Extraits
du Rapport Paecht sur Echelon
RAPPORT D'INFORMATION
DE LA COMMISSION DE LA DÉFENSE NATIONALE ET DES FORCES ARMÉES
Version intégrale : http://www.assemblee-nationale.fr/2/rap-info/i2623.htm
EXTRAITS choisis par "PGP en français"
****
L'évolution du système [nommé Échelon]
depuis sa création est révélatrice de la prédominance
de l'acteur principal que sont les Etats-Unis et de leur souhait que l'ensemble
des pays occidentaux alignent leur politique d'écoutes sur la leur.
****
D'autre part, il a été indiqué à votre Rapporteur
que les installations d'écoutes situées sur la base de Bad
Aibling en Allemagne étaient utilisées à présent
pour la surveillance des Balkans et avaient bénéficié
à l'Alliance atlantique lors de ses interventions en ex-Yougoslavie
depuis une dizaine d'années. Les responsables allemands rencontrés
par votre Rapporteur partagent l'analyse des Etats-Unis qui continuent
à soutenir que les systèmes d'interception des communications
ont une finalité militaire, après le temps de la guerre froide.
****
La conviction de la mission d'information est double : non seulement,
les Etats-Unis jouent un rôle prépondérant et dirigeant
dans le système, mais les autres partenaires sont dans une situation
qui reflète à la fois leur dépendance et leur sujétion.
****
Echelon pourrait à cet égard être qualifié
de coopérative inégalitaire, les « associés
» se trouvant dans des situations différenciées.
****
Mais la Nouvelle-Zélande continue à participer au réseau
et les échanges entre services ont été maintenus.
Ils ont été actifs pendant la dernière campagne d'essais
nucléaires de la France dans le Pacifique compte tenu de la situation
géographique de la Nouvelle-Zélande.
****
Aux questions qui leur ont été posées par la mission d'information, les réponses des industriels français ou allemands, potentiellement victimes d'écoutes, ont été concordantes. Si les responsables de grands groupes ont généralement indiqué qu'ils étaient effectivement concernés par l'espionnage économique, qui était une réalité, ils ont cependant reconnu qu'il était difficile de connaître l'origine des fuites et qu'il leur était impossible d'affirmer que des marchés avaient été perdus en raison d'écoutes. Pour les responsables américains, la perte de contrats par des sociétés européennes n'est pas due aux écoutes ni à l'espionnage de leurs secrets commerciaux mais aux versements de pots-de-vin. Lorsque les Etats-Unis ont eu connaissance de telles pratiques, dans un souci de moraliser le commerce international, ils ont demandé à leurs ambassadeurs d'intervenir auprès des responsables des pays acheteurs. Pour les industriels, l'échec commercial peut tenir à
de nombreux facteurs, surtout dans un contexte international. Aux considérations
techniques et financières sur les programmes concernés, s'ajoutent
dans de nombreux cas des préoccupations stratégiques. Il
est vrai que certaines sociétés s'aperçoivent parfois,
au cours des négociations et notamment dans les appels d'offres
internationaux, que des concurrents ont eu connaissance des éléments
de la négociation, ne serait ce qu'au travers des « offres
sondes » qui sont envoyées et qui révèlent l'existence
d'écoutes.
****
Certaines réactions n'ont cependant pas été sans
surprendre votre Rapporteur. Ainsi, un grand groupe multinational a souligné
que les industriels ne pourraient ou ne voudraient pas répondre
aux questions relatives au rôle d'Echelon, parce qu'eux-mêmes,
dans certains cas, mettaient en oeuvre leur propre réseau. Seuls
les grands groupes peuvent mettre en place leurs propres structures de
renseignement et les PMI-PME n'ont pas les capacités d'avoir leurs
propres services d'intelligence économique, surtout celles qui ne
sont pas filiales de grands groupes. Mais toute société peut
faire appel à des entreprises spécialisées qui recherchent
et exploitent l'information ouverte.
