Amaelle Guiton 📡 Profile picture
Journaliste @libe Enquêtes · Cyber, surveillance, désinfo etc. · Contact sécurisé : amaelle_g(at)https://t.co/MxXa4t5iwY · Aussi là : @amaelle-g.bsky.social

Sep 28, 2020, 53 tweets

La procédure dite «d'urgence absolue» prévue par la loi de 2015, i.e. autorisation du Premier ministre sans avis préalable de la CNCTR, n'a été utilisée qu'une fois, en décembre de la même année.

Quelques éléments sur les contrôles «sur pièces et sur place» effectués par la CNCTR : DGSI et DGSE ont droit à deux visites par mois.

Le président de la CNCTR a fait état dans son audition de trois «irrégularités sérieuses» depuis 2015. Une en 2018 : surveillance d'une personne «non visée dans l'autorisation initiale» + 2 en 2019 sur lesquelles la DPR n'avait pas d'éléments au moment de boucler son rapport.

Ces deux derniers cas sont explicités dans le dernier rapport de la CNCTR : il s'agissait de personnes «exerçant une profession ou un mandat protégés» (cnctr.fr/_downloads/c59…)

Dernier rapport dans lequel la CNCTR réclamait de pouvoir accéder aux fichiers dits «de souveraineté» (FSPRT, Cristina, etc. cf legifrance.gouv.fr/codes/id/LEGIA…) pour pouvoir exercer son contrôle a posteriori :

La DPR ne va pas jusque là (Francis Delon va être déçu) mais préconise tout de même que la CNCTR puisse accéder à ces fichiers quand elle est saisie d'un recours :

Puisqu'on parle de recours, une autre préco de la CNCTR (toujours dans le rapport 2018) était de l'ouvrir aussi en matière de surveillance internationale, selon les mêmes modalités que pour la surveillance intérieure :

Cette différence de traitement fait d'ailleurs partie des éléments que contestait l'eurodéputée néerlandaise Sophie In 't Veld devant le Conseil d'Etat, qui l'a déboutée en 2018 : liberation.fr/planete/2018/0…

Bref, pour la DPR, cette possibilité d'accès direct au juge ne se justifie pas :

Recours contentieux, suite : au 31 mai 2020, la formation spécialisée du Conseil d'Etat a rendu 25 décisions. Dans 24 cas, les requérants ne faisaient pas l'objet d'une mesure de surveillance.

(Le chiffre est intéressant car sauf erreur de ma part, quand la décision est rendue, on vous dit seulement s'il y a eu une illégalité ou pas.)

Sidenote : «aucune illégalité dans la mise en œuvre d'une technique de renseignement» ≠ «aucune illégalité du tout» car au moins une illégalité a été documentée, par @CamillePolloni qui en a fait les frais lesjours.fr/obsessions/vie…

@CamillePolloni Toujours au rayon des recours contentieux, la DPR se fait l'écho d'un problème soulevé par le président de la formation spécialisée du Conseil d'Etat... Elle n'a pas les «moyens techniques suffisants» pour instruire correctement les dossiers. Une paille.

Et en effet ça n'est pas un petit souci. Que faire ? Recruter un ou des geeks (ou en emprunter à la CNCTR ou à la Cnil), dit la DPR.

Dans les joyeusetés du recours contentieux en matière de renseignement, ceci : imaginons que vous ayez été surveillé illégalement et que le Conseil d'Etat, mettons, ait ordonné la destruction des données collectées. Vous ne saurez pas si la décision a été appliquée...

(encore faut-il d'ailleurs que vous ayez connaissance du contenu de la décision) et, si d'aventure elle ne l'avait pas été, vous ne pourrez pas faire un recours. Ici, le droit au recours, théoriquement possible, est inapplicable dans les faits.

Ce point a été soulevé par le président de la formation spécialisée du Conseil d'Etat : le législateur, cet étourdi, n'a prévu «aucune disposition spécifique pour garantir l’exécution, par les services de renseignement, des décisions rendues sur les techniques de renseignement».

En conséquence, la DPR propose de transférer ce droit au recours en cas d'inexécution à la CNCTR ou à la Cnil :

On passe au chapitre 2 (promis, ça va aller plus vite) sur le renseignement pénitentiaire. Au moment de la loi de 2015, ça avait été l'objet d'une fameuse bataille : Taubira voulait exclure la place Vendôme des donneurs d'ordre en matière de renseignement liberation.fr/france/2015/04…

Elle a perdu. En 2017 a été créé le Bureau central du renseignement pénitentiaire (BCRP). Avec une très forte hausse du nombre de cibles :

La hausse des effectifs est particulièrement parlante :

Dans la première partie du rapport, il était mentionné que le BCRP a bcp moins de difficultés techniques pour le recueil qu'il y a quelques années, suite à la mise en place d'une «unité technique commune» avec la DGSI.

