer ni de facturer la redevance, mais de repérer les éventuels fraudeurs, révèle aujourd'hui le Canard Enchaîné, qui titre :

« Officiel : l'écotaxe n'a pas besoin des portiques ! »

Pis : ils n'en prennent pas moins en photographie l'intégralité des véhicules (et pas que des poids lourds), au nom d'une logique qui relève plus d'une usine à gaz shadockienne que d'un système conçu pour être efficace à moindre coût.

W1293-Seguiniere_PortiqueEcotaxe_N249_74754

C'est un petit détail, passé inaperçu mais que révèle la consultation de la délibération de la CNIL portant sur la création du fichier associé à l'écotaxe, parue au JO le 9 juillet dernier, à l'occasion de la parution de l'arrêté autorisant la création d'un traitement automatisé dénommé « taxe poids lourds » (TPL).

Shadocksimg015Les commissaires s'y étonnaient en effet de découvrir que "tous les véhicules sont photographiés par le dispositif de contrôle automatique, qu'ils soient ou non assujettis à la taxe (notamment les véhicules légers) et qu'ils circulent sur le réseau taxable ou non taxable (pour les portiques installés aux frontières)".

Un "rapport de passage" est ainsi systématiquement généré pour tous les véhicules, assujettis ou non, contenant "une image de contexte et une image de la calandre, dont est extraite l'image de la plaque d'immatriculation" et ce, afin de permettre aux autorités compétentes de vérifier l’assujettissement à la TPL.

Un "dispositif de reconnaissance de forme" permet ensuite de "déterminer les caractéristiques du véhicule, et notamment de distinguer les véhicules légers des poids lourds".

Pourquoi faire simple quand on peut faire compliqué ?

Pourquoi faire simple quand on peut faire compliqué ?Interrogé sur ce que la CNIL avait alors qualifié de "collecte d'une grande quantité d'information non justifiée par rapport à la finalité poursuivie", le ministère avait alors indiqué qu'"il n'était plus, à ce stade, possible de modifier le dispositif technique et qu'il n'était pas techniquement envisageable de déclencher le dispositif de reconnaissance de forme avant la prise de photographies."

« En effet, il a précisé que la prise de vue de contexte doit se faire avec la distance la plus longue, donc en premier dans l'ordre chronologique, alors que la reconnaissance de forme se fait au niveau du portique (détection latérale). »

Rappelant que "le dispositif ne doit avoir ni pour objet, ni pour effet de prendre des photographies permettant d'identifier le conducteur ou les passagers des véhicules empruntant le réseau taxable", la CNIL écrivait dès lors ne pouvoir "que regretter que la contrainte d'une solution technique permettant d'éviter la collecte d'une grande quantité de données non pertinentes n'ait pas été introduite par le ministère au stade de la conception du système".

Dès lors, et ne pouvant "considérer que les données collectées sont adéquates, pertinentes et non excessives", la CNIL réclamait une "suppression immédiate" des photographies des véhicules légers, tout en validant cette usine à gaz, n'ayant pas réalisé qu'un autre système, bien plus simple et bien moins coûteux, aurait été possible.

Ces portiques étaient "totalement inutiles", dixit Ecomouv

MaJ, pointée par Hervé Chambonnière : le Télégramme soulignait en effet début novembre que "les portiques, faut-il le rappeler, ne servent pas à calculer l'écotaxe. Ce sont des « mouchards » chargés de repérer les camions qui ne seraient pas équipés du boîtier réglementaire qui, par satellite, fixe le montant d'écotaxe dû par l'entreprise. Autrement dit, même sans ces portiques, l'écotaxe peut être prélevée si le véhicule est équipé du boîtier. C'est ce qu'a récemment indiqué Michel Cornil, vice-président d'Ecomouv', dans une interview au Télégramme" :

« Les portiques, a-t-il rappelé, ne servent pas à collecter l'écotaxe, mais seulement à contrôler que les poids lourds sont équipés. Abattre les portiques n'empêchera pas la collecte de la taxe. Si le contrôle n'est plus fait par les portiques, il pourra être fait par la gendarmerie. Les hommes et les véhicules peuvent être équipés. Cela ne pose pas de problème ».

