lambda 7.03
June, 2001
Jerome Thorel, Paris
mise à jour 29 juin 2001

sommaire

+ Court-circuits: Bugnosis + Videomafia + Carnivored + FBI
 
+ Enfopol refait surface

+ Cryptez, vous êtes suspects

+ Echelon spotted by European Parliament (links)
 
 

Court-circuits

1

http://www.bugnosis.org/

La Privacy Foundation vient de sortir son patch anti-webbugs
(Windows PC - IE-5.0 browser)


2 http://emedia.free.fr/videosurv.html

 

La vidéosurveillance est au 3/4... illégale

Qui aurait parié, il y a seulement quelques années, que la vidéosurveillance crèverait les taux d'audience à la télé ? ... Selon les statistiques du ministère de l'Intérieur, les 150 entreprises qui se partagent le marché français, dont le chiffre d'affaires est estimé à 2 milliards de francs, auraient vendu plus d'un million de caméras de vidéosurveillance. ... Au bas mot, ce sont donc plus de 100.000 systèmes, au moins, qui fonctionneraient en toute illégalité, et qui donc encourent une peine de 300.000 francs d'amende. (...) Pour Alain Bauer, consultant réputé pour avoir contribué au développement de la vidéosurveillance en France, "la véritable interrogation sur le sujet c'est : pourquoi l'État ne fait pas fermer les installations illégales ? ".

transfert net, juin 2001



3 Carnivore grillé à l'image thermique

En 1992, Danny Lee Kyllo est interpellé à son domicile par la police de l'Oregon pour détention de marijuana. La Cour suprême vient de donner raison à Kyllo, qui dénonçait les méthodes d'investigation: une caméra thermique par hélicoptère, utilisé avant la perquisition "pour détecter les rayons infrarouges des lampes utilisées habituellement pour faire pousser de la marijuana" (EPIC). La Cour a jugé - à 5 contre 4 - que ces images capturées en dehors de la perquisition (sans mandat) était contraire à la Constitution.

Le 14 juin, le leader républicain de la Chambre Dick Armey (R-TX) s'est servi de ce jugement pour dénoncer Carnivore (renommé DCS), le sniffer de comptes internet du FBI qui peut aussi laisser douter que "le citoyen ne verra pas ses communications électroniques placées sous surveillance sans le mandat spécifique d'un juge".
 

+ EPIC Alert newsletter, June 15, 2001. "Supreme Court Rules on Thermal Imaging Case"
http://www.epic.org/alert/EPIC_Alert_8.11.html

+ Kyllo v. United States, No. 99-8508:
http://www.supremecourtus.gov/opinions/00pdf/99-8508.pdf

June 14 Letter from House Majority Leader Armey to Attorney General Ashcroft regarding Carnivore (DCS-1000):
http://www.freedom.gov/library/technology/ashcroftletter.asp

"Armey to Press Opposition to Net Wiretaps", By JOHN SCHWARTZ, The New York Times:
http://dailynews.yahoo.com/h/nyt/20010615/tc/
armey_to_press_opposition_to_net_wiretaps_1.html
 

chasse aux logs (4

Le FBI a renoncé à le 13 juin à perquisitionner les fichiers logs du site d'info indymedia.org géré par l'Independent Media Center (IMC) de Seattle, l'organe de presse indépendant monté en marge du sommet du G8 il y a deux ans. En avril dernier, en plein sommet des Amériques à Québec, Indymedia publie des documents (apparemment "volés") sur le dispositif policier.

"Le FBI prétendait que l'itinéraire des déplacements du président étasunien (nom de code POTUS) avait également été diffusé sur le site Web par un correspondant anonyme et on voulait établir son identité à l'aide du fichier journal des accès au serveur."

Chroniques de Cybérie, Montreal, 19 juin 2001.

Le FBI avait perquisitionné à l'IMC le lendemain de la "fuite". IMC a toujours refusé de confier ses précieux logs. Finalement les fédéraux ont retiré. leur demande de perquisition. De toutes façons, tout cela se déroule des semaines après l'arrestation des présumés coupables du vol des documents à Québec.

