La surveillance de l'Internet s'organise

Sans sombrer dans la paranoïa, il faut savoir que chacun de vos déplacements sur l'Internet peut être épié. A la maison, votre fournisseur d'accès est en mesure de connaître tous les sites auxquels vous vous connectez. Au travail, votre employeur a les moyens de s'assurer que votre utilisation de l'Internet se limite à un cadre strictement professionnel. Lorsque vous les visitez, de nombreux sites commerciaux repèrent vos centres d'intérêt et peuvent déterminer vos habitudes de consommation. Vos activités d'internaute sont également susceptibles d'intéresser les autorités qui luttent contre la cybercriminalité. Plus lents à réagir au développement de la société de l'information et souvent désemparés face à un cyberespace qui ne connaît pas de frontières, les Etats sont en train d'organiser la surveillance de l'Internet qui leur permettra d'imposer le respect de leurs lois. Cette "carte blanche" dresse un aperçu de la situation dans le domaine de la surveillance de l'Internet. De nombreux points sont également valables pour la téléphonie fixe et mobile, dans la mesure où les mêmes lois sont généralement applicables.

La Suisse se dote d'une nouvelle loi
"L'idéal initial d'autorégulation d'Internet ne résistera pas longtemps à l'intervention des autorités qui devront définir les moyens d'identifier certains clients de manière précise pour éviter qu'Internet permettre des excès (racisme, pornographie, etc.) qui sont réprimés par ailleurs par le code pénal." Député socialiste jurassien et membre de la Commission des transports et télécommunications du Conseil des Etats, Pierre-Alain Gentil résume bien les considérations qui ont prévalu au moment de l'adoption de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Ce texte, qui entrera prochainement en vigueur, exige des fournisseurs d'accès à l'Internet (FAI) qu'ils remettent à l'autorité compétente "toute indication permettant d'identifier l'auteur d'un acte punissable commis au moyen d'Internet." A l'instar des opérateurs de téléphonie mobile, les FAI n'ont pas l'obligation d'identifier leurs clients. Ils doivent en revanche conserver durant six mois "les données permettant l'identification des usagers ainsi que les données relatives au trafic et à la facturation". Ces données correspondent au fichier journal ("logs") des fournisseurs d'accès qui retrace l'ensemble des connexions des clients. Leur exploitation permet en principe aux autorités pénales de remonter jusqu'à l'auteur du délit. La poursuite sera toutefois compliquée et ralentie si le "cyber-criminel" se trouve à l'étranger, car elle impliquera alors la collaboration des autorités du pays concerné.

Le projet de Convention sur la cybercriminalité
C'est précisément dans le but d'harmoniser les procédures de lutte contre la cybercriminalité que le Conseil de l'Europe - dont la Suisse fait partie - planche depuis plusieurs mois sur un projet de Convention sur la cybercriminalité. Si le calendrier est respecté, cette Convention devrait entrer en vigueur dès le mois de septembre prochain. Soutenu par l'Union Européenne et le G8, ce texte énumère les infractions que les Etats membres devront intégrer dans leur Code pénal ainsi que la procédure applicable à la lutte contre la cybercriminalité. L'élaboration de ce texte - dont le projet a été revu plus de vingt-cinq fois - inquiète plusieurs associations de défense des libertés publiques, dont la Française IRIS (Imaginons un réseau Internet solidaire). Ces dernières critiquent l'aspect "fourre-tout" de la Convention et estiment qu'elle menace la protection des données et la vie privée des individus. Ces craintes apparaissent légitimes lorsque l'on sait que la première version du projet prévoyait, ni plus ni moins, la possibilité pour la police de perquisitionner à distance les disques durs des internautes.

Protection de la vie privée contre traque des cybercriminels, le débat est lancé. "C'est une question de pesée d'intérêts", explique Pierre-Alain Gentil. "Dans la lutte contre la cybercriminalité, il importera de définir des procédures claires (p. ex. en analogie avec les écoutes téléphoniques qui exigent une procédure judiciaire) pour protéger la sphère privée des gens qui utilisent "normalement" Internet (comme leur téléphone et leur correspondance) et qui ne doivent pas être incommodés inutilement.

