En février 2011, les Anonymes, collectif de hackers apparu suite aux poursuites contre WikiLeaks a pénétré le réseau interne de HBGary Federal, spécialiste de la sécurité informatique. Le patron de cette société américaine qui menaçait de révéler l’identité de certains membres des Anonymes. Les hackers mettent la main sur près de 70.000 e-mails, pour la plupart confidentiels, échangés entre les dirigeants de HBGary et certains de leurs clients, parmi lesquels le FBI, la NSA, le gouvernement fédéral américain, l’armée, Interpol et diverses sociétés privées.

Les Anonymes ont découvert que HBGary avait pris part activement à l’élaboration d’une stratégie visant à identifier, à diviser et à décrédibiliser l’organisation de Julian Assange, et à attaquer ses soutiens institutionnels. Le plan, élaboré en partenariat avec les sociétés Palantir et Berico, répondait à une requête d’avocats mandaté par la Bank of America, alors aux abois, en prévision de la diffusion par WikiLeaks de documents censés prouver de sérieuses malversations.

Les mails internes de HBGary fait également mention de plusieurs projets de développement de malwares, notamment des rootkits et autres backdoors exploitant des failles non publiées vendues à prix d’or, en collaboration avec Général Dynamics, sous contrat avec la Défense américaine. On apprend également que HBGary faisait partie du programme InfraGard, un partenariat entre le FBI et le secteur privé dédié à la protection des infrastructures vitales contre la menace terroriste. Dans les documents révélés: l’appel d’offres de l’US Air Force portant sur un logiciel destiné à faciliter l’infiltration et la surveillance des réseaux sociaux. Plus spécifiquement, le logiciel devrait permettre à un seul employé de créer et de gérer plusieurs fausses identités.

Le logo des Anonymes

Le logo des Anonymes

Plus de 20 sociétés actives en France, dont Google, Facebook, PriceMinister, Dailymotion ou encore eBay, regroupées dans l’Association française des services internet communautaires (ASIC), ont déposé mercredi 6 avril un recours devant le Conseil d’Etat contre le décret de conservation des données de connexion par les hébergeurs.

Ce décret impose aux sites d’e-commerce, plateformes de vidéos/musique en ligne ou gestionnaires de boîtes e-mail de conserver identifiant et mot de passe, et (s’ils ont été collectés) nom et prénom, adresse postale, pseudonyme, adresse e-mail et numéro de téléphone de l’internaute. L’ASIC conteste notamment que ce décret va plus loin que la loi et impose de conserver des éléments qui vont au-delà de l’identification de l’internaute, notamment les mots de passe. Les informations doivent être conservées pendant un an et peuvent leur être réclamées dans le cadre d’enquêtes de la police, de la gendarmerie, de la répression des fraudes, de la douane, du fisc ou encore de l’Urssaf. Ce délai de conservation va exploser puisque le décret prévoit que le compteur d’un an soit remis à zéro dès que l’internaute modifie ou supprime des informations.

Publié début mars dans le cadre de la loi pour la confiance dans l’économie numérique (LCEN), ce décret vise à permettre aux services de lutte anti-terroriste de pouvoir identifier facilement tout internaute qui publierait des informations sur une plate-forme. Le décret, prêt depuis 2004, n’a été publié que maintenant, quelques semaines avant la création du Conseil national du numérique, après l’adoption de la Loppsi. Le Conseil d’Etat a 9 à 12 mois pour examiner ce recours.

La Commission de l’Union Européenne fait un rapport sur le premier examen de la mise en oeuvre de l’Accord entre l’UE et les USA sur le traitement et le transfert de données financières de l’UE aux États-Unis dans le cadre du « Programme de Dépistage de Finance Terroriste », six mois après l’entrée en vigueur de cet Accord. Cet examen s’est attaché à vérifier si tous les éléments de l’Accord ont été correctement mis en place, plutôt que d’évaluer l’efficacité de Accord, considérant que la période écoulée était trop courte pour une telle évaluation.