****
La vulnérabilité des réseaux s'est accrue avec le développement de l'informatique. Dans ce contexte, le débat sur les écoutes ne peut manquer de s'étendre à la question des intrusions dans les réseaux, c'est-à-dire au plus près de la source émettrice du message, au coeur de l'architecture des réseaux. Les intrusions utilisent toutes les failles des matériels (hardwares) et des logiciels (softwares). De nombreux spécialistes ont confirmé ces failles à votre Rapporteur : elles peuvent prendre la forme de fonctions cachées dans les logiciels du commerce, c'est-à-dire non signalées dans la documentation remise à l'utilisateur mais qui peuvent être activées par un tiers. Certaines de ces fonctions sont anodines encore qu'il soit impossible de savoir si elles ne contiennent pas d'autres finalités que l'amusement de leur programmeur. Mais bien d'autres fonctions n'ont pas pu être détectées et posent la question de programmes espions dits back doors dans les logiciels du commerce. Les spécialistes de la DGA qui travaillent au centre d'électronique de l'armement (CELAR) à Rennes ont fait la démonstration à votre Rapporteur de l'existence de failles ou de fonctions cachées dans certains logiciels, et ont mené des attaques virtuelles contre des sites Internet en utilisant les anomalies de fonctionnement des logiciels et en prouvant par là que la guerre de l'information était devenue une réalité. Depuis de nombreuses années, ces failles technologiques sont
dénoncées par des chercheurs ou des spécialistes.
Elles sont d'autant plus redoutables qu'elles émanent de produits
d'origine américaine qui représentent près de 80 %
du marché mondial. Certes, certaines sont involontaires mais d'autres
ont été créées sciemment. Leur vocation est
avant tout commerciale puisqu'une défaillance suppose d'être
améliorée : les nouvelles versions des logiciels trouveront
ainsi des débouchés commerciaux. On peut aussi supposer qu'elles
ne sont pas toutes motivées par des préoccupations commerciales.
****
Il faut rester prudent sur les potentialités des systèmes
d'écoute et les chiffres fournis en termes de nombre de messages
interceptés ne signifient pas grand chose. Tout d'abord parce que
ce qui importe c'est la capacité de traitement. Ensuite, parmi la
population, l'intérêt des services d'écoute est d'identifier
les cibles qui comptent (environ 5 000 personnes par exemple en France)
et de les suivre : les moyens d'écoute sont donc orientés
sur les personnalités donc les communications les plus intéressantes.
****
Les communications filaires restent difficiles à intercepter
sans que l'utilisateur ne s'en aperçoive ou sans la complicité
de l'opérateur de réseau (a contrario, de forts soupçons
existent sur une connivence possible entre British Telecom et le GCHQ).
****
Certaines estimations de spécialistes tendent à montrer
que, malgré tous leurs moyens, les services partenaires d'UKUSA
ne sont plus en mesure de traiter la masse d'informations recueillies.
****
L'ensemble des interlocuteurs s'est finalement prononcé en faveur
d'un principe de précaution, au nom des enjeux de sécurité,
afin de contrer des capacités dont l'appréciation est impossible.
****
De nombreux interlocuteurs de votre Rapporteur ont souligné l'intérêt
qu'il y aurait de savoir à qui profite la médiatisation actuelle
[d'Echelon].
****
Le cas du Royaume-Uni reste cependant à part dans la mesure où
seul ce pays dispose des capacités qui lui permettent d'analyser
les documents et d'instaurer avec les Etats-Unis des relations «
moins inégales » qu'avec les autres membres du pacte.
****
L'activisme de certaines organisations soucieuses de bonne conscience
est réel et il peut être tentant d'émettre des hypothèses
de manipulation compte tenu par exemple des moyens financiers dont elles
disposent. Mais aucune preuve n'est apportée de cette manipulation.
