Raphaël Grably : Smartphones, objets connectés, caméras, reconnaissance faciale, autant de technologies qui ont envahi notre quotidien, mais qu’on regarde aussi parfois avec un œil méfiant et avec un scénario cauchemar, celui d’être espionnés partout et tout le temps. C’est quoi, au fait, la cyber-surveillance ? Qui nous surveille, si on nous surveille, et pourquoi ? Est-ce qu’il faut devenir parano pour protéger sa vie privée ?
Bienvenue dans Métadonnées, le podcast qui revient aux fondamentaux de la tech.
Bonjour Jean-Marc Manach.
Jean-Marc Manach : Bonjour.
Raphaël Grably : Tu es journaliste d’investigation, spécialisé sur l’investigation en ligne et notamment la cyber-surveillance. J’aimerais qu’on revienne un peu sur ce sujet qui est un sujet dont on parle maintenant depuis des années, qui est quasiment aussi vieux qu’Internet, revenir justement un peu aux fondamentaux sur la cyber-surveillance qui intègre des notions politiques, économiques. J’ai une question très simple : toi, comment définis-tu ce concept de cyber-surveillance ? Question assez large, assez ouverte.
Jean-Marc Manach : L’informatique ça laisse des traces. Quand tu te balades dans la rue, tu ne laisses pas forcément des traces, par contre ça peut être documenté par des caméras de vidéosurveillance. Dans la rue, des caméras de vidéosurveillance appartiennent à des magasins, d’autres à la mairie de Paris, etc.
Quand tu es sur Internet, la quasi-totalité des pages ont des tags ou des cookies Google, Facebook, Twitter, donc Google et Facebook ont un pouvoir de cyber-surveillance absolument monumental, mais également des régies publicitaires, Criteo et d’autres. Et puis, il y a énormément de data-brokers, des gens dont le métier est de récupérer toutes les traces des internautes pour ensuite arriver à les monétiser, à les revendre. En fait, dans le business des data-brokers, qui est un énorme business sur le Web, c’est pour arriver à savoir, « je veux afficher cette page aux hommes de 25 à 35 ans qui habitent à Lille ». Tu ne peux pas faire ça à Lille, parce que, quand tu mets un panneau quatre par trois à Lille, tu n’as pas que des hommes de 25 à 35 ans qui vont le voir. Par contre, on commence à voir apparaître des panneaux publicitaires dans le métro qui vont identifier qui sont les gens qui passent en face et, en fonction de si c’est une femme, si c’est un homme, s’il a moins de 25 ans, s’il a plus de 50 ans, la publicité va s’afficher différemment.
Raphaël Grably : Je me permets une petite parenthèse : ça veut dire que pour toi la publicité ciblée, à laquelle maintenant nous sommes tous habitués : sur Facebook, Instagram, sur tous les réseaux sociaux, on voit de la publicité qui nous est adressée en fonction du site qu’on vient de visiter. Toi, tu considères que c’est de la cyber-surveillance ?
Jean-Marc Manach : Évidemment ! C’est ce que Shoshana Zuboff [1] appelle le capitalisme de surveillance, c’est le fait que le modèle économique d’Internet c’est « si c’est gratuit, c’est vous le produit ». Comme sur Internet ça a longtemps été gratuit, le produit était effectivement l’utilisateur.
Raphaël Grably : Tu ne fais pas de différence entre la publicité ciblée et l’espionnage, par exemple ?
Jean-Marc Manach : L’espionnage c’est de l’espionnage. C’est là où il y a hiatus.
Raphaël Grably : Il y a un consentement entre les deux.
Jean-Marc Manach : Tu n’as pas consenti à être surveillé par des régies publicitaires américaines !
Raphaël Grably : On a cliqué sur OK, on n’a pas lu, mais on a cliqué sur OK.
Jean-Marc Manach : Oui, mais ça ne respecte pas le RGPD [2], etc. Non, il n’y a pas de consentement, tu consens parce que tu n’as pas le choix.
C’est là où il y a un hiatus entre la cyber-surveillance telle qu’on en parle beaucoup dans les médias, où ça s’assimile aux services de renseignement, et la cyber-surveillance qui est le b.a.-ba du modèle économique de la majeure partie, d’une bonne partie du business sur Internet.
Ce que font les services de renseignement, c’est du renseignement. Ils vont utiliser notamment la cyber-surveillance qui va être un des moyens : ils vont utiliser de l’OSINT Open Source Intelligence [3], ils vont utiliser du SIGINT, Signals intelligence [4], le fait d’espionner les communications. Ils vont utiliser plein de techniques de ce qu’ils appellent des capteurs dans les services de renseignement.
Le problème c’est que jusqu’aux révélations Snowden [5], tout le monde se foutait un petit peu de ces questions-là, que ce soit des services de renseignement technique type NSA, des modèles économiques des GAFAM ou de la publicité sur Internet.
Raphaël Grably : Est-ce que tu peux juste rappeler très rapidement ce que sont les révélations Snowden ?
Jean-Marc Manach : En juin 2013. Edward Snowden est un ancien analyste de la CIA et ensuite de la NSA, contractuel à la NSA. Un haut responsable du renseignement avait été interrogé au Congrès américain et on lui avait demandé : « Est-ce que vous surveillez des Américains ? ». Il avait répondu : « Pas intentionnellement, ça peut peut-être arriver mais pas intentionnellement ». Et Snowden avait la preuve que c’était faux : à l’époque, un programme secret avait été fait avec les principaux opérateurs de téléphonie américains qui faisait que les métadonnées – pas le contenu mais le contenant, savoir qui, quel numéro de téléphone téléphone à qui, pendant combien de temps, à quelle heure, depuis quel endroit : ce qu’on appelle les métadonnées, le contenant pas le contenu –, donc les métadonnées des communications qui pointaient vers un certain nombre de pays à l’étranger, typiquement les pays qui étaient en conflit voire en guerre avec les États-Unis, étaient surveillées. Donc les métadonnées des Américains qui téléphonaient dans tel pays surveillé étaient captées. Snowden avait la preuve que ce que venait de déclarer le responsable du renseignement américain était faux et ça l’a énervé. Snowden a un profil clairement libertarien, protecteur de la vie privée, c’est assez étonnant qu’il ait choisi de bosser à la NSA.
