17/04/2015

Un projet de loi qui n'inquiète pas le renseignement extérieur

Le projet de loi relatif au renseignement, a été adopté en première lecture à l'Assemblée nationale dans le cadre d'une procédure d'urgence et après un débat rapide en commission des lois. Parmi les différentes mesures prévues par le projet de loi, traitées dans un précédent article de Zone d'Intérêt, figure l'encadrement des « mesures de surveillance internationale » qui relèvent principalement du renseignement extérieur.

Ces mesures d'encadrement figurent dans l'article 3, chapitre IV du projet de loi et stipulent que l'interception des communications « émises ou reçues à l'étranger » sont soumises à l'autorisation du Premier ministre, ou des personnes spécialement déléguées par lui. Cette disposition légale semble encadrer assez précisément l'interception des communications à l'étranger, avec un contrôle a posteriori de la future Commission nationale de contrôle des techniques de renseignement (CNCTR).

Cet article de loi a, selon l'exposé des motifs donné par le rapporteur de la loi, l'ambition de faire rentrer dans le cadre de la loi la pratique, souvent clandestine, des interceptions de communications par le renseignement extérieur.

« Ce type de surveillance, qui représente un besoin crucial, s’exerçait donc sans encadrement juridique ; ce projet de loi y remédie, et il s’agit d’un progrès décisif. » 
- Extrait du rapport de Jean-Jacques Urvoas, 2 avril 2015

En analysant cette mesure d'encadrement, Zone d'Intérêt avait émis des doutes sur son applicabilité, notamment parce que les interceptions de communication émises ou reçues à l'étranger sont menées par plusieurs services, la DGSE et la DRM en premier lieu, mais également par plusieurs unités militaires. Or si les régiments spécialisés qui procèdent au recueil du renseignement d'origine électromagnétique (ROEM) le font parfois au profit de « services spécialisés de renseignement » (DRM, DGSE...) qui relèvent du ministre de la Défense ou du Premier ministre, il le font également à leur propre profit, et à celui du commandement en opérations comme de l'état-major. Ainsi, ces unités qui ne relèvent pas organiquement des services spécialisés de renseignement, ni de l'autorité du Premier ministre, mais en dernière ligne du Président de la République chef des armées, auraient du se soumettre à une demande d'autorisation auprès des services du Premier ministre. Cet élément posait un premier problème, tant réglementaire qu'opérationnel, mais n'a pourtant fait l'objet d'aucune demande d'amendement de la part du ministre de la Défense pendant toute la durée de l'examen en commission et en séance publique.

De manière intéressante, Benard Bajolet, directeur général de la sécurité extérieure, se montrait plutôt satisfait du projet de loi lors de son audition devant la commission de la défense nationale et des forces armées. Cela peut surprendre lorsqu'on connaît la posture traditionnelle de la DGSE, assez peu encline à voir ses prérogatives se restreindre ou sa marge de manœuvre opérationnelle se trouver engoncée dans un carcan législatif.

« L’article le plus important pour mon service est celui relatif à la surveillance internationale. Cet article L. 854-1 prend en considération la réalité des activités que nous menons. Sa rédaction nous convient. »
- Bernard Bajolet, directeur de la DGSE, 24 mars 2015

Enfin, il est surprenant d'imaginer que le gouvernement veuille se plonger dans l'encadrement des interceptions de communication menées par le renseignement extérieur, alors même que le Conseil d'Etat l'en dispense largement. Cette disposition est d'ailleurs bien connue du rapporteur de la loi, qui est également le président de la Délégation parlementaire au renseignement (DPR) et qui a signé son rapport d'activité pour l'année 2014. Dans ce rapport est cité un avis du Conseil d’État qui souligne que les communications émises ou reçues à l'étranger échappent en réalité largement au champ d'application de la loi française.

« Tout comme la légitimité des surveillances des communications électroniques par les pouvoirs publics n’est pas douteuse dans son principe, le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles concernent l’étranger se justifie aisément. Comme le rappelle encore lumineusement le Conseil d’État, « dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire » »
- Extrait du rapport d'activité de la DPR pour l'année 2014

Comment expliquer alors que le gouvernement cherche à encadrer l'interception des communications « émises ou reçues à l'étranger », alors même que le Conseil d'Etat ne semble pas considérer cela comme nécessaire et tout en satisfaisant la DGSE ?

Lire la loi avec un miroir

Selon des éléments d'information complémentaires sollicités par Zone d'Intérêt, il faut s'attacher à considérer ce que la loi ne stipule pas et lire certaines dispositions de l'article 3 à revers pour mieux comprendre que le projet de loi encadre finalement très peu le renseignement extérieur.

