Interceptionsbulletin lambda 3.02
Interceptions et chiffrement : les grandes
oreilles dépassent les frontières
1. L'Europe
harmonise ses tables d'écoute --> lien direct vers le
rapport de Statewatch
2. L'OCDE et les dangers des
tiers de confiance
Court-circuits:
USA: La Cour Suprême se donne 3 mois pour
juger le CDA
France: Votre numéro de Sécu intéresse
le Fisc
Si la politique internationale en matière d'"accès légal" aux communications privées n'est pas encore arrêtée (lire plus loin), les dispositifs techniques pour s'engager dans des interceptions globales sont en préparation. Les 15 états de l'Union Européenne vont harmoniser leurs capacités d'écoute électroniques, avec l'accord précieux des États-Unis.
"Les possibilités d'interception des télécommunications deviennent de plus en plus menacées", il faut s'engager vers des "standards d'écoutes internationaux", peut-on lire dans une des notes révélées le 27 février par l'organisation britannique StateWatch, extraite d'un mémoire d'entente signé par les 15 gouvernements de l'UE en janvier 95, mais publiée seulement le 4 novembre 96 (JOE c-329, p.1-6).
Objectif : mettre sur pied la réglementation adéquate pour harmoniser les systèmes d'écoutes téléphoniques et informatiques - voix, textes, données -, en assurant une compatibilité des procédures entre les pays. Les états sont soucieux de mieux surveiller les nouveaux réseaux, de l'Internet aux futurs services télécoms via des satellites en basse orbite (Iridium, Teledesic, etc.). Un document de novembre 93 appelait déjà à la coopération avec le FBI américain, et d'autres pays (canada, Australie, Nouvelle-Zélande, Norvège, etc.)
Les documents confidentiels viennent pour la plupart du conseil européen des ministres de l'intérieur et de la justice (CMJI), mis en place après Maastricht avec le comité k4 (police, entente judiciaire et immigration). Chaque force nationale de police pourra écouter une conversation ayant lieu ailleurs en Europe-et plus tard dans le monde.
En France, les opérateurs GSM ont déjà été informé de leur obligation d'adapter leur réseaux à ces écoutes. Un des projets satellitaires privés a déjà exprimé ses réticences à se conformer à ces règles, peut-on lire dans une des notes. La question est de savoir qui va payer pour l'adaptation des réseaux. Personne ne sait. L'Allemagne l'a déjà chiffré, pour son téléphone mobile, à environ 15 milliards de francs.
Ce croisement des réseaux, extension des lois nationales, même s'il est destiné à lutter contre le crime organisé, mérite un contre-pouvoir législatif, pour l'instant bien absent, note Tony Bunyan de StateWatch. Les 15 pays disent qu'ils se conformeront au droit du respect de la correspondance. Mais comment exercer un contrôle démocratique sur un tel dispositif, pour éviter les écoutes sauvages? Sébastien Canevet, juriste et membre de l'association Citadel, affirme que cette "entente" n'a aucune valeur juridique, "c'est juste un acte politique", qui devra être intégré dans les lois nationales. Reste qu'à l'avenir, note StateWatch, la complémentarité est recherchée avec le réseau de surveillance ECHELON, mis en place par la NSA américaine avec ses alliées (Royaume-Uni, canada, Australie et nouvelle Zélande), déjà utilisé pour traquer courriers électroniques, fax, télex ou appels satellites.
Exemple des procédures réclamées aux opérateurs:
- "faciliter l'accès à la totalité des télécommunications transmises";
- donner accès à toutes les "données associées", signaux de "post-connexion" (transferts d'appels, etc.), liste des numéros appelées et appelants - même en cas de d'absence de réponse de l'interlocuteur (!);
- fournir l'équipement de surveillance du trafic, pour localiser l'abonné (mobile) Et faciliter l'interception d'un même appel "par une ou plusieurs forces de police".