Il a passé des mois à essayer de convaincre Glenn Grenwald<ref<Glenn Greenwald]], blogueur, avocat, qui était en fight contre l’administration américaine, de sortir des documents. Une fois qu’il a réussi à le convaincre, c’est une histoire assez rocambolesque, il lui a confié des centaines de milliers, on ne sait pas exactement combien, de documents qu’il avait siphonnés, qu’il avait aspirés de l’intérieur de la NSA, qui sont des modes d’emploi de logiciels, des descriptions d’opérations, tout ce qu’on peut imaginer comme documents qui peuvent émaner d’un service de renseignement. Il les a confiés à Glenn Greenwald en lui faisant promettre de ne pas divulguer l’identité d’agents des renseignements américains et de pratiquer l’éthique, la déontologie journaliste pour ne pas mettre en danger des programmes américains. C’est là où on a une saga qui a duré pendant deux/trois ans où énormément de documents ont été rendus caviardés au sens où ce n’est pas l’intégralité des documents, ce sont des extraits de documents qui ont été rendus publics, et qui ont laissé entendre qu’il y aurait de la surveillance de masse effectuée par la NSA.
Raphaël Grably : Uniquement sur les métadonnées ?
Jean-Marc Manach : Ça dépend des programmes.
Raphaël Grably : Quand tu parles des métadonnées, j’ai envie de dire qu’en France ça s’appelle les fadettes, c’est-à-dire les factures détaillées ; n’importe quelle enquête sur toi, on va te ressortir tes factures de télécoms.
Jean-Marc Manach : Ça dépend, parce que moi je suis journaliste. Si c’est sur moi, en tant que, parce que j’ai un comportement, j’ai commis un crime ou un délit.
Raphaël Grably : Sur un citoyen qui ne serait pas journaliste.
Jean-Marc Manach : Au sens où les journalistes, les avocats, les parlementaires sont protégés.
Raphaël Grably : Un citoyen qui ne serait pas protégé.
Jean-Marc Manach : Si tu commets un crime ou un délit, le b.a.-ba d’un officier de police judiciaire, que ce soit un gendarme ou un policier, c’est effectivement de passer par la PNIJ, la plateforme nationale des interceptions judiciaires pour réclamer les fadettes, les factures détaillées. À quoi les fadettes servent-elles ? Ça sert à savoir avec qui tu communiques. On avait eu le cas il y a quelques années, justement : il y avait eu une fuite du ministère de la Justice et la DCRI [Direction générale de la Sécurité intérieure], qui est le contre-espionnage français, avait épluché les fadettes du journaliste du Monde qui avait sorti le scoop. C’est là où ils ont découvert le nom d’un magistrat en poste au ministère de la Justice, donc potentiellement sa source, et qui a été muté, je ne sais plus si c’est en Guyane, dans un pays où il y a les anciens bagnes.
Raphaël Grably : En gros, la justice, on va dire l’État de droit classique, quelqu’un est soupçonné, on va sortir ses factures détaillées pour une enquête. La cyber-surveillance, ce que faisait la NSA, c’est, en gros, comme s’ils enregistraient les fadettes de tout le monde tout le temps.
Jean-Marc Manach : Oui et non. C’est là où il y a un hiatus. Au début des révélations Snowden [5], je me souviens que j’avais été interviewé par France 2. Dans l’anthologie des 40 meilleures vidéos pour les 40 ans de la CNIL, ils ont sorti l’extrait d’interview que j’avais donnée, c’est assez ironique, en 2013, où je disais « regardez les révélations de Snowden, ça prouve qu’il y a de la surveillance de masse ». Sauf que, et c’est là où mon point de vue a évolué, au fur et à mesure des révélations de Snowden les documents étaient de moins en moins caviardés, au sens où on avait plusieurs extraits d’un seul et même document. Et le fameux document qui pointait du doigt la surveillance de masse faite avec l’aide des GAFAM, un document où on voyait les logos de Google, Apple, Facebook, Microsoft, etc., à côté du logo de la NSA. Traduction de Gleen Greenwald qui est un noob, un mec qui ne comprend rien à l’informatique et il le reconnaît, ce n’est pas un spécialiste des services de renseignement et ce n’est pas un spécialiste de l’informatique, déjà double problème, lui a traduit ça dans un article en laissant entendre que les GAFAM collaboraient avec la NSA pour permettre à la NSA de faire de la surveillance de masse directement dans les serveurs des GAFAM, donc Google, Apple, etc.
Raphaël Grably : C’est un peu ce qu’on a tous gardé dans l’imaginaire collectif, ceux qui en ont un peu entendu parler, c’est-à-dire même tes photos, tes SMS, tes photos WhatsApp.
Jean-Marc Manach : C’est aussi ce que moi j’ai relayé à l’époque. Sauf qu’un an après, au lieu d’avoir quatre extraits de ce document-là, on en a eu une dizaine au fur et à mesure des révélations. Quand on en a eu une dizaine, on s’est aperçu qu’en fait on avait raconté n’importe quoi. PRISM [6], le programme en question, c’est l’acronyme utilisé par la NSA pour désigner le fait de passer par la DITU [Data Intercept Technology Unit], qui est l’unité de renseignement technique du FBI, pour aller demander aux GAFAM « donne-moi les données sur tel utilisateur ».
Raphaël Grably : J’ai envie de dire que c’est classique s’il y a une enquête.
Jean-Marc Manach : Voilà, c’est classique et c’est la voie légale, mais ce n’était pas du tout de la surveillance de masse, c’est de la surveillance ciblée. Et pourquoi les GAFAM n’avaient-ils jamais entendu parler de PRISM ? Parce que c’était l’acronyme du nom en interne de la NSA, alors que eux ne voyaient pas la NSA faire toc-toc, ils voyaient le FBI faire toc-toc, leur demander des données. Tous les GAFAM ont commencé, après, à sortir des rapports de transparence qui montrent combien de fois ils ont des requêtes en fonction de tel texte de loi. Le texte de loi qui permet à la NSA de demander des données à Google ou aux différents GAFAM, on a vu qu’en fait cela concernait entre 10 et 50 000 personnes par an. 10 et 50 000 personnes par an, ce n’est pas de la surveillance de masse à l’échelle du nombre d’utilisateurs de Google.
Raphaël Grably : Pour toi c’est un faux scandale ? Quand on parle de cyber-surveillance, j’ai envie de dire que pour tout le monde l’an zéro de la prise de conscience de la cyber-surveillance ce sont les révélations de Snowden. Pour beaucoup de gens, les révélations de Snowden ce sont littéralement les autorités américaines qui branchent quasiment leurs serveurs sur les serveurs de Microsoft, d’Apple, de Google et d’Amazon et qui vont tout regarder, ce qu’on achète sur Amazon. Je caricature mais c’est un peu ce qu’on peut en penser.
Jean-Marc Manach : La preuve en est que le sous-titre du film d’Oliver Stone consacré à Edward Snowden c’était « Nous sommes tous sur écoute ». C’est n’importe quoi ! C’est du complotisme. C’est littéralement du complotisme de dire que nous sommes tous sur écoute.
Pour répondre à ta question de tout à l’heure : est-ce que la NSA surveille tout ? Non. Un ancien responsable de la NSA avait expliqué : « Ce qui nous intéresse, c’est l’aiguille dans la botte de foin. Sauf que pour chopper l’aiguille dans la botte de foin, il faut qu’on choppe la botte de foin ». Une fois qu’ils ont choppé la botte de foin, ils vont lancer des logiciels pour chercher l’aiguille et l’aiguille c’est quoi ? C’est un nom, un numéro de téléphone, une adresse e-mail. effectivement, peut-être que tes données, mes données ont pu être effectivement interceptées.
Raphaël Grably : On parle de quelles données ? Tu parles de botte de foin, c’est quoi cette botte de foin ? Qu’y a-t-il dedans ? Si je suis dedans, si j’en fais partie, qu’y a-t-il ?
Jean-Marc Manach : L’essentiel de ce qu’on a appelé surveillance de masse va être sur les câbles sous-marins. Pourquoi ? Parce qu’Internet c’est décentralisé. Quand tu envoies un mail de Paris à Marseille, un bout va passer par Rennes, Bordeaux, Marseille, d’autres vont passer par Lille, Lyon, Marseille, les paquets de données sont cassés. Pour arriver à surveiller ce qui se passe sur Internet c’est très difficile : soit tu mets des boîtes noires partout, mais ça coûterait des milliards et des milliards, donc c’est impossible de faire de la surveillance de masse en France par exemple, soit tu le fais sur les câbles sous-marins. Pourquoi ? Parce qu’il y a une vingtaine de câbles sous-marins en France et là, tu as un goulet d’étranglement.
Raphaël Grably : On rappelle que quand on envoie un mail aux États-unis, ce n’est pas de la magie, ça passe par un câble en fibre optique qui passe sous la mer, qui part de Brest ou de je ne sais où et qui arrive à New-York.
Jean-Marc Manach : En 2008, quand la DGSE [Direction générale de la Sécurité extérieure] a commencé à surveiller Internet, en fait elle a commencé par les câbles sous-marins. Quand on regarde la littérature, les rapports de l’ex-CNCIS [Commission nationale de contrôle des interceptions de sécurité], aujourd’hui CNCTR [Commission nationale de contrôle des techniques de renseignement], qui est le contrôleur national des techniques de renseignement, l’autorité en charge de valider les demandes de techniques de renseignement des services de renseignement, c’est-à-dire que ce n’est pas la DGSE qui décide et qui fait ce qu’elle veut. Quand la DGSE, la DGSI, les différents services de renseignement veulent mettre quelqu’un sur écoute, veulent mettre un pays sur écoute ou une région géographique sur écoute, ils demandent l’autorisation à la CNCTR ; il y a l’équivalent aux États-Unis. Tous les pays occidentaux démocratiques ont des garde-fous qui permettent d’éviter que les services de renseignement fassent n’importe quoi.
Si on veut comprendre ce qui se passe avec les révélations de Snowden, le mieux c’est probablement de lire la BD [VERAX] qui a été faite sur Snowden, qui explique bien que ce qui intéresse la NSA ce n’est pas de surveiller les gens qui habitent à Marseille, à Lille, ils ne sont pas en guerre contre les Français.
Raphaël Grably : Mais s’ils prennent tout ce qui passe dans les câbles ?
Jean-Marc Manach : Non. Ils vont prendre tout ce qui va en Afghanistan ou tout ce qui va en Irak, ou tout ce qui va ou vient de la Syrie, tout ce qui va ou vient du Yémen, parce qu’ils sont en guerre dans ces pays-là. Donc oui, si tu es un Yéménite ou si tu communiques avec quelqu’un qui est au Yémen, peut-être que tes données vont être siphonnées par des services de renseignement, qu’ils soient français ou anglo-saxons.