****
Votre Rapporteur aimerait souligner à l'appui d'une éventuelle
manipulation un fait troublant : il a constaté que l'essentiel des
documents publiés sur Echelon semblait provenir de la même
source. Les renseignements notamment ceux figurant sur Internet sont souvent
identiques et donnent l'impression d'avoir été recopiés
à partir de deux ou trois sources (les articles et ouvrages déjà
cités, les documents déclassifiés de la NSA, etc.).
Cette similitude des informations et donc leur relative indigence à
l'analyse peuvent témoigner d'une volonté délibérée
d'orienter le débat sur les interceptions des communications, volonté
à laquelle la communauté du renseignement ne serait pas étrangère.
****
L'impression ressentie, et confirmée par la visite que votre Rapporteur a effectuée à Berlin en juin dernier, est celle d'un certain scepticisme des responsables politiques [allemands] quant aux potentialités d'un réseau mondial d'écoutes dont la capacité semble ainsi avoir été « pour une grande part exagérée ». La position du Gouvernement fédéral est cependant empreinte
d'ambiguïtés en raison de l'existence de la station américaine
de Bad Aibling basée sur le territoire allemand. Les personnes rencontrées
par votre Rapporteur lui ont indiqué que les informations recueillies
par cette station étaient communiquées aux services de renseignement
allemands.
****
Mais, à la question qui a été posée sur
le contrôle réellement effectué par les autorités
allemandes, il a été répondu que celui-ci n'était
pas mis en oeuvre puisque les relations germano-américaines reposaient
sur la confiance.
****
Ces responsables évoquent donc le climat de « confiance
vigilante » qui doit s'instaurer entre Alliés et prônent
la réduction de cette méfiance par des échanges d'informations
et l'élaboration d'un code de conduite pour régler les éventuels
incidents.
****
Si aucune société n'a déposé de plainte, des procédures judiciaires ont cependant eu lieu et vont avoir lieu. Ainsi, la suite de la procédure judiciaire engagée début juillet par le Procureur de la République de Paris, les autorités britanniques ont affirmé qu'elles étaient disposées à collaborer avec les autorités françaises et ont réaffirmé que les stations britanniques n'étaient pas utilisées à des fins d'espionnage économique. Mais la position du Royaume-Uni est ambiguë comme en témoignent
deux événements. Le premier a trait au procès fait
à deux personnes ayant tenté de pénétrer sur
une base et au témoignage d'un responsable de British Telecom. Le
juge britannique a alors conclu que les impératifs de défense
nationale exigeaient que l'affaire reste secrète.
****
Le ministère des Affaires étrangères [français], très sensible à la mise en cause des libertés individuelles et de la confidentialité des communications, a été très en pointe pour la libéralisation des procédures de cryptage lors des réflexions interministérielles car elle lui paraissent de nature à protéger les intérêts français. C'est pourquoi il s'est montré favorable à la mise en place d'un mécanisme de veille technologique. Au contraire, le Ministre de la Défense, M. Alain Richard, qui
assure la tutelle de trois services de renseignement (la DGSE, la DRM et
la DPSD), a tenu un discours moins explicite, évoquant « l'objectif
de sécurité nationale ».
****
La poursuite du travail d'investigation de diverses instances parlementaires
amènera le Gouvernement [français] à préciser
sa politique en matière d'écoutes et de lutte contre les
intrusions.
****
Après 1966, le renseignement est l'un des trois domaines de l'organisation
militaire intégrée de l'OTAN que la France n'a pas réellement
quittés. La France disposait de son propre réseau d'écoutes,
un créneau d'écoutes des armées ennemies lui était
confié et des échanges officiels et réguliers étaient
organisés. Même si un tel créneau d'écoutes
n'existe plus, les échanges s'effectuent toujours. Ils sont plus
que jamais nécessaires dans la mesure où les services de
renseignement ont besoin d'élargir leurs bases de données
pour accroître leurs performances et déchiffrer les messages
cryptés, même a posteriori.
****
M. Henry Serres, directeur du DCSSI, a été le fondateur
de la direction technique de la DGSE.