Dans le chapitre IV de l'article 3, il est bien précisé que l'autorisation du Premier ministre concerne « la surveillance et le contrôle des communications qui sont émises ou reçues à l’étranger ». Mais il n'est jamais fait mention du lieu de l'interception. Or comme l'a rappelé le Conseil d'Etat ce qui se passe hors du territoire national tend à échapper au champ de l'application de la loi française, surtout si celle-ci ne le stipule pas explicitement.

Le projet de loi encadrera uniquement l'interception des communications menée depuis le territoire national, c'est-à-dire les communications qui transitent par les câbles, lignes téléphoniques et voies hertziennes (communications par satellite, téléphonie mobile, HF...) qui peuvent être captées depuis la France.


Ainsi aucune des interceptions de communications qui seront menées hors de France par les services de renseignement (DGSE, DRM...), les régiments spécialisés, des stations d'interception clandestines, des bâtiments, sous-marins ou aéronefs, ou des services alliés, ne seront concernées par la loi.

La rédaction de l'article 3 pose également question quant aux protections supplémentaires censées être accordées aux communications « émises ou reçues à l'étranger » qui « renvoient à des numéros
d’abonnement ou à des identifiants techniques rattachables au territoire national », c'est à dire des communications émises ou reçues par des citoyens français sur le territoire français, ou par des personnes résidant en France. Ces communications, lorsqu'elles sont interceptées, doivent faire l'objet d'un contrôle de la CNCTR, ce qui n'est pas le cas des communications émises de l'étranger vers l'étranger.

Mais comme l'article précise que « ces mesures sont exclusivement régies » par l'article 854-1 qui ne s'applique pas hors du territoire français, les communication des Français auront-elles droit à ces mêmes protections si elles ont interceptées par les services de renseignement à l'extérieur du territoire national ?

Jusqu'à présent, les communications des Français constituaient un « no go » pour la DGSE qui s'interdit officiellement d'exploiter toute communication d'un citoyen français sans respecter le cadre prévu par la CNCIS. Selon un article de l'Opinion, à la DGSE : « la première chose que font nos logiciels est de vérifier s'il s'agit d'une communication française ».

Cette ligne de conduite officielle de la DGSE ne relève pas aujourd'hui d'une loi précise, mais d'une interprétation en interne de la jurisprudence de la CNCIS, ce qui est rappelé par le DGSE en audition, sans préciser toutefois si son service s'astreint à respecter les mêmes règles si l'interception est menée à l'étranger.

« C’est grâce à la jurisprudence, que l’on peut qualifier de créative, de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) que nous avons pu combler le fossé qui s’est progressivement élargi entre les dispositions légales et l’évolution des techniques. Nous travaillons sur la base de cette jurisprudence. C’est certes un cadre légal mais, dans le système français où la jurisprudence n’a pas la même force que dans les pays anglo-saxons, une telle base juridique est malgré tout assez fragile. » 
- Bernard Bajolet, directeur de la DGSE, 24 mars 2015

La CNCIS qui est à l'origine de cette jurisprudence est appelée à disparaître au profit de la CNCTR et le nouvel article 854-1 deviendra le seul texte de référence auquel la DGSE sera tenue de se plier concernant l'interception des communications émises ou reçues à l'étranger.

Il est difficile d'avoir la certitude que si une communication « rattachable » à un Français est interceptée hors du territoire nationale, celle-ci bénéficiera des garanties prévues par l'article 854-1 alors même que celui-ci s'applique uniquement en France.

Sur un plan purement pratique, même si le projet de loi indique que la CNCTR pourra « disposer d'un accès permanent […] à tous les locaux dans lesquels s'exerce la centralisation de ces renseignements », elle pourra difficilement contrôler les renseignements recueilles dans d'éventuelles stations clandestines des services de renseignement à l'étranger ou dans les régiments spécialisés en opérations extérieures, qui de toute façon ne relèvent pas de sa juridiction.

Une interprétation particulièrement retorse de la loi pourrait même pousser certains services à délocaliser hors du territoire national certaines de leurs activités de recueil de renseignement afin d'échapper à cet encadrement légal. Il est même envisageable que si une communication est recueillie, traitée et analysée hors du territoire nationale, elle puisse ne jamais être touchée par l'application de la loi. Il deviendrait alors difficile de caractériser dans un sous-produit de renseignement telle qu'une note ou une analyse, des informations recueillies qui ont pu relever à un moment du champ d'application de la loi française ou de ce qui y a toujours échappé.