Mediapart révélait lui aussi récemment que "les membres du consortium Ecomouv' auraient insisté sur le fait que ces portiques étaient totalement inutiles pour la perception de l’écotaxe" :

« De fait, tous les repérages sont réalisés par GPS et satellite, les portiques ne servant qu’à repérer les camions qui ne seraient pas équipés de boîtier et chercheraient à frauder l’écotaxe. Malgré toutes les mises en garde, le ministère de l’écologie alors dirigé par Jean-Louis Borloo a imposé les portiques.

Motif : il était bon de donner de l’emploi aux entreprises locales de BTP. »

De même que les poids lourds doivent utiliser des chronotachygraphes, ils doivent aussi aujourd'hui disposer d'un boîtier équipé d'un traceur GPS et d'un émetteur radio permettant de collecter l’écotaxe. On aurait pu confier à la gendarmerie le soin de faire des contrôles comme elle le fait pour les chronotachygraphes.

Borloo a préféré soutenir le BTP en passant un appel d'offres estimant le montant total du dispositif à 1,9 milliards d'euro (hors TVA), marché attribué à Ecomouv pour un montant de... 1 918 028 400 EUR.

Un portique écotaxe coûte, selon la largeur de la route, entre 500 000 et 1M d'euros : 173 ont d'ores et déjà été déployés, à quoi il convient de rajouter 130 bornes mobiles, qui ressemblent à des radars fixe, mais qui coûtent la bagatelle de 250 000 euros. Au bas mot, l'Etat a donc dépensé quelques 150 millions d'euros pour un système qui ne sert qu'à détecter les éventuels fraudeurs.

Plus de 150 M€ claqués pour rien

En comptant les 4 portiques et 11 bornes détruits ou dégradés, la facture grimperait donc d'ores et déjà de 4,7 à 6,7 millions d'euros. Sachant que le démontage préventif du portique de Pont-de-Buis, dans le Finistère, a coûté 130 000 euros, le coût pourrait dépasser, d'après les calculs d'Europe 1, les 20 millions € si, d'aventure, il fallait un jour retirer tous les portiques...

Pompez, pompez, il en restera toujours quelque chose

Ce cadeau empoisonné du gouvernement Fillon a non seulement contribué à gaspiller de l'argent public, permis aux "bonnets rouges" de se déchaîner contre le gouvernement Ayrault, qui a décidé de reporter l'application de la taxe en question, entraînant la mise au chômage partiel de 210 salariés d'Ecomouv (voir ce poignant article sur Les oubliés de l'écotaxe), mais... néanmoins mis en place des centaines de caméras conçues pour prendre en photographie l'intégralité des véhicules circulant sous ces "mouchards d'assaut", pour reprendre l'expression du Canard.

Voir aussi :
La taca taca tac tac tiqu’ du portique…
Le plan anti-intrusion de la DGSE était sur le web
Le nom d’un espion figurait dans un rapport du Sénat
Pourquoi la NSA espionne aussi votre papa (#oupas)
Un logiciel de maquillage pour détecter les terroristes

Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander

mardi 10 décembre 2013 à 14:56

DGSEPlusieurs journalistes m'ont contacté pour que je les éclaire sur le projet de Loi de Programmation Militaire (LPM) que s'apprête à adopter Le Sénat, ce mardi 10 décembre, et qui vise notamment à légaliser l'"accès administratif" (par les services de renseignement, à distinguer des services de police judiciaire) aux données de connexion (les "traces" de nos activités stockées par les opérateurs de télécommunications et de services en ligne), définies comme suit dans son désormais fameux article 13 :

« informations et documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications. »

Le syndrôme PRISM

Fin novembre, l’Association des services internet communautaires (ASIC, qui fédère notamment AOL, Dailymotion, Deezer, Ebay, Facebook, Google, Microsoft, Skype, Skyrock, Yahoo!) déclenchait les hostilités en appelant à un "moratoire et une évaluation complète des dispositifs de surveillance mis en oeuvre par l’Etat".

