cybercriminel

Surveillance de masse, vie privée, libertés individuelles, sécurité…

Si des mesures et des projets ont été adoptés suite aux attentats de Paris en Janvier et Novembre 2015, des moyens de lutte contre les actes terroristes étaient déjà prévus auparavant. Si ils s’intéressent aussi au cyberterrorisme, ils sont tout d’abord pris dans un but sécuritaire et concernent le terrorisme dans les grandes lignes.

En effet, la législation française prévoit notamment des mesures exceptionnelles, comme par exemple l’état d’urgence décrété pour 3 mois à la suite des attentats du 13 Novembre.

Ainsi, en 9 décembre 2015, plus de 2 500 perquisitions administratives ont été menées dans le cadre de cette procédure. Celles-ci ont entraîné l’interpellation de 305 personnes, dont 267 ont été placées en garde à vue. Près de 400 armes ont été saisies, 1 sur 10 concerne une arme dite « de guerre ».

Il est important de replacer lesdites mesures dans le contexte actuel, de préciser ce qu’elles impliquent, notamment du point de vue de la vie privée et des données personnelles.

Etat d’urgence

L’Etat d’urgence est une mesure exceptionnelle en France qui prévoit la restriction des libertés et qui confère aux autorités civiles habilitées des pouvoirs de police « exceptionnels portant sur la réglementation de la circulation et du séjour des personnes, sur la fermeture des lieux ouverts au public et sur la réquisition des armes ». Ce régime a été instauré par la loi du 3 Avril 1955, historiquement votée afin de faire face aux évènements survenus durant la Guerre d’Algérie (1954-1962), à savoir les attentats perpétrés par le front de libération nationale algérien en Novembre 1954.

Au total, la procédure d’Etat d’urgence aura été appliquée par cinq fois avant sa dernière mise en place, le 14 Novembre 2015 suite aux attentats de Paris (1955,1958,1961,1984, 2005).

En revanche, seule l’application de cette procédure en 1955 avait concerné la totalité du territoire métropolitain. En effet, quand l’Etat d’urgence est déclaré, il est possible de le limiter à certaines zones géographiques définies (par exemple, en 2005, Jacques Chirac l’avait décrété suite aux émeutes dans les banlieues, en le limitant aux zone concernées, procurant des pouvoirs exceptionnels en matière de police aux préfets desdites zones seulement).

L’Etat d’urgence déclaré le 14 Novembre 2015 en Conseil des Ministres exceptionnel est donc seulement la deuxième application qui est en faite à concerner l’ensemble du territoire métropolitain, et ce pour une durée de 3 mois.

Le 20 Novembre, le Sénat adopte à l’unanimité le projet de loi prorogeant l’application de la loi no 55-385 du 3 avril 1955, relative à l’état d’urgence et renforçant l’efficacité de ses dispositions. Il était effectivement nécessaire de réadapter cette loi, celle-ci ayant été prise dans le contexte particulier de la Guerre d’Algérie, elle n’était plus forcément d’actualité, nombres de ses articles paraissaient obsolètes, et elle ne prenait par exemple pas en compte la dimension technologique du terrorisme tel qu’on le connaît aujourd’hui.

Quelles sont donc les mesures prévues par cette procédure qui permettent de contrer le cyberterrorisme ?

Durant le temps d’application de la procédure, les autorités habilitées peuvent procéder à des perquisitions administratives, et ce sans contraintes d’horaires. Ces perquisitions peuvent mener à découvrir des indices sur les appareils électroniques/connectés de suspects.

La loi sur l’état d’urgence prévoit de plus la possibilité d’opérer un blocage administratif des sites faisant l’apologie du terrorisme. C’est en fait une mesure qui avait été votée dès 2011 (elle concerne également le blocage des sites à caractère pédopornographiques), mais qui n’avait jamais été mise en place à défaut de décret y faisant application. Le décret a depuis été adopté, quelques semaines après les attentats de Janvier 2015. Cette mesure apparaissait particulièrement nécessaire ; Bernard Cazeneuve a en effet considéré, à juste titre si l’on en croit les différents statistiques des instituts spécialisés, que « aujourd’hui, (…) 90% de ceux qui basculent dans des activités terroristes au sein de l’Union européenne le font après avoir fréquenté Internet (sites, blogs, vidéos) ».

