Le décret Big Brother qui cache la forêt

Une avalanche de dépêches est venue accueillir la sortie le 1er mars du décret sur la rétention des données d’identification. Ce « décret Big Brother », comme on a pu le lire ici ou là, n’est pourtant qu’une des parties visibles de ce que je décrivais récemment, à savoir le profilage minutieux, à des fins « préventives », de tous les citoyens qui ont le malheur d’utiliser le moindre réseau télécom pour découvrir, s’informer, discuter ou parler, en public ou en privé… En vérité, ce décret ne fait qu’ajouter une bonne couche aux pouvoirs énormes laissées aux « autorités » pour coincer le potentiel fauteur de trouble, pirate en culotte courte ou futur cyberterroriste. Car bien avant ce décret, le principe de la « rétention des données » permet déjà d’identifier à peu près n’importe quel utilisateur. 

La liste des données devant être conservées 1 an, en application d’une vieille loi de 2004 — Loi Fontaine, la ministre de l’industrie de l’époque, ou LCEN, novlangue oblige, pour la « confiance dans l’économie numérique » — paraît plus que fournie (à digérer lentement sur Legifrance). Le décret s’adresse donc à la «conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne» (ouf!).

Nous avons découpé ces données en fonction des catégories de service décrites dans la LCEN.

Primo: les fournisseurs internet. Pour les personnes «dont l’activité est d’offrir un accès à des services de communication au public en ligne», et pour chaque connexion de leurs abonnés :

• a) L’identifiant de la connexion ;
• b) L’identifiant attribué par ces personnes à l’abonné ;
• c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
• d) Les dates et heure de début et de fin de la connexion ;
• e) Les caractéristiques de la ligne de l’abonné ;

Secundo: les hébergeurs internet. Pour les personnes «qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne», et pour chaque opération de création :

• a) L’identifiant de la connexion à l’origine de la communication ;
• b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
• c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
• d) La nature de l’opération ;
• e) Les date et heure de l’opération ;
• f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;

Tertio: pour les deux à la fois, quand le service est «gratuit», «les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte» :

• a) Au moment de la création du compte, l’identifiant de cette connexion ;
• b) Les nom et prénom ou la raison sociale ;
• c) Les adresses postales associées ;
• d) Les pseudonymes utilisés ;
• e) Les adresses de courrier électronique ou de compte associées ;
• f) Les numéros de téléphone ;
• g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;

Quarto: pour tous services «payants», «les informations suivantes relatives au paiement, pour chaque opération de paiement» :

• a) Le type de paiement utilisé ;
• b) La référence du paiement ;
• c) Le montant ;
• d) La date et l’heure de la transaction.
• Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.

lire "500 millions de « présumés coupables » toujours pris en otage par les autorités"

Le fait que les « mots de passe » (« dans leur dernière version mis à jour ») soient concernées par cette collecte obligatoire a donc, heureusement, fait hurler dans les chaumières. C’est en effet une donnée trop intime — même si la plupart du temps c’est le même mot-clé qu’on utilise partout — pour que ce piratage légal — c’est bien le mot — soit considéré comme excessif. Même si, aussitôt, de nobles sources sont allé expliquer aux journalistes qu’il y avait bien une raison légitime à le faire… D’ailleurs, la CNIL n’en pipe mot dans son avis: ça ne doit donc pas être si grave!

Mais rappelons qu’il ne suffit pas d’un seul élément excessif pour rendre un tel projet nauséabond. C’est précisément l’agrégation de toutes ces données disparates, sur une seule personne, qui est par essence totalitaire — comme en témoignait l’étude du MIT que je citais dans mon précédent billet. Vous vous souvenez de l’affaire des « fadettes » (factures détaillées, ou Fadet)? Et bien elles font partie de ces données de « trafic », qui dressent le profil d’une personne en fonction de ses correspondances téléphoniques (numéros appelés et appelants).

2001-2011, triste anniversaire

Et cela fait même 10 ans que ça dure. En octobre 2001, une ribambelle d’associations hurlaient dans un silence presque assourdissant contre «la surveillance et l’accès aux données de communications téléphoniques et internet y compris cryptées». Elles étaient incluses, en procédure d’urgence — 11 septembre oblige — dans la loi sur la sécurité quotidienne (LSQ), préparée puis et adoptée par la majorité PS-PC-Verts, puis aggravée plus tard par le clan Sarkozy. En juillet 2011, le Parlement européen dénonçait pourtant toute «surveillance générale et exploratoire» que constituaient cette « rétention » obligatoire (1).