Le rapport en .pdf et en anglais

L’armée américaine est actuellement en train de développer un logiciel qui lui permettra de manipuler secrètement les sites des médias sociaux en utilisant de faux ‘personnages’ en ligne pour influencer les conversations sur internet et diffuser de la propagande pro-américaine.

Une société californienne s’est vue attribuer un contrat avec le United States Central Command (Centcom), qui surveille les opérations armées américaines au Moyen Orient et en Asie centrale, pour développer ce qui est décrit comme un ‘service de gestion de personnages en ligne’ qui permettra à un militaire américain de contrôler jusqu’à dix identités basées dans le monde entier. Le système permettra à l’armée américaine de créer un faux consensus dans les conversations en ligne, d’empêcher l’expression d’opinions gênantes et d’étouffer les commentaires ou les compte-rendus qui ne correspondent pas à ses propres objectifs. La découverte que l’armée américaine développe de fausses personnalités en ligne va inévitablement inciter d’autres gouvernements, mais aussi des sociétés privées et des organisations non-gouvernementales à faire la même chose. Le contrat de Centcom stipule que chaque faux personnages en ligne doit avoir un background convaincant, une histoire avec des détails à l’appui et que jusqu’à cinquante contrôleurs basés aux Etats-Unis devront être capables de diriger les fausses identités depuis leurs postes de travail sans craindre d’être découverts par des adversaires avertis. Une fois développé, ce logiciel permettra au personnel de service américain, travaillant 24 heures sur 24 à un endroit, de réagir aux conversations en ligne qui apparaissent avec un nombre illimité de messages, de posts sur des blogs et des forums de discussion et d’autres interventions coordonnées. Le contrat de Centcom exige la fourniture d’un ‘serveur privé virtuel’ situé aux Etats-Unis pour chaque contrôleur, ainsi que d’autres ayant l’air d’être à l’étranger pour donner l’impression que les faux personnages sont des personnes réelles dans différentes parties du monde. Ce contrat fait partie d’un programme plus large intitulé Operation Earnest Voice initialement développé en Irak comme une arme de guerre psychologique contre la présence en ligne de l’ennemi. L’objectif avoué de cette nouvelle technologie pour les Etats-Unis est de priver leurs adversaires de leurs repaires et de contrer leurs idéologies et leur propagande.

En réaction aux attentats du 11 septembre 2001, le parlement européen avait acheté en 2005 six scanners corporels, pour un montant de 725.730 €, qui devaient être installés à Bruxelles et Strasbourg. Ils n’ont jamais été utilisés, et sont restés stockés, sur leurs palettes, dans un entrepôt désaffecté. Les eurodéputés auraient en effet protesté face à ce qu’ils considéraient comme une atteinte à leur vie privée.

C’est une eurodéputée britannique qui a redécouvert les scanners abandonnés, déplorant non seulement le gaspillage de l’argent public, mais également la perception biaisée que se font les eurodéputés de la sécurité : “S’ils sont suffisamment bons pour être utilisés sur les citoyens dans les aéroports, pourquoi ne le seraient-ils pas aussi sur les eurodéputés ?” Cette affaire intervient alors même que les eurodéputés ont demandé à la commission européenne d’envisager la généralisation des scanners corporels dans tous les aéroports européens.