****
De manière générale, la tradition du secret est néfaste pour les services de renseignement eux-mêmes car elle peut mettre leur existence en péril. Pour les journalistes, les errements des services sont souvent liés à des considérations politiques. Le Gouvernement parait encore défavorable à la mise en place d'une structure de contrôle parlementaire. Mais les officiers de renseignement de terrain avec lesquels des contacts restent possibles sont favorables à un contrôle des objectifs et des moyens des services de renseignement. Un tel contrôle parlementaire devra, de toute manière,
être de nature globale et vérifier l'adéquation entre
les moyens accordés aux services et les missions qui leur ont été
fixées.
****
Au terme de ses recherches, votre Rapporteur a acquis les certitudes suivantes : - il existe effectivement un système d'interception des communications,
mis en oeuvre par les services de renseignement des Etats-Unis, du Royaume-Uni,
du Canada, de l'Australie et de la Nouvelle-Zélande.
****
Votre Rapporteur est ainsi convaincu de la vulnérabilité des systèmes d'information et de communication (SIC) face aux écoutes et aux intrusions directes qui ne pourront que croître. La question fondamentale n'est donc plus celle de l'illégalité des écoutes ni de leur détournement, même si les problèmes de fond ne sont pas pour autant réglés (prédominance de certains Etats qui utilisent un système à leur profit, atteintes graves aux droits fondamentaux des individus, voire au fonctionnement régulier des institutions). Avoir une vision prospective nécessite de renforcer la protection
des SIC à tous les niveaux, individuel et collectif, national et
européen.
****
Le dilemme essentiel de la cryptographie tient à l'impossibilité
de concilier les exigences des libertés publiques individuelles
(protéger la confidentialité des communications privées
dans un monde où les échanges sont libéralisés,
donc disposer de chiffres impossibles à briser) et les impératifs
de la sécurité collective (traquer les messages criminels
donc être capable de briser des chiffres ou d'avoir accès
à certaines informations cryptées).
****
Les progrès sont tels que cette capacité doit atteindre aujourd'hui les chiffres à 80 ou 100 bits. Une telle opération est facilitée par le fait que le message crypté contient une information connue en clair, ce qui permet des comparaisons et par l'obtention d'un grand nombre de couples message en clair / message chiffré ; ce qui explique le souci des services de renseignement de disposer d'un maximum d'écoutes. Un chiffre à 128 bits, comme ceux qui seront dorénavant
autorisés en France ou en Belgique, est considéré
par certains comme ne pouvant pas être brisé ou du moins d'un
niveau suffisant pour les transactions civiles à gros débit
ou les communications militaires non confidentielles. La cryptologie fournit
alors un excellent moyen de sécurité puisque la durée
nécessaire au déchiffrement est suffisamment longue pour
que l'information recherchée perde de sa valeur avec le temps. Certains
experts pensent qu'un niveau supérieur reste nécessaire pour
les communications militaires au moins pour la transmission des clés
secrètes.
****
Les attaques qui ont été menées par la NSA sur
le plan judiciaire contre les logiciels Pretty Good Privacy ont cessé
et la dernière version proposée a reçu l'aval des
autorités américaines. Il est donc à craindre que
ces logiciels ne soient plus aussi libres que par le passé et que
des accords aient été conclus entre les agences fédérales
américaines et le concepteur du système.
****
La majorité des personnes rencontrées par votre Rapporteur : - déconseillent de confier la gestion des clés privées à un organisme centralisé afin d'éviter la création d'une structure ingérable et de multiplier les inconvénients liés au manque de confiance (surtout s'il s'agit d'un organisme public) ou au risque de confidentialité. La gestion serait donc assurée par les entreprises de manière locale et déconcentrée ; - renforcer les aspects juridiques en légalisant l'obligation
de remise en clair des messages chiffrés.
****
Une des questions essentielles relatives au développement de la cryptologie a trait au régime juridique des interceptions des communications et des moyens de les contrer. Parce que les normes internationales en la matière ne déterminent
pas de régime précis et normatif, la base juridique des interceptions
ressortit des droits internes de chaque pays.
