Le Monde / samedi 5 décembre 2015
« Prévoir possibilité de placer en rétention administrative de sûreté des personnes visées par une fiche S en période d’état d’urgence. » La phrase ne vient pas du programme d’un responsable du parti Les Républicains – Laurent Wauquiez ou Eric Ciotti défendent l’idée –, mais d’un document interne au ministère de l’intérieur, que Le Monde a pu consulter. Etabli mardi 1er décembre par la direction des libertés publiques et des affaires juridiques (DLPAJ), il recense toutes les mesures de police administrative que les policiers et les gendarmes souhaiteraient voir passer dans le cadre des deux projets de loi en cours d’élaboration, l’un sur l’état d’urgence et l’autre sur la lutte antiterroriste. Les deux textes pourraient être présentés dès janvier 2016.
Dans son tableau récapitulatif, la DLPAJ évoque, concernant la rétention des fichés « S », une « décision de police administrative, placée dans un délai de 48 ou 72 heures sous le contrôle du juge des libertés et de la détention, qui peut libérer à tout moment », sur le modèle de la rétention des étrangers. « Cf. demande d’avis à Conseil d’Etat. Réflexion à conduire dans ce cadre de la demande d’avis », annote sobrement un haut responsable du ministère, dans la colonne « difficultés éventuelles ou points à arbitrer » du document.
Les fiches « S » sont des documents de suivi des personnes soupçonnées de pouvoir porter atteinte à la sûreté de l’Etat. Elles concernent 20 000 personnes, dont 10 500 islamistes, [le reste de l’article est payant; NdAttaque]
—————
Le Monde / mardi 8 décembre 2015
Le Monde publiait vendredi 4 décembre le contenu d’une note interne du ministère de l’intérieur, révélant l’ensemble des mesures de police administrative que les policiers et les gendarmes souhaiteraient voir passer dans le cadre des deux projets de loi en cours d’élaboration, l’un sur l’état d’urgence, l’autre sur la lutte antiterroriste. Cette « liste de souhaits » est, pour l’heure, loin de constituer un projet de loi — il s’agit de demandes remontées à Beauvau, avant arbitrage du ministère.
Outre des mesures chocs — telle la possibilité de placer en « rétention administrative de sûreté des personnes visées par une fiche S en période d’état d’urgence » —, le document liste plusieurs souhaits des forces de l’ordre concernant l’accès aux données de connexion et aux communications téléphoniques et Web. Avec toutes un point commun : la volonté de s’attaquer à des outils ou services permettant de communiquer de manière plus anonyme qu’un appel ou une connexion Web classique. Mais la faisabilité de plusieurs de ces mesures est très discutable.
- « Interdire les connexions wi-fi libres et partagées » durant l’état d’urgence et supprimer les « connexions wi-fi publiques », « sous peine de sanctions pénales »
La logique derrière cette proposition est simple : limiter au maximum les possibilités de se connecter à Internet de manière « anonyme ». Mais la connexion à un réseau partagé ou public est loin d’être une garantie d’anonymat : un smartphone ou un ordinateur a plusieurs identifiants, qui transitent aussi par le réseau lorsqu’on s’y connecte. Il est donc tout à fait possible de « suivre » la navigation d’un smartphone même s’il est connecté, avec des dizaines d’autres, au réseau wi-fi ouvert d’un grand magasin ou d’un local associatif.
Ironiquement, des mesures similaires avaient été évoquées au Parlement durant les débats sur… la loi Hadopi sur le téléchargement illégal. A l’époque, certains parlementaires estimaient qu’il était nécessaire d’interdire les connexions ouvertes pour faciliter la lutte contre le téléchargement illégal. Mais face aux gigantesques difficultés pratiques, l’idée avait rapidement été abandonnée, et la loi avait finalement confié la responsabilité de tout le trafic passant par une connexion au titulaire de cette dernière.
- « Obliger les cybercafés à la tenue d’un livre de visites »
Contrairement aux hôtels, les cybercafés ne sont pas tenus de demander et d’enregistrer l’identité de leurs clients. Ces dernières années, le plus souvent après des faits divers, des députés ont déposé des propositions de loi ou posé des questions au gouvernement pour obliger ces commerces à noter qui sont leurs clients. Aucune n’a jamais abouti, notamment parce que les services de police disposent déjà d’autres moyens de surveiller l’activité de ces commerces.
En effet, les propriétaires de cybercafé ont l’obligation de conserver durant un an les données de trafic de leurs clients — ce que l’on appelle généralement les métadonnées : ils ne collectent pas le contenu des emails envoyés de leurs machines ou l’historique de navigation, mais les données techniques de connexion. Les obligations sont les mêmes que celles qui incombent aux fournisseurs d’accès à Internet.
