La NSA intercepte les communications \u00e9lectromagn\u00e9tiques depuis des d\u00e9cennies. Elle a m\u00eame \u00e9t\u00e9 cr\u00e9\u00e9e sp\u00e9cialement pour rationnaliser cette mission en 1952, en pleine guerre froide. Elle le faisait sur les communications t\u00e9l\u00e9phoniques, notamment satellitaires, via le programme Echelon. Elle avait mis en place au milieu des ann\u00e9es 2000 un programme d\u2019interception des communications Internet tr\u00e8s bien document\u00e9 dans l\u2019excellent \u201cThe shadow factory<\/strong>\u201d. Ce livre est le troisi\u00e8me \u00e9crit par le journaliste James Bamford sur la NSA, apr\u00e8s \u201cThe puzzle palace\u201d (1982) et \u201cBody of secrets\u201d (2001). Paru en 2008, il explique comment, en marge de la loi am\u00e9ricaine, la NSA a install\u00e9 apr\u00e8s 9\/11 des \u201csalles noires\u201d dans les n\u0153uds de r\u00e9seaux optiques des grands op\u00e9rateurs t\u00e9l\u00e9coms am\u00e9ricains (les Regional Bell Operating Companies ou RBOC) tels que AT&T ou Verizon.<\/p>\n Ces salles r\u00e9pliquent les signaux transitant dans les fibres optiques. Ces signaux sont ensuite filtr\u00e9s localement par des serveurs d\u00e9di\u00e9s. Ne sont conserv\u00e9es que les trames IP provenant d\u2019endroits ou sujets \u00e0 surveiller, tels que ceux qui sont issus des pays dits \u00e0 risques pour la s\u00e9curit\u00e9 des USA. Iran, Y\u00e9men, Syrie, etc. Le r\u00e9sultat du filtrage est alors envoy\u00e9 dans l\u2019un des centres d\u2019analyse de ces donn\u00e9es de la NSA, dont le si\u00e8ge situ\u00e9 \u00e0 Fort Meade pr\u00e8s de Washington DC (ci-dessous<\/em>). Ce syst\u00e8me permet de savoir qui cause avec qui, qui consulte quoi, et \u00e9ventuellement, de quoi il s’agit.<\/p>\n En parall\u00e8le, la NSA termine la construction d\u2019un \u00e9norme data center \u00e0 Bluffdale dans l\u2019Utah<\/a>. Il est cens\u00e9 stocker toutes les donn\u00e9es d\u2019interception.<\/p>\n PRISM compl\u00e8te ce dispositif qui avait d\u00e9j\u00e0 quelques ann\u00e9es d\u2019existence avec, semble-t-il, des serveurs install\u00e9s chez les op\u00e9rateurs de services Internet : Google, Yahoo, Microsoft et plein d\u2019autres. Ces serveurs permettraient de fouiller non plus simplement dans les flux de donn\u00e9es circulant sur Internet via les RBOC, mais aussi dans les stocks de donn\u00e9es, situ\u00e9s dans les serveurs des pure players Internet.<\/p>\n Les derniers slides<\/a> de la pr\u00e9sentation d\u00e9voil\u00e9e par Edward Snowden expliquent cela tr\u00e8s bien. Ils montrent d\u2019ailleurs que c\u2019est l\u2019ensemble de la communaut\u00e9 du renseignement US est impliqu\u00e9e dans PRISM et pas seulement la NSA. Le FBI est en effet l\u2019organisation qui g\u00e8re le lien avec les services Internet tandis que la NSA continue de filtrer les communications Internet au niveau des RBOC.<\/p>\n En r\u00e9sum\u00e9 : sauf \u00e0 \u00eatre tr\u00e8s fortement crypt\u00e9es, nos communications Internet qui ont de grandes chances de transiter par les USA sont potentiellement intercept\u00e9es par la NSA et le FBI. De l\u00e0 \u00e0 ce que vous faites les int\u00e9resse, cela d\u00e9pend \u00e9videmment de vos activit\u00e9s ! Vos donn\u00e9es seront examin\u00e9es si vous faites partie de la centaine et quelques de milliers de cibles de la NSA.