Le gouvernement veut prolonger et étendre le périmètre de la surveillance antiterroriste des communications par le biais des algorithmes. Un sujet extrêmement sensible, qui soulève de nombreuses questions, notamment sur le plan des libertés individuelles.

Gérald Darmanin, en charge de l'Intérieur, à la sortie du Conseil des ministres.
Gérald Darmanin, en charge de l'Intérieur, à la sortie du Conseil des ministres. © AFP / Hans Lucas / Arthur Nicholas Orchard

C'est un texte qui promet des débats animés. Le Conseil des ministres a examiné mercredi, cinq jours après l'attentat de Rambouillet, un nouveau projet de loi antiterroriste qui, dans l'un de ses deux volets, pérennise et étend le recours à la technique décriée des algorithmes pour tenter de détecter les personnes radicalisées, actuellement sous les radars du renseignement. 

Le Premier ministre Jean Castex a défendu un texte qui permet de "s'adapter aux nouvelles menaces moins faciles à détecter et (de) prendre appui sur les nouveaux outils liés aux nouvelles technologies" quand, le matin même, son ministre de l'Intérieur, Gérald Darmanin, soulignait que "nous continuons à être aveugles, à surveiller des lignes téléphoniques normales que plus personne n'utilise". Voici ce que l'on sait de cette disposition et toutes les questions qu'elle soulève.  

Que signifie "surveillance par algorithme"? 

Le principe de la surveillance par algorithme consiste à faire analyser, de façon automatique et systématique, les métadonnées de certaines communications et programmer la recherche "d'un terme, un critère, sur ces échanges pour, s'il y a une correspondance avec ce que l'on piste, le faire remonter", détaille l'avocat spécialiste des questions numériques Alexandre Archambault. 

"Cette technique vise à détecter des individus inconnus, à partir de leurs échanges sur internet, à partir des données de connexions et à partir des mises en relations. Cette nouvelle technique concerne par exemple un individu qui entre en relation avec une zone sensible ou avec une personne déjà connue des services de police", a précisé Laurent Nuñez, coordonnateur national du renseignement et de la lutte contre le terrorisme, invité lundi matin de France Inter.

Comment ça fonctionne ? 

"Cette surveillance est possible aujourd'hui sur les données de connexions pour la lutte antiterroriste", ajoute Bastien Le Querrec, juriste à la Quadrature du net. "On vient imposer à un opérateur une sonde sur son réseau qui vient regarder les données de connexions, c'est-à-dire ce qui entoure la communication, à l'exclusion de son contenu". On parle là d'adresses IP, de numéros appelés, de géolocalisation à partir du bornage. 

"Jusqu'à présent, les algorithmes pouvaient analyser les noms de domaines consultés (franceinter.fr, google.com, laposte.net, etc.). Demain, les services de renseignement veulent analyser l'URL complète, à savoir le nom très précis de la page consultée."

Depuis quand ce dispositif est-il utilisée en France ? 

Cette technique, imaginée après les attentats de 2015, inscrite dans la loi relative au renseignement et souvent évoquée sous le terme "boîtes noires", est expérimentée depuis 2017 avec "trois algorithmes", d'après Laurent Nuñez. Ces algorithmes sont censés permettre de détecter des indices utiles dans la lutte antiterroriste. Si ces "boîtes" ne sont pas censées lire le contenu d'une communication, elles analysent tout ce qui l'entoure (localisation, date et heure, moyen de connexion, etc.) Aujourd'hui, le gouvernement demande à ce qu'elles soient pérennisées et améliorées. 

Pourquoi le sujet arrive-t-il maintenant sur la table ?

Bien que sa présentation soit intervenue cinq jours après l'assassinat d'une fonctionnaire de police à Rambouillet, "ce n'est pas un texte de circonstance", a insisté le Premier ministre Jean Castex mercredi. Le gouvernement prépare depuis plusieurs mois ce projet visant à actualiser les lois encadrant la lutte antiterroriste de 2017 et le renseignement de 2015, comme il y était tenu par une "clause de revoyure" après la pérennisation de plusieurs mesures de l'état d'urgence dans le droit commun il y a quatre ans.

Mais cela intervient, dans un contexte très particulier, précise Bastien Le Querrec : "Il faudrait croire Darmanin sur parole, mais ce projet de loi arrive une semaine après que le Conseil d'État [dans une décision contentieuse du 21 avril, NDLR] a refusé d'appliquer la jurisprudence de la Cour de justice de l'Union européenne qui sanctionnait en octobre 2020 très sévèrement les 'boîtes noires' et les estimant contraires aux droits fondamentaux, à la vie privée, à la liberté d'expression et ne les rendait possible que dans des situations très extrêmes et limitées dans le temps."

