Malgré les efforts d’une poignée de parlementaires, la situation les lanceurs d’alerte en matière de sécurité informatique demeure la même depuis 20 ans. Le petit monde de la sécurité a, lui, bien évolué, les attaques, leur impact sur les sociétés privées ou les administrations aussi. La seule chose qui semble immuable, c’est la vision manichéenne du législateur, de ceux qui pensent savoir, qui imposent des lois, comme pour nous imposer un curseur moral. Comme si nous avions besoin d’un curseur moral, imposé par des personnes qui dans 99% des cas ne comprennent pas la porté des problématiques auxquelles nous sommes quotidiennement confrontés. Pourquoi devrions nous nous laisser guider par un législateur qui fait le choix de placer l’ensemble de sa population sous surveillance ? D’appliquer des mesures antiterroristes à l’ensemble de la population ? Comme s’il en avait peur…

Nous n’avons pas peur de vous, nous aurions pourtant des raisons d’avoir peur à chaque fois que nous tirons sur un fil et qu’une pelote se déroule, mais ce n’est pas le cas.

Nous reconnaissons l’importance de vos responsabilités dans la recherche d’une meilleure société, d’un équilibre. Mais cet équilibre, volontairement (combien d’évadés fiscaux poursuivis ?), ou pas (combien de lanceurs d’alertes poursuivis sur des problématiques qui vous dépassent parce que la compréhension de l’impact de la non-action vous est étranger ?), vous le brisez. Vous devenez le layer 8 de notre modèle démocratique, un modèle qui fonctionne pourtant tellement mieux que le vôtre.

En matière de « criminalité informatique », j’en suis à ma seconde affaire, toujours sans plaignant ni victime. Cette fois ci, on me reproche d’avoir mis en évidence, pas écrit, juste copié-collé, un bout de code qui aurait servi à attaquer le site des impôts. À cette période, ce n’était pas un seul site ministériel qui était pourtant menacé mais Gandi, un hébergeur qui croulait sous de violentes attaques par déni de service. Ce n’est pas un site mais des dizaines, centaines de milliers qui étaient menacés d’indisponibilité. Cette publication a permis de les faire cesser. Mais non… un magistrat a trouvé fin de me poursuivre, avec un dossier vide, sans même qu’il soit établi que la personne qui s’est attaquée au site des impôts était venue s’emmerder à utiliser le script du proof of concept que j’avais publié alors que le binaire (prêt à cliquer), se trouvait alors et se trouve toujours sur d’autres sites.

Ce genre de petites blagues de la justice a un coût financier et personnel que vous aviez l’opportunité de nous épargner. Car je suis loin d’être le seul dans ce cas. Il existe des cas bien pires que le mien. J’ai encore en tête celui de Serge Humpich, qui a démontré il y a plusieurs années une vulnérabilité sur les cartes bleues. Serge a été victime d’un harcèlement juridique dont nous n’avons pas même idée. Serge avait pourtant tout fait correctement, alerté les bonnes personnes… Il a payé ce service rendu à toute la société au prix fort, pendant plusieurs années. Pourtant sans Serge, nous sommes des millions qui aurions pu voir nos comptes bancaires vidés du jour au lendemain sans qu’aucune explication ne soit donnée puisqu’aucune loi n’oblige une banque à avouer qu’elle a été victime d’un vol ou d’une intrusion.

Vous n’avez donc pas fait le choix de nous l’épargner, pire, vous avez fait le choix de tenter de nous faire taire… Sans même avoir la moindre conscience qu’une brèche sur des données personnelles ouvre naturellement la porte à d’autres brèches, sur d’autres applications, brèches qui se traduisent dans la vie réelle par des vols de données qui pénalisent chaque années des millions de gens. Vous avez fait le choix de l’obscurantisme « surtout ne pas dire que 200 000 mots de passe sont dans la nature, peu importe qu’ils soient réutilisés sur d’autres sites »… Bravo. On ne parle pourtant pas de « transparence », on parle de bon sens.

Quand Michel Sapin se targue d’une avancée significative pour le statut de protection des lanceurs d’alerte, je ricane… Une exemption de peine… Quelle rigolade. Qu’est-ce qu’une porte défoncée à 6h du matin, 48h de garde à vue et quelques milliers d’euros pour se défendre après tout ?… Pour avoir aidé des gens à en protéger d’autres.