Seattle IMC : Government Drops Court Order as IMC Prepares Legal Challenge
http://seattle.indymedia.org/front.php3?article_id=3962


 
 

ENFOPOL refait surface

- préambule -



 

" Evidence obtained with the aid of Internet traffic data

" The following example shows how traffic data can be used in an investigation into a classic crime. A woman had been found dead in the basement of her house. In her computer, numerous e-mails and some information on newsgroups were found. The content of these messages guided the police towards a person whom it was possible to identify thanks to the traffic data on the messages. However, no formal evidence made it possible to link the man to the crime. During a search at the man's home, investigators found other messages that appeared in the victim's computer. They also discovered some texts in the attacker's computer that showed how the crime had been premeditated. The man was sentenced to death. (...)"

De "ENFOPOL 71, ECO 316, REV 1 LIMITE - COUNCIL OF THE EUROPEAN UNION Brussels, 27 November 2000" (emphasis added)

http://www.statewatch.org/news/2001/apr/12855.1.00.htm


Paris, June 20, 2001. -- Cette curieuse apologie pour la peine mort apparaît dans un document "Limité" et codé "ENFOPOL 38", publié parmi d'autres courant mai par l'organisation britannique Statewatch. Déjà connu pour avoir révélé le lobbying forcené du FBI américain sur les pays de l'Union en matière d'écoutes en tout genre, Statewatch a diffusé une série de documents émanant de ce groupe de travail ENFOPOL (enforcement police), qui regroupe les experts des différents ministères de l'Intérieur et de la Justice des 15 pays de l'Union. Ces documents devaient être examinés en tête d'ordre du jour du Conseil des ministres Justice et des affaires intérieures (surnommé le "3e pilier" de l'UE), qui s'est réunit les 28 et 29 mai.

Statewatch et ses remous dans la presse ont retardé l'échéance : le lendemain on apprenait que les documents Enfopol sont resté dans la chemise des conseillers, pas de vagues. Il semble que ce soit l'Allemagne qui ait insisté pour reporter le vote de cette résolution.

Finalement, la proposition est passée le mois suivant, lors du Conseil des ministres des télécoms. Ses grandes lignes:

- Le lobby Enfopol réussit son examen de passage en imposa une "clause" autorisant le principe de la conservation des données de trafic de tout réseau télécom (IP, mobile, cable, radio, etc.) Une directive en cours de révision établit en effet comme principe de rendre anonyme toute trace de connexion après l'appel.

- Décision approuvée à l'unanimité par les 15 ministres des télécoms de l'Union (Conseil de l'UE du 27 juin, Luxembourg)

- Les gouvernements ont ignoré sans scrupules leurs propres représentants chargés de la protection des données. Dans une lettre du 7 juin adressée à la présidence suédoise, le Groupe de travail 'Article 29' de la Commission (les 15 "Data Commissioners") a rappelé que cette modification de la directive est liberticide, antidémocratique et contraire à l'article 8 de la Convention européenne des droits de l'homme:

La Commission européenne rcaint que cette exception ne devienne finalement la règle. Ele maintient toujours son opposition et espère que le Parlement défendra la version originale et préservera les citoyens européens de cette forme de surveillance "préventive".

 

+ Le communiqué diffusé à l'issue du Conseil du 27 juin (anglais)

+ Veille citoyenne de Statewatch:
http://www.statewatch.org/soseurope.htm

+ Sur la décision du 27 juin:
http://www.statewatch.org/news/2001/jun/07Bdata.htm
http://news.zdnet.fr/story/0,,s2090302,00.html

+ Nouveaux documents de travail Enfopol avant le Conseil du 27 juin:
http://www.statewatch.org/news/2001/jun/07retention.htm

+ La lettre de Sefano Rodota (anglais, Pdf):
http://www.statewatch.org/news/2001/jun/07Rodota.pdf

 

Mais à quoi sert Enfopol? Dans ce dossier, à limiter l'anonymat des connexions sur tous les nouveaux modes de communication (IP, GSM, GPRS, UMTS...). Un principe pourtant déjà inscrit dans la directive de 1997 sur la protection des données dans les télécoms. Directive actuellement révisée, et le groupe Enfopol tente de la recadrer pour avoir le droit de conserver les "données de connexion". Le tout sans contrôle judiciaire puisque la conservation est 'préventive'.

Combien de temps? Ce sera donc à chaque Etat de décider - à moins ce que le Parlement revienne sur la décision du Conseil du 27 juin.