- garder les clés de tout système de chiffrement intégré ou non au réseau fourni;
- s'assurer que "ni la cible de l'interception ni aucune autre personne [non-]autorisée ne soit au courant des changements effectués pour établir l'ordre d'interception (...)"; garder le secret sur "comment et combien d'interceptions sont ou ont été commandées", et sur "comment ces interceptions ont été menées".
Source : "Mémoire d'entente sur l'interception légale des télécommunications", doc. Enfopol 112, 10037/95, 25 nov. 95. Contient la résolution du 18 janvier 95.
Lisez le rapport complet de Statewatch, les extraits des documents et la chronologie de cette entente, archivées (en anglais) sur le site du bulletin lambdaavec l'accord de StateWatch.
L'organisation économique a donc rendu sa copie, ses "lignes directrices sur
la cryptographie", archivées sur son site web en deux
langues.
L'EPIC, organisation américaine de défense des libertés, semble se satisfaire de ce document, quoique nécessairement insipide et doté d'engagements que seuls les États souverains apprécieront de s'y conformer ou pas. Sur le principe de "l'accès légal" aux textes chiffrés, par l'intermédiaire de la procédure dite des tierces parties de confiance (TCP, ou "key escrow"), l'OCDE n'a pas recommandé explicitement aux États d'établir un tel régime qui voudrait que les clés secrètes de chacun soient gardés en mémoire à des fins légales. Pour l'EPIC, c'est le "rejet du principe de key escrow". "Les USA cherchaient à faire endosser par les gouvernements [de l'OCDE] le principe d'accès aux clés secrètes. Les pré-rapports de ces lignes directrices incluaient cette recommandation. La version finale ne l'a pas retenu. Les pays de l'OCDE ont rejeté cette approche."
Approche, faut-il le rappeler, partagée avec insistance par la France, et le Royaume-Uni dans une autre mesure. Le ministre de la technologie (DTI) a ainsi pris position officiellement pour la création d'un régime de TTP, où, comme l'a affirmé le cryptographe Ross Anderson, il sera obligatoire de se faire "licencier" par le gouvernement : "la principale condition est bien sûr que les clés devront être récupérables, et délivrées à la demande à un centre de dépôt centralisé dans l'heure." (lire le texte officiel des propositions du DTI).
Si l'administration Clinton a donc échoué à faire avaliser par des pays tiers ce système de "confidentialité sous conditions", elle a relancé l'idée d'une loi qui obligerait son application sur le sol national. Appelée "Electronic Data Security Act of 1997", la loi mettrait en place des "autorités de certifications" comme point d'entrée d'un réseau de "key escrow".
Les dispositions de l'OCDE vont dans le sens des pays nordiques, qui n'ont jamais considéré la cryptographie comme un enjeu de sécurité nationale. Les promoteurs du Nordic Post Security Service (Danemark, Finlande, Norvège et Suède), un système de courrier universel sécurisé (système à clés publiques, taille de clé de 1024 bits, autant dire inviolable), sera géré par un serveur de clés publiques. Mais la clé privé restera sur la carte, sans obligation de la déposer chez un TTP.
------ quelques extraits des lignes de l'OCDE -------
5. Protection de la vie privée et des données a caractère personnel
"Les droits fondamentaux des individus au respect de leur vie privée, notamment au secret des communications et a la protection des données de caractère personnel, devraient être respectes dans les politiques nationales a l'égard de la cryptographie et dans la mise en oeuvre et l'utilisation des méthodes cryptographiques."
6. Accès légal
C'est ce chapitre qui reconnaît à chaque État le droit de légiférer ou non sur le régime des TTP. Mais l'OCDE, fait nouveau, cherche à prévenir l'utilisation abusive de cette gestion des clés, qui auraient des effets dévastateurs sur les libertés publiques.
"Les politiques nationales à l'égard de la cryptographie peuvent autoriser l'accès légal au texte en clair ou aux clés cryptographiques de données chiffrées. (...) lorsqu'ils envisagent des politiques relatives à des méthodes cryptographiques permettant un accès légal, les gouvernements devraient évaluer avec soin les avantages -- notamment en ce qui concerne la sécurité publique, le respect des lois et la sécurité nationale -- mais aussi les risques d'utilisation abusive (...)".