Qui est visé par cette surveillance ?

Le recours aux algorithmes, d'après le ministère de l'Intérieur, permettra par exemple de déclencher une alerte si un individu consulte dans la même journée plusieurs sites djihadistes ou des vidéos de décapitation du groupe État islamique. L'anonymat de la personne suspectée pourra dans ce cas être levé, après autorisation du Premier ministre, mais aussi de la justice administrative, les services de renseignement prenant alors le relais avec des méthodes plus classiques de surveillance.

Pourquoi est-elle nécessaire, selon le gouvernement ?

Gérald Darmanin fait le constat que "les terroristes ont changé leur façon de communiquer". D'après le ministre de l'Intérieur, ils passent désormais "totalement par Internet, par les messageries cryptées et les réseaux sociaux (...) et nous continuons à être aveugles, puisque nous continuons à surveiller des lignes téléphoniques normales que plus personne n’utilise" :

"Si une personne se connecte et regarde plusieurs fois des vidéos de décapitation sur Internet, nous ne le savons pas et nous ne pouvons pas le savoir."

Que prévoit le texte ?

Le texte, porté par les ministres Gérald Darmanin (Intérieur) et Eric Dupond-Moretti (Justice) est présenté en deux temps : une première partie ce mercredi sur le terrorisme, et une deuxième le 12 mai, portant davantage sur le renseignement et la question très contestée des algorithmes. 

"Nous appliquons à Internet ce que nous appliquons au téléphone", a expliqué le ministre de l'Intérieur sur France Inter mercredi. La principale modification, par rapport à ce qui est déjà en place, est l'extension de cette surveillance aux "URL" des sites internet. "Avec la nouvelle loi, nous connaîtrons ces connexions, le fait que quelqu’un a fait des recherches, nous aurons un signalement anonyme. Puis le chef de la DGSI demandera l’autorisation au ministre de l’Intérieur, au Premier ministre et à la Commission nationale des services de renseignements pour savoir si l’on peut lever l’anonymisation." 

Est-ce une méthode efficace ? 

Jusqu'à présent, on n'en savait pas grand chose. Mais mercredi matin, sur France Inter, le ministre de l'Intérieur a précisé que "depuis 2017, 35 attentats ont été déjoués sur le territoire national, dont deux grâce à des traces numériques"

Mais on se base sur le seul "espoir de repérer quelque chose", note Bastien Le Querrec, de la Quadrature du net. "Ça relève vraiment de la croyance que, en traitant plus de données avec une machine, on sera meilleurs qu'une surveillance ciblée avec un humain", poursuit-il, soulignant que l'usage de ces algorithmes "est couvert par un secret-défense très important".

Est-ce effectif sur le plan technique ?

Ce n'est pas si simple. Il y a plusieurs barrières qui font de cette disposition une mesure d'affichage, estime l'avocat Alexandre Archambault. Il y a par exemple une limite technique : "Les algorithmes ne sont opérants que sur du trafic qui est en 'clair'. Or actuellement, plus de 80% du trafic est chiffré [avec le protocole 'https', NDLR]. Donc tout ce qu'on peut voir, c'est que vous êtes connectés à Facebook ou Youtube, mais le détail, on ne le sait pas."

"C'est une barrière très importante ; mais les services de renseignements, à l'origine de cette demande, voient très probablement un intérêt opérationnel à cette requête. On peut supposer que certaines cibles, certains sites, n'utilisent pas ces techniques et permettraient une analyse complète des URL", note Bastien Le Querrec. "Mais quand Gérald Darmanin dit que ça permettra de voir quelle vidéo a été visionnée, c'est faux. À moins qu'il y ait des attaques informatiques pour casser la couche cryptographique. C'est rare, mais ça a existé, la NSA avait utilisé une faille il y a plusieurs années", poursuit le juriste de la Quadrature du net. 

"Ça ne peut marcher que sur Copains d'avant !"

Ça l'est encore plus lorsqu'on évoque les applications de discussion chiffrées de bout en bout (WhatsApp, Telegram, Signal, etc.) ou diverses techniques de détournement, parfois même implémentés directement dans les navigateurs. "Concrètement, si on veut savoir ce que vous faites sur Facebook, il faut mettre l'algorithme sur Facebook et ainsi de suite. Sauf que les algorithmes ne peuvent être mis en place que par des structures habilitées, avec des systèmes d'informations homologués et depuis le territoire national. Autrement dit, ça ne peut marcher que sur Copains d'avant", ironise l'avocat.