Au Royaume-Uni, les experts du Home Office en liaison avec le renseignement ont déliré en évoquant l'idée de conserver certaines données pendant 7 ans. Les derniers documents déclassifiés par Statewatch (ENFOPOL 29", March 30, 2001) montrent qu'un consensus porte sur 12 mois minimum. C'est déjà le cas en Belgique, en France la LSI parle aussi de 12 mois, l'Espagne va suivre, aux Pays-Bas on penche pour 3 mois. C'est la cacophonie: le projet de traité international de lutte contre le cyber-crime (Conseil de l'Europe, assemblée de 43 pays du continent, plus des observateurs de choix, USA Canada Japon) évoque seulement 90 jours de conservation.

Mais de quelle données parle-t-on? Les détails sont flous, alors que c'est fondamental : les logs ou d'autres traces sur les machines peuvent en apprendre beaucoup plus sur le comportement d'un abonné que sa seule identité.

Même sous des couverts de renforcement de l'appareil judiciaire, ce recours à la surveillance systématique ("pour voir" à la préventive), est tout simplement contraire aux libertés fondamentales (voir avis des Data Commissioners plus bas).

Cela fait surtout mauvais genre pour les institutions européennes, au moment ou les députés bouclent leur travail de synthèse sur "le réseau d'interception Echelon" (lire plus bas). C'est comme si cette affaire Echelon était devenue une sorte d'écran de fumée un peu encombrant mais pratique, un épouvantail de la surveillance généralisée.

Difficile d'apprendre ensuite que le Conseil veuille établir comme principe de loi (une résolution), presque en douceur, des mesures expéditives (notamment la durée de 12 mois) allant contre l'avis des juristes chargés de faire respecter le respect des droits fondamentaux dans la société de l'information.

 

Le lobbying US continue

Pour remonter aux sources des documents Enfopol, il faut évoquer bien sûr l'influence des Etats-Unis. L'exemple cité en préambule sur la peine de mort est presque trop gros: les Etats-Unis et le Japon sont les seuls a autoriser la peine capitale dans leur système répressif, aucun pays au sein de l'UE. Un vilain copier/coller dans les papiers Enfopol?

Statewatch nous parle une nouvelle fois de l'influence d'un mystérieux groupe international, ILETS (International Law Enforcement Telecommunications Seminar), qui est devenu dans les années 90s une sorte de think-tank officieux monté par le FBI et les services de renseignement pour harmoniser la surveillance policière des réseaux dans le monde. Les travaux ILETS avaient inspiré la résolution du Conseil de l'UE de janvier 1995 qui sur les dispositifs d'écoute à respecter dans tous les protocoles. Duncan Campbell en parle souvent dans ses rapports sur les risques de type Echelon

L'un des récents "séminaires" ILETS, qui s'est tenu en Novembre 1999 (à Saint Cyr au Mont d'Or, près de Lyon) évoquait déjà la Directive 97/66 qu'il fallait réviser, notamment sur la question de l'effacement des données de connexion:

"All delegations (had to) consider options for improving the retention of data by Communications Service Providers".

ILETS demande se s'opposer au principe de la directive "qui oblige les opérateurs à effacer ou à rendre anonyme l'historique des données après chaque connexion"

+ Meeting ILETS
http://www.statewatch.org/news/2001/may/03Denfopol.htm

 

Anonymat, suspect en puissance

 

Cette paranoïa de l'anonymat, on la retrouve donc dans les documents Enfopol qui ont suivi. Surtout que la Commission européenne, le 12 juillet 2000, publie un draft révisé de la directive (traitement des données personnelles et protection de la vie privée dans les communications électroniques). Mais sans renoncer au principe d'effacement.

"ENFOPOL 71" (Nov. 27 2000):

"Various delegations (B/D/F/NL/S/UK) expressed misgivings about the implications of the Directive, in particular Article 6, where it is stated that "traffic data relating to subscribers and users processed for the purpose of the transmission of a communication and stored by the provider of a public communications network or service must be erased or made anonymous upon completion of the transmission."

"ENFOPOL 29" (March 30, 2001):

"Each operator is generally required to delete the traffic data or render them inaccessible at the end of each call (or at the latest when the time required for their commercial processing has elapsed). ... The issue of storing connection data therefore seems crucial. ...