****
Tout d'abord, il convient de souligner la base constitutionnelle [française]
que représente le principe de liberté personnelle reconnu
par le Conseil constitutionnel en se référant aux principes
fondamentaux reconnus par les lois de la République dans le préambule
de la constitution de 1946.
****
Le Gouvernement [français] a annoncé qu'il présenterait au Parlement une réforme plus complète offrant une liberté dans l'utilisation des produits de cryptologie (sous réserve du maintien des contrôles à l'exportation pour les moyens dotés d'une clé à 56 bits et au-delà) et ouvrant le recours à des tiers de confiance selon un régime facultatif (et non plus obligatoire). La contrepartie à cette libéralisation de la cryptologie pourrait prendre plusieurs formes : - une solution juridique à travers l'instauration d'obligations, assorties de sanctions pénales, pour remettre aux autorités judiciaires, lorsqu'elles en font la demande, de la transcription en clair des messages chiffrés. Il est en effet nécessaire d'empêcher les obstacles aux procédures judiciaires et de prévoir des sanctions fortes en cas d'absence de coopération des utilisateurs ou des détenteurs de clés avec l'autorité judiciaire ; - des moyens nationaux dans les domaines de la cryptologie afin de maintenir une compétence face à l'évolution rapide de la technologie ; - un renforcement des moyens des services de renseignement. En outre, de par leur nature, la lutte contre la corruption et les écoutes
inégales ressortissent de conventions internationales (par exemple,
celle de l'OCDE) qui doivent être traduites en droit interne. La
lutte contre le crime organisé, en particulier dans le cyberespace
(identification des délinquants), suppose un cadre de référence
international car il faut résoudre la contradiction entre les impératifs
de libertés individuelles et les besoins d'investigation et de coopération
judiciaire ou policière.
****
Il serait indispensable de créer une agence française
dans le domaine de la sécurité des systèmes d'information.
Elle serait rattachée au Premier ministre car sa vocation est interministérielle.
Le regroupement des équipes existantes dans les différents
services de renseignement permettrait d'atteindre une « masse critique
». La création de la DCSSI au SGDN pourrait préfigurer
une telle agence.
****
Mais il y a une double difficulté à garder les spécialistes (ingénieurs et universitaires contractuels), qui sont attirés par des emplois civils mieux rémunérés, et à embaucher de jeunes universitaires de haut niveau pour faire face à la demande. Face à cette pénurie, les services français ont été contraints de faire travailler sur contrats des spécialistes russes. La Russie a acquis un bon niveau dans la cryptographie et la cryptanalyse, mais les matériels produits manquent de fiabilité. Il manque également un grand projet pour animer les équipes françaises et leur donner des perspectives intéressantes. Il faudrait travailler davantage sur le traitement des logiques sémantiques
et en linguistique. Les progrès réalisés dans la reconnaissance
automatique de langages et dans la traduction méritent d'être
poursuivis. Il faudrait également augmenter les moyens de calcul
mathématique.
****
La protection des réseaux de communication a été
favorisée par l'évolution de la réglementation sur
la cryptologie. Pour le SGDN, des clés de chiffrement jusqu'à
128 bits offrent une excellente sécurité car elles sont très
difficiles à briser. L'objectif demeure d'une libéralisation
complète des produits de chiffrement sans limites de bits. Un projet
de loi à cet effet sera présenté en 2000 au Parlement.
L'une des conséquences sera cependant l'impossibilité pour
les services de l'exécutif d'intercepter les communications pour
les besoins de la sécurité nationale. Il en sera de même
pour l'autorité judiciaire par les besoins des procédures
pénales. C'est pourquoi des dispositifs doivent être prévus
pour avoir accès aux clés lors de procédures judiciaires.