Les plateformes pourraient-elles ouvrir des "failles" pour ce système ?

"Nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive", a assuré Gérald Darmanin mercredi matin. Mais cette solution de la "porte dérobée" (backdoor) n'est pas satisfaisante, constitue un fort risque de sécurité pour les utilisateurs et, du reste, est systématiquement refusée par les géants d'Internet, comme le souligne Numerama. "Il n'existe pas de porte dérobée réservée aux gentils", résumait en 2020 le PDG d'Apple, Tim Cook. 

"Ce sont des sociétés de droit privé, et la France représente seulement 1 ou 2% de leurs utilisateurs. Elles n'ont jamais cédé devant leurs autorités nationales et ne vont certainement pas céder devant un ministre français", ajoute par ailleurs Alexandre Archambault.  

Quels risques représente cet usage des algorithmes ? 

Les algorithmes sont "très doués pour identifier une information dans une masse d'information" mais ne savent pas non plus "remettre dans le contexte, dire si c'est un méchant ou un gentil". Cela "inverse le paradigme", note Alexandre Archambault : 

"Ce sera à vous de prouver que vous n'avez rien fait de répréhensible en ligne, pas l'inverse."

"Il ne s'agit plus de surveiller ce qui entoure une communication mais le contenu même de cette communication. Analyser le contenu même des URL, c'est potentiellement les mots clés tapés dans un moteur de recherche. Regarder quels articles d'un site sont consultés et à quelle fréquence. Des aspects qui, aujourd'hui, sont techniquement traités mais ignorés, en théorie, parce que la loi ne les autorise pas", estime Bastien Le Querrec. 

Quelles sont les garanties apportées par le gouvernement ?

Le ministre de l'Intérieur a précisé que l'usage de ces algorithmes restera complètement "anonyme" tant qu'un comportement suspect n'aura pas été repéré. Si l'un venait à être signalé, "le chef de la DGSI demandera l’autorisation au ministre de l’Intérieur, au Premier ministre et à la Commission nationale des services de renseignements pour savoir si l’on peut lever l’anonymisation", assure Gérald Darmanin, qui explique attendre notamment "le retour définitif du Conseil d'État". Le gouvernement prévoit aussi de renforcer le "contrôle parlementaire"

"La délégation parlementaire au renseignement, où sont présentes l’opposition et la majorité, a eu connaissance de tous les éléments, au compte-rendu de l’expérimentation de l’algorithme, et nous aurons un débat parlementaire passionnant, parce qu’il s’agit à la fois de la protection des Français et de la protection des libertés publiques", a poursuivi le ministre mercredi matin. Pour garantir ces libertés individuelles, Laurent Nuñez expliquait aussi lundi que "le dispositif est réservé à la lutte antiterroriste, les paramètres de détection sont définis à l'avance et que la détection est anonyme".

Y'a-t-il donc un danger pour nos libertés individuelles ?

Oui, assurent nos deux experts. "On met en place un outil dont on peut élargir, un jour ou l'autre, la finalité", souligne d'abord l'avocat Alexandre Archambault, qui plaide pour une action européenne avec "un socle minimum d'exigence" pour éviter les dérives. "On parle de prendre comme principe que tout le monde est suspect, qu'il y a des menaces non détectées et qu'on surveille tout ce qu'il passe pour éventuellement trouver quelque chose", alerte Bastien Le Querrec, de la Quadrature du net. "En plus, personne ne peut s'y opposer !"

"La fin ne doit pas justifier les moyens."

"Tout est opaque, sur la manière de fonctionner, qui fabrique ces algorithmes, où ils sont mis en place, combien de temps, leurs résultats", regrette ce dernier. "La fin ne doit pas justifier les moyens ; on ne peut pas mettre en place, dans une démocratie, une surveillance de masse pour lutter contre le terrorisme. Cette surveillance est possible mais doit être contrôlée, ciblée." 

Gérald Darmanin a évoqué un projet humain, technologique et éthique, mercredi en sortie du Conseil des ministres. Mais "ce n'est pas humain parce qu'on parle d'analyses automatisées avec des algorithmes et il n'est pas éthique parce que c'est un refus drastique de protéger les droits et les libertés fondamentaux", juge Bastien Le Querrec. "Il ne reste plus que le technologique ; on part du principe que la technologie va aider le renseignement, une croyance jusqu'à présent qui n'a pas du tout été démontrée." 

Ce contenu n'est pas ouvert aux commentaires.