"At present the issue of the storage of connection data and the length of that storage is clearly the weak link in the fight against cyber-crime. As witness, few countries have a legal requirement concerning the length of time connection data must be kept.

http://www.statewatch.org/news/2001/may/03Genfolpol.htm

 

Le document de novembre 2000 en vient même par évoquer le cas des cybercafés, refuge d'internautes anonymes et donc suspects en puissance, comme les bureaux de poste c'est bien connu. Récemment c'est la police de Bombay, en Inde, qui envisageait d'obliger les cybercafés à identifier leurs clients. Apparemment ca travaille aussi les experts Enfopol:

" Il est impératif qu'une solution soit trouvée aux problèmes soulevées par les formes variées d'anonymat sur le World Wide Web ; l'exemple le plus significatif étant les cybercafés, qui sont devenus la source d'un certain nombre de cas de fraude. "

Ce "document de travail" résulte de la compilation des réponses, non circonstanciées, que les États membres ont données à un vaste questionnaire. Élaboré sous la présidence française (de juillet à fin décembre 2000), ce questionnaire a été distribué aux experts Enfopol le 28 novembre 2001. Or six mois plus tard, comme le résume Statewatch, "ni la France ni le Royaume Uni (...) n'ont pu fournir la moindre statistique sur l'étendue exacte des crimes liés à l'informatique". Encore moins quand ceux-ci sont perpétrés à partir de cybercafés.

 

Les Data Commissioners soigneusement écartés

 

Un autre groupe de travail des instances de l'UE, rattachée à la Commission, n'est pas du tout sur la même longueur d'ondes que la ligne Enfopol.

Ce groupe dit 'Article 29' (Data Protection Working Party) est composé des 15 agences de protection des données, les Data Commissioners (DC). Le 22 mars 2001 dans leur commentaire sur le traité cyber-crime, les données de connexion étaient plus que jamais au menu:

Le groupe de travail note avec satisfaction que, contrairement aux versions antérieures, la version actuelle de la convention (version n° 25) ne prévoit plus une obligation de surveillance générale consistant à conserver systématiquement toutes les données relatives au trafic. (...) Les commissaires de l'UE pour la protection des données se sont également prononcés résolument contre cette mesure lors de la conférence de Stockholm au printemps 2000.

Ils ont adopté une résolution indiquant qu'ils "sont préoccupés par les propositions émises qui obligeraient les ISP à conserver systématiquement les données relatives au trafic au-delà du temps nécessaire à leur facturation, et ce pour permettre à des organismes chargés de l'application des lois d'y accéder. La Conférence souligne qu'une telle rétention constituerait une violation inacceptable des droits fondamentaux garantis aux individus par l'article 8 de la convention européenne des droits de l'Homme. Dans les cas spécifiques où des données relatives au trafic doivent être conservées, il faudrait en prouver la nécessité, la période de rétention devrait être aussi brève que possible et cette pratique doit être clairement réglementée par la loi."

Conclusions (...)

Le groupe de travail estime donc nécessaire de clarifier le texte des articles figurant dans le projet de convention car leur formulation est souvent trop vague, confuse et pourrait ne pas suffire à étayer le droit et les mesures obligatoires correspondants visant à limiter légalement les droits et libertés fondamentaux. Les explications figurant dans l'exposé des motifs ne peuvent suppléer à la clarté juridique du texte lui-même. La plupart des dispositions incluses dans le projet de convention ont un impact important sur les droits fondamentaux à la protection de la vie privée et des données. ...

Le groupe de travail estime nécessaire de mieux fonder les mesures envisagées en termes de nécessité, d'adéquation et de proportionnalité, ainsi que l'exigent les instruments de protection des droits de l'Homme et des données.

+ English html
http://europa.eu.int/comm/internal_market/ en/dataprot/wpdocs/wp41en.htm

+ Français pdf
http://europa.eu.int/comm/internal_market/ en/dataprot/wpdocs/wp41fr.pdf


 

Prochaine étape, l'accès aux contenus?

 
La dernière mouture du projet de loi LSI en France, adopté par le gouvernement le 13 juin, tente de bien distinguer sur le type de connexion qui sera conservé 12 mois ou plus. Et dans quelle conditions?

"ces données ne pourront porter sur le contenu des correspondances ou des informations échangées."