Parallèlement, les sociétés ou administrations, qui sont pourtant rarement étrangères à ce que nous découvrons, ne sont jamais inquiétées, ou très, très rarement. La CNIL fait ce qu’elle peut avec les moyens qu’on lui donne et nous reconnaissons que l’art de la défense est plus complexe que celui de l’attaque. Mais c’est très rarement qu’un système d’informations se retrouve compromis par une vulnérabilité inconnue (un 0day), l’immense majorité se retrouvent compromises par des vulnérabilités dont les correctifs sont disponibles depuis des semaines, des mois…
Chaque structure, en fonction de ses moyens et du patrimoine informationnel qu’elle doit protéger actera pour une politique sécuritaire qui lui est propre. Toutes ne peuvent appliquer le bottin téléphonique de l’ANSSI pour protéger leur patrimoine informationnel, c’est ça la réalité de terrain. Et l’ANSSI, elle a probablement des choses plus sérieuses à faire avec nos équipements industriels connectés qu’à se voir devenir la plateforme d’intermédiation entre un internaute qui tombe sur des données personnelles et une PME.

Et pendant ce temps, nous tombons tous les jours sur vos adresses mail @**.gouv.fr en accès public sur des sites web de sex shops, c’est limite si nous ne connaissons pas les pratiques sexuelles de certains… que nous ne rendons pas publiques, non, on s’en fout, ce n’est pas pour ça que nous vous confions vos mandats. Mais peut-être qu’un jour vous prendrez conscience de la monumentale erreur que vous faites, par exemple en ne rendant pas obligatoire la communication sur une brèche qui a conduit à une fuite de données personnelles. Cet obscurantisme nous conduira, un jour, à quelque chose de bien plus grave.

NextInpact nous apprend que les députés ont repoussé avec un certain dédain un amendement (dit « Bluetouff ») visant à protéger les « hackers » qui signalent à un site poreux ses failles informatiques. Citant les jurisprudences Kitetoa, Zataz et Bluetouff, les députés qui poussaient cet amendement voulaient éviter des poursuites indues pour accès et/ou maintien dans tout ou partie d’un système de traitement automatisé de données aux personnes qui découvriraient une faille au hasard de leur surf.

Personne ne demande aux députés d’être des experts de tous les sujets sur lesquels ils légifèrent. Mais on est en droit d’espérer qu’ils sont équipés d’une toute petite dose de bon sens. Bien entendu, les votes à répétition de lois sécuritaires aussi inefficaces que liberticides pouvaient laisser planer un doute.

Les révélations quotidiennes sur les mensonges, les arrangements, les renvois d’ascenseurs ont peut-être fini de dégoutter une majorité de Français de la politique.

Visiblement, sur le sujet de l’amendement Bluetouff, il leur manque un peu de background en matière de sécurité informatique et ils font preuve d’un manque certain de bon sens. Ces quelques lignes d’un ex-cyber-criminel (pour avoir signalé aux magasins Tati une fuite de données personnelles de leurs clients) les aideront peut-être à mieux comprendre la portée de leur rejet de cet amendement.

Je suis vieux. Je promène ma projection numérique sur les réseaux informatiques depuis… Depuis avant l’arrivée d’Internet en France. Sur ce point je suis moins vieux que d’autres, mais ce qui est certain, c’est que je suis bien plus vieux que les députés dans ce domaine.

Dans le temps, il parait que l’on écoutait la parole des anciens, parce qu’ils avaient, disait-on, atteint une sorte de sagesse, ils avaient vu des choses, en avaient tiré des enseignements, généralement pas trop idiots. Aujourd’hui, la morgue des députés (et de certains journalistes – il faut savoir avoir du recul sur sa propre profession) est telle que les vieux sont voués aux gémonies.

Alors voilà, chers députés, laissez moi vous dresser un portrait de ce qui va se passer.

Les infrastructures informatiques sont une passoire. Pas une petite passoire. Une monumentale passoire. Tout est accessible à distance. Il suffit de disposer de deux choses assez répandues : du temps et des connaissances techniques.

Chers députés, vous pensez que Linkedin (j’imagine qu’ils y ont un profil donc je tente de leur parler d’un truc qu’ils connaissent) ne dispose pas d’une armée d’informaticiens dédiés à la protection de ce qu’ils ont de plus précieux (les informations et donc la confiance de leurs clients) ? Et pourtant… Les identifiants et les mots de passes de leurs clients se sont retrouvés dans la nature.

