bUg <BR>Oth3r | Sécurité | vie privée | RE:vue de web |     | vie-privee.org | Big Brother Awards France | RenseignementsGeneraux.net
Fichier extrait de la mémoire cache de Bb) et -donc- des archives de bUg<BR>Oth3r, et +- nettoyé pour impression par rapport à sa VO sise à http://news.zdnet.fr/cgi-bin/fr/printer_friendly.cgi?id=2110430 le 21 mai 2002 (la page a peut-être été modifiée depuis).

Bb) n'est ni affilié aux auteurs de cette page ni responsable de son contenu.

Loin des capitales, le G8 se mobilise pour traquer les communications
Dixit : Question cruciale, puisque la présomption d’innocence et les valeurs démocratiques exigent logiquement que ce type de surveillance exploratoire a priori soit proscrite.

ZDNet - Actualité - Loin des capitales, le G8 se mobilise pour traquer les communications

Loin des capitales, le G8 se mobilise pour traquer les communications

Jerome Thorel

Mont-Tremblant, à une centaine de kilomètres sur les hauteurs de Montréal
au Québec, met en avant ses pistes de snow-board, ses huit superbes
parcours de golf et son «télécabine panoramique»...

C'est aussi pour son caractère de station retranchée que cette petite
bourgade canadienne a été choisie par les membres du G8, le club des pays
les plus puissants de la planète, pour réunir les 13 et 14 mai leurs
ministres de l'Intérieur et de la Justice. Cela aurait pu être l'occasion
d'un baptême du feu diplomatique pour MM. Sarkozy et Perben, nommés
respectivement ministre de «l'Intérieur et de la sécurité intérieure» et
garde des Sceaux dans le gouvernement de Jean-Pierre Raffarin. Mais lundi
et mardi dernier, ils ont dû se faire représenter à Mont-Tremblant par
des hauts fonctionnaires, comme nous l'a confirmé l'un des ministère
concerné.

Les principes démocratiques sont en jeu

Derrière l'anecdote de calendrier, se profile une subtile guerre
d'influence touchant aux moyens de télécommunications. Il est question de
surveillance préventive des informations de connexion (voix ou données)
que laisse tout usager sur le moindre réseau de communication (fixe ou
mobile). Un débat rélancé par les attentats du 11 septembre aux
États-Unis: les responsables internationaux de la police et de la
sécurité insistent sur la nécessité de collecter à l'avance (avant toute
constatation d'infraction) tous les "logs" de connexion d'un abonné, afin
de pouvoir retracer plus tard ses agissements. Question cruciale, puisque
la présomption d'innocence et les valeurs démocratiques exigent
logiquement que ce type de surveillance exploratoire a priori soit
proscrite.

Dans leur compte rendu public diffusé cette semaine à l'issue de leur
réunion de Mont-Tremblant, les ministres du G8 se déclarent «très
heureux» d'approuver un document en gestation depuis 1999:
«Recommandations sur le dépistage des communications électroniques
transfrontalières dans le cadre des enquêtes sur les activités
criminelles et terroristes» (document html en français). Avec pour
objectif d'aider «nos organismes de police et de sécurité nationale à
localiser et identifier rapidement les criminels et les terroristes qui
se servent des réseaux de communication internationaux à des fins
illicites».

Retrouver la trace de toute communication...

«Les événements tragiques du 11 septembre 2001 ont rendu ce travail
encore plus urgent», notent les ministres en préambule. «Les terroristes
peuvent utiliser le courriel, les sites internet, les téléphones
portables et d'autres technologies de communication en développement,
afin de faire des plans et de transférer l'information sur plusieurs
continents de façon à les rendre difficiles, sinon impossibles, à
dépister. On ne doit pas permettre aux terroristes de tirer profit de la
modernisation et de la mondialisation des communications.»

S'ensuit dix mesures concrètes pour y parvenir. Pour être en mesure de
dépister les communications, «il est impératif de disposer de données
d'achalandage», c'est-à-dire les fameux "logs" reconstituant le parcours
d'une personne sur les réseaux. Il faut donc «assurer la préservation
expéditive des données d'achalandage existantes relatives à une
communication particulière, qu'elles aient été transmises par un ou
plusieurs fournisseurs de services, ainsi que la divulgation rapide d'une
quantité suffisante de données d'achalandage pour permettre
l'identification des fournisseurs de services et du chemin par lequel la
communication a été transmise, à la suite de l'exécution d'un ordre
judiciaire ou autre national que la loi intérieure permet.» Plus loin, un
autre point recommande de «promouvoir une architecture de réseau qui
améliore la sécurité et permette, dans les cas appropriés, de dépister
les usages abusifs du réseau tout en tenant compte de la vie privée de
ses utilisateurs».