Il se plaint en revanche de difficultés d'exploitation des contenus de conversation, faute de capacités de traduction suffisantes. Précos de la DPR : allongement de la durée de conservation + outils de trad / transcription automatisées

Celle-là, je ne l'avais pas vue venir : le rapport recommande d'«expertiser la possibilité» d'ajouter à la boîte à outils du renseignement pénitentiaire (second cercle, on le rappelle) les #BoîtesNoires

(Sous réserve que lesdites #BoîtesNoires soient pérennisées, certes)

Chapitre 3 : la maîtrise des risques. Avec deux aspects : l'habilitation (travail qui fait suite à l'attaque à la préfecture de police de Paris en octobre 2019) et la déontologie.

Sur les habilitations, un constat : la durée des enquêtes est à géométrie variable.

Cela dit la durée n'est pas le critère puisque les enquêtes menées par la DRPP (où travaillait Mickaël Harpon) sont qualifiées de «sommaires»

En gros, la DPR préconise de faire retravailler tout le dispo par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) en y associant Tracfin (jamais sollicité, dit le rapport) pour l'examen des situations patrimoniales :

Soupçons de radicalisation : à la DGSI, 12 enquêtes conduites depuis 2014, 3 retraits d'habilitation, 12 enquêtes en cours

Il est aussi question de la sécurité des systèmes d'information. La DRM «ne semble pas disposer d'alertes» en cas de fuites de données 🤔

(NB : Dirisi = Direction interarmées des réseaux d'infrastructure et des systèmes d'information)

Quant à la sécurité des réseaux de la DRPP (Direction du Renseignement de la préfecture de police de Paris), le moins qu'on puisse dire est que l'an dernier, ça laissait franchement à désirer :

Suit une partie consacrée à la déontologie. La DPR s'alarme de «dérives» d'anciens des services... en mélangeant pas mal les torchons et les serviettes :

Sur la fameuse (et fort intéressante !) conférence de 2016 d'un «ancien directeur technique de la DGSE» qui met manifestement les parlementaires de la DPR en PLS, lire : liberation.fr/france/2016/09…

Il semble que la DPR en ait surtout ras-le-bol d'être informée par la presse 😈 plutôt que par les services et veuille avoir la primeur des infos :

Ici, une petite pique à l'adresse des ex-espions qui se répandent sur les plateaux télé pour livrer leurs analyses pas toujours très étayées :

Extension du domaine des prérogatives (évidemment c'est le jeu) : la DPR se verrait bien en réceptacle des alertes relatives à la déontologie dans les services de renseignement

Elle voudrait aussi être informée des saisines du procureur de la République et des recommandations de la CNCTR :

(De fait, le contrôle parlementaire du renseignement à la française, ça n'est pas exactement l'équivalent de ce qui se passe de l'autre côté de l'Atlantique...)

Le chapitre 4 est consacré au renseignement dans l'espace. On ne va pas se mentir, j'ai lu vite et je ne suis pas sûre de tout bien comprendre, je vais laisser faire les experts. Passons directement au chapitre 5 qui parle de :

Je ne connaissais pas cette expression de «modes opératoires supposés» (russes, chinois, iraniens etc.) pour contourner le problème de l'attribution, de fait plus efficace que toutes les périphrases utilisées aux beaux temps de la chronique #Wargames (liberation.fr/apps/2019/01/c…)

Quelles sont les missions des services de renseignement en matière de cyberdéfense ? Eh bien, on ne saura pas tout :(

En matière de détection des cyberattaques, là où l'Anssi a ses capteurs dans les ministères, les services de renseignement détectent «plus au loin». Comment ? Là encore, il faut faire travailler son imagination.

Le point #Attribution : selon le rapport, pas la came des autorités FR qui veulent conserver un «dialogue stratégique opérationnel franc et direct» y compris avec les pays qui ciblent l'Hexagone.

Dans les faits c'est plus compliqué. D'abord parce que la France s'est rapprochée de très près d'une attribution, dans le cas de Turla, en janvier 2019 : liberation.fr/france/2019/01…

Ensuite parce que certains ont déjà évoqué cette possibilité, p.ex. Guillaume Poupard, le DG de l'Anssi, en janvier 2020 liberation.fr/france/2020/01…

Et d'ailleurs c'est bien dans un cadre européen qu'ont été prononcées des mesures restrictives visant des ressortissants chinois et russes et des entités russe, nord-coréenne et chinoise #CQFD eur-lex.europa.eu/legal-content/…

La «neutralisation des effets» d'une attaque informatique sous l'égide de l'Anssi, telle que prévue dans le Code de la défense, n'a encore jamais été mise en œuvre :

On termine la partie #cyber avec des nouvelles de la concurrence française à Palantir, dont le contrat avec la DGSI avait fait grincer pas mal de dents (c'est peu de le dire).

Le document se clôt avec un rapport dans le rapport, celui de la commission de vérification des fonds spéciaux (aka CVFS). Sans surprise, ça ne déborde pas de chiffres.

(Et on n'en saura pas plus sur les «investissements pluriannuels très consommateurs de fonds spéciaux» de 2015.)

C'est la fin de ce (très très très) long thread. Il semblerait qu'il ne soit pas cassé ✌️ Article à venir pour résumer tout ça.

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling