Archives de catégorie : Défense

«Heartbleed» : la faille qui frappe le cœur de la sécurité sur Internet

Publié le par

coeur

Une «catastrophe», le «cauchemar ultime», la «faille de la décennie». Depuis la découverte d’une faille de majeure sur Internet il y a tout juste une semaine, c’est l’affolement général parmi les experts en sécurité informatique et les responsables de sites Web. Heartbleed n’est en effet pas une vulnérabilité comme les autres.

 Heartbleed, c’est quoi?

Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».

L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann, a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.

La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la requête et obtenir en retour des données qui ne lui étaient pas destinées. Il peut ainsi récolter des informations transmises par d’autres utilisateurs lors de requêtes précédentes, encore stockées dans la mémoire temporaire des serveurs vulnérables: des identifiants et mots de passe, des cookies de sessions et peut-être des clés de chiffrement.

• Quels sont les sites touchés par la vulnérabilité Heartbleed?

La faille concerne tous les serveurs Web utilisant les versions d’OpenSSL publiées entre mars 2012 et avril 2014, rendant vulnérables tous les sites qu’ils hébergent et menaçant donc les informations de leurs utilisateurs. Les estimations vont d’un tiers à deux tiers des serveurs Web en fonctionnement dans le monde, dont des réseaux sociaux, des sites bancaires ou d’e-commerce. La société Netcraft, spécialisée dans la sécurité informatique, dénombre plus de 500.000 sites qui touchés par la faille Heartbleed. Parmi les victimes les plus illustres figurent Yahoo! et Imgur, fréquentés par des millions d’internautes.

La faille ne touche pas seulement des serveurs Web. La librairie OpenSSL est implémentée dans des équipements de réseau, comme des routeurs Cisco.

Quelles informations sont menacées?

L’erreur de programmation a été découverte début décembre 2013, à quelques jours d’intervalle par deux équipes, l’une de Google, l’autre d’une société finlandaise, Condominium. Leur trouvaille a été tenue secrète jusqu’au mardi 8 avril dans la matinée, pour laisser le temps de développer des correctifs, sans alerter des utilisateurs malintentionnés.

Il est compliqué de savoir si cette vulnérabilité a été un jour exploitée, car les attaques exploitant Heartbleed ne laissent théoriquement pas de trace. Un cas suspect, datant de novembre 2013, n’a pas encore été corroboré. L’Electronic Frontier Foundation, une organisation qui milite pour les libertés sur Internet, a lancé une grande chasse sur Internet pour tenter de retrouver des preuves d’exploitation de Heartbleed. «Si on démontre qu’il y a eu une exploitation avant le 8 avril, on sera dans le scénario du pire», commente Thomas Gayet, directeur stratégie en cybersécurité au sein du cabinet Lexsi.

Rien qu’en récoltant des identifiants et des mots de passe, il est possible de se connecter aux services de messagerie, à des sites bancaires ou des réseaux sociaux. «Heartbleed permet aux agresseurs d’espionner les conversations, de voler des données directement à leur source et de se faire passer pour un service ou un utilisateur en particulier», prévient Codenomicon. Ce dernier point fait débat. «En testant la faille je n’ai pas réussi à obtenir d’informations clés des serveurs, juste des historiques de connexion et des cookies», expliquait sur Twitter Adam Langley, expert de sécurité informatique chez Google.

• Quelle a été la réaction des sites touchés?

Les sites Internet concernés par la faille ont très vite réagi. Traumatisés par le scandale du programme de surveillance Prism, ils veulent se montrer irréprochables dans la défense des données de leurs utilisateurs. La plupart ont effectué la mise à jour de la librairie OpenSSL au début de la semaine, à la suite de la publication d’une nouvelle version du programme informatique corrigeant le bug. C’est le cas de Yahoo!. D’autres plateformes utilisant la librairie OpenSSL, a priori non concernées par Heartbleed, ont appliqué le principe de précaution en renforçant leurs défenses. «Nous n’avons pas détecté d’activités suspectes mais nous encourageons tout de même nos utilisateurs à changer de mot de passe», a ainsi Facebook.

«La plupart des gros sites sont sauvés de la faille grâce à leurs choix plutôt conservateurs en termes de sécurisation des échanges sur Internet», commente de son côté Codenomicon. Ces poids lourds de la high-tech ne recourent pas à OpenSSL ou n’en avaient pas déployé des versions récentes. Apple, Microsoft, Amazon ou eBay ont déclaré qu’ils n’étaient pas concernés par cette faille.