Il s'agirait donc uniquement des logs de connexion permettant d'identifier un abonné, sans plus. Mais quid des données de trafic permettant de savoir qui parle à qui? Recouper les adresses IP avec les en-têtes des messages, techniquement c'est possible de récupérer ces données, sans toucher au "contenu" proprement dit.

 

Le Lambda a reconstitué une liste informelle des différents types de données de connexion en fonction de leur "pouvoir" d'intrusion dans la vie privée:

1) fichiers de logs destinés à identifier un compte (ie, adresse IP)
Data Commissioners >> 1 à 3 trois mois de conservation avant toute enquête judiciaire, mais sous conditions;

2) traces de navigations, listes des protocoles utilisés, voire historique des pages web visitées;
>> aucune conservation légitime sans mandat précis

3) données de trafic des messages privés, savoir qui parle à qui (champs "from" et "to" des messageries);
>> aucune conservation légitime sans mandat précis

4) contenu des correspondances privées (comme les propos échangés dans les salons de discussions en groupe);
>> aucune conservation légitime sans mandat précis et adapté aux écoutes, tout manquement serait une interception illégale contraire à la CEDH (article 8).

 

Dans son avis sur le projet de LSI, la CNIL met également les pendules à l'heure sur certains points.

 

Conclusions

 

On dirait que la CNIL a bien compris le message:

Le projet de loi n'a donc pas pour objet de rechercher un moyen de substitution à une technique qui ne serait pas applicable à Internet - l'interception est possible sur Internet - mais à étendre les possibilités dont devraient disposer les autorités publiques, en ajoutant aux moyens traditionnels dont elles disposent déjà (les interceptions de communication), des moyens nouveaux que la technologie et les protocoles de communication permettent de mettre en oeuvre (le rapprochement et l'analyse des données de connexion).

Imposer une obligation de conservation des données de connexion pendant 1 an, au motif que, jusqu'à présent et dans le silence de la loi, certains fournisseurs d'accès ne conservaient ces données que durant quelques jours pourrait paraître, sur le terrain des libertés individuelles et publiques, manquer de mesure.

 

Les autorités savent que sans toucher au contenu, avoir accès aux "données de connexion" c'est d'un autre niveau de pertinence qu'une simple analyse de ligne téléphonique. La LSI est en fait, sur ce chapitre, une vrai machine à réglementer ces "nouvelles interceptions".

 

+ L'avis de la CNIL, 2 mai 2001.
http://www.cnil.fr/actu/actualites/doc/Avis_cnil_LSI_d01_018.pdf

+ Les projets d'Enfopol inquiètent la Cnil
http://news.zdnet.fr/story/printer/0,,s2087554,00.html

+ Dossier LSI de IRIS:
http://www.iris.sgdg.org/actions/lsi/

 

 

¡ Cryptez
vous êtes suspects
!

 

Le chiffrement des données et les conditions de sa "libéralisation" trouvent donc une place de choix dans la LSI. Les lecteurs du lambda se souviennent des "notaires électroniques", ou "tiers de confiance" (TDC), ou bien les TTPs (Trusted Third Parties). On parlait aussi de "key recovery", ou "key escrow", bref du principe GAK, Government Access to Keys. Et bien la LSI instituent ces fameux "notaires", et met une bonne dose de GAK.

N'oublions pas qu'en décidant de "libéraliser" l'usage de la cryptologie en 1999, le Premier ministre avait pris le risque de se mettre à dos une partie des services de police et de renseignement. Le projet de loi LSI est là pour "encadrer" cette liberté pour qu'elle n'entrave pas la "bonne marche de la justice".

Libérer le chiffrement est ainsi une "abdication" qui "sonne sans doute le glas du contrôle démocratique de notre société".

De qui? Du général Jean-Louis Desvignes, lors d'un colloque organisé dans la Somme en mars 2001. Desvignes est l'ancien sherpa du Premier ministre pour les questions de sécurité informatique (chef du SCSSI, maintenant la DCSSI), habitué à mieux respecter son devoir de réserve. Militaire de carrière, aujourd'hui directeur d'une école d'officiers, le général résume tout haut ce que d'autres pensent encore tout bas.

"Abdication" Alors que dans certains cas la cryptologie est précisément le seul moyen pour garantir sans failles la confidentialité des correspondances, prévu par la Convention européenne des Droits de l'homme.