<\/p>\n Les infrastructures de la NSA sont \u00e9videmment int\u00e9ressantes au niveau de leur architecture technique. L\u2019agence a toujours \u00e9t\u00e9 \u00e0 la pointe dans deux domaines cl\u00e9s : le d\u00e9cryptage des donn\u00e9es chiffr\u00e9es, \u00e0 l\u2019aide de supercalculateurs avec une forte consommation de Cray en leur temps, maintenant probablement remplac\u00e9s par des architectures plus distribu\u00e9es et de l\u2019autre, l\u2019usage de technologies de t\u00e9l\u00e9communication ultra-rapides. En effet, les donn\u00e9es intercept\u00e9es repr\u00e9sentent des volumes tr\u00e8s importants \u00e0 faire circuler. La NSA est donc le premier client au monde d\u2019infrastructures de t\u00e9l\u00e9communications \u00e0 base de fibres optiques \u00e0 ultra-haut d\u00e9bit comme celles que nous avions explor\u00e9es dans mon premier article sur Alcatel-Lucent<\/a>.<\/p>\n Aussi ironique que cela puisse paraitre, dans \u201cThe shadow factory\u201d, James Bamford indique que la vision big brotherienne du film \u201cEnnemi d\u2019Etat\u201d (Ennemy of the State) sorti en 1998 n\u2019avait rien \u00e0 voir avec la r\u00e9alit\u00e9. A l\u2019\u00e9poque, la NSA savait bien intercepter les communications t\u00e9l\u00e9phoniques mais \u00e9tait compl\u00e8tement \u00e0 la rue pour ce qui concernait celles qui transitaient sur Internet, et notamment la VOIP. Il faut dire qu’\u00e0 l’\u00e9poque, l’Internet grand public n’avait que quatre petites ann\u00e9es d’existence ! On peut dater l’arriv\u00e9e du web grand public \u00e0 l’\u00e9mergence de Netscape Navigator fin 1994 !<\/p>\n \u201cEnnemi d\u2019Etat\u201d pr\u00e9sentait une vision prospective ne collant pas du tout \u00e0 la r\u00e9alit\u00e9 au moment de sa r\u00e9alisation. 15 ans apr\u00e8s, cette vision est devenue r\u00e9alit\u00e9. C\u2019est le lot commun des films de science fiction d\u2019Hollywood qui pr\u00e9sentent des sc\u00e9narios technologiques futuristiques qui inspirent ensuite les chercheurs, entrepreneurs et les \u00e9tats !<\/p>\n Mais m\u00eame aujourd\u2019hui, avec tous les moyens dont ils disposent, les services de renseignement am\u00e9ricain et autres ont bien du mal \u00e0 pr\u00e9venir des op\u00e9rations terroristes ou autres, surtout lorsqu\u2019elles sont d\u00e9clench\u00e9es par des individus isol\u00e9s et communiquant peu.<\/p>\n Derni\u00e8re r\u00e9v\u00e9lation en date de l\u2019affaire PRISM : la NSA espionnerait les ambassades europ\u00e9ennes ou diverses missions \u00e0 l\u2019ONU, y compris de pays \u201camis\u201d. L\u00e0-dessus, rien de nouveau sous le soleil : l\u2019espionnage est vieux comme le monde et celui des ambassades \u00e9trang\u00e8res a d\u00e9marr\u00e9 bien avant l\u2019av\u00e8nement du num\u00e9rique ! Seuls les moyens ont \u00e9volu\u00e9. Il est moins utile d\u2019installer des micros dans les murs comme du temps de la guerre froide ! Quoique\u2026 ! En fait, avec des lasers, on peut \u00e9couter \u00e0 distance une communication dans une pi\u00e8ce en visant une fen\u00eatre. Mais les ambassades bien \u00e9quip\u00e9es disposent en g\u00e9n\u00e9ral de salles isol\u00e9es, sans fen\u00eatres, et construites dans des cages de Faraday \u00e9tanches aux ondes \u00e9lectromagn\u00e9tiques. Et si\u00a0 vous visitez une ambassade des USA, on vous videra de la t\u00eate aux pieds de tout objet num\u00e9rique, cl\u00e9s USB comprises ! C’est l’un des rares endroits que je connaisse o\u00f9 de telles pr\u00e9cautions d’usages soient de rigueur.<\/p>\n A un moment, certains commentateurs se sont \u00e9tonn\u00e9s que la NSA n’espionne pas Twitter. Et pour cause… la majeure partie des donn\u00e9es qui y circulent sont publiques. Ne restent plus qu’\u00e0 r\u00e9cup\u00e9rer les Direct Message qui ne le sont pas. Cela ne devrait pas \u00eatre trop difficile de le faire sans m\u00eame passer par les serveurs de Twitter !