scanner corporel

scanner corporel

La loi sur la sécurité intérieure Loppsi 2, votée au début du mois de février a été évaluée par le Conseil constitutionnel à la demande de certains partis de l’opposition et collectifs. Ce dernier en a censuré treize dispositions, notamment celles portant sur la vidéosurveillance et celle sur l’emploi judiciaire des polices municipales en appui de la police nationale. Sur le plan de la vidéosurveillance, le Conseil a accepté l’extension des dispositifs prévue par la loi, mais a censuré la possibilité de les exploiter par des personnes de droits privé. S’il veut poursuivre cette extension, le gouvernement ne pourra dès lors reposer que sur des personnes publiques, tant au niveau matériel, que des effectifs ou des investissement, autrement dit sur les collectivités territoriales ou l’Etat. Or, cet axe de la Loppsi 2 était présenté comme un moyen majeur de renforcer le dispositif répressif sans que cela n’en coûte à l’Etat, tout comme celui de l’emploi des polices municipales. Celui-ci impliquait d’offrir la possibilité aux policiers municipaux de procéder à des contrôles d’identités, ce que le Conseil a également déclaré irrégulier. D’autres dispositions telles que la possibilité d’aménager des salles d’audiences au sein des centres de rétention administrative, la possibilité pour un préfet de procéder à l’évacuation forcée de terrains occupés illégalement sans demander l’avis du propriétaire, la possibilité d’étendre aux mineurs les peines planchers,… ont été jugées inconstitutionnelles.

Dès cet été, le ministère de la sécurité intérieure des Etats-Unis va tester un scanner portable constituant un système de biométrie ADN rapide et low-cost. Le projet, subventionné depuis 2009 par le gouvernement, a été développé à l’intention des militaires, des policiers et des services de renseignements. Le petit appareil est capable de vérifier l’identité et la parenté d’un individu à 99,99% en moins d’une heure et pour cent dollars. Même si chaque machine coûte 275.000 dollars, cela reste beaucoup moins cher que le prix d’un laboratoire et des techniciens qualifiés qu’exige une analyse génétique traditionnelle qui en outre, prend plusieurs jours et coûte 500 dollars. Selon la société qui a développé ce scanner, ce dernier rend l’analyse génétique disponible n’importe où, à n’importe qui et n’importe quand. Le ministère a annoncé que le scanner sera testé cet été dans des camps de réfugiés à l’étranger et qu’il pourrait ensuite être utilisé pour identifier des criminels, des migrants illégaux, des victimes de catastrophes, mais aussi pour effectuer rapidement des analyses génétiques de suspects. Enfin, il prône ouvertement la commercialisation de ces scanners ADN, ce qui permettra de créer une nouvelle place de marché … et donc de collecter et d’analyser l’ADN de plus en plus de monde.

Un décret paru mardi 1er mars au Journal officiel impose aux hébergeurs et fournisseurs de services sur Internet de conserver pendant un an toute une série de données personnelles de l’internaute, comme ses codes confidentiels, ainsi que sa navigation sur le net… Ce décret pris dans le cadre de la loi du 21 juin 2004 « pour la confiance dans l’économie numérique » qui prévoit notamment que la police et gendarmerie nationale peuvent exiger ces données « afin de prévenir (…) les actes de terrorisme ».

Pour chaque connexion de leurs abonnés, les hébergeurs doivent ainsi sauvegarder les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte, à savoir les nom et prénom ou la raison sociale, les adresses postales associées, les pseudonymes utilisés, les adresses de courrier électronique ou de compte associées, les numéros de téléphone ou le mot de passe ainsi que les données permettant de le vérifier ou de le modifier. Plus généralement, les hébergeurs doivent garder l’identifiant de la connexion, l’identifiant du terminal utilisé pour la connexion, les dates et heures de début et de fin de la connexion ou encore les caractéristiques de la ligne de l’abonné.

Pour chaque action d’un internaute sur le net, la nature de l’opération doit être consignée par ces prestataires, qu’il s’agisse d’écrire un e-mail ou de télécharger une image ou une vidéo, ainsi que les date et heure. Lorsque la souscription du contrat ou du compte est payante, les hébergeurs et fournisseurs de services sur la Toile doivent également conserver le moyen de paiement, sa référence, son montant ainsi que la date et l’heure de la transaction.