Dans un second communiqué, l'ASIC évoque une "course à l’échalote dans le domaine de la surveillance de l’internet", et dénonce un "régime d'exception" allant bien au-delà des cas de terrorisme, et passant par un accès en "temps réel" aux données au travers d’une "sollicitation du réseau", sans que l'on sache exactement s'il s'agira d'un accès direct, via des "portes dérobées", aux réseaux des opérateurs, ou s'ils devront leur demander l'autorisation avant d'entrer.

Dans la foulée, le très sécuritaire Jean-Marc Leclerc, journaliste au Figaro avec un article intitulé Téléphone, Internet: l'État pourra bientôt tout espionner, et pose la question :

« La France vire-t-elle à la société orwellienne ? »

Le journaliste Marc Rees, de PCInpact, qui a tenté de décrire comment va s'organiser la surveillance d'Internet en France, et qui évoque un "Patriot Act à la française", a compilé le déluge de cris d'orfraie que ce projet a depuis suscité :

Rajoutez-y un communiqué du Medef, qui parle d'une "grave atteinte à la confiance que l'ensemble des acteurs doivent avoir dans l'Internet" et qui demande au gouvernement : "ne tuons pas la confiance dans l'Internet !", plus une interview intitulée « Nous sommes à deux doigts de la dictature numérique », accordée aux Echos par Gilles Babinet, nommé « Digital champion » auprès de Neelie Kroes pour porter la voix numérique de la France à Bruxelles qui, il y a quelques mois, qualifiait la CNIL d'"ennemie de la Nation", mais qui semble donc avoir viré sa cutie :

« Cette loi, c’est le plus grand coup porté au fonctionnement de la démocratie depuis les lois d’exceptions pendant la guerre d’Algérie. »

Un sens du timing qui force le respect

Proposer au Parlement d'adopter un tel projet de loi un 10 décembre, Journée mondiale des droits de l'homme, choisie pour honorer l'adoption par l'Assemblée générale des Nations unies et de la proclamation le 10 décembre 1948 de la Déclaration universelle des droits de l'homme, n'était pas forcément une très judicieuse idée.

Les révélations d'Edward Snowden n'ont pas non plus aidé, d'autant que l'on a découvert, le 30 novembre, que la DGSE a transmis des données à la NSA américaine, et que les "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France" connu sous le nom de LUSTRE.

En révélant, le 26 novembre, que la police avait utilisé un programme illégal de géolocalisation et de surveillance téléphonique, baptisé "Pergame" pendant plus de deux mois, entre fin 2012 et début 2013, Mediapart notait de son côté qu'une note interne rédigée par le secrétariat général de la place Vendôme allait jusqu’à dénoncer "la transgression des dispositions réglementaires constitutive de graves infractions pénales".

Rajoutons-y les deux arrêts de la Cour de Cassation, rendus publics le 22 octobre dernier, et qui interdisent aux policiers et gendarmes de pouvoir géolocaliser les suspects :

« La géolocalisation et le suivi dynamique en temps réel d'une ligne téléphonique à l'insu de son utilisateur constituent une ingérence dans la vie privée et familiale qui n'est compatible avec les exigences de l'article 8 de la Convention européenne des droits de l'homme qu'à la condition d'être prévue par une loi suffisamment claire et précise. »

Au regard de cette succession de violations de la loi par ceux-là même qui sont censés la faire respecter, on comprend mieux les cris d'orfraie, et les demandes de débat public préalable à l'adoption de telles mesures attentatoires à la vie privée.

D'autant que c'est bien pour légaliser des pratiques illégales (voire "a-légales", pour reprendre l 'expression d'un des patrons d'une des agences de renseignement) que l'article 13 de la LPM a notamment été élaboré.

Un risque de condamnation par la justice nationale et internationale

La LPM, et notamment son article 13, vise en effet à répondre à une "insécurité juridique" pointée du doigt par le député (PS) Jean-Jacques Urvoas, vice-président de la délégation parlementaire au renseignement, dans un rapport consacré à l'"évaluation du cadre juridique applicable aux services de renseignement" mis en ligne le 14 mai 2013, juste avant le début de la saga des révélations d'Edward Snowden, sans qui ce débat n'aurait très probablement pas pris l'ampleur qu'il a aujourd'hui.

