La Commission Européenne et les Etats-Unis se sont mis d’accord pour augmenter leur coopération dans la recherche scientifique et technologique pour « améliorer les capacités communes à la protection contre les actes de terrorisme et les autres menaces à la sécurité interne et externe ». Le ‘Implementing Arrangement for Cooperative Activities in the Field of Homeland/Civil Security Research’ signé le 18 novembre constitue une base officielle pour la coopération entre la recherche scientifique et technologique. Il élargi et renforce les activités coopératives et favorise l’application des résultats d’une telle collaboration.

Cet ‘Implementing Arrangement’ est une mesure importante dans le domaine de la recherche sécuritaire. Ses objectifs principaux sont d’encourager, de développer et de faciliter les activités de recherche communes. il prévoit une coopération étroite entre les Etats-Unis et l’Union Européenne face aux menaces naturelles, artificielles ou humaines, dont la gestion de crises et de situations d’urgence, la sécurité et la résistance des infrastructures critiques, les relations entre la sécurité et la société, y compris l’interface humain-technologie, la recherche comportementale, les questions concernant la vie privée, et la biométrie; la sécurité des contrôles et des passages aux frontières, y compris les frontières sur terre et côtières; l’optimisation des technologies existantes et leur inter-opérabilité; le développement des technologies et de l’équipement de l’utilisateur final tels que ceux de la protection civile et les premiers intervenants; et le développement et l’échanges des besoins, des normes, des évaluations de vulnérabilité, des analyses d’interdépendance, des certificats, des meilleures pratiques, des conseils, des programmes de formation, des rapports d’essai, des données, des logiciels, de l’équipement et du personnel nécessaires.

Le ‘Implementing Arrangement’ encourage une expertise technique collective des scientifiques européens et américains, en ce y compris un solide réseau de centres internationaux de recherche dans l’Union Européenne et aux Etats-Unis, et encourage la participation soutenue des universités, des organisations sans but lucratif et du secteur privé par l’intermédiaire de partenariats public/privé et des possibilités de financement collaboratif.

Mardi 16, le directeur du FBI s’est rendu dans la Silicon Valley pour rencontrer plusieurs responsables de services en ligne. Parmi ces derniers, le patron de la police fédérale américaine a rencontré des représentants de Google et de Facebook. Il a défendu devant eux le principe d’une extension de la surveillance en ligne en demandant un accès privilégié aux informations personnelles hébergées par certains services en ligne. Accompagné de l’avocate générale du FBI, Valerie Caproni, Robert Mueller a défendu le principe d’une surveillance accrue des activités en ligne, à travers l’extension de la loi américaine Communications Assistance for Law Enforcement.

Ce texte, passé en 1994 sous la présidence de Bill Clinton, est le cadre légal des écoutes aux États-Unis. Elle permet au FBI de procéder à des interceptions sur des lignes téléphoniques et au niveau des routeurs des fournisseurs d’accès à Internet. Or, celle-ci souffre d’une certaine obsolescence face à certains nouveaux moyens de communication. Pour faciliter le travail d’investigation et de surveillance de l’agence, Robert Mueller est partisan d’une révision de la loi de 1994, afin d’imposer une nouvelle réglementation aux services Internet. Le déplacement de Robert Mueller dans la Silicon Valley montre que le FBI veut obtenir la coopération des services en ligne, dans la mesure où Internet devient le principal moyen de communication des individus. Le FBI a déboursé 9,75 millions de dollars pour inciter les éditeurs de services en ligne à développer des solutions d’écoute des communications.

En septembre, les autorités américaines ont demandé au Congrès de soutenir un projet de loi qui obligerait tout les éditeurs à l’origine d’un service de communication de garantir la possibilité d’une interception électronique. Dans le cas d’une solution chiffrée, comme avec les appareils BlackBerry, les sociétés auraient l’obligation de concevoir une méthode de déchiffrement destinée aux autorités, dans le cadre d’une instruction judiciaire.

Le directeur technique de la DGSE, le service de renseignement militaire extérieur français, a récemment expliqué, devant des publics composé de professionnels de la sécurité informatique, l’état de son métier. Le terrain traditionnel des services français étant l’Afrique, ou le renseignement était essentiellement humain, et non technique, il a fallu attendre 1983 pour que la DGSE décide de se doter d’une “direction technique”. La France avait alors près de 40 ans de retard sur les anglo-saxons, mais elle fait aujourd’hui partie du “Top 5″ (avec les Etats-Unis, la Grande-Bretagne, Israël et la Chine) en terme de renseignement technique. Elle n’a plus du retard qu’en ce qui est de la lutte informatique offensive (LIO), mais la DGSE (qui emploie 4100 militaires et civils) prévoit de recruter 100 ingénieurs par an pendant 3 ans. Sa puissance de calcul lui permet de gérer des dizaines de pétaoctets dans ses bases de données (des dizaines de millions de gigaoctets), sa limitation, c’est… la consommation énergétique: la chaleur dégagée par ses super-calculateurs permet de chauffer la DGSE !