Raphaël Grably : Et si elles ne sont pas chiffrées, ils y auront accès.
Jean-Marc Manach : On reviendra là-dessus. Avant les révélations Snowden, moins de 40 % du trafic web était chiffré, le fameux HTTPS, entre autres, qui apparaît dans la barre du navigateur. Du fait des révélations Snowden, précisément de cette mythologie de la surveillance de masse et du programme PRISM qui fait que plein de gens ont été persuadés que les GAFAM collaboraient avec la NSA, en fait, tout le monde, à commencer par les GAFAM, a commencé à chiffrer les données. Aujourd’hui, dans les pays occidentaux, on estime que plus de 99 % du trafic est chiffré, ce qui fait que même les services de renseignement ne peuvent pas intercepter les métadonnées.
C’est d’autant plus improbable, aujourd’hui, que les services de renseignement puissent faire de la surveillance de masse que la quasi-totalité des données sont chiffrées. Je te donne un exemple : quand les données ne sont pas chiffrées et que tu t’intéresses aux métadonnées, un service de renseignement peut savoir quelles pages tu consultes sur Wikipédia et, quand tu es un LGBTQ ou un démocrate qui vit dans un pays totalitaire, la page que tu consultes est super importante. Quand le trafic est chiffré, quand tu surveilles les métadonnées, on sait que tu es sur Wikipédia, c’est tout, mais on ne sait pas la page web.
Après, en fonction du protocole de chiffrement – on ne va rentrer dans les détails, mais il y a un certain nombre de strates – on peut éventuellement savoir à qui tu écris, mais on ne pourra pas avoir accès au contenu du mail.
Pour répondre concrètement, la BD sur Snowden montre bien à quoi sert la surveillance de masse : on surveille effectivement tout ce qui se passe en Afghanistan, tout ce qui se passe au Yémen, pour arriver à identifier le numéro de téléphone portable de quelqu’un dont on sait qu’il est terroriste, pour arriver à trouver ses adjoints et, quand ils font une réunion parce que tous les numéros de téléphone portables des gens qu’on a identifiés comme terroristes se géolocalisent au même endroit, eh bien là on balance la bombe. Sauf que le problème, ce que montre aussi la BD, c’est que souvent, quand des terroristes se réunissent au Yémen, ou ailleurs, ce n’est pas pour fomenter des attentats, c’est parce qu’il y a un mariage ou une réunion de famille. C’est pour ça qu’il y a énormément de victimes civiles dans les frappes de drones : en fait, oui, c’était bien un numéro de téléphone identifié comme celui d’un terroriste, mais dans un contexte de réunion qui n’était pas terroriste.
Raphaël Grably : Ce qui est intéressant c’est que, là-dessus, ça pointe exactement la limite entre données et métadonnées. Métadonnées c’est simplement : on sait que telle personne a parlé à telle personne, donc elles sont à cet endroit-là, par contre, si on avait la donnée – c’est-à-dire les conversations demandant à quelle heure doit-on se retrouver pour le cocktail, les photos qui ont été envoyées – on aurait compris que c’était probablement pour un mariage.
Jean-Marc Manach : Pour résumer : les services de renseignement anglo-saxons oui, font de la surveillance de masse dans les pays où ils sont en guerre. Ils ne font pas de la surveillance de masse des Américains, ils ne font pas de la surveillance de masse des Français, ils ne font pas de la surveillance de masse des Chinois non plus. Par contre, ils vont faire de la surveillance de masse de tous les gens qui travaillent dans tel bâtiment de telle université chinoise dont on sait qu’elle collabore avec des services de renseignement. Les services de renseignement ne sont pas débiles. Ils vont surveiller des gens qu’ils ont un intérêt légitime de surveiller. Ils ne vont pas surveiller l’intégralité des cinq milliards d’internautes.
Raphaël Grably : Si demain ils avaient un algorithme exceptionnel qui arrive à comprendre une conversation, tel ou tel projet dangereux ! Est-ce que techniquement, d’ailleurs, ce serait possible ? En supposant que les gens n’utilisent pas tous WhatsApp parce que c’est chiffré ou une appli chiffrée comme Signal, mais sur Facebook, sur Messenger, sur Twitter ce n’est pas chiffré.
Jean-Marc Manach : C’est envisageable.
Raphaël Grably : Est-ce que ce serait techniquement possible, avec l’aide des GAFAM, ou pas ?
Jean-Marc Manach : Il faut bien comprendre que ce n’est pas seulement une question de problématique technique ; c’est une question de problématiques financière et organisationnelle. Pourquoi ? Je vais prendre l’exemple de la loi renseignement [7]. Au moment de la loi renseignement en France, en 2015, un conseiller du Premier ministre a voulu bien faire parce qu’on parlait d’une sonde, on allait mettre une sonde qui allait surveiller des comportements suspects, terroristes, dans les communications. Pour rassurer les journalistes, il a dit : « Ne vous inquiétez pas, ce sera une boîte noire, ça ne sortira pas, il n’y a aura aucune faille. Les services de renseignement contrôleront, donc il n’y aura pas de risque de fuite. » Boîte noire ! Le mot qu’il ne fallait pas utiliser !
Raphaël Grably : Il ne faut pas dire boîte noire à des journalistes !