<\/p>\n Et en France ?<\/strong><\/p>\n Ca n\u2019a pas loup\u00e9, la r\u00e9v\u00e9lation du programme PRISM a g\u00ean\u00e9 les USA et oblig\u00e9 les autres gouvernements \u00e0 r\u00e9clamer des explications. Explications que leurs services sp\u00e9ciaux ont d\u00e9j\u00e0 largement en main quand ils ne collaborent pas d\u00e9j\u00e0 ensembles et exploitent des donn\u00e9es capt\u00e9es par leurs syst\u00e8mes respectifs, notamment dans la traque de terroristes potentiels.<\/p>\n Mais pour le th\u00e9\u00e2tre de la politique, les chefs d\u2019Etats doivent jouer les vierges effarouch\u00e9es ! Ce sont surtout les organisations de d\u00e9fense des citoyens ou de la vie priv\u00e9e qui se sont le plus rebiff\u00e9es. La Quadrature du Net d\u00e9fend ainsi le sort d\u2019Edward Snowden<\/a>, l\u2019employ\u00e9 am\u00e9ricain de Booz & Allen \u00e0 l\u2019origine des fuites sur PRISM. Sa difficult\u00e9 r\u00e9cente \u00e0 trouver un pays d’asile t\u00e9moigne de l’embarras des pays occidentaux face \u00e0 l’alli\u00e9 am\u00e9ricain !<\/p>\n On a m\u00eame vu des articles presse expliquant aux Internautes comment \u00e9viter de voir leurs communications Internet espionn\u00e9es par la NSA. Jusqu\u2019\u00e0 recommander d\u2019arr\u00eater d\u2019utiliser Google ou Facebook<\/a>.<\/p>\n L\u00e0-dessus, les journalistes ont un peu enqu\u00eat\u00e9 du c\u00f4t\u00e9 fran\u00e7ais en se disant \u00e0 juste titre que les pratiques de la NSA ne devaient pas relever de l\u2019exception. Et on s\u2019est rappel\u00e9 de l\u2019existence de programmes similaires en Europe et notamment en France. Cf \u201cFrencheleon, la DGSE est en premi\u00e8re division<\/a>\u201d, \u201cR\u00e9v\u00e9lations sur le big brother fran\u00e7ais<\/a>\u201d ou \u201cLa DGSE \u00e9coute le monde (et les fran\u00e7ais) depuis 30 ans<\/a>\u201d.<\/p>\n Les diff\u00e9rences entre les pratiques de la DGSE et de la NSA ? Elles se situent au niveau des moyens, bien plus importants aux USA (x10 \u00e0 x20) et dans l\u2019arsenal juridique qui encadre \u2013 ou pas \u2013 ces syst\u00e8mes d\u2019\u00e9coute. Aux USA, il s\u2019agit de la loi FISA (Foreign Intelligence Surveillance Act) qui permet de surveiller les \u00e9trangers, et th\u00e9oriquement pas les citoyens des USA (cf l’excellent fiche Wikipedia<\/a> sur PRISM). En France, les lois concern\u00e9es sont multiples et disparates, et on trouve diverses dispositions dans la LCEN et la LOPPSI 2.<\/p>\n Les similitudes : des moyens techniques voisins et une mutualisation des syst\u00e8mes d\u2018\u00e9coute par l\u2019ensemble des organisations du renseignement fran\u00e7ais (DCRI, DGSE, DRM, Douanes, etc). Ces grandes oreilles sont op\u00e9r\u00e9es par la Direction Technique de la DGSE qui repr\u00e9senterait plus de la la moiti\u00e9 de ses effectifs, soit environ 2000 personnes. La France n\u2019a pas l\u2019avantage des USA d\u2019avoir ses grosses art\u00e8res Internet connect\u00e9es au reste du monde. Mais tout de m\u00eame, les n\u00f4tres sont reli\u00e9es aux pays avoisinants et \u00e0 ceux de la m\u00e9diterran\u00e9e et qui plus est nous sommes pr\u00e9sents dans diverses r\u00e9gions du monde via nos DOM\/TOM. Mais l\u2019histoire ne dit pas encore si la DGSE intercepte en temps r\u00e9el les communications des op\u00e9rateurs t\u00e9l\u00e9coms comme la NSA le fait dans les centres des Baby Bells \u201cRBOC\u201d.