Donc, imaginez vos sites gouvernementaux, les sites universitaires, les sites d’entreprises privées, les messageries, les clouds variés, tout cela, est une passoire.

Ah ? Vous êtes zoophile tendance teckels morts ?

Comme je vous le disais, je suis vieux. Et à l’époque où Internet est arrivé, nous n’étions pas nombreux à nous intéresser aux problématiques de sécurité informatique. Nous nous sommes donc « trouvés ». Qui ça ? Les hackers qui vous effrayent tant. J’ai donc passé des années en compagnie d’une bonne partie de ceux que je considère comme les meilleurs. L0pht, Rhino9, ADM, w00w00, cDc autant de groupes de dangereux terroristes de fabuleux esprits qui ont façonné par leurs trouvailles la sécurité informatique d’aujourd’hui. Si vous êtes un peu mieux protégés aujourd’hui, c’est grâce à eux.

Votre dédain pour leurs activités vous empêchent de les remercier. Je sais.

C’est dommage parce que franchement, vous leur devez beaucoup. Je vais vous donner un exemple simple à comprendre.

Lorsqu’un sex-shop en ligne français ayant pignon sur rue était mal  protégé, les adresses mail de 10.000  clients fuitaient sur le Net.

Ça ne vous regarde pas ? Vraiment ?

Un peu quand même…

Bien entendu, j’aurai pu suivre mes habitudes, prévenir les administrateurs du site. Leur dire que quand même, laisser tous les mails des clients dans un fichier « mail.txt » à la racine du site, accessible avec un simple navigateur, en ajoutant le nom du fichier après l’adresse du site, c’était un peu idiot. Mais avec vos décisions, je serai plutôt enclin à ne rien dire. Ne vous y trompez pas, si je ne dis rien, cela ne veut pas dire que vos données seront protégées. Quelqu’un d’autre les trouvera. Et il en fera sans doute un usage moins respectueux de la vie privée que moi, Bluetouff ou Zataz.

Mais revenons à des sujets mois frivoles.

Les sex-shops, c’est rigolo, cela fournit une illustration généralement assez parlante des dangers liés à l’insécurité informatique. Mais parlons de choses qui fâchent. En passant des années aux cyber-côtés des meilleurs hackers, j’ai vu des choses bien pires. Ils n’ont jamais rien mis en péril, jamais tiré un profit de ce à quoi ils accédaient. Mais d’autres auraient pu. Et si vous avez la trouille pour vos données personnelles stockées sur un sex-shop pouvant révéler vos préférences sexuelles, imaginez le reste. Des entreprises de haute technologie transformées en gruyères, des banques devenant soudainement transparentes, qui pourraient être précipitées dans une crise qui dépasse votre imagination, en quelques clics…

Que leur direz-vous après la catastrophe ? Ah, désolés, on avait l’occasion de protéger les gens qui voulaient signaler de bonne foi des failles dans votre système mais on l’a écartée. Ils se sont tus pour éviter un procès long, coûteux, épuisant, et d’autres ont explosé votre système d’information. Désolés… ?

 

Mediapart et Reflets ont révélé hier la nature du programme IOL (Interceptions Obligatoires Légales) et des relations commerciales entre Qosmos et le gouvernement français. Mediapart en a profité pour nous remettre à l’esprit le bien joli morceau de pipeau de Jean-Jacques Urvoas. À l’époque président de la délégation parlementaire au renseignement, notre ministre de la Justice répondait à une question d’Edwy Plenel concernant très précisément Qosmos :

« Je n’ai jamais rencontré, depuis que je suis (…) président de la délégation parlementaire au renseignement, cette structure, je n’ai jamais entendu qu’elle soit un prestataire de qui que ce soit, en tout cas pas pour les organes qu’il m’arrive de fréquenter »

S’il ne fréquentait pas les bons organes, le bon Jean-Jacques fréquentait apparemment le même club de flûte qu’un certain nombre de ses petits copains, que Mediapart a, assez injustement, oublié de citer. Lors des débats publics sur la loi renseignement, la députée Laure de la Raudière interrogeait ainsi notre ministre des interceptions administratives, des grenades de désencerclement et des coups de tonfa dans la tronche, Bernard Cazeneuve :

« Allez-vous utiliser la technique du deep packet inspection pour recueillir les données ? »

Notre ministre, saisissant prestement son fifre :

