Vous êtes plusieurs à m’avoir demandé une réaction aux récentes révélations sur ce qui a gentiment débuté par le pseudo scandale Verizon. Je n’en avais pas particulièrement envie car je trouve tout ce foin complètement ridicule. Entre les américains indignés, les européens qui jouent les vierges effarouchées (les anglais qui accueillent des bases relais d’Echelon sur leur territoire doivent bien rigoler), et la presse qui fait ses choux gras de cette information vieille d’une douzaine d’années, j’estimais ne pas avoir de choses particulièrement intéressantes à vous raconter. D’ailleurs, je ne suis toujours pas convaincu que ce qui va suivre sera vraiment intéressant pour nombre d’entre vous… vous voilà avertis. Je ne m’étendrai d’ailleurs pas bien longtemps sur PRISM, car une autre information me semble tout de même un peu plus intéressante.
Depuis quelques jours, il faut l’avouer, je rigole allègrement. Je rigole de la naiveté patriotique candide des américains, je rigole de toute cette presse qui fait semblant de s’étonner, je rigole des réactions des politiques européens qui miment de tomber des nues… car oui, c’est soit disant nouveau, tout ce petit monde peut enfin mettre un sobriquet sur Big Brother : PRISM. Enfin, ça, c’est ce que tout le monde pense, la réalité est toute autre et c’est Kitetoa (désolé pour le ComicSansMS) qui vous l’exposera à l’occasion de Passage en Seine. Prism n’est en fait qu’une infime partie d’un programme bien plus vaste.
Merde ! Les adeptes de la conspiracy theory avaient raison alors ? Ben ouais ils avaient raison…wow le scoop !
C’est quand même pas faute de vous en avoir rabâché les oreilles ici ou ailleurs, pas plus tard que le mois dernier dans ce billet où je vous expliquais qu’un ancien du FBI avait craché le morceau au sujet de la traque des frères Tsarnaev. Il me semble bien avoir écrit en toute lettres que les autorités américaines interceptaient et stockaient toutes les communications… mais bon. #spapossib’ me dit-on. Ce billet est d’ailleurs passé relativement inaperçu, aucun média n’a repris ce qui constituait pourtant une information tout à fait crédible, d’une source qui ne l’est pas moins… mais non, un mois plus tard 12 ans plus tard, tout le monde semble tomber des nues.
Ce billet d’ailleurs m’avait valu les interrogations de certains
« Mais comment ki font ! »;
« Bluetouff tu dis de la merde »;
« Même pas cap les ricains »;
« T’imagines pas la taxe sur la copie privée en achat de disques durs ! »
Et à votre avis ? Quand on hurlait comme des putois sur l’AFP qui cause gentiment sur Skype avec ses sources et qui l’écrit dans ses dépêches, des fois qu’Oncle Sam n’avait pas tapé la bonne requête dans sa base de données pour identifier la source de l’agence de presse… c’était juste pour rire ? Pour troller sur Twitter avec un bot qui crache les dernières dépêches ? Pour le plaisir de se fritter par blogs interposés ? Ou parce que tout indique depuis des années déjà que les américains interceptent non seulement les communications téléphoniques des américains mais aussi à peu près tout ce qui ressemble à une communication à l’exception peut-être d’un protocole encore mal maitrisé, décrit dans la RFC 1149 ?
- Qui me fera gober que la presse américaine ne s’est pas interrogée sur les dispositions pratiques issues du Patriot Act dont l’acronyme signifie « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme » ?
- Qui me fera gober que le Parlement Européen, après les antécédents d’Echelon ne s’est jamais penché sur ce que les USA écoutent, interceptent et stockent…?
- Qui me fera gober que la presse française pensait que les SMS et les conversations de Dominique Strauss Khan ont été tirés du chapeau de Bozo le clown ?
Oui, très franchement, je suis mort de rire, c’est un peu comme si tout ce que la planète compte de faux-culs s’était donné rendez-vous sur la time line du hashtag #Prism…
Les américains, qui ont tous soutenu, le Patriot Act au lendemain des attentats du 11 septembre étaient ils assez naifs pour croire que les autorités américaines allaient contrer une menace intérieure en écoutant uniquement ce qu’il se passe à l’extérieur ?
Il y a quelques années, avant que Wikipedia ne déchaine les passions, les personnes de ma génération qui s’intéressaient au sujet de la surveillance de masse fréquentaient les newsgroups ou des sites web comme Cryptome. Cryptome qui révélait déjà des choses pas jolies jolies sur les durées de rétention d’informations concernant les communications des américains.
☠ Spapossib’®
Dans le pire scénario que j’avais évoqué il y a déjà bien longtemps, j’expliquais que si la France avait envie d’écouter hors de tout cadre légal et de manière massive les communications électroniques, elle opèrerait ces interceptions depuis l’étranger. Là encore, les réactions à mes « élucubrations » étaient les mêmes : #spapossib’.
Ben oui, mais voilà… non seulement c’est tout à fait possible, mais voilà que le Monde, par la plume de Laurent Borredon et de Jacques Follorou appuie maintenant ma thèse avec des affirmations qui se font un peu plus pressantes et plus précises. Dans un article daté d’hier et intitulé « En France, la DGSE au cœur d’un programme de surveillance d’Internet « , Le Monde pointe les installations souterraines de la DGSE situées boulevard Mortier à Paris. Mais Le quotidien lâche surtout le morceau qui semble passer totalement inaperçu tout obnubilés que nous sommes par PRISM :
La France dispose-t-elle d’un programme de surveillance massif proche de celui mis en place par l’Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal.
☠ Etkomentkifon ?
Là encore je vous avais déjà parlé de la bénédiction que representent certains points de concentration du trafic, et plus particulièrement les câbles sous-marin. Mais ce n’est probablement le gros du dispositif. Allez, je vous la récapitules avec des mots très simples. Imaginez une entreprise française qui vend à un dictateur un système d’interception des communications électroniques dimensionné à l’échelle d’une nation. Imaginez que cette entreprise soit, étrangement, aidée par des personnes de la direction du renseignement militaire pour former les équipes sur place. On vend ensuite ce système à d’autres nations, pas franchement connues pour leurs aspirations démocratiques, mais toutes étrangement situées sur une dorsale de trafic Internet stratégique (suivez les câble sous-marins).
☠ Tagada tsoin tsoin …
Et vous obtenez tout simplement un système d’interception stratégique, situé hors de nos frontières, distribué, résilient, suffisamment backdooré pour que nos services puissent y accéder en fonction de leurs besoins et mener des interceptions massives pour extraire une poignée d’informations.
Et ce scénario, comme je vous le disais :
Allez, je vous la refais :
voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.
-
J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.
-
J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).
-
J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.
-
Ce qu’il y a de bien avec TCIP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.
-
Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.
-
En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».
-
Si une bande de cyber-beatniks venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.