<\/p>\n Quid des relations entre les services fran\u00e7ais et les acteurs du num\u00e9rique ? L\u00e0-aussi, elles existent et ce, depuis des ann\u00e9es. Les grands acteurs sont tenus \u00e0 diverses obligations que nous allons ici rappeler.<\/p>\n Face \u00e0 cet arsenal, les d\u00e9linquants de tout poil peuvent \u00e9videmment \u00e9viter de voir leurs communications d\u00e9chiffr\u00e9es. Ils peuvent soit cacher leurs messages dans des contenus anodins,\u00a0 comme avec les techniques de st\u00e9ganographie qui servent \u00e0 planquer des messages dans des images. Soit, il peuvent crypter fortement leurs donn\u00e9es avec des cl\u00e9s qui ne sont pas fournies \u00e0 l\u2019Etat fran\u00e7ais. Ils peuvent aussi utiliser un tunnel VPN fortement crypt\u00e9 pour les communications de machine \u00e0 machine. C’est l\u00e0 qu’interviennent les sp\u00e9cialistes du d\u00e9chiffrement de la DGSE, tr\u00e8s gourmande en math\u00e9maticiens de haut vol.<\/p>\n Comme l\u2019a \u00e9crit Eric Schmidt dans son dernier livre \u201cThe New Digital Age: Reshaping the Future of People, Nations and Business<\/a>\u201d, se cacher sur Internet deviendra suspect. C\u2019est d\u2019ailleurs l\u2019un des facteurs qui a permis de retrouver Ben Laden \u00e0 Abbottabad en 2011. Sa grande maison n\u2019\u00e9tait pas connect\u00e9e \u00e0 Internet et n\u2019\u00e9mettait aucune onde \u00e9lectromagn\u00e9tique ! Ce vide \u00e9tait louche. A contrario, l\u2019usage de VPNs et de donn\u00e9es fortement crypt\u00e9es, pas faciles \u00e0 casser pour les grandes cl\u00e9s, sont tout aussi louches. Dans ce cas, les services de renseignement s\u2019int\u00e9resseront aux informations sur les terminaisons de ces communications : qui \u00e9met quoi et re\u00e7oit des informations \u00e0 quel endroit. Ce sont d\u00e9j\u00e0 des informations de grande valeur ! En quelques sortes, le graphe social des criminels !<\/p>\n Faut-il s\u2019inqui\u00e9ter ?<\/strong><\/p>\n Deux arguments s\u2019opposent : d\u2019un c\u00f4t\u00e9 celui selon lequel le renseignement est utile pour pr\u00e9server l\u2019\u00e9tat de la soci\u00e9t\u00e9 et de l\u2019autre celui selon lequel toute forme d\u2019espionnage des citoyens est liberticide.<\/p>\n D\u2019un point de vue pratique, votre vie priv\u00e9e n\u2019int\u00e9resse pas du tout la NSA ou la DGSE sauf si vous menez des activit\u00e9s potentiellement dangereuses pour la s\u00e9curit\u00e9 des pays concern\u00e9s. Dans le reste des cas, c\u2019est-\u00e0-dire, 99,999% des situations, la NSA et la DGSE se tapent de vos faits et gestes comme de l\u2019an 40 ! C\u2019est un argumentaire qui ne justifie rien, mais qui permet de relativiser les menaces. Pour l\u2019instant.<\/p>\n Sans \u00eatre d\u00e9linquants, vous \u00eates par contre concern\u00e9s et potentiellement vuln\u00e9rables si vous d\u00e9tenez des secrets industriels ou politiques. Les dispositifs de renseignement sont utilis\u00e9s pas seulement pour pr\u00e9venir des menaces terroristes mais aussi pour faire du renseignement politique et \u00e9conomique actif. C\u2019est \u00e0 ce titre que l\u2019ANSSI fournit des recommandations aux organismes publics et aux entreprises industrielles fran\u00e7aises pour leur permettre de se prot\u00e9ger.<\/p>\n Il y a aussi le \u201cbig brother\u201d dont on ne parle jamais : les hypermarch\u00e9s qui savent ce que vous achetez et les banques qui en savent autant, sans compter les organismes de sant\u00e9 qui en savent aussi beaucoup sur vous. Les donn\u00e9es qu\u2019ils collectent sur nous sont rarement bien utilis\u00e9es et les lois fran\u00e7aises ainsi que la CNIL nous prot\u00e8gent de rapprochements entre les bases correspondantes.