Le rapport présenté le 26 janvier 2011 par le directeur du BKA, Joerg Ziercke, au Comité des Affaires Intérieurs du Bundestag, aborde les opérations d’agents étrangers en Allemagne. Ces opérations sont habituelles contre « l’euro-anarchisme » (sic) et le hooliganisme.
La législation allemande ne traite pas les agents étrangers comme des membres de la police allemande, mais comme « personnes confidentielles », ce qui leur permet d’opérer en toute liberté: ils n’ont par exemple pas besoin d’une autorisation du juge pour pénétrer dans la sphère privée. Mais officiellement il ne leur est pas permis de commettre des délits, même pour soutenir leur couverture.
Chaque mission d’agent étranger doit être annoncée et faire l’objet d’une autorisation. Le cadre légal est un traité bilatéral entre les pays concernés ou l’Article 14 de la « Convention sur l’Aide Mutuelle dans des Matières Criminelles entre les États membres de l’Union Européenne » (la Convention MLA). Les détails sont fixés dans un contrat européen standard nommé « Protocole d’accord » (MoU) qui définit les droits et devoirs (comme l’envoi de rapports réguliers à la police du pays d’accueil).

La communication entre l’agent étranger et les autorités allemandes de police est faite via son agent-traitant (qui accompagne en principe l’infiltré à l’étranger). La police allemande elle-même ne connait pas le véritable nom de l’infiltré étranger. Pour sa part, la police d’État du Land de Berlin avait infiltré cinq agents dans le camp anti-G8 de 2005, à Gleneagles. Ils ont été traités par la National Public Order Intelligence Unit (NPOIU) et la Police de Londres. La NPOIU organise les missions d’agents partout le Royaume-Uni et traite les agents étrangers.

En Allemagne, l’agent Kennedy (« Mark Stone ») a été coatché par des policiers allemands pour faciliter son infiltration dans les mouvements anti-G8 et anti-OTAN. Le BKA a co-organisé avec le Land de Berlin une action pour améliorer la couverture de Kennedy. Dans cette affaire (l’incendie d’une benne à ordure en décembre 2007), Kennedy est passé devant un tribunal berlinois. Le procureur, le juge et la police locale ignoraient qu’il s’agissait d’une mise en scène. (notons quze les incendies de voitures et de bennes à ordures sont fortement réprimées à Berlin fortement criminalisé depuis la campagne militante qui a suivi le G8 à Heiligendamm en 2007). A Heiligendamm, Kennedy était avec son agent-traitant britannique et un agent-traitant allemand. Celui-ci était posté au siège provisoire pour le sommet nommé « Kavala ». C’est « Kavala » qui a délibérément manipulé les tribunaux, jusqu’à la cour constitutionnelle, en produisant des bilans exagéré (500 policiers « lourdement blessé ») et des rapports mensongers d’agents infiltrés, pour obtenir l’interdiction de nombreuses manifestations. Ils y avait plusieurs agents étrangers infiltrés au G8. Ziercke a évoqué deux noms « connus », Boyling et Jacobs, et trois ou quatre autres.

L’Icann (Internet Corporation for Assigned Names and Numbers) et son instance décisionnelle le GNSO dénoncent le comportement des autorités américaines dans la gestion de la gouvernance de l’internet. Selon le président du GNSO, le FBI, Interpol et les polices d’Etats américaines procèdent à des désactivations unilatérales de site et de noms de domaine. Ces agences font pression sur le GNSO, instance qui assure un rôle clé dans la régulation d’internet en attribuant les noms de domaine, et font fi des fins de non recevoir émanant de l’instance. Le GNSO dénonce la fermeture unilatérale de plus d’une centaine de noms de domaines se terminant par .com, desquels dépendent des milliers de blogs, de sites internet et de pages personnelles. La désactivation d’un nom peut entraîner que 100.000 sites qui en dépendent soient aussi débranchés alors qu’ils sont tout à fait indépendants. Le gouvernement américain passe en fait outre les structures de contrôle établies. Il décide qu’il y a offense et débranche le site. Le président du GNSO le résume, ‘C’est de la prise d’otage de noms de domaine par les autorités américaines … C’est une nouvelle tendance, mais une tendance de fond, il n’y a plus de discussion, seulement des décisions unilatérales de désactivation’.