Des autorité se sont inquiétées des conséquences que pourraient avoir Heartbleed sur les sites bancaires, par lesquels transitent des données très sensibles. Le Federal Financial Institutions Examination Council (FFIEC, composé entre autres de membres de la Réserve Férérale américaine) a publié jeudi un communiqué mettant en garde les banques face à ces risques. «Les agresseurs pourraient potentiellement imiter les services bancaires, leurs utilisateurs, ou voler des identifiants, accéder à des emails sensibles ou infiltrer les réseaux internes des banques», a prévenu le conseil. Les plus grosses banques américaines, donc Bank of America ou Wells Fargo, ont déjà déclaré qu’elles n’étaient pas affectées par Heartbleed.

Contactée par Le Figaro, la Banque de France explique que des systèmes d’authentification développés en France sur les sites Internet des banques, notamment par SMS, «constituent un élément de sécurité important qui limite en pratique l’exploitation de la faille Heartbleed dans notre pays». «Il convient néanmoins d’appeler à la vigilance des internautes, notamment en cas de réception de courriels les incitant à modifier leurs identifiant et mot de passe, lesquels courriels pourraient constituer des tentatives de ‘’phishing »», indique la Banque de France.

Une faille très médiatique

Heartbleed est une vulnérabilité originale à bien des égards. La révélation publique de la faille a bénéficié d’un plan de communication redoutable. Un ingénieur de Codenomicon lui a trouvé un surnom, «cœur qui saigne», afin d’exprimer l’idée que des données pouvaient s’en échapper. Ce patronyme a l’avantage de se retenir plus facilement que son nom d’origine, «CVE-2014-0160», en référence à son identifiant dans la base de données des vulnérabilités. Un autre employé de Codenomicon a ensuite acheté le nom de domaine Heartbleed.com, vite habillé d’un logo produit par un designer de l’entreprise.

La stratégie, qui s’apparente à celle employée lors du lancement d’un produit, avait pour but de diffuser l’information le plus rapidement et largement possible. Le site Internet Heartbleed.com a été mis en ligne lundi 7 avril, réunissant près de 1,4 million de visiteurs uniques en moins de 48 heures. «Notre mission est de rendre l’Internet plus sûr», a expliqué David Chartier, PDG de Codenomicon, dans une interview accordée au site Vocativ. «Nous avons déclenché une véritable réponse de la communauté. C’est un beau travail d’équipe.»

• La NSA était au courant, selon l’agence Bloomberg

Les révélations sur Heartbleed interviennent près d’un an après les débuts de l’affaire Snowden, qui a déjà porté un coup dans la confiance que l’on peut avoir sur la sécurité des données sur Internet. Les documents révélés grâce à l’ancien contractuel de la NSA ont montré qu’il était possible d’intercepter largement des données à des fins de renseignement, y compris celles supposément protégées. Un débat est déjà lancé: Heartbleed provient-t-il réellement d’une erreur de programmation ou traduisait-il d’autres desseins? «Il n’y a aucun élément factuel prouvant que c’était volontaire. La grande question est maintenant de savoir si d’autres acteurs, comme des services d’État ou des cybercriminels avaient découvert cette faille ou la connaissaient», estime Thomas Gayet. Selon l’agence Bloomberg, la NSA était informée «depuis au moins deux ans» de l’existence de cette faille et a décidé de la garder secrète, afin de s’en servir pour récolter des informations sensibles.

Source : Le Figaro 11/04/2014

Voir aussi : Rubrique Internet, rubrique  Défense, rubrique Actualité Internationale,

Portugal: des militaires dans la rue pour dénoncer l’austérité

Publié le par
Des militaires portugais défilent contre l'austérité à Lisbonne le 15 mars 2014 (AFP, Patricia de Melo Moreira)

De Brigitte HAGEMANN (AFP)

Lisbonne — Plusieurs milliers de militaires portugais en civil ont manifesté samedi contre les mesures d’austérité du gouvernement de centre droit, signe d’un malaise croissant à l’approche du 40ème anniversaire de la Révolution des Oeillets du 25 avril.