Dans un chapitre intitulé "La nécessité de créer un cadre juridique protecteur", le rapport expliquait que la "mosaïque de textes régissant l’organisation et l’activité des services de renseignement se révèle extrêmement complexe, peu lisible voire irrationnelle", et déplorait "des moyens légaux notoirement insuffisants" :

« Aussi, ceux-ci sont-ils contraints d’agir sans base légale et en dehors de tout contrôle autre que hiérarchique et interne. Cette carence, outre le fait qu’elle les place dans une situation juridique délicate, expose notre pays, mais aussi ses services et leurs agents, au risque d’une condamnation par les juridictions nationales comme par la Cour européenne des droits de l’Homme »

Le rapport précisait par ailleurs que le nombre d’interceptions de sécurité (les "écoutes téléphoniques") est limité, par un arrêté du Premier ministre à 1840 individus en simultané, alors que le nombre de lignes de téléphone mobile est passé de 280 000 en 1994 à 63,1 millions en 2010, mais que seules 99 des 6 396 sollicitations enregistrées en 2011 avaient fait l'objet d'un refus de la part de la Commission nationale de contrôle des interceptions de sécurité (CNCIS)

Déplorant "l'inutile complexité des deux systèmes de réquisitions des données techniques de connexion", le rapport déplorait que "seule la prévention du terrorisme justifie que les services y recourent", et que "seule la sous-direction antiterroriste de la Direction centrale du renseignement intérieur dispose de cette faculté", excluant de facto les autres unités de la DCRI, les trois autres services de renseignement du ministère de la Défense (DGSE, DRM & DPSD), et les deux "services" du ministère de l’Économie (l’agence de Traitement du renseignement et action contre les circuits financiers clandestins -Tracfin-, et la Direction nationale du renseignement et des enquêtes douanières -DNRED).

Or, et si "seules 229 demandes ont été rejetées sur 161 662 requêtes examinées
entre 2008 et 2011
", le "contrôle pointilleux" de la CNCIS ne serait pas sans poser problème :

« des demandes ont été définitivement rejetées en ce que les vérifications effectuées montraient que les mesures sollicitées relevaient d’investigations judiciaires, ou que les objectifs recherchés ne portaient pas sur des faits susceptibles de recevoir la qualification de terrorisme, mais plutôt d’atteintes à la sécurité nationale ou d’actes relevant de la criminalité et de la délinquance organisée. »

"En revanche", soulignait le rapport, "le Groupement interministériel de contrôle (GIC) a traité, entre le 1er août 2011 et le 31 juillet 2012, près de 197 000 demandes sur le fondement de l’article L. 244-2 du code de la sécurité intérieure qui régit le second système de réquisitions des données techniques. Cet article permet à l’ensemble des services de renseignement de solliciter ces données auprès des opérateurs téléphoniques et des fournisseurs d’accès à Internet", non seulement en matière de lutte anti-terroriste, mais également, grâce à des dispositions figurant depuis 2012 au sein du code de la sécurité intérieure, en application de l’article L. 241-2, qui autorise :

«les interceptions de correspondances émises par la voie des communications électroniques ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l’article L. 212-1 »

Or, et "au regard de ces chiffres comparés et des tendances qui viennent d’être relevées, l’existence de deux procédures apparaît à la mission comme problématique". Le rapport prenait ainsi "bonne note de l’engagement du ministre de l’Intérieur, lors de la discussion en séance publique, le 27 novembre 2012, du projet de loi relatif à la sécurité et à la lutte contre le terrorisme, d’œuvrer à la « réunification » des deux systèmes de recueil de données".

Vers un retour à la "légalité républicaine" ?

Dans une (longue) note (passionnante) intitulée "Eléments d’évaluation du risque législatif lié à l’article 13" de la LPM, Pascal Cohet, de l'IFREI (Institut de Formation et Recherche sur l’Environnement Informationnel), rappelle de son côté que l'origine de cette évolution législative n'est pas, comme on l'a lu ici ou là, à chercher du côté de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme, adoptée suite aux attentats de Madrid (11 mars 2004) et Londres (7 juillet 2005), mais bel et bien une construction intellectuelle digne du Patriot Act, et donc de pouvoirs spéciaux accordés suite aux attentats du 11 septembre, alors que la NSA surveillait déjà les télécommunications, et qu'aucune preuve n'a jamais démontré que les attentats auraient pu être déjoués si les télécommunications des terroristes avaient pu être encore plus écoutées (voir aussi Comment le FBI, le PS et Estrosi ont mis le Net sous surveillance) :