Il n'y a en effet aucun raison que la protection de la sphère privée des individus soit moindre sur l'Internet. On serait même tenté de dire qu'elle pourrait y être renforcée, compte tenu des possibilités d'atteinte offertes par l'informatique. En tous les cas, les autorités de poursuite pénale doivent se donner les moyens de respecter les droits des internautes. Cela passe certainement par le développement de solutions techniques appropriées.

Le FBI mange-t-il les internautes tout cru ?
L'an dernier, la police fédérale américaine a reconnu qu'elle utilisait un dispositif d'écoute appelé Carnivore - récemment rebaptisé DCS100 - pour filtrer le trafic Internet au niveau des fournisseurs d'accès. Selon le FBI, Carnivore présente l'avantage de n'intercepter que les données concernant l'internaute dont un juge a ordonné la mise sur écoute. Il respecterait donc la sphère privée des individus. Les détracteurs de Carnivore ne partagent pas cet avis. Selon eux, le logiciel développé secrètement par le FBI est illégal, en tant qu'il permet d'intercepter les messages électroniques de tous les internautes américains et de déterminer les sites Web qu'ils visitent. L'association EPIC (Electronic Privacy Information Center) a obtenu du FBI qu'il lui révèle les documents explicitant les possibilités techniques offertes par Carnivore. [Note : Si la lecture de plusieurs centaines de pages vous rebute, un résumé des capacités de Carnivore est disponible - en anglais - sur le site SecurityFocus.]

Le cannibalisme policier s'étend en Europe
Le mise sur écoute de l'Internet existe également en Europe, où des dispositifs similaires à Carnivore sont développés. Le 17 janvier 1995, le Parlement européen a discrètement adopté une directive sur l'interception légale des télécommunications qui précise que "les opérateurs de réseaux ou les fournisseurs de services doivent procurer aux services autorisés une ou plusieurs interfaces à partir desquelles les communications interceptées peuvent être transmises à leurs installations de surveillance." L'idée est donc d'installer des 'portes dérobées' qui permettent aux autorités d'accéder directement aux données Internet. La Grande-Bretagne a déjà transcrit dans son droit national ces procédures "d'écoute légale", en obligeant les FAI à se doter de boîtes noires pour récolter leur trafic Internet. La loi britannique va même plus loin en exigeant que les clés permettant de décrypter un message soient remis aux autorités lorsqu'elles en font la demande. Aux Pays-Bas, les FAI craignent pour leur avenir. Forcés par la loi d'installer à leurs frais une infrastructure permettant l'interception des communications transitant par leurs serveurs, ils estiment que les coûts nécessaires à la mise à jour de leur réseau exposent les trois quarts d'entre eux à la faillite. Ils critiquent par ailleurs la politique du gouvernement, qui les oblige à installer un système d'écoute alors que les standards européens en la matière ne sont pas encore établis (voir ci-dessous). Un débat similaire se déroule actuellement en Allemagne, où une loi imposant aux FAI de se doter de dispositifs de surveillance du trafic des données est sur le point d'être adoptée. Le coût de l'installation d'un tel dispositif est estimé à près de 120'000 francs suisses, une somme que les petits fournisseurs d'accès affirment ne pas être en mesure de débourser.

Le FBI, CALEA, ILETS et les standards ETSI
La genèse du développement de 'portes dérobées' dans les systèmes de télécommunication se situe aux Etats-Unis. En 1993, le FBI organisa le premier séminaire international consacré au développement de standards internationaux en matière d'interception des télécommunications, baptisé International Law Enforcement Telecommunications Seminar (ILETS). Des représentants des polices de plusieurs pays de l'Union Européenne ainsi que des pays membres du réseau Echelon y participèrent. Quatre autres réunions secrètes ILETS eurent lieu entre 1993 et 1998. Au cours de ces rencontres, les participants à ILETS spécifièrent les besoins des polices en matière d'interception des télécommunications. Ils firent ensuite un important travail de lobbying auprès de leurs parlements respectifs. Cela aboutit à l'adoption de la directive européenne sur l'interception légale des télécommunications et à celle de son pendant américain, le Communications Assistance for Law Enforcement Act (CALEA). En Europe - où la collaboration policière en cette matière a pour nom de code ENFOPOL - la rédaction d'un vade-mecum technique définissant les standards ILETS a été confié à l'Institut européen des normes en télécommunications (ETSI). Ce document est actuellement en cours d'élaboration.