D'autres desiderata du DGSE

On comprend donc que le renseignement extérieur restera largement épargné par l'application de la future loi relative en renseignement si elle est votée en l'état.

Il est toutefois intéressant de noter que la direction générale de la sécurité extérieure semble vouloir être dotée d'exemptions plus larges, tant en matière d'interceptions de communications que dans ses opérations clandestines à l'étranger.

En audition devant la Commission de la défense nationale, Bernard Bajolet a demandé à ce qu'une réflexion soit entamée afin de créer un statut qui protégerait moins les communications des étrangers de passage en France que celles des citoyens français. Ces communications deviendraient alors « fair game » pour la DGSE au même titre que lorsqu'elle intercepte des communications à l'étranger.

« La loi ne comporte pas à ce stade de distinction entre les étrangers de passage en France et les personnes de nationalité française ou résidant habituellement sur le territoire. La réflexion est cependant pertinente, dans la mesure où mon service est amené à suivre des objectifs étrangers lorsqu’ils se trouvent sur le sol national. Cela n’est pas explicitement pris en compte par la loi. »
- Bernard Bajolet, 24 mars 2015

Dans son article 10, le projet de loi prévoit une forme « d'exemption pénal » en faveur des agents des services de renseignement lorsqu'ils mènent des opérations de lutte informatique offensive hors du territoire national. En effet, le chapitre du code pénal relatif aux « atteintes aux systèmes de traitement automatisé de données » ne s'appliquera alors plus aux agents.

Le directeur général de la sécurité extérieure a demandé à ce que cette exemption soit étendue à toutes les activités que mènent les agents de renseignement à l'étranger.

« La disposition est donc limitée, et nous serions favorables à une mesure qui assurerait la protection pénale, dans leur propre pays, des agents pour l’ensemble des activités qu’ils mènent à l’extérieur de nos frontières, dès lors que celles-ci relèvent de leurs missions telles que définies par la loi. »
- Bernard Bajolet, 24 mars 2015

Des agents de la DGSE peuvent en effet être amenés à s'affranchir de nombreuses lois lorsqu'ils opèrent à l'étranger. Les activités de la DGSE comprennent également des actions clandestines, menées en particulier par son Service Action. Ce service est parfois amené à conduire des « opérations d'entrave » ou autres « direct actions » telles que qualifiées par les services anglo-saxons, avec des règles d'engagement particulièrement agressives et qui mettent parfois en péril des vies humaines. Un exemple de ces opérations est notamment celle qui a été menée en Somalie en janvier 2013, avec pour objectif la libération de l'otage Denis Allex.

22/03/2015

Quelques observations sur le projet de loi renseignement 2015

Le projet de loi relatif au renseignement a été présenté le 19 mars 2015 en conseil des ministres et  a pour objectif de fournir une « loi cadre » à l'ensemble des services de renseignement français. Son examen a été accéléré suite aux attentats de janvier 2015, mais ce n'est pas pour autant une loi de circonstances. En effet, la quasi-totalité des mesures décrites dans ce projet de loi est issue des travaux menés au sein de la Fondation Jean Jaurès, depuis plus de quatre ans. Cette « réforme des services de renseignement français » est donc un travail de longue haleine, qui a connu des soubresauts et des refus, et dont ce projet de loi devait constituer l'étape finale.

Une politique publique sans « politique publique » ?

L'exposé des motifs du projet de loi insiste bien sur la volonté ancienne de ses créateurs, de proposer une loi cadre pour l'ensemble des activités de renseignement étatiques, dont le Titre Ier doit établir les fondements, déterminant « les principes et les finalités de la politique publique de renseignement ». Il ne reste toutefois plus grand chose de cette politique publique du renseignement dans la version finale du projet de loi puisque la mention même de « politique publique » qui apparaissait dans le deuxième article du Titre Ier a été supprimée.

On pouvait s'attendre à trouver une réflexion de fond sur le bien fondé de l'existence des services de renseignement dans une république, sur l'éthique des fonctionnaires de l'Etat qui les servent ou encore sur les grandes missions qu'ils doivent remplir. On ne trouve plus qu'un résumé succinct du cycle du renseignement et un rappel au Livre blanc sur la sécurité et la défense nationale : les services « ont pour mission, en France et à l’étranger, la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d' affecter la vie de la Nation. Ils contribuent à la connaissance et à l’anticipation de ces enjeux ainsi qu’à la prévention et à l’entrave de ces risques et menaces ». La définition des intérêts publics dont les services de renseignement sont chargés reste assez limitée et on peut s'étonner que la mention de la « prévention de la prolifération des armes de destruction massive » qui figurait dans l'avant-projet de loi ait été retirée.