« Les logs de connexion sont une conséquence des attentats du 11 septembre 2001, et ont été justifiés initialement comme une mesure urgente exceptionnelle et temporaire ‘impérieusement nécessaire’ à la lutte contre les activités terroristes lors de l’adoption de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (LSQ). L’article 22 du texte limitait la durée du dispositif dans le temps, celui-ci devant expirer au 31 décembre 2003. »

Sénateur socialiste, Michel Dreyfus-Schmidt, avait alors expliqué :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

La loi précisait en effet que les dispositions renforçant la lutte contre le terrorisme étaient adoptées "pour une durée allant jusqu'au 31 décembre 2003" :

« Le Parlement sera saisi par le Gouvernement, avant cette date, d'un rapport d'évaluation sur l'application de l'ensemble de ces mesures. »

En mars 2003, la mesure fut prolongée jusqu'au 31 décembre 2005, date à laquelle un nouveau rapport d'évaluation devait être soumis au Parlement.

En juin 2004, la loi pour la confiance dans l'économie numérique obligea les "personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne" à stocker les identifiants et mot de passe de ceux qu'ils hébergent, ainsi que l'historique de ceux qu'ils publient (quand, quoi), disposition confirmée, en janvier 2006, par la loi relative au terrorisme.

A l'époque, rappelle Georges Moréas, le Premier secrétaire du PS, un certain François Hollande, avait parlé de « reculs graves ». Le PS, le PCF et les Verts avaient d'ailleurs voté contre.

En 2006, la conservation des données de connexion était prorogée jusqu'au 31 décembre 2008 puis, en 2008, jusqu'au 31 décembre 2012 puis, en 2012, jusqu'au 31 décembre 2015.

Or, aucun rapport d'évaluation n'a jamais été transmis au Parlement concernant la pertinence, et l'efficacité, de la conservation des données.

Autre fait troublant : il fallut attendre 2006 pour que soient publiés le décret relatif à la conservation des données des communications électroniques, et mars 2011 pour le décret relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, ce qui, souligne malicieusement Pascal Cohet, "mine la crédibilité du discours initial ayant servi à justifier le dispositif".

Or, pour le contrôleur européen à la protection des données personnelles (CEPD), cette surveillance généralisée et préventive de nos données de connexions constitue "sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche", ce pour quoi il réclame, en vain, une étude d'impact.

L'article 13 de la LPM, pointe émergée de l'iceberg

Cherchant à expliquer les tenants et aboutissants de la saga législative présidant à la conservation des données de connexion, Pascal Cohet a dressé un "diagramme de structuration législative" qui permet de mieux apprécier ce pour quoi il est pour le moins difficile de s'en faire une idée claire :

1312LPMifrei

#Bref, c'est compliqué.

J'essaie de suivre ce dossier depuis le dépôt du projet de loi, en août dernier, et je n'arrive toujours pas bien à comprendre si cet article 13 va permettre, comme l'affirme Jean-Jacques Urvoas, de "mieux encadrer les services", de " faire bénéficier à nos concitoyens de la meilleure garantie de leurs libertés fondamentales au moment de créer des capacités intrusives", et d'"accroître les garanties et contrôles en matière d’accès aux fadettes et d’opérations de géolocalisation", comme l'explique le sénateur (PS) Jean-Pierre Sueur, président de la Délégation parlementaire au renseignement.

Ce que je sais, c'est qu'aucun "rapport d'évaluation sur l'application de l'ensemble de ces mesures" n'a jamais été porté à la connaissance du Parlement, et qu'aucune étude d'impact n'a été porté à la connaissance du contrôleur européen à la protection des données personnelles (CEPD), et donc que l'on n'a toujours pas mesuré si, oui ou non, la conservation des données de connexion méritait ainsi de continuer à outrepasser la "légalité républicaine".

