application mobile

Cet été, Mediapart vous accompagne partout !

Retrouvez Mediapart sur mobile et tablette en téléchargeant notre nouvelle application, disponible sur Android et iOS.

Je découvre
Mediapart mar. 9 août 2016 9/8/2016 Édition de la mi-journée

La surveillance du Net a été généralisée dès 2009

6 juin 2016 | Par Jérôme Hourdeaux

Des pratiques "a-légales"

Que faisaient les services de ces métadonnées ? Étaient-elles traitées ? Par qui et sur quel fondement juridique ? Contactés, ni le cabinet du premier ministre, ni la société Qosmos ou les opérateurs concernés n’ont répondu à nos questions. Un ancien haut cadre d’un fournisseur d’accès nous confirme pourtant que les métadonnées étaient bien collectées « en temps réel, à distance ». C’était d’ailleurs « tout l’intérêt de cet outil par rapport aux dispositifs historiques pour l'interception de données qui reposaient sur des sondes avec stockage temporaire », précise-t-il.

Au niveau juridique, un contournement de la loi n’aurait rien de surprenant : le contrôle des interceptions de métadonnées était, en 2009, particulièrement léger. La loi du 23 janvier 2006 avait en effet confié leur autorisation à une « personne qualifiée » dépendant du ministre de l’intérieur, le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) n’intervenant qu’a posteriori.

Au mois de novembre 2014, le président de la CNCIS, Jean-Marie Delarue, s’était par ailleurs lui-même alarmé devant des députés du manque de contrôle des interceptions de métadonnées. Regrettant que ce contrôle ne s’exerce qu’après coup, il s’interrogeait également sur « l’indépendance » d’une « personne qualifiée » dépendant du ministère de l’intérieur qui, lui-même, fait partie des demandeurs d’interceptions.

Ces inquiétudes étaient d’autant plus fondées que les années 2008-2009-2010 semblent avoir été une période d’intenses activités pour les opérations « a-légales » des services. En septembre 2010, Le Canard enchaîné puis Le Monde avaient par exemple révélé que Jean-Paul Faugère, directeur de cabinet du premier ministre d’alors, François Fillon, avait signé un courrier classé « confidentiel défense » autorisant les services à se procurer les « données techniques » téléphoniques, c’est-à-dire les « fadettes », directement chez les opérateurs, en passant outre le contrôle de la CNCIS.

De son côté, au mois de juillet 2015, L’Obs avait révélé l’existence d’un décret secret signé en 2008 autorisant la DGSE, le renseignement extérieur, à se brancher directement sur les câbles transatlantiques afin d’espionner les communications internationales.

Concernant le dispositif IOL, ses sondes avaient été déployées chez les principaux fournisseurs d’accès à Internet, « soit près de 99 % du trafic résidentiel », nous indique une source interne. Chaque opérateur avait la liberté, dans le cadre de la convention passée avec le GIC, de choisir son propre prestataire. Mais une partie de ce marché a été emportée par le leader du secteur, la société Qosmos à qui Mediapart et Reflets ont déjà consacré plusieurs enquêtes.

Qosmos est notamment connue pour être visée par une information judiciaire pour complicité d’actes de torture en Syrie. La justice reproche à la société d’avoir participé à la vente d’un système d’espionnage à Bachar al-Assad et essaye de déterminer si ses sondes ont bien été opérationnelles et ont permis l’arrestation d’opposants torturés. Dans le cadre de cette procédure, la société a été placée sous le statut de témoin assisté au mois d’avril dernier.

Le produit phare de Qosmos, celui vendu à la Syrie, est le ixM-LI (pour Legal Interception). Et c’est également celui fourni dans le cadre du projet IOL. Selon nos informations, le dispositif IOL a commencé à être imaginé dès 2005, avec la rédaction d’un cahier des charges en 2006, des tests en 2007 et enfin un déploiement au cours de l’année 2009. Des documents internes de Qosmos que Mediapart et Reflets ont pu consulter montrent que, en 2012, la société livrait un « patch », c’est-à-dire un correctif ou une mise à jour, pour la version « 2.1.3 » de la sonde « ixM-IOL ».

Par ailleurs, toujours en 2012, les policiers travaillant sur l’affaire de la vente de sondes au régime de Bachar al-Assad avaient tenté d’obtenir la liste des clients de Qosmos. Quatre d’entre eux étaient classés « confidentiel défense » et désignés uniquement sous des noms de code. L’un d’eux était « IOL ». L’ancien haut cadre d’un opérateur nous confirme que le programme était bien encore actif en 2013-2014. En revanche, le dispositif a de fortes chances d’être ensuite devenu obsolète, tout d’abord pour des raisons techniques liées à l’évolution du réseau internet. Ensuite en raison du vote de la loi sur le renseignement, instituant le dispositif des boîtes noires.

La révélation de l’existence de ce programme confirme en tout cas deux choses. Tout d’abord, comme l’a revendiqué le gouvernement lui-même, les différentes lois sécuritaires votées ces dernières années (LPM, loi sur le renseignement, loi sur les communications internationales…) ne faisaient que donner un cadre légal à des techniques qualifiées par l’euphémisme « a-légales », mais en réalité non autorisées par la loi.

Ensuite, les autorités n’hésitent pas à pratiquer, dans ce domaine, le double langage. Alors que les liens entre les autorités françaises et des sociétés telles que Qosmos ont été à plusieurs reprises révélés par la presse, que ce soit à travers le projet IOL ou le projet Kairos, ces programmes n’ont jamais été évoqués, ne serait-ce que dans leurs grandes lignes, lors des débats parlementaires.

Une anecdote, relayée par Reflets au mois de novembre 2014, est symbolique de ce jeu de dupes. Le président de la commission des lois, président de la délégation parlementaire du renseignement, futur artisan de la loi sur le renseignement et désormais ministre de la justice, Jean-Jacques Urvoas, avait été auditionné par la Commission parlementaire sur les libertés à l’âge du numérique à laquelle participait le directeur de Mediapart, Edwy Plenel. Ce dernier avait interrogé le député sur les liens entre l’État et la société Qosmos après la publication d’une première enquête sur ce sujet. « Je n’ai jamais rencontré, depuis que je suis (…) président de la délégation parlementaire au renseignement, cette structure, je n’ai jamais entendu qu’elle soit un prestataire de qui que ce soit, en tout cas pas pour les organes qu’il m’arrive de fréquenter », avait répondu Jean-Jacques Urvoas.