L’objectif sous-tendu est de fait également d’enrayer la propagande islamiste et la radicalisation en chambre (voir article Cyberterrorisme).

Une nouveauté a été apportée récemment, suite à la dernière application de l’Etat d’urgence. L’Assemblée nationale a voté le 19 Novembre 2015 (puis le Sénat le lendemain) la possibilité de bloquer les sites internet et réseaux sociaux faisant l’apologie du terrorisme. Cette mesure peut être demandée directement par le ministère de l’Intérieur et ce, sans délai. En effet, il était communément prévu un délai de 24 heures avant la suppression des contenus mis en cause. Désormais, une fois la suppression du site en question demandée et validée, celui-ci disparaitra instantanément du web. Cette mesure vient donc accélérer la procédure de blocage administratif précédemment prévue. Si l’article de la loi de 1955 relatif au contrôle de la presse a été supprimé, le ministère de l’intérieur a donc toujours un moyen de contrôle sur les organes de communication en ligne, dont la visibilité ne cesse de s’accroître et d’être préoccupante dans le cadre du jihadisme par exemple.

Protégés mais surveillés !

Avant les attentats survenus en 2015, le Parlement a adopté, le 18 Décembre 2013, une loi relative à la programmation militaire. Ladite loi prévoit notamment, en son article 17, des mesures de collecte de données personnelles. En effet, en vertu de cet article, le ministre de l’Intérieur, le ministre de la Défense, le ministre chargé des Transports et le ministre chargé des Douanes sont autorisés à demander des mesures de traitement automatisé de données, dans le cadre de la prévention et de la constatation des actes de terrorisme (à l’exclusion des données dites « sensibles »).

Grâce à cette mesure, les différents transporteurs aériens seront ainsi habilités à communiquer aux autorités mentionnées ci-dessus des informations concernant leurs passagers, qui se trouvent dans leur système de réservation.

Ces données ne pourront par la suite être conservés que pour une durée maximale de cinq années.

Plus récemment, la loi sur le renseignement a été promulguée le 24 Juillet 2015 ; elle fait suite à la loi antiterroriste de 1991, mais permet des procédures plus poussées et bien plus intrusives. Elle vise à donner un cadre législatif légal aux activités des services de renseignement. Ainsi, la mise en œuvre des différentes techniques de renseignement est soumise à une autorisation du Premier Ministre (après avis d’une autorité administrative indépendante).

Il a été démontré par un rapport parlementaire que les services de renseignement avaient l’habitude d’agir sans base légale ni sans aucun contrôle qui soit autre que hiérarchique. Ces services comprennent : la Direction générale de la sécurité extérieure (DGSE), la direction de la protection et de la sécurité de la défense (DPSD), la direction du renseignement militaire (DRM), la Direction générale de la sécurité intérieure (DGSI), la Direction nationale du renseignement et des enquêtes douanières (TRACFIN).

La loi a apporté de nombreux éléments en lien avec la vie privée et la collecte de données. En effet, plusieurs techniques de renseignement sont prévues dans ladite loi, à commencer par la sonorisation de lieux privés et la captation d’images dans ces mêmes lieux, récolte d’informations informatiques, ou encore d’accéder aux réseaux des opérateurs de télécommunication afin de faciliter le suivi d’individus suspects. Cette mesure, particulièrement contestée, consiste à mettre en place des « boîtes noires », qui visent à détecter des comportements suspects à partir des données de connexion.

L’Assemblée a de plus prévu l’utilisation des imitateurs d’antennes relais (« IMSI catcher »), qui ont pour fonction de capter des conversations dans un rayon de 500 mètres à 1 kilomètre. Cette mesure est cependant limitée à des agents spécialement assermentés dans ce but.

Il est également prévu que les services de renseignement puissent obtenir et consulter des métadonnées.

Cette collecte d’information n’en est pas moins très encadrée, et n’est permise que dans le cadre de la lutte antiterroriste.