La LSI ne remet pas en cause, de facto, la simple liberté "d'usage". Mais elle crée un régime contraignant pour les fournisseurs de "prestation de cryptologie" (logiciels, certificats, etc.)

(article 42), toute fourniture simple doit faire l'objet d'une "déclaration", les logiciels et/ou algorithmes doivent subir un examen technique de la DCSSI. Mais le 4e alinéa envisage de réclamer non pas une simple déclaration, mais une "autorisation" en bonne et due forme. Quand ? Lorsque les "intérêts de la défense nationale et de la sécurité intérieure" sont eu jeu.

(article 53) Ne pas respecter la déclaration ou l'autorisation pourra entraîner de 1 an à 2 ans de prison.

Sacré retour en arrière, pensent tous ceux qui ont combattu le régime préalable à 1999, lorsque tout logiciel de "crypto forte" devait avoir un beau tampon des services de l'État.

Pour la suite, comme toujours, les décrets d'application.

 

Avec la LSI, la France s'aligne pleinement sur la fameuse "Rip Act", la loi britannique qui oblige quiconque à livrer ses secrets ou ceux d'une autre personne lorsqu'une pièce à conviction est illisible après avoir été chiffrée.

Articles 47 à 51 : &laqno; Procédure de saisine des moyens de l'État pour la mise au clair des données chiffrées... »

Kesako ? Pouvoir accéder au secret d'un message, document ou fichier informatique. C'est ca le GAK: avoir les moyens de casser le verrou qui le protège.

Comment faire lorsque le verrou est inviolable ? La LSI prévoit d'obliger le propriétaire de la clé à la communiquer aux juges. Pour forcer la main, le code pénal devrait enregistrer le délit de "refus d'assistance cryptologique à la justice", terme employé lors du colloque où s'exprimait le général Desvignes.

Pour corser le tout, l'usage permanent d'un outil de crypto devient &laqno; circonstance aggravante » s'il a aidé à commettre un crime ou un délit.

+ Liens news

http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=3971
http://news.zdnet.fr/story/printer/0,,s2062794,00.html

[UPDATE]
+ La protestation citoyenne s'organise autour du site OpenPGP en français:
http://www.geocities.com/openpgp/

 

commentaires perso

Traces

- Les logs et traces de connexion comme les empreintes digitales ont pour mission d'identifier un suspect. Mais ils n'ont pas la meme pouvoir d'intrusion pour l'individu;

- Les habitudes de navigation, les forums ou salons de chats utilisés, les protocoles utilisés et leur fréquence, tout cela est autrement plus intrusif que des empreintes liassées sur des surfaces physiques.

- Les obligations de faire détenir, chez des tiers, ces données sensibles est clairement disproportionné : risque de détournement, de pressions policières sur les prestataires, etc.

- L'analyse de trafic des correspondances n'est toujours pas réglementé en tant qu'interception à part entière. Qui parle à qui, quand s'écrivent-ils, quelle fréquence? Avec un bon logiciel de tri, vous en tirer autre chose qu'en récupérant 10 vieux carnets d'adresses.

Ecoutes

- L'affaire Carnivore aux USA a montré que les "sniffers" utilisés pour aspirer le trafic d'un compte ne peuvent pas faire la différence entre les données de trafic et le contenu. Pour les applications webmail, quelle sest la procédure?

- Une écoute électronique est autrement plus intrusif qu'une écoute téléphonique. Un ordinateur contient bien plus que des conversations vocales, un email peut contenir une lettre, un roman, une formule mathématique magique, des images compromettantes, ou graphiques, tout ça à la fois. La LSI ne tient pas compte de ces nouveaux enjeux qui portent atteinte au droit de la défense.

- Les technologies aidant, une écoute email va se rapprocher d'une perquisition, le code de procédure en tiendra-t-il compte?

- Quid des messages échangés avec d'autres types de dialogues en ligne (chat, IRC, et surtout messagers internet)?

- La CNCIS, qui controle les demandes d'écoutes du gouvernement (pas les écoutes judiciaires), n'a pas été consulté par le gouvernement (qui a vu la Commission des droits de l'homme, la CNIL, l'ART et le CSA);

- Il est plutot curieux que pour le président de la CNCIS, interrogé récemment sur le sujet, tout ce qui n'est pas "email" est considéré comme un propos tenu en public.