« Madame de La Raudière, nous avons déjà échangé sur cette question, je ne sais pas si vous vous en souvenez. Lorsque nous discutions de la loi du 13 novembre 2014 et que nous évoquions la question du blocage administratif des sites, vous m’aviez déjà demandé si nous utilisions la technique du DPI. J’avais alors déclaré devant l’Assemblée nationale qu’il était hors de question d’utiliser cette technique, et je le confirme. »

Las de répéter encore et encore la même rengaine, l’inlassable Bernard déroulait pourtant impeccablement sa partition :

« Je vous confirme ce que j’ai dit de façon inlassable depuis des jours et des semaines – mais à peine la réponse est-elle donnée qu’elle est oubliée, et il faut y revenir ; ce n’est pas vous que je vise en l’occurrence, madame de La Raudière, mais plutôt le brouhaha ambiant et le vacarme médiatique. »

Pas facile de jouer du galoubet au milieu du « brouhaha ambiant » et du « vacarme médiatique », hein ? Et de conclure :

« Nous n’utiliserons pas cette technique. C’est très clair. Je l’ai déjà dit au mois de novembre et je le répète aujourd’hui. (…) Nous n’utiliserons donc en aucun cas cette technique du DPI. »

Cette réponse avait un peu ébouriffé certains commentateurs. En effet, les données collectées, les fameuses métadonnées, sont situées au niveau applicatif. Elles ne sont en principe pas traitées par les opérateurs télécoms qui n’ont besoin que des informations situées dans les couches les plus basses (adresses IP par exemple) pour assurer le routage des paquets. Dès lors, pour les récupérer, les sondes doivent nécessairement aller inspecter le contenu desdits paquets pour en extraire la substantifique moelle.

Deep Packet Inspection. Qosmos. Boîtes noires. Flûte à bec.

Notre orchestre ne saurait être complet sans Eduardo Rihan-Cypel, député, vice-président du groupe à l’Assemblée Nationale, membre de la commission de la Défense nationale et des forces armées, ancien membre de la commission d’enquête parlementaire sur les services de renseignement, auquel nous souhaitons rendre un vibrant hommage. Le type est tellement doué qu’il arrive à jouer de l’ocarina sans les mains. Si, juré. À tel point que le mélomane Cambadélis l’avait nommé « secrétaire national à la riposte et aux arguments ». Sans rire.

Interrogé par Jean-Marc Manach (à partir de 38:30) sur la mise en oeuvre du DPI et sur les dénégations de Bernard Cazeneuve, il avait réussi l’exploit de hocher la tête, les bras ouverts, auto-satisfait façon « Ah, je vous l’avais bien dit ! Alors, c’est qui le boss du matos ? » pendant qu’Alexandre Archambault, qui connaît un tout petit peu le sujet, était en train de lui enfoncer sa riposte et ses arguments dans l’oreille droite le contredire. Non, sérieusement, courez visionner cette performance artistique. « Moi j’ai juste vu sur Wikipédia, très bêtement », dit-il. Le talent.

Pas de Qosmos, pas de DPI… Alors les flûtistes, on va pas vous demander de vous excuser. Non, c’est pas notre genre. Et surtout c’est pas le votre. Mais on va quand même vous poser une colle. Sur la première page du document de Qosmos à propos des Interceptions Obligatoires Légales, il y a marqué quoi ?

Les autres, vous dites rien.

Mediapart et Reflets viennent tout juste de vous révéler IOL, ou comment dès 2006, la FRance déployait un dispositif qui se positionnait aux frontières de la légalité. IOL est le second projet « confidentiel défense » après Kairos et apparu au cours de nos investigations sur la société Qosmos, sur lequel nous pouvons aujourd’hui faire la lumière. IOL porte donc sur les interceptions dites de sécurité, que l’on opposera aux interceptions judiciaires qui se font sous le contrôle d’un juge. IOL est piloté par le GIC qui répond au cabinet du premier ministre. Cette infrastructure est-elle isolée ou transverse à celle de la PNIJ, la plateforme nationale des interceptions judiciaires ? Difficile de concevoir que l’Etat double ce genre d’infrastructure assez coûteuses.