Entre 4.000 et 5.000 manifestants, selon les organisateurs, ont défilé derrière des banderoles dénonçant « l’humiliation » des militaires et des tentatives de « démantèlement des forces armées ».

Le cortège a démarré au son de la chanson « E depois do Adeus » (et après les adieux) de Paulo de Carvalho. Elle avait donné le signal de départ de la Révolution menée en 1974 par des militaires qui ont renversé la dictature salazariste.

« Les militaires sont sereins, mais pas soumis. Ils ne sont assujettis à la volonté de personne », a averti Antonio Lima Coelho, président de l’Association nationale des sergents (ANS) des Forces armées, dans un discours très critique envers le gouvernement.

« Vive la démocratie, vive la Constitution », a-t-il lancé à la foule rassemblée devant le Parlement, avant d’entonner solennellement l’hymne national.

D’autres manifestants ont chanté « Grândola Vila Morena », l’hymne de la Révolution des Oeillets qui retentit fréquemment dans des manifestations anti-austérité au Portugal.

Plusieurs anciens « capitaines d’avril » ont fait le déplacement: « j’ai fait la guerre coloniale, j’ai fait le 25 avril, et maintenant je me retrouve dans une nouvelle dictature, celle de Merkel et des marchés », s’est lamenté l’un d’entre eux, le colonel Sidonio, 72 ans.

Les manifestants agitaient des drapeaux noirs pour attirer l’attention sur la « réalité dramatique » vécue, selon eux, par de nombreux militaires qui n’arrivent plus à faire face aux dépenses familiales.

« La situation des militaires se détériore de jour en jour. Ils sont toujours plus nombreux à ne plus pouvoir payer leur loyer, financer l’éducation de leurs enfants ou rembourser leurs prêts », a commenté à l’AFP Manuel Pereira Cracel, président de l’Association des officiers des forces armées (AOFA).

Après presque 40 ans de service, ce colonel a vu son salaire baisser à 1.800 euros nets par mois, soit 700 euros de moins qu’en 2010, avant le début du programme de rigueur au Portugal.

– ‘Absence d’espoir’ –

« C’est une atteinte à notre dignité. Les hommes politiques d’aujourd’hui sont totalement insensibles à notre sort », a-t-il poursuivi.

Ce mécontentement est également palpable dans les rangs des forces de l’ordre. Plus de 15.000 policiers en colère, selon les organisateurs, avaient manifesté le 7 mars à Lisbonne, dans un climat de grande tension qui tranche avec le calme affiché par les militaires.

« Les militaires sont tenus à une certaine réserve, ils n’ont pas l’habitude de manifester dans la rue », a expliqué le colonel Pereira Cracel.

En contrepartie d’un prêt international de 78 milliards d’euros accordé en mai 2011, le Portugal applique une sévère cure de rigueur budgétaire, qui s’est traduite par des coupes draconiennes dans les salaires et retraites des fonctionnaires, dont plusieurs milliers ont encore manifesté vendredi.

« Rendez-moi mon salaire! », « gouvernement dehors! », pouvait-on lire sur les pancartes brandies par les militaires.

Mario Ramos, un sergent âgé de 50 ans, a vu son salaire fondre de 1.400 euros nets en 2010 à 1.100 euros cette année. « Comment voulez-vous que je paie avec cela les frais universitaires pour mes filles, soit 2.400 euros par an? », se désole-t-il.

Les militaires se sentent particulièrement lésés par les réductions d’effectifs et des réductions jugées « brutales » dans leurs revenus qui entament leur motivation et leur capacité à remplir leur mission.

Peut-on imaginer une nouvelle révolte, à l’approche des commémorations de la Révolution du 25 avril?

« Les révolutions ne s’annoncent pas, elles se font », a répondu, laconique, le colonel Pereira Cracel. Avant de se dire « préoccupé par l’état d’esprit des militaires, caractérisé par l’indignation et l’absence d’espoir ».

Voir aussi : Rubrique UE, un rapport accablant sur l’activité de la troïka, rubrique Portugal, rubrique Société, Mouvements sociaux,

Patrick Pailloux, nouveau patron de la « NSA à la française »

Publié le par
4352164_3_859b_patrick-pailloux-actuel-directeur-de-l-agence_894bad177e6442e995fc59bfc1c307ba

La nomination de Patrick Pailloux devrait être entérinée lors d’un prochain conseil des ministres. Photo AFP

Le gouvernement a choisi le nom du nouveau chef de la « NSA à la française », qui remplacera Bernard Barbier à la direction technique de la Direction générale de la sécurité extérieure (DGSE). Selon nos informations, confirmées par une source ministérielle, la candidature de Patrick Pailloux, actuel directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui assure la défense de l’Etat et des entreprises contre les cyberattaques, a été retenue. Sa nomination devrait être entérinée lors d’un prochain conseil des ministres.