En ne poursuivant pas ce qui semble avoir été leur intention première, les créateurs du projet de loi ne définissent pas en profondeur les missions de chacun des services de renseignement. Pour cela, il faudra se référer à des décrets, tels que le récent décret organique portant sur la DGSE qui donne une vision plus complète des missions du renseignement extérieur. En laissant à l'exécutif le rôle de définir les missions des services et en ne l'intégrant pas à ce qui est présenté comme une loi cadre, le gouvernement ne favorise pas un débat de fond au parlement sur l'essence du renseignement, ses enjeux, ses nuances et ses limites. L'exécutif conserve donc la main, par décret, sur la définition des missions régaliennes des services de renseignement, avec la possibilité de les modifier sans vote.


22/12/2014

Antennes chinoises et interceptions de communications

Le 4 décembre dernier, L'Obs révélait l'existence d'une annexe de l'ambassade de Chine en France, située à Chevilly Larue, au sud de Paris. Sur le toit de cette annexe, on peut observer plusieurs antennes paraboliques de grande taille, dédiées aux communications par satellite.

Selon L'Obs, l'ambassade de Chine justifie la présence de ces antennes en affirmant qu'elles ne servent qu'à des transmissions diplomatiques vers Pékin. Les experts consultés par le journal estiment pour leur part qu'au moins deux des trois antennes de grande taille servent à intercepter des communications par satellite.

Contacté par Zone d'Intérêt, Alain Charret 1, spécialiste des écoutes radio et rédacteur en chef de Renseignor, considère qu'il est « pratiquement impossible de différencier visuellement une antenne parabolique utilisée pour assurer une liaison spécifique, d'une destinée uniquement à l'interception ».

Toutefois, compte tenu des pratiques habituelles des services de renseignement extérieurs consistant à installer des stations d'interception dans leurs postes diplomatiques, l'hypothèse de L'Obs selon laquelle cette annexe de l'ambassade chinoise servirait à intercepter des communications par satellite ne semble pas invraisemblable.

Thuraya et Inmarsat ? Pas si sûr.

Une des sources consultées par L'Obs considère que l'une des antennes présentes sur le toit de l'annexe chinoise intercepterait les communications du satellite Thuraya 2, en orbite géostationnaire au-dessus de la corne de l'Afrique, alors qu'une autre antenne orientée vers l'ouest capterait les communications d'un satellite de la constellation Inmarsat ou Intelsat.

On comprend aisément que le spécialiste consulté par L'Obs pense rapidement aux satellites Thuraya et Inmarsat comme des cibles intéressantes pour les services de renseignement chinois. On trouve en effet, parmi les utilisateurs réguliers des services de télécommunication Thuraya et Inmarsat, de grands groupes industriels français, mais aussi des services de l'État. Les satellites Thuraya relaient notamment des communications de la DRM, de la DGSE et de l'état-major de l'armée de terre.

Néanmoins, lorsqu'on prête un peu attention à l'imagerie commerciale disponible sur cette annexe diplomatique, il apparaît que les satellites surveillés par les services de renseignement chinois ne sont peut-être pas ceux cités par L'Obs.


05/08/2014

What if Google was an intelligence agency ?

Zone d'Intérêt publie ici un premier article en anglais, co-écrit avec le blog Electrospaces, spécialisé dans les questions de renseignement et de sécurité des communications. Nous comparons le recueil de données et les moyens techniques de Google, avec ceux de grandes agences de renseignement. 

Since 1998, Google has grown to become an essential part of the web infrastructure and took an important place in the daily lives of millions. Google offers great products, from search engine to video hosting, blogs and productivity services. Each day, users provide Google, willingly and candidly, with many different kind of personal information, exclusive data and files. Google justifies this data collection for commercial purposes, the selling of targeted ads and the enhancement of its mostly free services.

These terabytes of user data and user generated content would be of tremendous value to any intelligence service. As former director of CIA and NSA Michael Hayden half-jokingly stated at Munk debates : "It covers your text messages, your web history, your searches, every search you’ve ever made! Guess what? That’s Google. That’s not NSA."

But really, how would a company like Google compare to an intelligence agency like the NSA ? How would it be able to gain access to confidential information and go beyond OSINT (Open Source Intelligence) ? Does Google even have the resources, data and technical capabilities to harvest all-sources intelligence like a major intelligence service would ?

Google's unofficial motto is "Don't be evil", but what if Google started being evil and used all of its collected information as an intelligence agency would ? What if intelligence professionals had access to Google's resources and data ? What would it mean for the users ? And can this be prevented somehow? (it’s also rather ironic that many people now see NSA as a big evil organization, but Google collects even more)

This is the worst case scenario we would like to explore :

What if Google was an intelligence agency ?