En 1989, l’objectif, était le téléphone : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (le service pouvait traiter aisément un million de communications simultanées), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte. Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale : on prévoit 4 milliards d’objets connectés en 2013, et les téléphones mobiles sont dotés de centaines de fonctions, applications, et donc d’autant d’identifiants, et l’on peut y faire tout ce que l’on fait sur le Net. Le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Avec le développement de l’anti-terrorisme (90% de l’activité de la DGSE), le problème n’est plus le chiffrement gouvernemental ou militaire mais plutôt la cryptographie grand public, sur les réseaux grand public. Autre différence, de taille : le contenant devient plus intéressant que le contenu. Avant, il fallait en effet décrypter les messages chiffrés, parce que l’information était dans le contenu. Or, aujourd’hui, ce type d’information moins important que les informations contenues (en clair) dans les méta-données, surtout en matière d’internet. Car même si les messages sont chiffrés, les logs, eux, ne le sont pas, et permettent, par corrélation et data mining, de savoir qui communiquent avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée. Toutes ces méta-données sont stockées, sur des années et des années. Quand la DGSE s’intéresse à une adresse IP ou à un n° de tel, elle va chercher dans sa bases de données, et retrouve la liste de ses correspondants, pendant des années, et arrive à reconstituer tout son réseau.

Du côté de la cryptographie aussi, le monde a bien changé. Les internautes sont de plus en plus nombreux à en faire sans toujours le savoir, sans parler de ceux, de plus en plus nombreux, qui le font sciemment par obligation professionnelle ou par convenance personnelle, pour se protéger de l’espionnage industriel ou encore de la cybersurveillance que des entreprises comme TMG effectue au profit de l’Hadopi. Les services de renseignement américains ont d’ailleurs “engueulé” leurs homologues français au sujet de l’Hadopi qui pousse les internautes au cryptage. Les services de renseignement britanniques avaient d’ailleurs déconseillés à leur gouvernement un tel mécanisme.

Si la cryptographie a atteint un très bon niveau et si elle est de plus en plus normalisée, elle ne l’est pas forcément correctement, notamment pour ce qui est de son implémentation. Or, la DGSE est à la tête de la plus forte équipe de crypto-mathématiciens de France, qui passe allègrement de la cryptanalyse à l’intrusion informatique, et qui développe une activité très forte de rétro-ingénierie et de hacking lui permettant de pénétrer dans les ordinateurs dotés de systèmes d’exploitation et logiciels non mis à jour, pas sécurisés ou qui comportent des failles de sécurité non corrigées. Si la cible utilise un tunnel VPN (Réseau privé virtuel permettant de sécuriser les communications) chiffré en 256 bits, elle est bien protégée; mais s’il utilise Windows avec plein de failles, la DGSE s’y introduit, et change son VPN en 40 bits, bien plus facile à casser. Les utilisateurs utilisant souvent les mêmes mots de passe, la DGSE stocke ceux-ci pour établir des corrélations: elle a des dictionnaires de millions de mots de passe.

La police de Malines s’est dotée de nouveaux véhicules de patrouille équipés d’une caméra fixée sur le toit de la voiture de police, pour scanner les numéros de plaques d’immatriculation de tous les véhicules qui passent à côté d’elle. Lorsque la caméra détecte une plaque d’immatriculation d’un véhicule volé ou non-assuré, les policiers en sont directement avertis.

A l’automne, toutes les voies d’accès à la E19 seront également équipées de caméras qui enregistreront les numéros de plaques d’immatriculation. Tous les numéros enregistrés seront conservés pendant trente jours. La police pourra ainsi savoir où et quand un numéro de plaque déterminé a été remarqué. Le coût total de ce dispositif – 820.000 euros – est le plus important investissement en caméras effectué par la ville de Malines.

Une vidéo, où des policiers sont filmés dans un commissariat administrant des décharges de Taser à un Aborigène, a été dévoilée, lundi 4 octobre, déchaînant une vague d’indignation en Australie. L’incident, qui a eu lieu dans la ville de Perth en 2008, a été rendu public dans le cadre d’un rapport de la commission criminelle de l’Etat d’Australie-Occidentale présenté au Parlement sur l’usage des Taser par la police.