M. Pailloux était en concurrence avec un membre actuel de la direction technique de la DGSE, un haut cadre du groupe de télécommunications Orange et l’ex-numéro deux de la direction technique de la DGSE, Philippe Duluc, aujourd’hui patron de la sécurité chez Bull après avoir occupé ces fonctions à France Télécom. Au regard du formidable poids pris par la technologie au sein du monde du renseignement et de la dépendance des Etats à la collecte, l’interception et le décryptage des données techniques à travers le monde, le directeur technique de la DGSE est devenu un personnage de premier plan, à l’image du patron de la NSA aux Etats-Unis. Plus de la moitié des effectifs de la DGSE travaillent au sein de sa direction technique, soit plus de 3 000 personnes, davantage que ce que ne veulent bien admettre les autorités.

UN POSTE AUSSI MÉCONNU QUE REDOUTÉ

Par ailleurs, l’étroite imbrication et collaboration qui existe entre les principaux services de renseignement occidentaux ajoute une dimension internationale à ce poste aussi méconnu que redouté. Le directeur technique de la DGSE appartient en effet à une forme d’« amicale », selon les termes d’un haut membre de la communauté du renseignement français, constituée des chefs de la NSA, de son équivalent britannique, le GCHQ, ou canadien, le CSEC, ou encore de leur homologues allemands.

Un document révélé par l’ex-consultant de la NSA, Edward Snowden, et publié en novembre par Le Monde, avait permis de découvrir que l’ANSSI entretenait également des liens avec les services de renseignement étrangers. Car la NSA héberge les fonctions offensives de la Direction technique de la DGSE et défensives de l’ANSSI.

Lire nos informations : Comment la NSA espionne la France

Ce mémo interne à la NSA relatait les grandes lignes de la visite, le 12 avril 2013, à l’agence, de MM. Barbier et Pailloux venus demander des comptes sur l’attaque informatique qui avait visé, en mai 2012, la présidence de la République française. La note mentionne que MM. Barbier et Pailloux suspectaient les Américains d’être derrière ce piratage. La NSA, pour sa part, dans ce mémo confidentiel, portait ses soupçons vers les services de renseignement israéliens.

M. Pailloux, né en 1966, ancien élève de l’Ecole nationale supérieure des télécommunications, est ensuite devenu ingénieur général des mines. Il a d’abord été responsable des travaux à la direction régionale Ile-de-France de France Télécom de 1991 à 1995, puis a été désigné chef du département des systèmes d’information et de télécommunications au ministère de la défense de 1995 à 2003. En juin 2003, il est nommé conseiller auprès du secrétaire général de la défense nationale avant d’être promu, le 7 octobre 2005, directeur de la direction centrale de la sécurité des systèmes d’information. Le 10 juillet 2009, il prend la tête de l’ANSSI, sous la tutelle du premier ministre.

Depuis, son travail se partageait entre la défense des systèmes d’information de l’Etat – tâche pour laquelle il n’a cessé d’obtenir des moyens et des effectifs supplémentaires – et un prosélytisme exacerbé pour inviter les acteurs industriels français à davantage se protéger. Chaque semaine, ses services, tels des pompiers du numérique, interviennent pour bloquer des attaques dans les administrations comme dans les entreprises. Leur tâche ne se limite pas à stopper les intrusions. Ils s’efforcent également de remonter à la source des attaques, transformant ainsi l’ANSSI en véritable agence de renseignement. Parmi les offensives informatiques les plus spectaculaires contre des intérêts français figurent celle contre l’Elysée hacké en mai 2012 ou encore le ministère des finances en mars 2011, où 150 ordinateurs avaient été infiltrés.

Jacques Follorou

Source : Le Monde 21/01/2014

Voir aussi : Rubrique Internet, Bradley Manning un révélateur, rubrique Défense, Adoption de la loi controversée de programmation militaire, rubrique citoyenneté,

Avec qui pilote Dassault ?