<\/p>\n Ce n\u2019est pas faute d\u2019envie, mais plut\u00f4t de moyens, d\u2019outils adapt\u00e9s et de savoir faire. On a beau nous abreuver de concepts \u201cbig data\u201d depuis au moins deux ans et de \u201cmarketing 1 to 1\u201d depuis encore plus longtemps, la mise en pratique dans les grandes entreprises est bien rare. Le virus de la recommandation de produits n\u2019a pas encore atteint ces acteurs. On se contente d\u2019en b\u00e9n\u00e9ficier dans les syst\u00e8mes de vid\u00e9o \u00e0 la demande ou avec les publicit\u00e9s plus ou moins bien cibl\u00e9es sur Internet (via AdWords, ou le re-ciblage sauce Crit\u00e9o).<\/p>\n Autre menace : les services en ligne pour qui la vie priv\u00e9e est une valeur relative malgr\u00e9 toutes les d\u00e9clarations de bonnes intentions. Les risques sont r\u00e9els avec Facebook qui change ses r\u00e8gles d\u2019utilisation comme de chemise et o\u00f9 l\u2019on ne sait jamais clairement ce qui est public ou pas dedans tant son interface utilisateur est devenue compliqu\u00e9e. C\u2019est pareil dans Google+, dans Flickr, et tout un tas de services en ligne. L\u00e0 encore, la prudence est de mise concernant les traces de votre vie que vous laisser dans ces services ou que d\u2019autres y laissent concernant votre vie.<\/p>\n Derni\u00e8re menace et non des moindres : l\u2019Etat qui sait tout et voit tout de nos gestes et nous r\u00e9primande \u00e0 la moindre incartade. L\u2019Etat omnipr\u00e9sent qui fait respecter la loi \u00e0 100%. Le respect \u00e0 100% des lois pr\u00e9par\u00e9es par nos gouvernement librement choisis et vot\u00e9es l\u00e9galement par nos repr\u00e9sentants tout aussi choisis au suffrage universel peut pourtant \u00eatre liberticide. Dura lex sed lex, mais trop de lois tue la loi et le peuple ! Difficile de concilier s\u00e9curit\u00e9 et libert\u00e9. La loi du m\u00eame nom de d\u00e9but 1981 vot\u00e9e \u00e0 la fin du septennat de Val\u00e9ry Giscard d\u2019Estaing contenait plus de mesures sur la s\u00e9curit\u00e9 que sur les libert\u00e9s !<\/p>\n Prenons comme exemple les radars routiers qui enquiquinent pas mal de conducteurs. Leur concept pourrait s\u2019\u00e9tendre \u00e0 tout un tas d\u2019activit\u00e9s. Et pourquoi s\u2019emb\u00eater avec des radars ? Il suffirait dans un monde ultra-r\u00e9pressif d\u2019installer des boites noires dans les voitures, comme dans les camions. Elles mesureraient les coordonn\u00e9es GPS de nos d\u00e9placements et la vitesse correspondante. En temps r\u00e9el ou en diff\u00e9r\u00e9, on pourrait recevoir une amende mensualis\u00e9e int\u00e9grant nos in\u00e9vitables d\u00e9passements de vitesse et autre violations de priorit\u00e9s, stops et feux rouges. Le syst\u00e8me r\u00e9duirait nos points de permis d\u2019autant. Ce genre de surveillance permanente demanderait une punition moins ponctuelle pour les d\u00e9passements. Elle serait \u201cmoyenn\u00e9e\u201d et refl\u00e8terait notre style de conduite dans la dur\u00e9e et pas seulement dans le passage \u201cpi\u00e8ge\u201d de la route qui passe subrepticement de 70 km\/h \u00e0 50 km\/h sans forc\u00e9ment pr\u00e9venir.<\/p>\n![\"The](\"https:\/\/www.oezratty.net\/wordpress\/wp-content\/WindowsLiveWriter\/Quelques-mythes-du-numrique_7B4C\/The-Shadow-Factory-James-Bamford-Cover-Page.jpg\" "\\"The")
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n\n
<\/a><\/p>\n\n