[@libe] [Reportage] Plongée dans les sous-sols de l'hôtel des Invalides, là où est installé le Groupement interministériel de contrôle (GIC), discret service de Matignon qui centralise les écoutes administratives du #renseignement français. liberation.fr/societe/police…
Pour le GIC, la loi renseignement de juillet 2015 a été un «big bang», explique son directeur. Et pour cause. A la centralisation des écoutes et des métadonnées s'est ajoutée celle des outils espions «de proximité» : balises, micros, caméras (hors DGSE et DGSI, tout de même).
Post-2015, c'est aussi la normalisation administrative. Jusque-là, le GIC était certes sous l'autorité de Matignon, mais... rattaché administrativement à la DGSE, d'où était issu l'essentiel de son personnel. Héritage des années 60. Aujourd'hui, il est adossé au SGDSN.
Son budget, intégralement puisé jusqu'en 2015 dans les fameux «fonds spéciaux» dévolus aux activités secrètes de l'Etat, a rejoint (pour l'essentiel) les fonds normaux : 29 millions d'euros dans la loi de finances 2021.
Le GIC compte aujourd'hui une bonne moitié de contractuels, évolution des profils oblige. On y recrute des ingénieurs, on y développe les outils destinés aux «exploitants», les membres des services de renseignement qui viennent dans ses locaux écouter leurs cibles ou «objectifs».
Car une «interception de sécurité», ce ne sont pas seulement des conversations téléphoniques ou des SMS, mais aussi des «flux numériques». Majoritairement chiffrés, mais néanmoins riches de métadonnées révélatrices. (On a pu voir l'appli qui en extrait la substantifique moëlle.)
Le GIC a aussi équipé le gendarme des écoutes, la Commission nationale de contrôle des techniques de renseignement (CNCTR), en outils informatiques sécurisés.
Avec une conséquence très concrète : depuis ses locaux, le contrôleur peut aujourd'hui voir «tout ce que recueillent et produisent les services pour un assez grand nombre de techniques», dixit Francis Delon, le président de la CNCTR, lors d'une audition récente. Ça progresse.
Le lien vers l'audition en question, devant la commission de la Défense de l'Assemblée, le 12 mai 2021 assemblee-nationale.fr/dyn/15/comptes…
C'est aussi au GIC que tournent les algorithmes chargés de détecter des «connexions susceptibles de révéler une menace terroriste», aka les «boîtes noires». Depuis 2017, trois ont été mises en œuvre.
Pour les détails, c'est à lire ici : «"Boîtes noires" : des algorithmes pour aiguiller les écoutes» liberation.fr/societe/police…
Dixit un rapport remis par le gouvernement au Parlement l'an dernier, les algorithmes tournent aujourd'hui sur «l’équivalent des données de facturation (également appelées CDR pour “Call Detail Record”, et qui portent uniquement sur les communications “classiques”...
tels que les appels téléphoniques, les SMS ou les consultations de répondeurs) des opérateurs téléphoniques français.» Cette collecte de «CDR», réalisée auprès des 4 opérateurs français de réseaux télécoms, est exhaustive.
Et demain ? Le projet de loi «antiterrorisme et renseignement» étend le champ des «boîtes noires» aux «adresses complètes de ressources sur Internet». Ce qui permet d'inclure les URL sans avoir à discriminer entre les pures données de connexion et les données «mixtes».
(Par «données mixtes», la Cnil et la CNCTR entendent les données de navigation qui renseignent sur le contenant ET sur le contenu, par exemple une adresse de page web comme «liberation .fr/article_sur_les_boîtes_noires» qui permet de savoir ce que vous avez lu.)
L'objectif, plus globalement, est de pouvoir étendre le périmètre des algorithmes aux «traces de navigation». Cette collecte-là (toujours auprès des 4 opérateurs de réseaux) ne pourra pas être exhaustive. Il faudra filtrer à tous les étages...
... et donc, en premier lieu, déterminer quels sont les types de données de connexion IP «intéressantes» pour les services de renseignement en charge de l'antiterrorisme.
Techniquement, c'est une autre paire de manches que la duplication des données de facturation téléphonique (que les telcos centralisent pour leurs propres besoins). Mais il y a déjà des «briques» en bout de chaîne.
Depuis la loi de 2015, est en effet autorisé le recueil de données de connexion en temps réel pour des personnes «susceptibles d’être en lien avec une menace» terroriste : legifrance.gouv.fr/codes/article_…
(A signaler, au passage, que cette technique est celle pour laquelle la progression en %, entre 2016 et 2020, des demandes des services de renseignement est la + forte : de 368 à 1644 soit +346,7%, cf les chiffres donnés par la CNCTR dans son rapport 2020 cnctr.fr/_downloads/004…)
Et donc l'extension du périmètre des «boîtes noires» à des données de connexion IP s'appuiera (entre autres, sans doute) sur des outils déjà existants.
Je l'écrivais plus haut, la CNCTR peut accéder à bcp d'éléments, notamment via les outils du GIC. Mais elle ne peut pas tout voir. Son rapport 2020 soulève, à nouveau, la question des «fichiers de souveraineté» : «refus presque unanime» des services de la laisser y mettre le nez.
Refus motivé notamment par le fait que ces «fichiers de souveraineté» peuvent inclure «des données communiquées par des services étrangers». C'est le 2e gros angle mort du contrôle : les échanges entre les services de renseignement FR et leurs homologues étrangers.
En France, il n'existe aucun cadre légal, même minimal, sur le sujet ; Paris est la lanterne rouge de l'UE. La CNCTR avait soulevé le problème il y a deux ans, après une décision de la CEDH posant noir sur blanc cette exigence de garanties légales.
La réponse des services secrets, et des autorités, est d'invoquer la règle dite du «tiers service», selon laquelle une information transmise par un partenaire ne peut pas être communiquée à une tierce partie, sauf accord de l’émetteur.
Sauf que la CEDH a de nouveau, dans un arrêt de grande chambre sur la même affaire (Big Brother Watch contre Royaume-Uni), réaffirmé la nécessité d'un cadre légal. C'était à la fin mai. Je raconte tout ça ici : liberation.fr/societe/police…
(Ceux qui ont suivi la saga de la conservation généralisée des données de connexion remarqueront que Paris, décidément, s'y entend pour jouer la montre face à la jurisprudence européenne... cf liberation.fr/societe/police…)
(Fin de ce thread #Renseignement. Et bonne lecture.)