Publié le par

presse

13/01/2005

Le nouveau Papivore s’appuie sur quatre fidèles lieutenants pour contrôler la Socpresse. Chacun a son rôle pour influencer, gérer les finances, communiquer ou déjouer les pièges.

Pas une ligne ni même un mot dans le Who’s who.Rien dans les bases biographiques diverses. Pas une photographie dans les banques d’images. Très peu de traces sur Internet. Cités de temps à autre, généralement entre deux virgules, les membres de la garde rapprochée de Serge Dassault cultivent une discrétion qui confine à l’organisation secrète. À croire que pour ses affaires de presse, le patron de la Socpresse s’appuie sur des individus aussi dévoués à leur maître que les soldats de la Vieille Garde l’étaient à l’empereur ! Jean-Pierre Bechter, le politique, Philippe Hustache, le financier, et Rudi Roussillon, le communicant, se rencontrent formellement autour de Dassault, chaque mardi matin, pour parler des affaires de presse. En réalité, les contacts ne cessent jamais. Pas une journée sans que Serge Dassault ne mobilise ses lieutenants, le plus souvent via des textos, tôt le matin et jusqu’à 1 h 30 de la nuit, vacances et week-ends compris.

Jean-Pierre Bechter, le politique.

Il est administrateur de la Socpresse et duFigaro,patron de la Semif (Société d’édition de médias d’information franciliens, la société éditrice duRépublicain de l’Essonne,deLa Gazette du Val-d’Oiseet deToutes lesNouvelles de Versailleset de Rambouillet). Quasiment inconnu dans la presse, jusqu’à la prise de contrôle de la Socpresse par Serge Dassault en 2004, d’une discrétion absolue par nécessité autant que par inclination, Jean-Pierre Bechter est le principal artisan de ce coup de maître. C’est lui qui a mené de bout en bout les délicates négociations avec l’ensemble des héritiers de Robert Hersant. C’est encore lui qui faisait l’interface avec Yves de Chaisemartin, l’ex-PDG du groupe, récent candidat malheureux à la reprise des Nouvelles de Versailles et deLa Gazette du Val-d’Oise.C’est toujours Jean-Pierre Bechter qui a géré l’aspect politique et fiscal du dossier. Sa simplicité cordiale, ses relations au sommet de l’État, son sens politique et son carnet d’adresses, réputé l’un des meilleurs de Paris, ont fait merveille.

Belle prestance, l’oeil bienveillant sous un large front dégarni, ce sexagénaire fils d’un gendarme corrézien est tombé très jeune dans la politique. En 1986, il entre à l’Assemblée nationale comme député RPR de Corrèze, suppléant de… l’actuel président de la République. Installé dans le douzième arrondissement de Paris dans les années quatre-vingt, il en est depuis conseiller municipal et fut adjoint au maire. Il est actuellement vice-président du groupe UMP de la capitale. Imaginatif et plein d’idées, gros travailleur coutumier des journées de 15 heures, Bechter a la bonhomie communicative, aussi bien à droite qu’à gauche de l’échiquier.« L’homme est assez agréable de rapport »,confirme Christophe Nadjovski, conseiller vert du 12e. On ne lui connaît qu’un seul ennemi déclaré : Jean de Gaulle, petit-neveu de Charles et son compétiteur à droite lors des récentes municipales, qu’il rend responsable de l’échec de cette dernière, à mille voix près, dans son arrondissement fétiche.

Philippe Hustache, le financier.

Patron des finances du groupe Dassault, il est aussi administrateur de la Socpresse, duFigaro,deL’Express,de Valmonde (Valeurs actuelles, Le Spectacle du monde,etc.) et duJournal des finances.Ancien directeur financier d’Elf de 1985 à 1994, en pleine période de l’affaire Elf, Philippe Hustache n’a été inquiété à aucun moment par la justice. Requis par le parquet, il a expliqué au tribunal le jeu des commissions de la compagnie pétrolière.

Installé depuis 1994 au rond-point des Champs-Élysées auprès de Serge Dassault, cet inspecteur des finances sexagénaire travaille entouré d’une dizaine de collaborateurs seulement. Pas de consultants, pas de grands cabinets, Hustache s’appuie sur des circuits courts. On le présente comme un génie de la gestion, des finances, du contrôle de gestion, mais aussi des structures de société. C’est lui qui s’est attelé à la tâche titanesque de simplification des cascades de sociétés de la Socpresse, issues des rachats successifs effectués par Robert Hersant et pieusement conservées depuis par ses successeurs.« Une immense rigueur et une droiture extrême »,dit de lui un cadre de Dassault Aviation.