Ce que je sais aussi, c'est que Jean-Jacques Urvoas expliquait, en juillet dernier, que "face à la « pêche au chalut » que semble réaliser la NSA, la DGSE pratique une « pêche au harpon » dans le cadre de ses attributions", et que "les citoyens français ne sont donc pas soumis à un espionnage massif et permanent en dehors de tout contrôle". Mr Urvoas ne s'est par contre pas prononcé sur la légalité de LUSTRE et donc sur le fait que "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France".

Ce que je sais, aussi, c'est qu'alors que nombreux sont ceux qui, dans le monde entier, tentent de prendre la mesure des révélations de Snowden, et parlent d'encadrer voire d'enrayer la surveillance massive et généralisée des télécommunications par les services de renseignement anglo-saxons (à l'instar de la pétition pour la défense des libertés individuelles face à la surveillance organisée par les entreprises et les gouvernements que viennent de lancer, ce 10 décembre, 562 écrivains et prix Nobel, ou encore d'AOL, Apple, Facebook, Google, LinkedIn, Microsoft, Yahoo! et Twitter qui viennent d'écrire, hier, à Barack Obama pour l'inviter à une "réfome des pratiques de surveillance"), la France s'illustre en cherchant à "légaliser" les pratiques "a-légales" de nos services de renseignement.

Accessoirement, la LPM va aussi instaurer un fichier de données personnelles des passagers aériens (ou PNR, au motif que les services américains ont réussi à nous en imposer un), permettre, comme le soulignait Thiébaut @Devergranne, aux agents de l'ANSSI (l'agence en charge de la cyberdéfense) de pouvoir "répondre à une attaque informatique" en piratant les systèmes d'information qui en sont à l'origine, mais aussi d'identifier tout détenteur de systèmes "vulnérables, menacés ou attaqués".

Cerise sur le gâteau, la LPM va aussi permettre aux services de renseignement d'accéder plus facilement (et en toute légalité) à de nombreux fichiers policiers :

Ce pour quoi l'adoption de ce projet de loi mériterait effectivement un vrai débat. D'autant qu'il n'y a aucune urgence (la conservation des logs est de toute façon actée jusqu’au 31 décembre 2015), et que ce n'était vraiment pas le meilleur moment pour "légaliser" les pratiques "a-légales" de nos services de renseignement.

On a retrouvé l'"étude d'impact"

MaJ, 21h40 : l'amendement de suppression de l'article 13 a été rejeté par les Sénateurs. Dans la foulée, la Chambre haute a adopté l'article de la loi sans l'avoir modifié.

Pierre Januel, qui "travaille pour les député-e-s #EEL", m'indique par ailleurs sur Twitter qu'une "étude d'impact" (.pdf) a été mise en ligne en octobre 2012, en marge du projet de loi relatif à la sécurité et à la lutte contre le terrorisme (en procédure accélérée).

On y apprend notamment que la CNCIS soulignait, dès 2007, que « l’écoute et la teneur des conversations des individus suspectés de terrorisme, lesquels sont par définition méfiants et prudents lorsqu’ils communiquent entre eux, sont moins intéressantes d’un point de vue opérationnel que le recueil des données techniques de ces communications » et que, du 2 mai 2007 (date de mise en œuvre du dispositif opérationnel) au 26 mars 2012, 199 570 demandes ont été présentées par les services spécialisés, 175 390 d’entre elles ont été validées par la personnalité qualifiée et envoyées aux opérateurs et 173 591 réponses ont été fournies aux services demandeurs, avec un taux de refus variant de 7 à 15%.

« La procédure est principalement utilisée par la direction centrale du renseignement intérieur (DCRI) qui est à l’origine de 96 % des demandes adressées aux opérateurs. Elle permet par exemple :

- de vérifier des soupçons portant sur des personnes ou réseaux potentiellement dangereux ;

- de vérifier, souvent en urgence, la véracité ou la crédibilité de renseignements obtenus de sources confidentielles ;

- de répondre à des Etats étrangers ou des organisations internationales auxquels la France est associée dans la prévention et la répression de certaines formes de terrorisme, notamment international.

