Surveillance : la France veut ratisser trop large

Quand la surveillance de masse tue

Lors d’une audition par une commission parlementaire outre-Manche, William Binney a ainsi récemment assuré que les agences du renseignement passent à côté de données importantes sur les attaques terroristes parce qu’elles sont noyées sous les données électroniques. Très concrètement, selon, les attaques qui ont visé Paris mi-novembre auraient eu plus de chances d’être évitées si les services français du renseignement avaient ciblé leurs efforts de surveillance : « ils auraient pu avoir toutes les données sous leurs yeux avec une approche ciblée, et ils auraient pu avoir l’opportunité de les arrêter avant les attaques ».

William Binney répondait aux questions des parlementaires britanniques sur un projet de loi actuellement débattu est qui prévoit notamment la collecte de données en masse, notamment pour les détails de communications ou les traces d’activités en ligne. Mais pour lui, la collecte de masse se traduit in fine par « la dysfonction de l’analyste, l’absence de prédiction d’intention ou de capacités, et l’échec à arrêter les attaques ». Et au final, « des gens meurent ». L’explication est pour lui simple : les analystes sont débordés et ne parviennent pas à isoler les signaux faibles pertinent du bruit ambiant.

L’échec danois

Jesper Lund, président de l’IT-Political Association of Denmark, une association à but lucratif, témoignait aux côtés de William Binney, abondant dans son sens : « l’expérience danoise, basée sur des objectifs comparables à ceux de ce projet de loi, a abouti à la conclusion que les détails de connexion à Internet n’étaient pas vraiment très utiles au travail des forces de l’ordre ». Le Danemark a commencé à collecter ces données il y a dix ans, mais faute d’utilisation, le mécanisme s’est avéré inutile au bout de sept ans.

La moitié de la population était effectivement couverte, mais « la police n’a pas été capables de présenter un cas d’usage réaliste des enregistrements de communications pour les enquêtes ». La faute, notamment, à la manière dont les données transitent sur Internet, par paquets ne suivant pas forcément le même chemin.

Le commissaire britannique à l’information, Christopher Graham, est tout aussi sceptique. Pour lui, le gouvernement de David Cameron n’avance d’argument concret pour justifier 12 mois de rétention « au lieu de six ou de dix-huit ». Et de s’inquiéter de ce qu’il considère comme une importante atteinte à la vie privée : « un risque est créé par le fait d’amasser ces grandes quantités de données personnelles susceptibles d’être utiles ou non aux objectifs pour lesquels elles sont initialement collectées ».

L’intérêt des fournisseurs avant celui du public

Mais alors pourquoi cette course à la collecte de données en masse ? William Binney n’est pas tendre : pour lui, le renseignement britannique « a pris cette approche parce que la NSA l’a prise. Et la NSA l’a prise à cause de ses fournisseurs et de leurs intérêts économiques. Il y avait là beaucoup d’argent ». Et d’avancer une explication : « des agents ont pris leur retraite de la NSA pour aller travailler pour des fournisseurs et user de leur influence pour obtenir plus de contrats ».

Alors, sans ambages, il ajoute : « publiquement, je les ai accusés de vendre la sécurité des citoyens des Etats-Unis et du monde libre pour de l’argent. Et c’est ce qu’ils ont fait ».

Une affirmation que n’a pas semblé goûter la parlementaire conservatrice Victoria Atkins. Soulignant que la commission avait déjà reçu le témoignage de membres des forces de l’ordre et des services de renseignement en faveur du projet de loi, celle-ci lui a demandé : « êtes-vous en train de dire à cette commission que chacun de ces témoins se trompe et est susceptible, en fait, d’induire la commission en erreur ? »

« Je pense que oui », a répondu l’ancien directeur technique de la NSA.

Des nouveaux défenseurs du chiffrement

David Cameron avait promis, de retour de la grande marche pour Charlie Hebdo début 2015, d’interdire l’utilisation de systèmes de communication électronique échappant aux interceptions des services de renseignement. Le projet de loi qu’il cherche actuellement à faire adopter est ainsi par ailleurs susceptible de rendre illégaux les systèmes de communication personnelle n’offrant pas de point de clair aux autorités. Les attentats de Paris, mi-novembre, ont été l’occasion de nouvelles attaques à l’encontre du chiffrement robuste des communications personnelles.

Mais celui-ci s’est trouvé un nouveau défenseur, du moins pour l’instant, avec le gouvernement néerlandais. Dans une déclaration publiée ce 4 janvier, et traduite par Matthijs R. Koot en anglais, le gouvernement local souligne l’importance d’un chiffrement qui « permet à chacun d’assurer la confidentialité et l’intégrité des communications et de se protéger, par exemple, de l’espionnage et de la cybercriminalité. Les libertés et droits fondamentaux, ainsi que les intérêts économiques et de sécurité en bénéficient ».

Surtout, « la confidentialité des communications implique la protection de la vie privée, ainsi que le droit à la protection des correspondances ». Des droits garantis par la constitution – « y compris dans le monde numérique » – et qui auxquels contrevient « l’accès aux données et communications par les services judiciaires et les services de renseignement et de sécurité ».

Alors, si le gouvernement néerlandais « souligne l’importance des interceptions et écoutes légales », il reconnaît l’importance du chiffrement fort pour « la sécurité Internet, pour soutenir la protection de la vie privée des citoyens, pour les communications confidentielles par le gouvernement et les entreprises, et pour l’économie » locale.

En définitive, pour lui, « à cet instant, il n’est pas souhaitable de prendre des mesures légales restreignant le développement, la disponibilité et l’utilisation du chiffrement aux Pays-Bas ».

Avec nos collègues Fiona O’Cleirigh et Bill Goodwin de ComputerWeekly (groupe TechTarget).