Bernard Monassier, le notaire.

Bernard Monassier, administrateur de la Socpresse, est le conseil et le notaire de Serge Dassault depuis 1986. Ce sexagénaire à grosses lunettes est le propriétaire de la première étude française. Passé du droit notarial au droit commercial, il a su mettre un incontestable sens des affaires au profit de ses clients, sans oublier le sien. Son étude parisienne compte 70 collaborateurs, auxquels s’ajoutent quelque 600 employés de 24 études associées en France et 17 bureaux de représentation à l’étranger.

Il est l’oeil juridique et fiscal de Serge Dassault. C’est lui qui avait tiré la sonnette d’alarme sur le projet d’échanges de participations avec le groupe Bouygues, décelant un piège dans le projet de ce dernier de monter à la minorité de blocage. Avec le financier Hustache, le notaire Monassier s’attache à démêler l’écheveau de… 197 sociétés existant sous le holding Socpresse.

Rudi Roussillon, le communicant.

images-1Il est administrateur de la Socpresse, du Figaro, de L’Expresset président de la Société de gestion du Figaro.Rudi Roussillon figure aussi dans le personnel de la Semif et occupe la vice-présidence du groupe Valmonde et celle de la Société du Journal des finances.

Présent depuis neuf ans aux côtés de Serge Dassault, Rudi-Pierre Johnston-Roussillon pour l’état civil, gère la communication et les relations extérieures du patron. Cordial et fin, Rudi Roussillon joue avec un art consommé du discours officiel et de l’information confidentielle… contrôlée. Il accompagne Dassault dans certains rendez-vous politiques, auprès des instances de presse ou des étudiants, il gère ses interviews dans les médias, aplanit les émois suscités parfois par les appréciations à l’emporte-pièce de l’avionneur.

L’homme parle volontiers de tous les sujets, sauf de son passé de communicant, dans les années 1980, dans le giron du Parti républicain et de ce que l’on appelait alors la « bande à Léo » (François Léotard, Alain Madelin et Gérard Longuet). Lui aussi tient à rester dans l’ombre.« Vous ne trouverez aucune photo de moi,prévient-il.Je les ai toutes fait enlever. »Recherches faites, c’est vrai, pour lui comme pour ses compagnons. Pour le public, les lieutenants de Dassault n’ont pas de visage.

Information traitée dans Stratégies Magazine n°1352

Adoption de la loi controversée de programmation militaire

Publié le par

barbouzes

La loi de programmation militaire (LPM) a été adoptée définitivement par le Sénat, mardi 10 décembre, malgré la fronde de nombreux acteurs du numérique contre son volet surveillance. Ces derniers s’opposaient en effet à son article 13, destiné à renforcer l’accès des services du renseignement intérieur de police et de gendarmerie aux données téléphoniques et informatiques, dans le cadre de la lutte contre le terrorisme et la criminalité organisée. Des opérations qui requéraient jusqu’à présent l’accord d’un juge.

La loi qui met en place le cadre législatif et budgétaire de la défense et du renseignement pour la période 2014-2019 a été adoptée par 164 voix contre 146 dans des termes identiques à ceux votés par l’Assemblée nationale. Les sénateurs ont notamment rejeté un amendement déposé par le groupe écologiste visant la suppression du très polémique article 13.

Les sénateurs écologistes arguaient du fait que cet article soulève de graves questions en termes de protection des droits et libertés invidivuels, alors que le scandale de l’espionnage des télécommunications mené par l’agence de renseignement américaine (NSA) ne cesse d’alimenter le débat dans le monde entier. Ils déplorent aussi que la CNIL (commission informatique et libertés) n’ait pas été saisie pour avis de cette disposition

« LES LIBERTÉS PUBLIQUES SERONT PRÉSENTES »

Le président de la commission des lois, Jean-Pierre Sueur (PS), celui de la commission défense, Jean-Louis Carrère, et le ministre de la défense, Jean-Yves Le Drian, se sont efforcés de les rassurer. « Les libertés publiques seront présentes, tout en maintenant l’efficacité opérationnelle du dispositif », a déclaré M. Le Drian. Pour M. Sueur, la loi « accroît les garanties et contrôles en matière d’accès aux “fadettes” et d’opérations de géolocalisation ». Quant à la CNIL, « elle sera forcément amenée à s’exprimer sur le décret qui devra permettre l’application du texte », a-t-il dit.