Règles à retenir pour les TTP:
"La responsabilité des utilisateurs en cas d'utilisation abusive de leurs propres clés devrait également être clairement énoncée. La responsabilité d'un détenteur de clés ne devrait pas pouvoir être engagée en cas de mise à disposition des clés ou du texte en clair des données chiffrées conformément à l'accès légal. La responsabilité de la partie qui obtient l'accès légal devrait pouvoir être engagée en cas d'utilisation abusive des clés cryptographiques ou du texte en clair qu'elle a obtenu."
8. Coopération internationale
L'OCDE rejette tout de même les législations nationales qui auraient des effets protectionnistes. Le pré-décret français est sur ce point problématique (voir lambda 3.01). Demande est faite aux États:
"... De veiller à la levée, ou d'éviter de créer au nom de la politique de cryptographie, des obstacles injustifiés au commerce international et au développement des réseaux ... de communication".
Pour un bon développement des réseaux, "les politiques cryptographiques adoptées par un pays devraient être coordonnées autant que possible avec les politiques analogues adoptées par les autres pays. (...) aucun gouvernement ne devrait empêcher la libre circulation de données chiffrées qui traversent sa juridiction du simple fait de sa politique de cryptographie."
Confrontée pour la première fois à juger de la liberté d'expression sur les réseaux en ligne, les neuf sages de la Cour Suprême américaine devraient rendre leur décision courant juin. Enjeu : la constitutionnalité du Communication Decency Act, loi votée par le congrès et signée par clinton en février 96 -- une cour fédérale l'a déjà jugé contraire au 1er amendement. La cour a entendu les arguments des deux parties - le ministère de la justice d'un côté, des organisations citoyennes comme l'ACLU de l'autre. Un des juges a redouté que le CDA ne risque d'envoyer en prison quiconque pour un simple appel téléphonique. Un autre a justifié le contrôle par le risque de voir les enfants confrontés à la pornographie.
Le gouvernement a adopté mercredi 2 avril une série de dispositions qui mettent en péril les acquis juridiques en matière d'informatiques et de libertés. Affaire assez grave pour que la vice-présidente de la CNIL, Louise Cadoux, s'y oppose fortement. A des fins de lutte contre la fraude aux allocations sociales, l'État veut autoriser l'interconnexion des fichiers entre sécu et fisc, par l'intermédiaire du NIR (le numéro de sécu), alors que cette donnée personnelle a toujours été jugée trop sensible. En 1974, le projet safari avait des buts similaires mais avait échoué.
En novembre 1996, le Canard Enchaîné a révélé comment un rapport du conseil d'État préconisait ce type d'interconnexion, ressortant du chapeau le fantôme de Safari. Après de longs démentis et l'assurance que la CNIL garderait l'essentiel de ses compétences en matière de fichiers et de libertés, c'est donc en douce que le ministère du travail tente de faire passer cette disposition.
Coincé dans un projet de loi du ministère du Travail sur diverses mesures d'ordres économiques et financières, le chapitre "Amélioration du contrôle des droits aux prestations et de l'assiette des cotisations" étend la capacité des services de l'etat pour traquer l'individu, sous couvert de "lutte contre la fraude" de bénéficiaires d'aides sociales.
Des associations (AFCET, AILF, CREIS, et la Ligue des droits de l'homme) tentent maintenant de convaincre les parlementaires de s'opposer au projet de loi. Le NIR n'est pas simplement un "identifiant" mais un "signifiant", et sa portée sur les libertés individuelles est l'une des plus imposantes parmi les pays développés. "Acte déloyal, liberticide, lâche et masqué de la part du gouvernement", a dit Alain Weber pour la LDH. "Il faut empêcher une interconnexion sauvage sans garantie pour les libertés". De plus, l'objet de la mesure - fraude au RMI, à l'aide au logement ou aux allocs - pèsera en priorité sur les individus les plus démunis.
Réactions