Jean-Marc Manach : C’est devenu l’acronyme le plus utilisé pour qualifier la loi renseignement [7]. Je me souviens d’une pétition contre les boîtes noires qui a été signée par des centaines de startups, d’associations, et c’est devenu vraiment l’identification de ce qu’ils combattaient contre la loi renseignement. Sauf que dans les faits, on l’a vu à l’usage, il a fallu attendre deux ans pour que les boîtes se mettent en place, il y en a eu trois. Pendant deux ou trois ans c’était uniquement pour la surveillance des métadonnées des conversations téléphoniques, alors qu’on nous les avait présentées comme la surveillance de l’intégralité de tout ce que faisaient les internautes français. Il a fallu attendre la quatrième année pour qu’il y ait une boîte noire qui commence timidement à surveiller Internet. Sauf que depuis, avec les révélations de Snowden, la quasi-totalité du trafic est chiffrée, donc on se demande bien ce qu’ils peuvent surveiller ! Il a été question de surveiller les URL sauf que, je te l’ai expliqué tout à l’heure, les URL sont aujourd’hui chiffrées.
Raphaël Grably : Ça ne sert plus à rien !
Jean-Marc Manach : Si. Ça permettrait de savoir quels sont les gens qui vont sur tel site web djihadiste, qui est vraiment estampillé djihadiste ; si tu sais qu’il est estampillé djihadiste, tu n’as pas besoin de connaître l’URL intégrale, tu as le nom de domaine, bon !
Du fait de ce fantasme un peu complotiste de la surveillance de masse, la loi renseignement a été extrêmement mal commentée dans les médias par les responsables politiques, par les ONG, et très mal comprise. Alors que la loi renseignement c’était juste donner un cadre légal aux techniques de renseignement utilisées depuis des années par les services de renseignement. C’est toujours comme ça que ça fonctionne : une nouvelle technique apparaît, ils essayent de comprendre comment elle fonctionne ; ils essayent ensuite de faire des techniques de renseignement pour pouvoir surveiller cette nouvelle technologie – le téléphone portable. Ensuite, une fois qu’ils ont réussi, il faut bien donner un cadre légal, donc on vote une loi pour donner la légalité aux services de renseignement de procéder à des interceptions, que ce soit d’Internet ou de la téléphonie mobile.
Raphaël Grably : Quand j’écoute ce que tu me dis, j’ai l’impression qu’il y a une espèce de faux fantasme sur le renseignement généralisé, la surveillance, la cyber-surveillance généralisée de la part des États. Par contre, finalement, ceux qui, pour le coup, nous surveillent, sans forcément un intérêt politique mais un intérêt purement financier, je n’ai pas envie de dire les GAFAM parce que ce sont des business modèles très différents.
Jean-Marc Manach : Les data-brokers.
Raphaël Grably : Les géants du Web pour faire simple. Eux, pour le coup, tu dis qu’ils nous surveillent.
Jean-Marc Manach : Tout à l’heure j’ai expliqué qu’il y a ce qu’on peut faire techniquement, ensuite il y a le côté financier et le côté organisationnel. Je vais donner un exemple très concret.
Techniquement parlant, imaginons : la NSA a tout le budget qu’elle veut et elle décide de surveiller les Musulmans du monde entier ; elle va surveiller tous les pays où il y a des Musulmans, ça fait beaucoup de pays, ça veut dire que financièrement parlant ça va coûter une blinde. Ensuite, il y a tellement de Musulmans un peu partout qu’il va falloir payer des analystes pour vérifier ce que les intelligences artificielles ont identifié. Ils ne sont pas non plus complètement débiles : ce n’est pas parce qu’une intelligence artificielle désigne quelqu’un ! Pour reprendre l’exemple de la réunion des terroristes au Yémen, ce n’est pas parce qu’il y a trois numéros de téléphone de terroristes qui se réunissent et qu’il y a plein de gens que c’est forcément une réunion terroriste, ça peut être un mariage, donc il faut forcément qu’il y ait une validation humaine.
À contrario, si tu passes par des data-brokers qui vont utiliser toutes les applications de téléphone portable téléchargées par les Musulmans pour savoir à quelle heure faire la prière et qui revendent les données parce qu’eux savent les numéros de téléphone de tous les gens qui ont téléchargé l’application pour savoir quand faire la prière. Que voit-on apparaître depuis quelques années maintenant dans la presse américaine ? Des enquêtes qui montrent que ça coûte effectivement beaucoup moins cher et c’est beaucoup plus efficace, pour les services de renseignement, d’acheter des données à des data-brokers qui eux peuvent identifier tous les Musulmans mâles qui vivent dans telle région plutôt que de faire de la surveillance de masse de l’intégralité des pays musulmans pour arriver à trouver l’aiguille dans la botte de foin.
Raphaël Grably : Parce que l’internaute a téléchargé une application confessionnelle ou une application de rencontre pour Musulmans. En fait, le meilleur mouchard c’est celui qu’on accepte de mettre sur son smartphone soi-même.
Jean-Marc Manach : On a eu le cas il y a quelques années, au moment de je ne sais plus quelle intifada où un certain nombre d’officiers du renseignement israélien ont fait défection en disant qu’il était hors de question, pour eux, de cautionner le fait que les services de renseignement israéliens surveillent les applications homosexuelles en Palestine pour arriver à identifier les homosexuels palestiniens et ensuite faire pression sur eux pour qu’ils deviennent des mouchards. Pour eux, là on avait franchi le Rubicon : oui, on fait du renseignement mais là, ce qu’on fait est dégueulasse. Je peux comprendre pourquoi les services de renseignement israéliens utilisaient effectivement les applications homosexuelles pour identifier, mais c’est vrai qu’éthiquement parlant ça pose problème.
