Deep Packet Inspection : bienvenue !

Francis Delon est Président de la Commission Nationale de Contrôle des Techniques de Renseignement, la CNCTR, et à ce titre a en charge l’autorisation des écoutes électroniques liées à des enquêtes de sécurité publique.
Il vient d’annoncer que la première « boîte noire » a été autorisée en octobre. Ces sondes prévues par la loi renseignement de 2015 furent à l’époque source d’émois et de frayeurs quant aux possibilités d’usage en tant qu’outil de surveillance de masse. La boîte noire connectée à un DSLAM retourne l’adresse IP d’un individu dont l’identifiant est connu, pour peu qu’elle fasse partie du flot des données transitant par ce DSLAM. Fort de cette adresse, une récolte ciblée des métadonnées peut être engagée.
L’idée directrice est la détection de « bruits faibles », autrement dit des habitudes ou comportements qui seraient propres aux tenants du terrorisme. Les techniques d’apprentissage sont en la matière bien utiles. Pour détecter un comportement « insolite » il faut auparavant avoir appris un comportement « classique » et donc entrainer la machine sur l’ensemble du réseau.
 
Un riche historique
Les services de surveillance ont une bonne expérience du métier puisque dès 2009 le programme Interceptions Obligatoires Légales ou IOL édifié sur des sondes placées également dans les DSLAM permettait de mettre sous écoute administrative après validation par le Groupe Interministériel de Contrôle tout individu objet d’une enquête. La quasi-totalité du trafic résidentiel est équipée de ce dispositif. En 2013, Edward Snowden annonçait que depuis son bureau il avait autorité pour mettre n’importe qui sous écoute à partir du moment où il disposait d’un identifiant, adresse mail par exemple : la technologie française n’est pas en reste. C’est à cette occasion qu’a fleuri le charmant néologisme d’« a-légal » révélateur de la nécessité de légiférer sur le sujet.
Cette réglementation a un passé riche et jusqu’au décret d’application fin 2014 de la loi de Programmation Militaire de 2013 seule la consultation a posteriori des données recueillies auprès des opérateurs étaient admises. Les données à l’époque ne concernaient que la lutte antiterroriste et sont maintenant élargies à l’ensemble des missions. De plus ces données dans un premier temps limitées aux données conservées par l’opérateur ont évolué pour englober les identifiants de connexion (login) et la géolocalisation des terminaux. Enfin le temps réel apparaît puisqu’il n’est plus nécessaire d’attendre les données de la part de l’opérateur : elles peuvent être collectées au fil de l’eau.
Une belle consolidation des moyens d’inspection !
 
Deep Packet Inspection
Le décret d’application de décembre 2014 a précisé la notion vague de « informations et documents » contenue dans le projet de loi en métadonnées. Ces métadonnées ne se limitent pas à ce que l’on trouve dans les entêtes d’un paquet IP. Ce sont également les identifiants de connexion, par exemple un pseudo ou une adresse mail. Et pour avoir accès à une adresse mail il est incontournable de pénétrer au plus profond du paquet IP ce qui n’est possible qu’avec le Deep Packet Inspection. CQFD, mais cachez ces données que je ne saurais voir ! Le regard porte sur les métadonnées et a le devoir de se baisser pudiquement si des données qui ne seraient pas méta se présentent à lui.
Espérons que les craintes des opposants sur l’efficacité du système notamment à cause du chiffrement et de l’utilisation de réseaux d’anonymisation de type TOR ne soient pas fondées.
 
Désanonymisation
La loi prévoit que cette analyse se fera sur des données anonymes, l’identification intervenant uniquement si une menace est détectée.
Une demande de désanonymisation officielle est-elle seulement nécessaire ? N’est-il pas possible de cerner une identité à partir des seules métadonnées ? Yves-Alexandre de Montjoye, doctorant au MIT, a mené des études en 2013 sur 1,5 million d’abonnés auprès d’un opérateur. La conclusion est que quatre points tels que les personnes appelées, l’heure ou la durée de l’appel, le lieu d’où on appelle suffisent à identifier 95 % des abonnés. Ajoutons le site panopticlick.eff.org m’indique que la configuration de mon navigateur laisse une empreinte unique parmi 832.188. Ces deux exemples sont issus du domaine public et n’ont pas nécessité de recherches particulières. Qu’en est-il lorsqu’on a des moyens ?
Nos métadonnées semblent être un garde-fou bien léger pour notre identité.
 
Tout est en place
Tous les éléments techniques semblent en place pour un traçage complet et nominatif de nos navigations : Deep Packet Inspection plus identification malgré ou grâce à nos métadonnées. Les moyens sont en place et le seul rempart dont nous disposions est l’actuelle réglementation. Sa pérennité sera-t-elle confirmée même face à des changements politiques forts ?
J’ai tendance faire un rapprochement entre ce mécanisme et celui de la vente des données de navigation par les fournisseurs d’accès à Internet. Elles sont aujourd’hui strictement interdites. Mais l’exemple des États Unis laisse perplexe. La Federal Communications Commissions’est toujours positionnée en protecteur de la vie privée. Donald Trump a nommé le 23 janvier à la tête de la FCC Ajit Pai qui a immédiatement annoncé la couleur : « … lancer la tondeuse à gazon et faire disparaître ces règles qui mettent un frein aux investissements, à l’innovation et à la création d’emplois ». Fin mars 2017, le Sénat US a entériné l’autorisation faite aux FAI de revendre l’historique des internautes sans avoir à solliciter leur accord. Il est maintenant peu prudent aux Etats-Unis de se renseigner sur des maladies rares ou l’assurance chômage avant un rendez-vous pour un prêt bancaire. Répartie amusante des internautes étatsuniens : l’utilisation de scripts « ISP Data Pollution » ou « RuinMyHistory » aux noms parfaitement explicites.
 
En France, notre navigation comme nos communications sont encore sous la protection de la réglementation, mais pour reprendre Letizia Bonaparte : « Pourvou qu'ça doure ! »
 

Merci aux sites Mediapart, Reflets et la Quadrature du Net que j’ai largement consultés lors de la rédaction de ce billet. 
 
 
Auteur: 
Jacques Baudron - 21 novembre 2017 - jacques.baudron@ixtel.fr

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.