La loi de programmation militaire prévoit 190 milliards d’euros de crédits sur la période 2014-2019, avec un budget annuel maintenu à 31,4 milliards d’euros jusqu’en 2016, à hauteur de 1,5 % du produit intérieur brut, et en légère progression ensuite. Pour maintenir un dispositif militaire cohérent en période de crise, le texte prévoit la suppression de 34 000 postes dans les armées en six ans, dont 7 881 en 2014. A l’horizon 2019, la défense devrait compter 242 000 personnes (militaires et civils). Les premières restructurations ont été annoncées cet automne, avec la dissolution de plusieurs régiments et unités dès 2014.

OPPOSITION DE L’UMP

Cette réduction des moyens a été critiquée par Gérard Larcher (UMP), qui a jugé que « cette logique-là ne répondait ni aux attentes ni aux besoins de nos soldats, qui pour assurer leur missions ont besoin de confiance ». « Sur l’engagement des forces à l’étranger sûrement, oui, il y a consensus, mais pas sur les moyens que nous devons  y consacrer », a-t-il poursuivi en expliquant le vote négatif de son groupe.

A gauche, le texte a été voté par les sénateurs socialistes et Rassemblement démocratique et social européen, à majorité Parti radical de gauche. Les communistes se sont abstenus et une grande majorité des écologistes ont voté contre.

Source : Le Monde.fr avec AFP | 10.12.2013

 

Surveillance d’Internet : inquiétudes autour de la loi de programmation militaire

852952_3_6e31_une-ferme-de-serveurs-a-paris_82c1ebf3eac531641dde6c613b9b013a

C’est une disposition du projet de loi de programmation militaire (LPM) qui était passée un peu inaperçue. Examinée mardi 26 novembre à l’Assemblée nationale, elle précise pourtant les moyens dont disposent les autorités pour accéder aux données des internautes, à la suite d’un amendement déposé par le Sénat en première lecture.

Mercredi 20 novembre, l’Association des sites Internet communautaires (ASIC), un groupement de professionnels qui compte dans ses rangs Dailymotion, Facebook ou Deezer, a dénoncé ces nouvelles dispositions et s’est alarmé « de la course à l’échalote dans le domaine de la surveillance de l’Internet ».

Qu’y a-t-il dans ce projet de loi ? Pour simplifier, il encadre la collecte de deux grandes familles de données :

  • les données de connexion – c’est-à-dire l’historique des utilisateurs ayant visité ou utilisé un service comme un site, un hébergeur de vidéo, un service courriel – les métadonnées des communications – l’émetteur et le récepteur de la communication, sa date… –, la géolocalisation des appareils utilisés pour communiquer ;
  • le contenu des correspondances.

En réalité, le projet de loi ne propose pas grand chose de nouveau et se contente de rationaliser des dispositions déjà existantes.

LE CONTENU DES COMMUNICATIONS

Dans sa version actuelle, l’article L. 241-2 du code de la sécurité intérieure autorise déjà l’interception administrative de correspondances, c’est-à-dire le contenu des communications.

L’amendement présenté limite, par rapport à la loi existante, la durée d’autorisation de la collecte des correspondances à dix jours, contre quatre mois actuellement. Cette durée pourra évoluer en fonction du processus législatif : à l’Assemblée, la commission des lois s’est prononcée pour un retour de cette autorisation à quatre mois, tandis que la commission de la défense est en faveur d’une autorisation d’un mois.

Cependant, le projet de loi élargit les ministères qui pourront demander l’interception administrative d’une communication. Actuellement, ce sont les « ministre de la défense, ministre de l’intérieur ou ministre chargé des douanes » qui peuvent demander une interception. La nouvelle version parle des « ministres chargés de la sécurité intérieure de la défense, de l’économie et du budget ».

LES DONNÉES DE CONNEXION, MÉTADONNÉES ET GÉOLOCALISATION

Le projet de loi met fin à une séparation entre deux circuits législatifs, l’un issu d’une loi de 1991, et l’autre, d’une loi antiterroriste de 2006.