Les réseaux de surveillance à grande échelle
Même si son développement technique se fait dans un secret inquiétant, l'interception légale des télécommunications a cela de rassurant qu'elle ne peut être entreprise qu'à la demande d'un juge. Certes, des dérives ne peuvent être exclues, mais un contrôle démocratique et citoyen de ces pratiques n'est pas impossible. Ce n'est pas le cas des réseaux de surveillance à grande échelle, gérés par des officines plus ou moins secrètes, proches des services de renseignements ou de l'armée. L'exemple le plus célèbre est le réseau Echelon. Né en 1947 d'un accord secret - connu sous le non d'accord UKUSA - impliquant la National Security Agency (NSA) américaine et le Government Communications Headquarters (GCHQ) britannique, le réseau Echelon permet d'espionner les communications privées, commerciales, diplomatiques et militaires à l'échelle planétaire. Selon Duncan Campbell, le journaliste anglais qui a révélé l'existence d'Echelon, la Suisse participe à ce réseau d'écoute planétaire, qui réunit également le Canada, l'Australie et la Nouvelle-Zélande. La NSA est également soupçonnée de surveiller les principaux nœuds d'interconnexion de l'Internet (Internet Exchange Point - IXP). Cette surveillance est facilitée par le fait que la plupart des données transitent par les Etats-Unis, pays d'origine de l'Internet.

SATOS-3, l'écoute à l'échelon suisse
En 1999, les Chambres fédérales ont adopté le financement (budget ordinaire de l'armée) du projet SATOS-3, qui doit permettre à la Confédération d'intercepter d'ici à 2004 toutes les communications et transferts de données (fax, e-mail, télex, téléphone) qui transitent par satellite. Selon le Conseil fédéral, la mise en place de ce dispositif d'écoute de masse est nécessaire pour lutter contre le terrorisme international, le crime organisé et l'espionnage industriel. Légalement, seules les communications à l'étranger pourront être interceptées. SATOS-3 est géré par les services de renseignements de l'armée. Une des stations d'écoute satellite de SATOS-3 est basée à Loèche. Elle se situe à proximité des antennes de Swisscom récemment rachetées par la société américaine Verestar, qui entretient des liens troubles avec la NSA.

Comment se protéger de Big Brother ?
Le meilleur moyen de se mettre à l'abri des 'grandes oreilles' est de crypter ses e-mails (en utilisant des programmes tels que Pretty Good Privacy) et de surfer sur le Web en passant par des services d'anonymisation (voir à ce sujet le site www.cameleon.org) . On peut toutefois se demander si des solutions purement techniques sont suffisantes ou s'il faudrait également agir sur le plan juridique pour mieux protéger la vie privée des internautes. Le manque de transparence avec laquelle la surveillance de l'Internet s'organise incite plus à la vigilance citoyenne qu'à la confiance. Les autorités sauront-elles éviter les dérives ou la puissance des outils mis à leur disposition les feront-elles succomber à la tentation de "Big Brother" ? Plus de dix ans après l'affaire des fiches, le mythe de l'Etat fouineur n'est pas prêt de mourir.

Marc-Olivier Peyer
mars 2001

Pour en savoir plus :

• Surveillance électronique planétaire, Duncan Campbell, Editions Allia, 2001, 192 pages.
• Echelon, mythe ou réalité ?, Arthur Paecht, Les documents d'information de l'Assemblée nationale, N°2623, 2000, 87 pages.
• Privacy and Human Rights 2000, David Banisar, EPIC et Privacy International, 2000, 247 pages. Disponible à l'adresse : http://www.privacyinternational.org/survey/index.html