Ce dispositif doit également son efficacité au délai de réponse très court, y compris en cas d’urgence signalée. En effet, la réactivité des opérateurs, qui peuvent apporter une réponse dans un délai de quelques minutes à une semaine en fonction de leur complexité et de leur urgence, a une incidence directe sur l’efficacité du travail des services chargés de la prévention du terrorisme. »

Dans son rapport 2010, la CNCIS relèvait ainsi que « ces mesures sont moins intrusives dans la vie privée et moins attentatoires sur le plan des libertés publiques que l’interception des communications qui permet d’appréhender le contenu des échanges et des conversations ».

L'étude d'impact précise enfin qu'au regard de ces éléments, le Conseil constitutionnel conclut que « le législateur a assorti la procédure de réquisition de données techniques qu’il a instituée de précautions propres à assurer la conciliation qui lui incombe entre, d’une part, le respect de la vie privée des personnes et la libertés d’entreprendre des opérateurs et, d’autre part, la prévention des actes terroristes, à laquelle concourt ladite procédure ».

Cela n'explique toujours pas ce pourquoi, et comment, ni sur quelle base légale, "70,3 millions de données téléphoniques collectées en France, par la NSA, entre le 10 décembre 2012 et le 8 janvier 2013, ont été communiquées par les services français eux-mêmes, conformément à un accord de coopération en matière de renseignement entre les Etats-Unis et la France", ces chiffres excédant de beaucoup ceux présentés par ladite "étude d'impact" :

1312LPMLogs

Ces "demandes" correspondent a priori à des individus (qui peuvent utiliser plusieurs n° de téléphone), les "données" correspondant probablement (on l'espère, en tout cas) aux "méta-données" (qui téléphone à qui, quand, d'où, pendant combien de temps), dit autrement : un coup de fil équivaut donc à (au moins) 5 méta-données (voire plus : nom+prénom+rue+code postal+ville+pays+opérateur de l'abonné, voire plus si affinités)

Sachant que, toujours selon l'"étude d'impact", la DCRI "est à l’origine de 96 % des demandes adressées aux opérateurs", on se demande bien comment la DGSE aurait réussi, légalement, à intercepter "70,3 millions de données téléphoniques collectées en France" d'une part, et à les partager avec la NSA, d'autre part.

En 2010, le directeur technique de la DGSE avait expliqué qu'il stockait "tous les mots de passe" (voir Frenchelon: la DGSE est en « 1ère division »); or, l'article 13 porte sur les "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques" : un fichier stocké dans le cloud, un brouillon, un mot de passe, ne relèvent pas de la "correspondance privée", mais ce sont bien des "documents"; l'article 13 va donc bien au-delà des seules "méta-données"...

Ce pour quoi cette #LPM mérite donc d'être discutée, débattue, creusée et expliquée (voire invalidée).

NB : voir aussi les explications de Jean-Jacques Urvoas, et le communiqué du Sénat qui, suite à l'adoption de la LPM, cherchent à répondre à la polémique.

Voir aussi :
Comment sortir de l’« ère du soupçon » ?
Pourquoi la NSA espionne aussi votre papa (#oupas)
Comment sécuriser son téléphone mouchard portable?
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi
Mohammed Merah n’a PAS été identifié grâce à une loi antiterroriste, mais grâce à un logiciel libre
Tout ce que vous avez toujours voulu savoir sur moi mais que vous aviez la flemme d’aller chercher sur l’internet…

Le nom d’un espion figurait dans un rapport du Sénat

jeudi 7 novembre 2013 à 12:23

Début septembre, le Canard Enchaîné révélait qu'on trouvait, dans les annexes d'un appel d'offres mis en ligne, les plans détaillés de systèmes de sécurité de la DGSE (voir Le plan anti-intrusion de la DGSE était sur le web). Jusqu'à hier soir, il était également possible de connaître le nom du "chef d'antenne de la DGSE" en Côte d'Ivoire.

L'information, révélée ce mercredi 6 novembre par Intelligence Online (IOL), une lettre d'information consacrée au monde du renseignement, figurait en annexe d'un rapport parlementaire intitulé L'Afrique est notre avenir, mis en ligne le 29 octobre dernier. On y apprenait que les sénateurs avaient auditionné, en Côte d'Ivoire, le "chef d'antenne DGSE", nommément désigné.


IOL précise à juste titre qu'"un média qui aurait publié la même information aurait immédiatement été sanctionné au titre de la loi de protection du secret de la défense nationale, que le parquet antiterroriste tente de faire respecter de manière particulièrement sourcilleuse depuis le printemps".