Ecoutes chiffrées

- Les dispositions de la LSI sur l'obligation de livrer ses clés (même en qualité de simple témoin), sous peine de poursuite pénales, ont pour effet de endre l'usage de la crypto encore plus "suspect".

- L'auto-incrimination d'un suspect n'est pas valide, ce sont donc les correspondants du suspect qui risquent ces 3 mois de prison bien avant.

- Le droit de la défense et la présomption d'innocence sont menacés: avec le GAK, on peut faire "parler" quelqu'un, ou le contenu de son ordinateur, avec une seule clé. La torture n'existe plus pour qu'une personne livre absolument ses secrets. Avec la LSI et son GAK intégré, c'est sans douleur, sans bavures, on peut forcer quelqu'un à livrer ses secrets, ceux d'autres personnes, pour une durée illimitée, sans recours possible sauf s'il prouve qu'il a bien perdu la clé.

 

Epilogue

L'animateur du site OpenPGP en Français l'a déjà très bien résumé : "Les écoutes téléphoniques sont tolérées par l'opinion en raison d'un manque de réflexion sur le sujet : une écoute judiciaire porte une atteinte grave à la loyauté du procès pénal (au moins au niveau de l'instruction) et elle ne devrait pouvoir être pratiquée qu'accompagnée d'une information de la personne écoutée (comme pour une perquisition, le perquisitionné assiste à celle-ci ou au moins en est informé dès son commencement)."

http://www.geocities.com/openpgp/news2001-1.htm

 

ECHELON SPOTTED

(BUT NOT UNPLUGGED)

BY EURO PARLIAMENT

(english onlly)

 

The Temporary Committee on the ECHELON interception system, a 36-member semi-investigative group of the European Parliament in Strasbourg, decided to publish its Draft report on May 18 -- after some leaks of an older version was unveiled by the Federation of American Scientists.

Later Duncan Campbell and the German online magazine Telepolis revealed other papers that give further evidence of economic spying on European firms. The Department of Commerce's Advocacy Center, helped by intelligence services, seems to have played a key role. As Campbell reports, "From 1992 to date Europe is likely to have sustained significant employment and financial loss as a result of the U.S. government policy of "leveling the playing field", introduced in 1991."

The EP report is still a draft. The May 18th version contains some comments about the delegation the Echelon Committee sent to Washington, DC, May 8-10. The delegation had to cut short their visit because of refusal from NSA, CIA, State Department and DOC Advocacy Center officials to meet European MPs. There had meetings with DOJ officials, Congress' select committee on intelligence activities, with no news answers - asked if Echelon did exist, MPs were given a copy of the American Constitution...

The draft report will be finalized and approved on 20/21 June 2001, and later, with a draft resolution, will be debated by the European Parliament on 3 September 2001.

EP REPORT

+ HTML version - emphasis added by Cryptome to look for comments that were added afetr the Washington visit.
http://cryptome.org/echelon-ep.htm

+ Pdf version from the EP web site
http://www.europarl.eu.int/tempcom/echelon/pdf/prechelon_en.pdf

Duncan Campbell 2001 report

+ Interception Capabilities - Impact and Exploitation (IC-IE2001), which were presented on 22/23 January 2001 before the Committee:
http://www.heise.de/tp/english/special/ech/7753/1.html

+ COMINT impact on international trade

It sets out, with detailed sources, the case that from 1992 to date Europe is likely to have sustained significant employment and financial loss as a result of the U.S. government policy of "levelling the playing field", introduced in 1991.
http://www.heise.de/tp/deutsch/special/ech/7752/1.html

+ U.S. trade "Success stories" affecting Europe - financial and geographical analysis - a table with contracts, countries defeated, etc:
http://www.heise.de/tp/deutsch/special/ech/7796/1.html

+ COMINT, privacy and human rights

This paper reveals that Britain undertakes to protect the rights of Americans, Canadians and Australians against interception that would not comply with their own domestic law, while offering no protection of any kind to other Europeans. This and other background papers provided to the Echelon committee have prompted them to observe that "possible threats to privacy and to businesses posed by a system of the ECHELON type arise not only from the fact that is a particularly powerful monitoring system, but also that it operates in a largely legislation-free area."
http://www.heise.de/tp/deutsch/special/ech/7748/1.html


lambda / arQuemuse
J. Thorel - June 2001
Réactions I Home