La collecte des données de connexion a été introduite dès 1991 dans la loi. Cette dernière permettait la collecte de ces données pour l’ensemble des services de renseignement, comme étape préliminaire à une surveillance du contenu des correspondances. La loi de 2006, dont est issu l’actuel article 34-1-1 du code des postes et des communications électroniques, permet la collecte de ces données en tant que telles, mais aux seules fins de lutte contre le terrorisme. La LPM permet donc d’harmoniser les deux régimes juridiques et inscrira dans la durée, si elle est adoptée, certaines dispositions de la loi de 2006, qui était une loi d’exception destinée à l’expiration le 31 décembre 2015.

Dans le même temps, la LPM insère davantage de garanties dans le dispositif existant. Auparavant, c’était le ministère de l’intérieur qui devait approuver la collecte de données de connexion, ce qui l’amenait à se prononcer sur des demandes émanant de sa propre administration. L’autorisation est désormais du ressort du premier ministre. Jean-Pierre Sueur, président de la commission des lois au Sénat et auteur de l’amendement, insiste sur le caractère « rigoureux » de ce contrôle.

Concernant les données liées à la géolocalisation, l’amendement permet d’encadrer par la loi des pratiques qui « existaient sans bases juridiques », explique par ailleurs M. Sueur.

VERS UNE COLLECTE EN TEMPS RÉEL DES DONNÉES

Le nouveau texte élargit aussi les entités auprès desquelles les autorités pourront aller réclamer des interceptions. Si ces acteurs ne sont pas précisés dans les textes actuels concernant le contenu des communications, il s’agissait jusqu’à présent, pour les données de connexion, les métadonnées et la géolocalisation uniquement des intermédiaires techniques (essentiellement les fournisseurs d’accès à Internet). Si la LPM est adoptée en l’état, cela concernera également les hébergeurs de contenus (Google ou Dailymotion par exemple).

Une autre disposition a de quoi inquiéter au-delà du cercle des professionnels. Dans sa forme adoptée par le Sénat, la LPM ouvre la voie à la collecte « en temps réel » des données, par la « sollicitation » du réseau. Cette formulation un peu floue conduit l’ASIC à se demander si les autorités seraient en train de « donner un cadre juridique à une interconnexion directe sur les réseaux ». Ce qui pourra conduire à l’installation, par les autorités, de dispositifs d’interception directement sur les équipements des entreprises d’Internet, comme les fournisseurs d’accès, les opérateurs de téléphonie ou les sites Web.

Par ailleurs, la formulation adoptée au Sénat est vague, puisqu’il autorise la collecte de toute « information ou document traité ou conservé », contrairement aux textes déjà existants qui délimitaient plus nettement le contour des données dont la collecte est autorisée.

UN « PROGRÈS »

Aux détracteurs du projet de loi, Jean-Pierre Sueur oppose le « progrès » que constitue ce texte, et juge « excessives » les conclusions tirées par l’ASIC. Ces modifications sont finalement dans l’air du temps : à l’image des services de renseignement américain et britannique, les espions français sont gourmands en métadonnées. « Pour les services de renseignement, les métadonnées sont encore plus parlantes que le contenu », estime Thiébaut Devergranne, juriste spécialisé dans les nouvelles technologies – elles permettent en effet d’établir avec une certaine précision les rapports entretenus par plusieurs personnes.

Le débat à l’Assemblée intervient quelques jours après un avis du Conseil national du numérique, qui rappelait la place centrale que doit occuper le juge dans la régulation d’Internet. Au CNN, on indique aujourd’hui surveiller la LPM, et notamment son calendrier parlementaire, avant de s’emparer du sujet.

Martin Untersinger

source : Le Monde.fr 26.11.2013

La Cnil déplore d’avoir été mise sur la touche

Dans un communiqué du mardi 26 juin, la Commission nationale informatique et liberté déplore de ne pas avoir été saisie des dispositions relatives à l’accès aux données de connexion. En effet, si elle a été consultée pour le texte déposé au Sénat par le gouvernement, elle n’a pas eu à se prononcer sur l’article 13, qui a été ajouté par amendement.

Voir aussi : Rubrique Défense, rubrique Internet, rubrique citoyenneté, On Line Renseignement : un contrôle renforcé des services,