En tout cas, pour répondre à la question, si j’en reviens à la loi renseignement, avant qu’on découvre que les boîtes noires ne surveillaient que les métadonnées téléphoniques — c’est apparu deux/trois ans après en notes de bas de page du rapport de la délégation parlementaire du renseignement et en notes de page des rapports de la Commission nationale de contrôle des techniques de renseignement —, j’avais démontré que pour surveiller l’intégralité des internautes en France, comme ceux qui fustigeaient les boîtes noires le disaient à l’époque, ça coûterait plusieurs milliards par an, donc ça se verrait dans les projets de loi financiers, les PLF, et il faudrait déployer des dizaines de milliers de boîtes noires au niveau des DSLAM [Digital subscriber line access multiplexer], grosso modo les répartiteurs téléphoniques. C’est ce que j’expliquais tout à l’heure : quand tu envoies un mail à Marseille, ça va passer par différents endroits, à un moment ils vont se reconstituer au niveau du DSLAM. Si tu mets des boîtes noires dans des dizaines de milliers de DSLAM, là tu peux éventuellement faire de la surveillance de masse, sauf qu’ensuite il aurait fallu recruter des dizaines de milliers de personnes.
Raphaël Grably : Sur ce qui n’est pas chiffré ?
Jean-Marc Manach : Sur ce qui n’est pas chiffré.
Raphaël Grably : Déjà, tu enlèves le plus croustillant, j’ai envie de dire.
Jean-Marc Manach : En plus il aurait fallu recruter des dizaines de milliers de personnes pour arriver à traiter toutes ces données-là.
Raphaël Grably : Donc c’est un non-sens, ça n’a aucun intérêt.
Jean-Marc Manach : C’est un non-sens. À contrario, surveiller les URL pour savoir qui sont les gens en France qui se connectent sur tel site dont on sait que c’est un site djihadiste d’Al-Qaïda ou de l’État islamiste, là ça fait sens parce qu’il n’y en pas beaucoup. Effectivement, quand tu regardes la surveillance des câbles sous-marins dans la loi renseignement, la DGSE surveille les câbles sous-marins : s’il y a un identifiant français, ça va à la poubelle parce que la DGSE n’a pas le droit de surveiller les Français sur le territoire national.
Raphaël Grably : DGSE c’est extérieur.
Jean-Marc Manach : C’est extérieur. C’est la DGSI, qui est contre-espionnage, qui a le droit de surveiller les Français, et là c’est de la surveillance ciblée, même si elle a accès aussi à certaines des données de la DGSE parce que, maintenant, les services de renseignement mutualisent énormément leurs moyens.
Pour les boîtes noires, il est bien marqué dans la loi qu’une fois qu’on a identifié des suspects, on n’a pas leur identité, il faut demander à la CNCTR [Commission nationale de contrôle des techniques de renseignement] de lever le doute pour arriver à savoir à qui appartient telle adresse IP, donc là ça devient de la surveillance ciblée. Au début, effectivement, ils vont choper la botte de foin pour chercher l’aiguille et, quand ils ont choppé une aiguille ou dix aiguilles, ils vont demander l’autorisation à la Commission de contrôle : « Donnez-moi l’adresse IP, donc l’identité de la personne pour qu’on vérifie si réellement c’est un terroriste ou si c’est un journaliste, un universitaire ou un policier qui s’est connecté au site de djihadistes dans le cadre de son travail mais sans être, pour autant, un individu terroriste ».
Raphaël Grably : Là tu me parles d’un truc hyper-encadré parce que nous sommes dans nos démocraties occidentales.
Jean-Marc Manach : Parce que c’est hyper-encadré dans nos démocraties occidentales.
Raphaël Grably : Sauf que maintenant, ce qui est un peu nouveau c’est qu’on utilise des applications qui ne viennent plus des démocraties occidentales. Je pense évidemment à TikTok. Aujourd’hui TikTok, qui est une application chinoise, comme toutes les entreprises tech chinoises sont évidemment, de fait, obligatoirement liées au Parti communiste chinois, elles doivent œuvrer dans l’intérêt du Parti communiste chinois et TikTok est installée sur des millions de smartphones en France, donc TikTok a des autorisations sur notre téléphone pour accéder à plein de choses.
Est-ce que tu parlerais enfin, j’ai envie de dire, de cyber-surveillance ? Est-ce que là on peut parler au moins de risque de cyber-surveillance ?
Jean-Marc Manach : Je n’ai pas dit qu’il n’y a pas de risque de cyber-surveillance du côté des services de renseignement occidentaux.
Raphaël Grably : Mais massive.
Jean-Marc Manach : On en reparlera dans cinq ans quand on aura plus d’informations. Ce qu’on a aujourd’hui comme information, c’est que TikTok a effectivement espionné un journaliste américain [8], qui travaillait sur TikTok pour trouver ses sources.
Raphaël Grably : Qui était aux États-Unis.
Jean-Marc Manach : Aux États-Unis. Ils l’ont reconnu il y a 15 jours. On a des exemples de surveillance ciblée. Est-ce qu’il y a de la surveillance de masse par les services de renseignement chinois via TikTok, de ce que font les utilisateurs de TikTok, c’est possible. Maintenant, d’un point de vue intellectuel, vu le profil des utilisateurs de TikTok aux États-Unis, pareil en France, la valeur ajoutée en termes de renseignement d’utiliser TikTok pour faire de la surveillance de masse des utilisateurs de TikTok ! Non, il vaut mieux qu’ils fassent de la surveillance ciblée de tel ingénieur qui travaille dans le nucléaire, qui travaille pour Dassault, qui travaille pour Thales, qui travaille pour un marchand d’armes. Les gens qui ont une valeur, les High Value Targets pour le renseignement chinois, il n’y en a pas beaucoup qui utilisent Tiktok.
Raphaël Grably : Pour le moment !