Une liste exhaustive pour traquer le trafic internet

Un autre document dresse une liste de données techniques à prendre en
compte pour les réseaux IP. D'abord celles du «système d'accès au réseau»
(SAR, le point d'entrée) - «date et heure de connexion, ID utilisateur,
adresse IP assignée, adresse IP du SAR, nombre d'octets transmis et
reçus, identification de la ligne appelante». Puis spécifiquement, le
«serveur de courriel» (journal SMTP) est concerné surtout pour repérer
«message-ID (msgid), expéditeur (login@domain), destinataire
(login@domain), (...) adresse IP du client connecté au serveur, ID
utilisateur, dans certains cas, renseignements sur le courriel récupéré».

Mêmes requêtes pour les protocoles suivants: «serveurs de téléchargement»
(FTP), avec «chemin et nom de fichier des données téléchargées vers
l'amont ou l'aval»; serveurs web, avec «journal http, adresse IP de la
source (...), dernière page visitée»; les newsgroups Usenet, «ID du
processus, message-ID du message livré (...)»; et enfin les «services de
bavardage internet», les forums de chat comme l'IRC, avec «durée de la
séance, surnom utilisé pendant la connexion IRC, nom d'hôte ou adresse IP
ou les deux».

Cete liste fait figure de petit vade-mecum pour les forces de l'ordre. Et
pas seulement celles du G8, car son influence est bien plus large en
matière de cybercriminalité. En effet, le "Groupe des 8" a ouvert depuis
plusieurs années un «réseau international de contacts disponibles 24
heures sur 24 pour faire échec à la criminalité en haute technologie».
«Depuis le 11 septembre, le G8 a grossi de façon significative [ce]
réseau (...) qui, à l'origine, comptait 16 États participants et en
comprend aujourd'hui 26», notent les délégués à l'issue de leur réunion
canadienne.

Conflit en Europe, attente des décrets LSQ en France

Les pays de l'Union européenne sont en première ligne pour tenter
d'appliquer, en force, ce principe de «rétention préventive» des données
identifiant l'abonné et ses parcours réticulaires. Le Parlement européen
et le Conseil des ministres sont toujours farouchement opposés sur cette
question. À Strasbourg le 18 avril dernier, la commission parlementaire
des Libertés du citoyen a une nouvelle fois approuvé le principe du
«droit à l'oubli», dans une directive en cours de révision (protection
des données dans les télécommunications). Il y est établi que «toute
forme de surveillance électronique générale ou exploratoire pratiquée à
grande échelle est interdite».

Mais de leur côté, les gouvernements et leurs hauts fonctionnaires de la
sécurité et du renseignemlent restent campés sur leurs positions
(résumées dans notre article du 13/12/2001): cet amendement est abusif,
disent-ils. Cette directive ne couvre pas les compétences dites du "3e
pillier" (justice, défense et sécurité), et ne peut donc pas empêcher les
États de prendre de telles mesures, dans le respect des conventions
internationales sur les droits de l'homme. Le Parlement dans son
ensemble, qui avait déjà rejetté, à la majorité, la formulation du
Conseil le 13 novembre derneir, doit passer au vote en deuxième lecture
le 29 mai prochain. Les pendules ne sont pas prêtes d'être à l'heure...

En tous cas, le listing des données à conserver élaborée par le G8,
approuvé donc par la France, devrait ressembler à celui que doit contenir
l'un des décrets d'application de la loi sécurité quotidienne du
15 novembre 2001. La LSQ ordonne déjà aux prestataires de conserver
pendant un an les données de connexion (article 29). Selon nos
informations, les "arbitrages" interministériels sur ce décret très
attendu n'auraient pas été effectués avant le premier tour de la
présidentielle. Ce qui retarderait d'autant sa publication après les
législatives.

Jusqu'à aujourd'hui, seulement une demi-douzaine de décrets relatifs à la
LSQ sont parus, mais très peu concernant certaines dispositions liées à
l'informatique.
Copyright (c) 2001 ZDNet France. Tous droits réservés. ZDNet France et le logo de ZDNet France sont des marques déposées par ZDNet.