Contestables au regard de la vie privée, ces possibilités sont prévues pour être employées conformément aux principes de subsidiarité et de proportionnalité.

La plupart des mesures prévues ont en ce sens était largement critiquées et ont fait l’objet de contestations. Ainsi, en Avril 2015, alors que la loi n’en était encore qu’au stade de projet, un collectif d’entreprises du net s’est vivement opposé au dispositif des boites noires (mises en places afin de surveilles les connexions des internautes). Ils créent alors le mouvement « ni pigeons, ni espions », qui annonce être contre la surveillance généralisée d’Internet, qu’ils jugent inefficace et dangereuse pour la croissance.

Blocage des réseaux publics et de Tor : le coup de massue du gouvernement

Dernièrement, toujours à la recherche de moyens de contrer efficacement le cyberterrorisme et le cyberjihadisme, le gouvernement a évoqué, la possibilité de couper l’accès aux réseaux publics de wifi et à l’outil Tor. Celui-ci permet de naviguer de façon anonyme sur Internet, mais il est également un moyen efficace afin d’accéder au darkweb/deepweb, et d’avoir accès à des activités suspectes voire illégales sur internet.

Avec le blocage de ces services, c’en serait donc fini des hot spots wifi gratuit dans les lieux publics (parcs, restaurants, etc…), mais aussi des accès comme le Free-Wifi.

Si le blocage de ces services paraît envisageable et que sa mise en place est possible, la question est plus complexe s’agissant de Tor, qui est un outil décentralisé et plus difficilement contrôlable. De plus, Tor est un procédé utilisé par des journalistes, des experts et des lanceurs d’alertes, ce qui leur permet de garantir leur anonymat. Il paraît également indispensable que l’anonymat sur Internet puisse rester une possibilité et même un droit, quel que soit le contexte.

S’agissant des réseaux wifi libres ou partagés, le gouvernement n’a pour l’instant évoqué leur blocage que durant la période d’Etat d’urgence. C’est cependant une mesure certes contestable mais qui présente des avantages pour les services de renseignement. Si les abonnés aux différents FAI se voient imposer par la loi de sécuriser leur connexion afin que celle-ci ne soit pas utilisée sans leur accord par de possibles pirates ou personnes malveillantes, le fait de bloquer totalement les différents réseaux de connexion permettrait notamment aux services de police de n’avoir qu’un identifiant par adresse IP, et de cerner plus facilement un possible suspect (les possibilités seraient ainsi réduite au seul foyer lié par l’adresse IP en question).

En revanche, concernant Tor, il apparait que son blocage pourrait toujours être contourné et aurait finalement surement peu d’impact, car d’autres plateformes, chiffrées ou non, permettent aux terroristes de communiquer entre eux (lors des attaques du 13 Novembre, la coordination des djihadistes s’est faite simplement par des SMS, non crypté, juste avant les attaques).

De plus, de nos jours, seuls des régimes considérés comme autoritaires (la Chine et l’Iran) ont adopté des mesures visant à interdire Tor et à bloquer son utilisation. Faut-il en arriver là ?

Thibault Brunel

Sources :

Émission Mots croisés – « Tous protégés ? Tous surveillés ? », 13 avril 2015, France 2

Podcasts Europe 1

http://www.interieur.gouv.fr/Actualites/Dossiers/Projet-de-loi-sur-le-renseignement

http://www.zdnet.fr/actualites/anti-terrorisme-l-interieur-souhaite-bloquer-tor-et-les-reseaux-wi-fi-publics-39829386.html

Le Monde Pixels : http://www.lemonde.fr/pixels/article/2015/07/24/loi-sur-le-renseignement-que-contiennent-les-dispositions-censurees-par-le-conseil-constitutionnel_4697066_4408996.html

Rapports publics du centre français de recherche sur le renseignement (CF2R) : (Cyberespace : le théâtre d’opérations du renseignement du XXIe siècle de Monsieur Jacques M. Tenenbaum)

Thibault Brunel

Membre de l’association des Juristes du Numérique

Promotion 2015 - 2016