Jean-Marc Manach : C’est un peu contraire au bon sens. À part TikTok, il n’y a pas beaucoup d’applications développées par les Chinois qui ont réussi à faire une telle pénétration de masse dans les marchés occidentaux.
Raphaël Grably : Je ne sais pas si tu utilises TikTok. Si tu avais envie de l’utiliser, est-ce que le fait que tes données puissent être envoyées en Chine, TikTok l’a reconnu, et potentiellement être utilisées par le gouvernement chinois serait un frein pour toi de l’installer, ou pas ?
Jean-Marc Manach : J‘ai un modèle un peu particulier, comme ça fait une vingtaine d’années que je travaille sur les services de renseignement.
Raphaël Grably : Je dis toi Jean-Marc, en tant qu’anonyme, si tu étais anonyme, simplement, dans ton loisir.
Jean-Marc Manach : Français lambda ? Non, il n’y a pas de peur particulière à avoir en l’état de TikTok. Par contre, si tu es un High Value Target, si tu es un modèle de menace élevé.
Raphaël Grably : Tu es ingénieur nucléaire.
Jean-Marc Manach : Ou si tu es un journaliste, comme moi, qui travaille sur les services de renseignement, que les services de renseignement chinois pourraient s’intéresser à ce que… Eh bien non, là, je ne vais pas utiliser.
Raphaël Grably : Donc toi tu ne l’utiliseras pas.
Jean-Marc Manach : Je ne l’utiliserai pas.
Raphaël Grably : On revient à Jean-Marc Manach journaliste, il ne l’utilise pas.
Jean-Marc Manach : Par contre, en tant que journaliste je vais pouvoir l’utiliser, mais sur un burner phone, un téléphone dédié, où je vais pouvoir utiliser effectivement TikTok pour faire des enquêtes. C’est souvent ce que font les journalistes d’investigation, les journalistes OSINT [3] : on va avoir des sock puppets, en fait on va travailler avec des pseudonymes, pas avec notre véritable identité. Si on fait une erreur, il ne faut pas qu’on puisse savoir que Jean-Marc Manach journaliste…
Raphaël Grably : Un truc jetable !
Jean-Marc Manach : Pour rebondir sur ta question : pour moi, le principal problème en matière de surveillance, de cyber-surveillance, de masse ou pas de masse, ce n’est pas tant la Chine, c’est à contrario les pays occidentaux. Pourquoi ? Parce qu’on a vu apparaître, dans la foulée des attentats du 11 septembre 2011, que des gens qui travaillaient dans les services de renseignement occidentaux partent dans le privé, montent des boîtes, créent des logiciels qu’ils vont ensuite vendre ; il y a salon qui s’appelle ISSWorld [Europe Intelligence Support Systems for Electronic Surveillance], qui se tient cinq fois par an dans différentes parties du monde. Et là des pays, dont un certain nombre ne sont pas franchement démocratiques, viennent acheter sur étagère des logiciels, des systèmes de surveillance et d’espionnage, qu’eux n’ont pas les compétences techniques ni financières ni technologiques pour les développer en interne. Ça donne ce qu’on avait révélé au moment de la guerre en Syrie, une PME française, Amesys [9], qui avait vendu un système de surveillance de masse, pour le coup c’est vraiment de la surveillance de masse, aux services de renseignement militaires libyens de Kadhafi avec l’aval des autorités françaises.
Raphaël Grably : Ça marchait comment ? Très rapidement, ça se basait sur quoi ?
Jean-Marc Manach : L’avantage c’est qu’en Libye ils n’avaient que deux ou trois opérateurs fournisseurs d’accès à Internet, donc les communications étaient centralisées bien plus qu’elles ne l’étaient en France. En fait, c’est un logiciel qui passait à la moulinette toutes les métadonnées. Des lanceurs d’alerte d’Amesys expliquaient qu’ils avaient fait notamment de la surveillance de tous les étudiants, parce qu’on savait que les étudiants de telle université avaient plus de propension à être des dissidents que les personnes qui travaillaient dans la police ou dans l’armée.
Raphaël Grably : Donc nos experts deviennent des marchands d’armes numériques pour les autres ?
Jean-Marc Manach : Les anciens. Il y en a un qui a publié un bouquin il y a quelques mois, un ancien de la DGST, qui a bossé pour Amesys, qui a été en Libye, qui a aidé, qui a expliqué aux services de renseignement libyens comment surveiller les étudiants, qui a fait un bouquin pour dénoncer justement, que ce soit ce qu’il avait fait avec Amesys dont il n’est pas fier, ou Pegasus qui est aujourd’hui l’exemple typique. Pegasus [10] c’est quoi ? Ce sont des anciens de l’unité 8200 qui est la NSA israélienne pour simplifier, qui est considérée comme l’un des meilleurs services de renseignement technique au monde, qui ont développé un logiciel espion, Pegasus, qui a été utilisé par la diplomatie israélienne. Grosso modo, le ministre des Affaires étrangères et le ministre de la Défense israéliens allaient dans les pays avec qui ils voulaient faire des deals pour devenir ami-ami, en disant : si vous devenez amis avec Israël, en échange on vous autorise à acheter Pegasus. Et Pegasus c’est magique. Pourquoi ? Parce que c’est un logiciel espion que les antivirus ne peuvent pas empêcher. Il n’y a pas besoin de cliquer sur une pièce jointe. Ce logiciel espion est tellement perfectionné, tellement puissant, qu’en fait tu donnes le numéro de téléphone de la cible et la personne qui paye très cher, parce que ça coûte une blinde d’acheter Pegasus.
Raphaël Grably : Combien coûte Pegasus ?
