Renseignement : des zones d’ombre dans les boîtes noires

C’est l’une des dispositions les plus controversées du projet de loi sur le renseignement, adopté par l’Assemblée nationale et qui doit encore être examiné début juin par le Sénat : la mise en place de boîtes noires au coeur des réseaux des opérateurs, FAI et hébergeurs ne remporte pas l’adhésion de l’Inria.

Dans une note datée du 30 avril 2015, l’institut de recherche dédié au numérique attire l’attention des élus sur les limites du dispositif imaginé par le gouvernement Valls pour repérer, via les communications sur Internet, la préparation d’actes terroristes.

Pour l’Inria, le fondement même de la loi – manier les notions de données anonymes ou anonymisées – est déjà plus que discutable : il « n’existe pas aujourd’hui de technique d’anonymisation fiable » ; il conviendrait plutôt de parler de « données pseudo-anonymes ou encore de données personnelles ».

Outre cette considération juridico-technique, l’efficacité desdites boîtes noires est mise en doute. L’Inria remarque notamment que la collecte de données peut facilement être contournée, via plusieurs technique comme le chiffrement, via un VPN, « vers le serveur d’un opérateur ou d’un hébergeur extérieur à la juridiction française ».

Autres techniques évoquées : le spam et l’utilisation de botnets, qui permettent de multiplier les connexions sur les sites surveillés afin de protéger l’identité des réels apprentis terroristes. En d’autres termes, il existe suffisamment de moyens simples à mettre en oeuvre pour passer sous les radars.

A l’inverse, des innocents pourraient être pris dans les mailles du filet. C’est le paradoxe des faux positifs… illustré en chiffres par l’Inria. « Tout algorithme de détection a une marge d’erreur. […] Si la marge d’erreur est de 1 %, ce qui est considéré à ce jour comme très faible, l’algorithme identifiera quelques [sic] 600 000 personnes sur une population totale de 60 millions de personnes. Si le nombre de vrais terroristes est par exemple de 60, ces vrais terroristes ne représenteront que 0,01 % de la population identifiée ».

Des limites de compétences

Selon l’Inria, des croisements de données peuvent permettre d’améliorer la probabilité de détecter de réels suspects. Mais ce mécanisme est difficilement utilisable dans le cadre du projet de loi : les données nécessaires « sont acquises et stockées quasi-exclusivement [sic] en dehors du territoire ou de la juridiction française » par des sociétés comme Google, Bing, Facebook, Twitter ou Amazon.

Dernier point soulevé par l’Inria : les faibles compétences techniques de la future Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée par le projet de loi et chargée de superviser les pratiques des services de renseignement.

Aux termes actuels du texte, la commission ne doit comporter qu’un seul membre avec un profil de technicien, nommé par l’ARCEP (Autorité de régulation des communications électroniques et des postes).

L’Inria recommande pour sa part « une représentation équilibrée entre les compétences numériques et juridiques », avec des membres nommés mais seulement pas l’ARCEP, mais aussi la CNIL et Allistene, l’alliance des organismes, universités et écoles en sciences et technologies du numérique.

Comme le note Silicon.fr, ce sujet avait déjà largement occupé le devant de la scène lors des débats à l’Assemblée nationale. Dans le même temps, les hébergeurs concernés par le dispositif avaient menacé de déménager leurs activités hors de France… avant d’obtenir un amendement que les décrets d’application devront néanmoins valider.

La semaine dernière, lors des premières phases de l’examen du projet de loi au Sénat, le sénateur UMP Claude Malhuret remarquait que les élus étaient dans « l’incapacité »  de comprendre les algorithmes que vont embarquer ces fameuses boîtes noires. Ce qui n’a pas empêché la Commission des affaires étrangères, de la défense et des forces armées, chargée de l’examen préliminaire du texte, d’estimer in fine le dispositif « équilibré ».