IOL est un projet important de par sa volumétrie, initié en 2005, on parlait déjà pour 2006 de 6000 DSLAM sondables, jusqu’à couvrir 99% du trafic résidentiel en 2012. Quelques points demeurent assez mystérieux à propos d’IOL, sa classification « secret défense » n’est pas faite pour délier les langues, notamment sur le coût réel de ce projet, sur son efficacité, ses usages réels et surtout, sur ce qu’il est devenu, aujourd’hui, dans une France en situation d’état d’urgence permanent.

Peu importe le nom qu’on lui donne : IOL, boites noires, algorithmes… ce dispositif est massivement déployé, ce depuis 2009. La loi est certes venue patcher l’a-légalité du dispositif, mais elle l’a fait tardivement (en 2015). Que s’est il réellement passé entre 2009 et 2015 ?

La légalisation de ce dispositif à coup d’empilement de lois antiterroristes ne va t-il pas nous amener à une utilisation de ce dispositif dans une optique plus massive, plus systématique ? La problématique de l’antiterrorisme, c’est aujourd’hui la détection de signaux faibles. Quoi de plus tentant qu’utiliser cette infrastructure IOL pour tenter de détecter ces signaux faibles… à coup d’algorithmes.

Les limites techniques connues de l’interception par inspection en profondeur des paquets sont :

• la gestion d’un flux de données important qui rend l’extraction vite coûteuse en termes de ressources ;
• un stockage /archivage des communications vite très coûteux pour faire de l’extraction à postériori et ainsi palier la carence que représente un nombre limité de règles quand on fait du temps réel.
• un trafic chiffré toujours plus important qui rend les sondes aveugles : si le contenu est chiffré, on intercepte du trafic chiffré, mais il reste les métadonnées qui elles ne le sont pas. Ce n’est donc pas si inintéressant que ça. Ainsi un signal faible peut être détecté comme suit : x échange sur Facebook avec des profils suspects, il utilise en parallèle la messagerie chiffrée Telegram tous les jours de telle heure à telle heure. Cette détection peut ensuite donner lieu à une surveillance ciblée ou à une perquisition électronique à distance.

Il n’y a cependant pas besoin de faire du massif pour que des usages pernicieux d’IOL soient envisageables. A l’heure des mouvements de contestation contre la loi travail ou du mouvement Nuit Debout, IOL est une véritable arme nucléaire capable de tuer dans l’oeuf tout mouvement citoyen de contestation. En donnant à manger les bonnes règles de configuration aux sondes d’IOL, on peut ainsi monitorer en temps réel un mouvement de grogne, détecter les meneurs, les placer sous surveillance rapprochée, les infiltrer. 

IOL est un outil effrayant car il sait surveiller autre chose que des personnes, il sait aussi surveiller des idées.

Si une telle dérive venait un jour à être révélée, et elle le sera forcément, nous entrerions dans une ère inquiétante, une ère où la notion de liberté d’opinions serait biaisée, où l’autocensure serait la norme.
Tout ceci n’est pourtant qu’une étape, la détection de signaux faibles implique d’importantes masses de données manipulées, elle implique le couplage des techniques d’interception à des outils de deep learning.

Si un outil comme Palantir intéresse le Secrétariat général pour la modernisation de l’action publique (SGMAP) et la Direction générale des finances publiques (DGFP), on peut aussi imaginer qu’il intéresse de près le GIC et les services de renseignement, et si Palantir peut probablement se montrer efficace à Bercy, il ne faut pas perdre de vue que sa vocation première, c’est la lutte antiterroriste.

Difficile de concevoir que les services ne s’intéressent pas à l’exploitation de gros volumes de données pour la détection de signaux faibles, le nerf de la guerre contre le terrorisme. Difficile également dans ces conditions de tabler sur des durées de rétention raisonnables et légales pour parvenir à de tels objectifs. Si ces pratiques ne sont pas déjà en place aujourd’hui, elles le seront certainement demain.

Lorsque les enquêteurs se sont penchés sur les activités de Qosmos dans le cadre de poursuites pour une éventuelle complicité de torture en Syrie, ils se sont vus opposer le secret-défense pour quatre « clients » de l’entreprise. Ceux-ci disposaient de codes : KAIROS, CHARLIE, IOL et DELTA. Le Monde a levé le voile sur le projet KAIROS. Selon le quotidien, il s’agit de la DGSE. Restent trois autres clients mystérieux. Le voile se lève doucement sur IOL.