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Amaelle Guiton 📡

Amaelle Guiton 📡 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @amaelle_g

28 Sep 20
La procédure dite «d'urgence absolue» prévue par la loi de 2015, i.e. autorisation du Premier ministre sans avis préalable de la CNCTR, n'a été utilisée qu'une fois, en décembre de la même année. Image
Quelques éléments sur les contrôles «sur pièces et sur place» effectués par la CNCTR : DGSI et DGSE ont droit à deux visites par mois. Image
Le président de la CNCTR a fait état dans son audition de trois «irrégularités sérieuses» depuis 2015. Une en 2018 : surveillance d'une personne «non visée dans l'autorisation initiale» + 2 en 2019 sur lesquelles la DPR n'avait pas d'éléments au moment de boucler son rapport. Image
Read 53 tweets
28 Sep 20
Ça a pris du temps, mais le rapport annuel de la délégation parlementaire au #renseignement (aka DPR) est enfin en ligne sur le site du Sénat. C'est parti pour un (très long) thread.
Il est copieux : 297 pages, 59 recommandations + 7 relatives aux fonds spéciaux.
6 chapitres : bilan & perspectives des lois de 2015, renseignement pénitentiaire, maîtrise des risques (habilitation et déontologie), renseignement spatial, cyberdéfense + rapport de la commission de vérification des fonds spéciaux.
Read 56 tweets
20 Aug 20
(Sur ce sujet aussi, les rapporteurs y vont avec des pincettes) Image
Pas de pincettes, en revanche, pour qualifier de «hold-up jurisprudentiel» (carrément) l'arrêt Tele2 de la CJUE, qui s'oppose à la conservation généralisée des données (cf. liberation.fr/planete/2018/0…) Image
Le rapport de la mission d'information envisage plusieurs pistes. La première mettrait sans doute la CJUE en PLS : Image
Read 13 tweets
17 Aug 20
Moment lecture (avec retard) du rapport de la mission d'information de l'Assemblée sur la #LoiRenseignement de 2015 (assemblee-nationale.fr/dyn/15/rapport…). Où est datée (à la louche) l'apparition des Imsi-catchers en France : Image
Issu du même rapport : en discussion, un équivalent du Service technique national de captation judiciaire (STNCJ, chargé des logiciels espions) pour les services du "second cercle" (cf cnctr.fr/3_cadre_legal.…) Image
(Le décret listant les services dits du "second cercle" : legifrance.gouv.fr/affichTexte.do…)
Read 14 tweets
11 May 20
Un des principaux enseignements de la décision du Conseil constitutionnel sur la loi de prorogation de l'état d'urgence sanitaire, c'est que le régime de quarantaine et d'isolement créé par la loi du 23 mars est contraire à la Constitution (points 83 à 87) conseil-constitutionnel.fr/decision/2020/…
«Si le dernier al. de l'art. L. 3131-15 du code de la santé pub. […] prévoit que ces mesures doivent être strictement proportionnées aux risques sanitaires encourus et appropriées aux circonstances […] et qu'il y est mis fin sans délai lorsqu'elles ne sont plus nécessaires...
... le législateur n'a assorti leur mise en œuvre d'aucune autre garantie, notamt quant aux obligations pouvant être imposées aux personnes y étant soumises, à leur durée max. et au contrôle de ces mesures par le juge jud. ds l'hypothèse où elles seraient privatives de liberté»
Read 6 tweets
8 May 20
On aurait pu espérer que les caméras «intelligentes» qui comptent les museaux masqués et pas masqués ne dépasseraient pas les frontières de Cannes, mais c'était compter sans la RATP lemonde.fr/pixels/article…
Le boss de Datakalab fait des pieds et des mains pour expliquer qu'aucune donnée n'est stockée. Mais avant même d'entrer dans les détails du système, il y a une question préliminaire : mais à quoi diable ça pourrait servir ?
Réponse de Datakalab : c'est un «outil d'aide à la décision» pour savoir où on doit «distribuer en priorité des masques».

Sérieusement, a-t-on besoin de caméras qui filment et sortent des stats combien de gens ont des masques ou pas pour distribuer intelligemment des stocks ?
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(