****
La DCSSI délivrera des agréments ou des certificats pour
les systèmes, les procédés et les produits de cryptologie
employés par les services de l'administration et les services publics,
l'Etat devant plus généralement assurer une surveillance
du marché des produits de chiffrement pour vérifier qu'ils
ne sont pas « piégés » mais bien conformes aux
spécifications. Il ne s'agit pas du contrôle de ce marché
(seules les exportations sont soumises à contrôle) mais de
l'évaluation de la qualité de la protection qu'offrent ces
produits
****
L'étude sur la légalité des interceptions [Rapport intitulé « The legality of the interception of electronic communications : a concise survey of the principal legal issues and instruments under international, european and national law »] Ce rapport, qui a été rédigé par le professeur Chris Elliot, juriste et ingénieur spécialisé dans les télécommunications, examine les différentes politiques existantes concernant les interceptions légales de communication. Il présente les différentes conventions internationales
qui traitent des droits de l'homme et de la protection de la vie privée
tout en mettant en avant les portes qu'elles laissent ouvertes à
d'éventuelles réglementations « contraires »
à ces droits. Par exemple, la Déclaration universelle des
droits de l'homme ne dit pas que les interceptions légales sont
interdites mais seulement celles réputées arbitraires. L'Union
européenne a ainsi pu adopter une législation permettant
aux Etats membres de légaliser certaines interceptions de communications.
En effet, l'Union ne va pas à l'encontre de droits proclamés
dans les conventions internationales qu'elle a ratifiées en n'interdisant
pas les interceptions légales non arbitraires. Quant aux Etats membres,
ils ont chacun une réglementation sur les interceptions légales
qui doit suivre les règles du droit dérivé européen.
****
A de nombreuses reprises, les députés européens ont posé des questions écrites ou orales relatives au système Echelon. Les réponses de la Commission Santer, notamment de la part de Sir Leon Brittan, alors commissaire, ont toujours manifesté un certain embarras. Soit la Commission a répondu de manière un peu étonnante « qu'elle ne disposait d'aucun élément » ou « d'aucune preuve de ces allégations », à l'exception d'articles de presse. Soit elle a rappelé qu'elle n'avait été saisie d'aucune plainte mettant en cause l'un des Etats membres. Le Commissaire Bangemann a même mis en doute l'existence d'Echelon
lors d'une déclaration, le 14 septembre 1998, ajoutant cependant
que « si ce système existait, tel que décrit, il s'agirait
effectivement d'une violation, des droits individuels du citoyen et d'une
atteinte à la sécurité des Etats membres ».
****
[Des propositions concrètes pour diminuer les risques] - la production de logiciels sûrs, tant en matière de cryptographie que pour les applications bureautiques et informatiques, représente une condition essentielle de l'efficacité d'une riposte. Dans un premier temps, ces logiciels pourraient être nationaux mais on peut imaginer qu'ils seront européens à relativement court terme ; - la libéralisation des programmes de cryptographie ou de chiffrement
devient impérative. Elle pourrait être double. Non seulement
le dispositif juridique français devrait autoriser la vente et l'utilisation
de programmes d'une capacité de 128 bits mais les échanges
qui supposent une plus grande confidentialité, comme l'échange
de clés, devraient bénéficier d'une libéralisation
accrue pour des produits d'une valeur supérieure à la limite
de 128 bits qu'envisage le Gouvernement actuel (jusqu'à 1 024 bits
par exemple).
****
Devant ces évolutions, le rapporteur d'information a tout d'abord préconisé d'appliquer un principe général de précaution, au-delà des premières mesures de prévention liées à la sécurité des systèmes d'information et de communication. Il a en premier lieu souligné la nécessité d'informer tous les acteurs sur les risques potentiels et de les sensibiliser pour qu'ils prennent les mesures de protection nécessaires de manière adaptée. Il a insisté sur l'intérêt de recommander, au sein de chaque structure constituant une cible potentielle, la formation de responsables de la sécurité des systèmes de communication. Il s'est prononcé en faveur de la production de logiciels sûrs
(...). Il a également proposé une libéralisation des
programmes de cryptographie ou de chiffrement.
****
Mise à jour : octobre 2000 © 1997-2000, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58 pgpenfrancais@bigfoot.com |