L'article 413-13 du Code pénal, créé par la LOPPSI 2 en 2011, prévoit en effet que "la révélation de toute information qui pourrait conduire, directement ou indirectement, à la découverte (...) de l'identité réelle d'un agent des services spécialisés de renseignement (...) est punie de cinq ans d'emprisonnement et de 75 000 € d'amende".

Les deux sénateurs risquaient 3 ans de prison

Jeanny Lorgeoux et Jean-Marie Bockel, les deux auteurs du rapport, sont loin d'être des "bleus" en matière de sécurité. Tous deux membres de la commission des affaires étrangères, de la défense et des forces armées, le premier est également membre du Conseil d'administration de l'Institut des hautes études de défense nationale (IHEDN), le second a successivement été secrétaire d'État à la Défense et aux Anciens combattants puis secrétaire d'État auprès de la ministre de la Justice et des Libertés Michèle Alliot-Marie du temps de Nicolas Sarkozy.

M. Bockel est également l'auteur d'un rapport intitulé "La cyberdéfense : un enjeu mondial, une priorité nationale", qui recommandait notamment de "faire de la protection des systèmes d'information une priorité nationale, portée au plus haut niveau de l'Etat", d'"accroître les efforts de sensibilisation des personnels des administrations, à tous les échelons", ou encore d'"améliorer la sensibilisation du public par un plan de communication inspiré du plan de prévention de la sécurité routière"...

Les deux sénateurs ne risquaient pas 5 ans de prison, mais seulement 3 : l'article 413-13 précise en effet que "la révélation, commise par imprudence ou par négligence, par une personne dépositaire soit par état ou profession, soit en raison d'une fonction ou d'une mission temporaire ou permanente, de l'information mentionnée au premier alinéa est punie de trois ans d'emprisonnement et de 45 000 € d'amende".

« Mieux contrôler les fichiers »

Contacté hier en fin d'après-midi, la direction de la communication m'a d'abord expliqué que, bien que le nom du chef d'antenne de la DGSE figurait dans le rapport depuis 8 jours, personne ne l'avait encore alerté à ce sujet. Signe du branle-bas de combat, elle m'a rappelé en urgence, à 21h30, après avoir contacté la commission des affaires étrangères, de la défense et des forces armées du Sénat, qui a alerté la DGSE, et reconnaît une "erreur, grossière, énorme", un "problème de relecture" :

« On a retiré le nom de la liste, on vous remercie infiniment, si vous n'aviez pas été vigilant... On compte sur votre sens civique pour ne pas le diffuser... Nous vous sommes très reconnaissants. Au nom de toutes les autorités je vous remercie, c'est très sympa, d'autres n'auraient pas eu ce genre de scrupule. »

Ce n'est pas la première fois que des officiels "balancent" ainsi des noms qui n'auraient jamais du être portés à la connaissance du grand public. En 2009, j'avais ainsi trouvé, en annexe d'un rapport du "Groupe de contrôle des fichiers de police et de gendarmerie", un extrait de fichier STIC mentionnant les noms, prénoms, adresse, date et lieu de naissance d'un suspect impliqué dans une affaire d'"infraction à la législation sur les stupéfiants", en date du 4 mai 1997, ainsi que le nom et le n° de téléphone de la brigadière chef qui avait traité son fichier (voir «Y aurait-il un fichier que nous aurions oublié ?»).

Le ministère de l'intérieur balance un fichier policier nominatif

A l'époque, le ministère de l'Intérieur avait mis plus de 15 jours à anonymiser le fichier (voir Il n’y a plus de donnée personnelle dans le fichier policier indiqué). Le titre du rapport qui avait balancé un fichier policier, non anonymisé ? "Mieux contrôler les fichiers de police pour protéger les libertés" (sic).

Voir aussi :
Le plan anti-intrusion de la DGSE était sur le web
Pourquoi la NSA espionne aussi votre papa (#oupas)
Comment sécuriser son téléphone mouchard portable?
Internet a été créé par des hippies qui prenaient du LSD
La DGSE a le « droit » d’espionner ton Wi-Fi, ton GSM et ton GPS aussi