Selon des documents que Mediapart  (lire leur article ici) et Reflets ont pu consulter et les personnes qui ont accepté d’évoquer IOL, il s’agit d’un projet d’interception « légale » chez tous les grands opérateurs, soit  à peu près 99% du trafic résidentiel. Ce projet a été imaginé en 2005. Le cahier des charges terminé en 2006 et le pilote lancé en 2007. La généralisation à tous les grands opérateurs s’est déroulée en 2009. Dans le cadre de IOL, des « boites noires » avant l’heure étaient installées sur les réseaux des opérateurs, mais ceux-ci n’y avaient pas accès. Il s’agissait d’écoutes administratives commandées par le Premier ministre et dont le résultat atterrissait au GIC.

Selon un document interne de Qosmos, dimensionné pour permettre de l’interception sur 6000 DSLAM, IOL, pour Interceptions Obligatoires Légales, pouvait analyser jusqu’à 80 000 paquets IP par seconde. Un DSLAM pouvant accueillir à l’époque entre 384 et 1008 lignes d’abonnés, c’est entre 2,3 et 6,04 millions de lignes qui étaient alors concernées par ce projet pour la seule société Qosmos. Du massif potentiel. Déjà en 2009. A l’inverse donc, de tous les discours officiels entendus au moment des révélations Snowden et des discussions autour de la Loi sur le Renseignement… En France, on  pêche au harpon, paraît-il, pas à la grenade. Bien entendu, on peut concevoir que l’objectif n’était pas d’écouter 6 millions de foyers (pour un seul opérateur) au même instant et tout le temps. D’autant qu’à l’époque, il n’est pas certain que les moyens de traitement efficaces étaient disponibles.

Dans le cas d’IOL, l’outil décrit permettrait d’intercepter les communications électroniques d’un quartier, d’une ville, d’une région ou un protocole spécifique. Ce n’est pas du systématique, comme le fait la NSA, mais c’est une capacité d’interception qui peut très vite glisser vers du massif qui a été installée en coeur de réseau chez tous les grands opérateurs. Les mots ont un sens…

« Quelques faucons dans les cabinets ministériels se sont dit qu’il y avait matière à mutualiser l’infra existante pour faire de l’analyse de trafic à la volée, ils ont vu que dans la série « 24 heures » ça se faisait…« , indique un brin acide un responsable d’un opérateur qui a vécu l’installation du projet. Mais tempère-t-il, à l’usage, cette infrastructure était inopérante pour du massif. Pour plusieurs raisons. L’une étant l’évolution des infrastructures, une autre étant le volume important du trafic chiffré et enfin, la dernière étant qu’il existe une grosse différence entre un démonstrateur (une maquette) et la vraie vie…

Reste que dans le cadre d’IOL, les interceptions du trafic Internet des Français s’opéraient en temps réel, et de façon déportée. Les grandes oreilles avaient donc accès aux données et aux métadonnées en temps réel.

Étonnant, lorsque l’on sait que la pêche aux données en temps réel auprès des opérateurs n’a été rendue possible que par la Loi de Programmation militaire (LPM) de 2013 et par un décret publié en décembre 2014. On comprend mieux l’invention par les autorités et les services du mot jargonneux « a-légal » pour justifier une multitude de pratiques… Non légales. En tout cas prévues par la Loi.

Si  la bonne utilisation était, selon les documents de Qosmos, plutôt de définir une cible, et de donner pour instruction à l’ensemble des sondes de repérer et collecter le trafic de cette cible, était-elle, forcément humaine ? Si la cible est par exemple un réseau social ou un type de comptes mails (Yahoo Mail, GMail,…),  ou encore un protocole (IRC, SIP, Jabber…), on peut très vite franchir une ligne rouge.

D’autant que le document de Qosmos précise qu’il est possible de définir comme cible… des plages d’adresses entières. Et pas seulement des plages de 254 adresses IP…  Le document évoque des classes B, soit 65 534 IPs simultanées. Insérer une telle fonctionnalité (qui permet du massif) pour ne pas s’en servir semble pour le moins incongru.