Jean-Marc Manach, dans son historique paru sur Owni.fr, rappelle comment un certain Christian Estrosi était parvenu à rendre totalement pérennes, «sans aucun débat et en moins d’une minute», ces mesures qui devaient, à l’origine — promesse des socialistes… — s’autodétruire au bout de 2 ans. Et le rapport d’évaluation que devait faire le Parlement pour étudier les dommages collatéraux de cette loi sur la «légalité républicaine» (sic), il n’a bien entendu jamais existé! Comme déjà raconté ici même, le président de l’Assemblée, à l’époque Raymond Forni, rare personnage politique à avoir été sensible à ces questions fondamentales, se faisait porter pâle le jour du vote de cette funeste LSQ…

A l’époque, il s’agissait autant de surveiller le Net que les téléphone mobiles. Aujourd’hui, tout est fondu dans le même magma de services en tous genres, grâce à la 3G qui transforme son terminal mobile en appareil internétique, ou même via tout abonnement « triple play ».

Décret de 2011: du déjà vu

Mais alors, qu’est-ce que change réellement ce décret du 24 février? Ben, pas grand chose.

Car le décret de mars 2006 sur la « conservation des données », rectifié en décembre de la même année suite à une des lois antiterroristes de l’ère Sarkozy (relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers), permet déjà d’identifier tout internaute sur n’importe quel plateforme en ligne.

De plus, comme une seule société fournit aujourd’hui l’essentiel de ces « services » (télé, internet, téléphone fixe et même mobile), il suffit de s’adresser à un seul interlocuteur pour choper un maximum d’informations sur un seul abonné. Magique!

Ce premier décret exigeait la collecte et la conservation des «données de trafic», c’est à dire les allers-et-venues de toute personne sur les réseaux mais aussi dans la vraie vie — grâce aux données de géolocalisation GSM! . Chacun de nos correspondants (adresse mail et n° de téléphones) est aussi enregistré. De quoi savoir « qui parle à qui », à quelle fréquence, de quoi reconstituer son réseau d’amitié et de sympathie. La curiosité de la personne est aussi survellée : où s’informe-t-il, où discute-t-il (sites, forums…) et sur quels sujets? Tout y est. Ces données sont alors balancées dans des logiciels d’analyse sérielles, moulinettes expertes et quasi-infaillibles pour retracer le profil d’un abonné.

Et je le répète: cette intrusion est autrement plus préjudiciable qu’une simple écoute téléphonique, qui, elle, est sévèrement encadrée et doit se justifier dans le cadre d’une enquête judiciaire. Cherchez l’erreur!

Depuis, ces mesures ont été intégrées dans le Code des postes et des communications électroniques. Ironie grinçante : elles sont incluses dans le chapitre «Protection de la vie privée des utilisateurs de réseaux» (sic!).

Et que découvre-t-on dans l’article R. 10-13 du même code? CQFD.

« Art. R. 10-13. – I. – En application du II de l’article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
« a) Les informations permettant d’identifier l’utilisateur ; […]

Bref, les officiers de police judiciaire (OPJ), comme les nobles correspondants des services « spéciaux » — qui pourront avoir accès à toutes ces données sans l’aval d’un juge —, n’ont pas attendu le 24 février 2011 pour s’adresser à leurs « contacts » chez Orange, Neuf ou Free, pour identifier une personne et retracer sa vie sur les 12 derniers mois.

Témoin, un grand expert en cybercriminalité de la gendarmerie, Eric Freyssinet, qui le dit sur son blog:

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques (…)

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

---

(1) A propos de l’histoire de cette rétention des données, lire les archives 2001 du bulletin lambda. Notamment le bulletin 7.04 du 15 septembre 2001, qui revenait sur le lobbying intense des USA, avec l’aide d’un groupe d’experts policiers de l’Union européenne (« Enfopol »), pour imposer cette rétention obligatoire — et ce bien avant les attentats du 11 septembre, qui furent donc un excellent prétexte pour accélérer la machine.