- « Identifier tous les taxiphones, les considérer comme des professionnels des télécommunications et les obliger à la tenue d’un livre de police et à la conservation des logs, pour les connexions Internet et appels téléphoniques »
Un livre de police est un registre où sont consignées des transactions — certaines professions ont l’obligation d’en tenir un (bijoutiers, antiquaires…), principalement pour lutter contre le recel d’objets volés. Dans le cas des taxiphones, qui vendent téléphones et cartes prépayées, la mesure aurait pour objet de permettre d’identifier les personnes achetant des téléphones « jetables » ou cartes téléphoniques de manière anonyme. Si elle est techniquement possible, cette mesure serait difficile à mettre efficacement en pratique — ces petits commerces étant peu équipés pour vérifier l’identité de leurs clients. Surtout, elle ne concernerait pas les ventes de cartes téléphoniques et de cartes SIM en ligne à l’étranger — plusieurs sites vendent des cartes « anonymes » en provenance du Lichtenstein ou de la Belgique, où, jusqu’aux attentats de novembre, il était possible d’acheter anonymement des abonnements téléphoniques.
Concernant la conservation des logs de connexions, là encore, la loi prévoit déjà en partie cette obligation : comme les cybercafés, les taxiphones — qui vendent services et produits téléphoniques mais proposent aussi en général l’accès à Internet — sont déjà dans l’obligation de conserver les données de trafic de leurs clients. Des données qui sont également conservées par leur fournisseur d’accès.
- « Interdire et bloquer les communications des réseaux TOR en France et les connexions TOR sortant du territoire »
TOR est un important réseau d’anonymisation de la navigation. Conçu « en oignon » (TOR est l’acronyme de The Onion Router), ce réseau fait transiter le trafic d’un navigateur Internet par plusieurs points relais, afin qu’il soit quasi impossible de remonter jusqu’à la source. Pour cela, il utilise de nombreux « nœuds de sortie », situés un peu partout dans le monde. L’anonymat proposé par TOR en a fait un outil populaire auprès de certains criminels, mais aussi l’une des meilleures « armes » des dissidents dans de nombreux pays autoritaires. Son utilisation est par ailleurs recommandée par de nombreuses ONG, dont Reporters sans frontières, pour les professions dites « sensibles » (journalistes, avocats…).
Bloquer TOR est techniquement compliqué mais possible. Les nœuds de sortie utilisés par le réseau sont publics : il est donc possible de contraindre les fournisseurs d’accès à les bloquer. En revanche, le réseau s’appuie aussi sur d’autres nœuds, les « bridges », qui ne sont eux pas publics et sont plus difficiles à détecter. Plusieurs pays, dont la Chine, tentent de bloquer TOR, mais les administrateurs de ce projet ont développé, au fil du temps, des contre-mesures pour riposter aux outils de blocages mis en place. L’accès à TOR reste malgré tout compliqué en Chine continentale.
Politiquement, le blocage d’un service plébiscité par les défenseurs des droits humains — et historiquement soutenu par le département d’Etat américain, qui y voyait un outil idéal pour les dissidents iraniens — serait également une entreprise délicate. Aux Etats-Unis et en Grande-Bretagne, les lois antiterroristes récentes ne sont pas allées jusque-là — des documents révélés par Edward Snowden montrent en revanche que la NSA américaine a investi beaucoup de temps et d’argent à la recherche d’un moyen de « casser » la protection offerte par TOR, sans y parvenir à l’époque.
- « Identifier les applications de VOIP [téléphonie par Internet] et obliger les éditeurs à communiquer aux forces de sécurité les clefs de chiffrement »
C’est un vieux serpent de mer, et un débat qui fait rage également aux Etats-Unis et en Grande-Bretagne. Ces dernières années, et notamment depuis les révélations de Snowden sur les programmes de surveillance secrets de la NSA et de ses alliés, la plupart des grands fournisseurs de services ont largement renforcé les outils de chiffrement utilisés pour protéger les communications de leurs services, qu’il s’agisse d’Apple, de Google ou de Skype. Il est donc devenu très difficile pour les services de renseignement et de police d’espionner ces communications. Ces derniers souhaiteraient donc, dans plusieurs pays, obtenir les clefs de chiffrement — des algorithmes permettant de déchiffrer ces messages protégés — ou l’installation de « portes dérobées » — des failles introduites intentionnellement dans un code informatique.
Mais chacune de ces entreprises, tout comme les spécialistes du chiffrement, s’y refusent : d’une part, parce qu’aucune entreprise ne souhaite donner un blanc-seing à un service de renseignement sans savoir comment il sera utilisé. Et d’autre part, parce que, pour filer la métaphore, une « porte dérobée » ne peut techniquement pas n’avoir qu’une seule clef : toute vulnérabilité introduite dans un protocole de chiffrement affaiblit l’ensemble du système, et peut être découverte par un autre Etat ou un groupe de pirates.
- « Interdire les cartes téléphoniques d’appel qui permettent d’appeler l’étranger sans être tracé »
Comme la plupart des pays d’Europe, la France impose de fournir une pièce d’identité pour souscrire un abonnement téléphonique — ce qui permet aux enquêteurs d’identifier plus facilement l’auteur d’appels. Les cartes prépayées ne sont pas soumises à cette obligation.
En revanche, il est inexact de dire qu’elles permettent de passer des appels « sans être tracé ». Comme tous les appels, ceux émis par le biais de cartes prépayées transitent par les réseaux téléphoniques, et leurs métadonnées — heure d’appel, localisation de l’appelant ou de l’appelé, durée de l’appel — sont enregistrées.