Ces précisions techniques figurent dans le document de configuration pour « la sonde Qosmos ixM IOL » datant de 2009, dans le cadre du projet d’interception légale IOL. Ce projet est bien devenu réalité puisqu’en octobre 2012, le directeur juridique de Qosmos indiquait aux enquêteurs que IOL était une « société » « cliente » de Qosmos. En outre, en Juillet 2012, Qosmos produisait un patch (mise à jour/correctif) de son produit vendu sous le nom de code IOL. Il s’agissait de la « release 2.1.3 ». Qosmos indique s’être retirée du marché de l’interception légale en 2012. Qui entretient aujourd’hui l’infrastructure technique IOL mise en place ? Mystère…

Pourtant, cette question n’est pas innocente. Tout au long de l’instruction qui la vise pour la vente d’un système d’interception global à la Syrie, Qosmos a axé sa défense sur le fait que lorsque ses sondes n’étaient pas mises à jour, elles devenaient inutilisables. Soit le beau jouet du GIC ne fonctionne plus depuis 2012, soit Qosmos continue d’entretenir les sondes, soit un autre prestataire a pris le relais. Reste que la liste des protocoles siphonnables est bien à récupérer auprès de Qosmos, qui la tient à jour dans son ProtoBook.

« Les opérateurs n’avaient pas le contrôle sur les infrastructures, ils se conformaient aux dispositions légales, c’est à dire à la Loi n°91-646. Celle-ci a été toilettée discrètement à l’été 2004 pour remplacer téléphone par communications électroniques (transposition des paquets télécoms oblige), et hop, ça permet de tout faire », indique un salarié d’un opérateur. Ceux-ci n’avaient pas de contrôle sur ces invités surprises dans leurs réseau, mais ils ont su, pour certains tout du moins, mettre en place quelques mesures de protection. « Des opérateurs qui maitrisent plutôt bien leur réseau l’ont conçu pour que ce dernier fasse échec à toute fonctionnalité non documentée qui pourrait être mis en oeuvre par la brique logique (sous contrôle Etat, via le prestataire retenu) du dispositif d’interception (au hasard une interception qui ne correspondrait pas à une décision transmise par le GIC, une volumétrie qui excéderait ce qui a été convenu au regard du contingentement des interceptions de sécurité)« , précise ce cadre d’un opérateur.

François Fillon, un premier ministre à l’écoute ?

En novembre 2014, Jean-Marie Delarue, président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), lançait un cri d’alarme à propos des écoutes administratives. Mediapart rendait compte de cette prise de position inhabituelle :

« Le « dispositif actuel n’est pas satisfaisant », a-t-il affirmé à l’occasion de son audition par la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale. « Et  le risque est grand de voir se développer de nouvelles approches plus  ou moins intrusives sans dispositions législatives et donc sans les  garanties qui entourent les interceptions de sécurité » »

(…)

« Outre les questions de moyens, son successeur estime surtout que les  garde-fous prévus par la loi sont loin d’être suffisants. Le nouveau  patron de la CNCIS regrette tout d’abord que son institution ait été  dépossédée de son droit de regard prioritaire au profit de cette « personnalité qualifiée », « dont les qualités personnelles ne sont pas en doute mais sur l’indépendance de laquelle on peut légitimement s’interroger ». « Il a été reconnu en ce domaine le contrôle de la CNCIS », précise-t-il, « mais c’est un contrôle a posteriori et c’est la personnalité qui donne toutes les autorisations nécessaires. Je le regrette. » »

(…)

« Le patron de la CNCIS a également évoqué « les pratiques éventuellement illégales des services » qui « doivent cesser » en proposant « un renforcement du code pénal sur les éventuelles infractions ». »

A propos de la personnalité qualifiée et de Matignon dont dépendent les interceptions administratives sur lesquelles reposaient IOL… Fin septembre 2010, le Canard Enchaîné révélait que Jean-Paul Faugère, ancien préfet d’Alsace et alors directeur de cabinet de François Fillon, avait signé une lettre classée « confidentiel-défense » permettant à Matignon, d’obtenir un « accès sans contrôle » à des écoutes téléphoniques, sans en référer à la commission compétente. Une commission de contrôle, c’est tellement désuet et inutile…

Comme lors de nos précédentes enquêtes sur ses activités, la société Qosmos a refusé de répondre à nos questions. Matignon s’est également muré dans le silence en dépit de nos nombreuses relances. Même mutisme de la part des opérateurs comme Orange ou Free.

Au delà de la mise en place d’une infrastructure qui sur le papier pourrait être utilisée dans le cadre des « Boîtes Noires » de la Loi Renseignement, une autre problématique se pose. Qosmos fait actuellement l’objet d’une instruction pour complicité de torture. Une justice sereine peut-elle être rendue alors que cette entreprise est à ce point liée aux services de renseignement en particulier et aux gouvernements successifs en général ?