26/03/2014

Le MinDef et les blogs

Dans les relations presse du Ministère de la Défense, les blogs sont rarement traités au même niveau que les autres médias. Par exemple, rares sont les blogueurs à être conviés aux points de presse du ministère au même titre que les journalistes, ou à être accrédités pour participer aux visites de régiments. Il n'est pas non plus toujours simple pour les blogueurs d'obtenir des informations auprès de l'institution militaire qui ne les considère pas tous comme des interlocuteurs médiatiques à part entière.

Néanmoins, les fonctionnaires du ministère de la Défense consultent régulièrement les blogs traitant des questions de défense et c'est particulièrement le cas des personnels de la DICOD (Délégation à l'information et à la communication de la défense) qui sont chargés de la stratégie de communication du ministère.

Cet intérêt du ministère de la Défense pour les blogs, rarement exprimé de façon formelle, semble pourtant bien réel puisqu'ils font l'objet d'une veille particulièrement exhaustive de la part de la DICOD et de la DAS (Délégation aux Affaires Stratégiques), qui souhaitent apparemment n'en manquer aucun article. C'est ce qu'illustre un récent appel d'offre intitulé « fourniture d'une veille pluri-médias au profit du ministère de la défense » incluant une « veille internet médias et hors médias ». Ainsi, les blogs et autres sites web qui traitent de sujets de défense feraient l'objet de la même attention de la part du ministère que les grands titres de la presse francophone et internationale.

02/02/2014

Lecture - Attention : Cyber ! Vers le combat cyber-électronique

BONNEMAISON Aymeric & DOSSÉ Stéphane, Attention : Cyber ! Vers le combat cyber-électronique, Paris, Economica

Les armées sont aussi des acteurs du cyberespace et cela ne date pas de l'avènement d'internet, comme le rappellent dès l'introduction Aymeric Bonnemaison et Stéphane Dossé. La première partie de l'ouvrage est consacrée à une rétrospective historique complète, pour retracer le lien étroit entre forces armées, agences de renseignement et exploitation du cyberespace. Elle offre des rappels intéressants pour mieux comprendre la structuration des unités chargées de mener des opérations dans le domaine cyber. On observe des choix organisationnels qui varient selon les pays, en décomposant parfois des capacités et des champs d'action entre transmetteurs, services de renseignement, unités de guerre électroniques et experts en sécurité des systèmes d'information.

Les auteurs démontrent l'apport essentiel du cyber aux opérations militaires au cours du XXè siècle. Il s'agit également d'une réflexion sur l'intégration cohérente d'une expertise opérationnelle provenant des transmissions et de la guerre électronique, avec les pratiques issues de la cybersécurité, autour de la notion de combat cyber-électronique. Cette dimension du combat doit s'intégrer aux missions des différentes unités, qui ont chacune leur place dans la manœuvre, du renseignement à l'intrusion et à la protection physique du dispositif.

22/01/2014

Lecture - Constructing Cassandra : Reframing Intelligence Failure at the CIA, 1947-2001

JONES Milo & SILBERZAHN Philippe, Constructing Cassandra : Reframing Intelligence Failure at the CIA, 1947-2001, Stanford, Stanford University Press

L'anticipation des surprises stratégiques est au centre du mandat confié à la CIA lors de sa création en 1947. Dans Constructing Cassandra, John Milo et Philippe Silberzahn s'intéressent aux échecs de l'Agence dans cette mission stratégique, à travers plusieurs études de cas, de la révolution iranienne aux attaques du 11 septembre 2001.

L'ouvrage se construit autour de plusieurs chapitres historiques qui retracent le travail des analystes lors de quatre crises bien connues du XXème siècle. Ce récit depuis l'intérieur de la CIA se fonde sur une bibliographie solide, en particulier des mémoires d'analystes tel que Michael Scheuer et sur une lecture exhaustive de la série des Studies in Intelligence, publications autorisées et déclassifiées de la CIA. L
es deux auteurs évitent toutefois les limites d'une lecture trop événementielle, déjà expérimentée par Timothy Walton dans Challenges in Intelligence Analysis: Lessons from 1300 BCE to the Present. On peut notamment relever leur étude du travail de la CIA en appui à la lutte contre le terrorisme dans les mois qui ont précédé les attaques du 11 septembre 2001, qui adopte une vision nuancée du contexte, en reprenant certaines conclusions de la 9/11 Commission pour étayer leur propos.