Jean-Marc Manach : L’accès au logiciel, j’ai envie de dire la franchise, le fait de pouvoir rentrer, c’est plusieurs millions de dollars.
Raphaël Grably : C’est une fortune !
Jean-Marc Manach : C’est réservé uniquement à des services de renseignement, à des États ou à des services de police, donc c’est de l’ordre du régalien. Sauf que le problème, c’est à qui c’est vendu. Apparemment, d’après l’enquête, parce qu’il y a une enquête parlementaire en ce moment au niveau européen, il y aurait 14 pays en Europe où il y a un ou plusieurs clients de Pegasus. 14 sur 27 !
Raphaël Grably : Ça fait beaucoup !
Jean-Marc Manach : C’est énorme ! En Europe, Pegasus a coupé la licence à deux pays européens.
Raphaël Grably : On parle bien de l’espionnage personne par personne, on n’est pas dans l’espionnage de masse. C’est de l’espionnage hyper-ciblé, hyper-qualitatif, c’est-à-dire que tu cibles une personne et, par contre tu as accès à son téléphone, , tu as accès à tout.
Jean-Marc Manach : Depuis les révélations Snowden, que la quasi-totalité du trafic est maintenant chiffrée et que les gens communiquent beaucoup moins par SMS et beaucoup plus par WhatsApp ou par Signal, le seul moyen d’arriver à accéder au message, c’est de pirater le téléphone.
Raphaël Grably : Avant qu’il soit chiffré.
Jean-Marc Manach : Avant qu’il soit chiffré, au moment où la personne lit le message qu’elle a reçu ou envoie le message, il apparaît en clair sur son téléphone. Si tu as un logiciel espion sur le téléphone, tu as accès à tout !
Raphaël Grably : Tu me disais tout à l’heure qu’il n’y a pas de cyber-surveillance, en tout cas que ça ne serait pas logique, ce qui est une preuve c’est qu’il y a des gens qui sont prêts à payer un million de dollars pour avoir accès à un téléphone, c’est bien qu’ils ne peuvent pas l’avoir gratuitement et automatiquement par ailleurs.
Jean-Marc Manach : Le modèle économique c’est : tu payes plusieurs millions pour avoir accès à la plateforme Pegasus et, ensuite, ça va coûter plusieurs centaines de milliers de dollars par numéro de téléphone.
Raphaël Grably : On parle d’États.
Jean-Marc Manach : C’est High Value Target. Déjà, ce n’est pas n’importe qui qui va être espionné et ce sont des États qui ont des thunes. Le problème avec Pegasus ce n’est pas tant que 14 pays en Europe s’en servent : c’est logique que les polices européennes cherchent à acheter des logiciels espions, parce que maintenant, comme tout le monde utilise Telegram, WhatsApp et compagnie, pour arriver à choper les terroristes et les trafiquants de drogue ils sont obligés ! Le problème c’est qu’ils l’ont vendu à des pays qui ne sont pas très regardants en matière de démocratie, qui ont utilisé Pegasus – c’est le scandale du Projet Pegasus d’il y a deux ans – pour espionner des défenseurs des droits de l’homme, des journalistes, des responsables politiques et là, ça atteint clairement aux valeurs démocratiques. Normalement, dans une démocratie digne de ce nom, on n’espionne pas des journalistes, des défenseurs des droits de l’homme ou des responsables politiques. Le problème c’est que dans les efforts diplomatiques d’Israël, comme ils avaient besoin d’être amis avec des pays peu regardants en matière de démocratie, ils ont accepté de vendre Pegasus et Candiru à ces pays-là, Candiru [11] est un autre logiciel espion israélien, et ils se retrouvent, depuis maintenant un an et demi, sur la liste noire du département d’État américain : ça a fait tellement scandale que ni Pegasus ni Candiru ne peuvent plus acheter de technologies américaines. Là ce n’est pas de la cyber-surveillance de masse, c’est de la cyber-surveillance ciblée, parce que ça coûte une fortune.
Raphaël Grably : Merci beaucoup Jean-Marc Manach d’avoir expliqué ce très large concept.
Jean-Marc Manach : Je précise juste un truc : pour revenir sur cette notion de cyber-surveillance ciblée ou de masse, le scandale Pegasus c’était sur 50 000 cibles potentielles, c’est comme ça que ça a été « brandé » dans tous les médias. Sauf que ce n’est pas crédible, financièrement parlant, qu’il y ait 50 000 fois plusieurs centaines de milliers d’euros.
J’ai fait une enquête là-dessus qui montre bien que sur les 50 000 téléphones, il n’y en a que 2 % qui ont été identifiés par les journalistes. Sur ces 2 %, il y a 67 téléphones où ils avaient des soupçons. Sur les 67 téléphones, il y en a 37 sur lesquels on a trouvé la trace de Pegasus. Ça montre bien que c’est de la surveillance ciblée et pas de masse.
Raphaël Grably : De pointe, en fait.
Jean-Marc Manach : En fait, il y a un annuaire de 50 000 numéros de téléphones, à quoi ça correspond ? Personne ne sait trop exactement. Par contre, 37 personnes ont été espionnées par Pegasus formellement. Il y a probablement beaucoup plus, ou plus, mais ça se compte en centaines, peut-être en milliers, mais certainement pas en dizaines de milliers et encore moins à l’échelle de la surveillance de masse façon Snowden, à l’échelle d’un pays.
Raphaël Grably : Merci beaucoup Jean-marc Manach d’être venu avec nous dans Métadonnées pour ce très large sujet, compliqué mais absolument passionnant, de la cyber-surveillance.
Jean-Marc Manach : Compliqué, complexe, mais c’est passionnant.
Raphaël Grably : Merci beaucoup.