Ce cas a été cité comme exemple de la mauvaise utilisation des pistolets à impulsion électrique par la police et a relancé le débat en Australie. La veille, un homme était mort à Sydney après avoir reçu une décharge de Taser dans la poitrine. Sur la vidéo rendue publique, un homme aborigène non armé se voit administrer huit décharges de Taser dans un commissariat, après avoir refusé de se soumettre à une fouille au corps. On le voit à l’agonie après les décharges. Selon le rapport, l’homme, dont les actes précédant l’incident semblaient traduire un désordre mental ou un abus de drogue, a été soumis à cinq décharges supplémentaires hors caméra. Après enquête interne, deux agents ont été condamnés à payer des amendes de 1 200 et 750 dollars australiens (environ 840 et 525 euros) pour utilisation excessive de la force.

En Belgique, l’utilisation du Taser est interdite par la loi du 9 juin 2006 en tant qu’arme à électrochocs. C’est un pistolet électrique qui délivre une décharge de 50.000 volts et paralyse sa cible, et dont on voit régulièrement les effets destructeurs dans les pays où son usage est permis. Selon un rapport d’Amnesty International, le Taser a provoqué la mort de 251 personnes entre 2001 et 2008 de par le monde.

En 2009, le ministre de la justice belge avait du reconnaître que les forces spéciales de police disposaient de Taser, et ce en dépit de la législation. Et aujourd’hui, le porte-parole de la zone de police de Molenbeek a ouvertement demandé qu’en Belgique aussi, le Taser soit autorisé. Il affirme entre autre que les policiers ne se sentent plus en sécurité avec leur équipement classique et que de toute façon, l’utilisation d’une arme non-léthale reste préférable à celle d’une arme à feu.

Pistolet Taser deuxième génération
Pistolet Taser deuxième génération

Une nouvelle manoeuvre des autorités russes pour réprimer l’opposition consiste à utiliser le prétexte de la chasse aux copies pirates de logiciels pour organiser des perquisitions et accéder aux données qu’ils contiennent. Plus d’une douzaine d’organisations et de journaux militants aient déjà été leur cible. Les services de sécurité agissent en prétendant avoir reçu une plainte selon laquelle l’organisme utiliserait des logiciels piratés. Ils saisissent alors tout le matériel et utilisent les données stockées dans les disques durs pour identifier les partisans de l’association et procéder à des interrogatoires. Microsoft, principal fournisseur de logiciel et qui ne souhaite pas voir son nom mêlé à ces techniques gouvernementales, a annoncé que dorénavant, les organisations russes bénéficieront d’une nouvelle licence gratuite pour les logiciels, même ceux déjà installés. Cette manoeuvre empêchera donc aux autorités russes de prétexter le piratage pour justifier leurs actions.

La société Global Rainmakers Inc. (GRI) a annoncé il y a quelques jours qu’elle est actuellement en train d’introduire sa technologie de scanographie de l’iris pour créer ce qu’elle appelle ‘la ville la plus sûre du monde’. L’éventail d’engins disponibles va du scanner à grande échelle (pouvant capturer l’iris de plus de cinquante personnes en mouvement par minute) au plus petit (qui scanne entre quinze et trente yeux par minute).

Scanners d'iris
Scanners d'iris

Dans le cadre d’un partenariat avec la ville de Leon au Mexique, GRI va la remplir de scanners oculaires, dans ce qui n’est qu’un premier pas. L’entreprise envisage que dans dix ans maximum, chaque personne, chose et lieu soit relié à ce système d’iris. Pour l’implémenter, la ville est en train de créer une base de données d’iris. Lorsque les habitants prendront le bus, ou retirerons de l’argent à la banque, ils scanneront leur iris. Les officiers de police contrôleront ces scanners, et pourront suivre à la trace les mouvements des individus surveillés. Un journaliste américain a eu l’occasion de tester un des ces appareils la semaine dernière. Il affirme qu’il a fallu moins d’une seconde pour que son oeil soit scanné et enregistré dans la base de données. Après cela, à chaque fois qu’il est passé à travers un scanner (même en courant), ses yeux ont été identifiés correctement. Les appareils sont pour l’instant acheminé vers Leon et seront d’abord installé dans les commissariats, les zones de détentions et aux postes de contrôle de sécurité, avant de se répandre dans toute la ville. La première phase actuellement en cours a déjà coûté plus de cinq millions de dollars à Leon.

RIM, la société fabriquant entre autre le téléphone BlackBerry a toujours affirmé n’offrir aucune possibilité aux pays qui le souhaitaient, d’accéder aux données cryptées de ses utilisateurs. Or, les documents et le compte-rendu d’une réunion tenue entre des représentants de RIM et des membres du gouvernement indien ont été dévoilés ce week-end par la presse américaine. Selon ces sources, la société aurait offert à l’Inde des renseignements et des outils pour l’aider à effectuer une surveillance des services de courrier électronique et de messagerie instantanée. Toujours selon elles, le compte-rendu de ce rendez-vous révèle que des représentants de RIM ont affirmé qu’ils avaient des procédures pour aider les administrations chargées de la sécurité à traquer les messages qui les intéressent.