En raison de sa nature décentralisée, Internet n'est pas "contrôlé" par un unique organisme, Etat, ou entreprise. Contrairement à une idée répandue, le réseau n'est pas non plus une "jungle" totalement libre : à tous les échelons, de nombreux organismes exercent ou peuvent exercer un contrôle ou une censure sur les informations qui y circulent.
AU NIVEAU MONDIAL
Les stuctures les plus fondamentales d'Internet sont sous le contrôle de l'Icann,l'Internet corporation for assigned names and numbers. Cet organisme a un statut particulier, puisqu'il s'agit d'une société à but non lucratif, soumise au droit californien. Composé de nombreuses commissions, qui gèrent des problématiques structurelles, l'Icann encadre notamment les noms de domaine ou le fonctionnement des adresses IP (Internet Protocol, les "adresses" de machines et de sites sur le réseau).
La gouvernance de cet organisme stratégique fait l'objet de nombreux débats : plusieurs pays lui reprochent notamment la sur-représentation des Américains dans les différentes commissions. L'Europe et la Chine, notamment, demandent depuis plusieurs années une plus grande ouverture dans la gestion de la fonction Iana, la "racine" d'Internet, qui gère par exemple les noms de domaine en .com. Lepouvoir de l'Icann est fondamental, puisque l'organisation peut suspendre des noms de domaines entiers, comme elle l'avait fait pour le .iq irakien ou pour le domaine afghan.
Pour le bon fonctionnement du réseau, un organisme distinct de l'Icann est également chargé de fixer les normes techniques des technologies les plus courantes sur Internet, comme le langage HTML : le World Wide Web Consortium(W3C). Sa gestion est assurée conjointement par des experts américains, européens et japonais.
AU NIVEAU NATIONAL
S'il est décentralisé, le réseau reste cependant tributaire de la présence de câbles pour son bon fonctionnement : en l'absence de "tuyaux" suffisamment grands, le trafic peut être très fortement ralenti. Or, de nombreux pays sont dépendants, pour leur accès au réseau, d'un ou deux câbles sous-marins ou souterrains. EnAfrique, des pays entiers voient leur accès tributaire des décisions des pays voisins ou des choix des entreprises privées.
Surtout, les pays disposent techniquement de la capacité de bloquer ou decensurer tout ou partie d'Internet. Durant les manifestations qui ont précédé la chute de Hosni Moubarak, l'Egypte a pu couper quasi-instantanément l'accès au réseau en faisant pression sur les fournisseurs d'accès à Internet (FAI). En bloquant deux protocoles d'échange d'information vitaux, le pays a été coupé du reste de la Toile en quelques heures.
Sans aller jusqu'à ces extrémités, de nombreux pays exercent aussi un contrôle très fort sur le réseau. Des contenus contraires aux lois nationales sont ainsi bloqués dans la plupart des pays autoritaires, mais aussi dans des démocraties : en France, la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage des sites qui n'ont pas reçu un agrément. En Australie, un vaste projet de filtre a été repoussé à plusieurs reprises devant les difficultés techniques et politiques. Ces systèmes de filtrage ne sont en effet pas infaillibles, mais les solutions de contournement peuvent être relativement complexes à utiliser.
L'organisation de défense de la liberté d'expression Reporters sans frontières publie chaque année un classement des pays qui censurent Internet. Dix pays sont classés par RSF comme "ennemis d'Internet" en raison de la censure draconienne qu'ils exercent sur le réseau. Parmi eux, la Chine, la Birmanie et l'Iran, où les activités des internautes sont également espionnées. La Russie, le Venezuéla ou la France sont, eux, classés comme "pays sous surveillance" en raison de lois en vigueur qui permettent de filtrer des sites Web.
POUR CHAQUE ORDINATEUR
Au sein d'un même pays, plusieurs acteurs peuvent exercer un contrôle sur la manière dont les utilisateurs accèdent à Internet. Les fournisseurs d'accès disposent théoriquement d'importants pouvoirs : ils peuvent par exemple bloquerou ralentir certains types de trafic, par exemple le téléchargement en P2P. Depuis la création du Web, une règle non-écrite, dite de "neutralité du Net", prévoit que les opérateurs ne font pas de discrimination des contenus circulant sur le réseau : quel que soit l'utilisateur ou le type de données, toutes les informations doivent théoriquement circuler à la même vitesse.
Mais les FAI, qui se plaignent d'engorgements suite au développement exponentiel du Web, souhaitent pouvoir, dans certains cas, s'affranchir de cette règle. Pour des raisons de gestion du réseau, estiment-ils, il serait par exemple souhaitable de pouvoir donner la priorité à certains "paquets" d'informations au détriment d'autres, comme les vidéos en ligne par exemple. Dans certains pays, et notamment aux Etats-Unis et au Canada, les FAI brident également la vitesse de connexion et la quantité de données téléchargeables par les internautes.
En bout de chaîne, l'internaute est également soumis au contrôle de son réseau local, s'il n'est pas directement connecté à Internet. En pratique, ce sont souvent les entreprises qui détiennent le plus de pouvoir sur la connexion d'un internaute. Il est en effet plus simple de filtrer un réseau de petite taille que de le faire à l'échelle d'un pays.
Une technologie qui intéresse Etats et entreprises
Surveillance « profonde » sur Internet(DPI)
Quand une dictature s’effondre, on peine à comprendre comment elle pouvait se maintenir. En Libye, en Egypte ou en Tunisie, la réponse se trouve pour partie dans la surveillance systématique des communications. A l’aide de matériel fourni par des sociétés américaines et européennes trouvant là des clients décomplexés, ainsi qu’un terrain où tester leurs techniques à grande échelle.
Visitant, après la chute de Tripoli, un centre destiné à l’écoute de la population, la journaliste du Wall Street Journal Margaret Coker a pu constater que tout y était surveillé : le réseau Internet, les téléphones mobiles et les connexions (Internet et téléphone) par satellite. Dans certains dossiers figuraient, entre autres choses, des courriels ou des extraits de conversations en ligne d’opposants au régime de Mouammar Kadhafi. Sur les murs du centre, des affichettes de l’entreprise qui avait mis en place cette installation : Amesys, une filiale de la société française Bull (1). Le Canard enchaîné révélera par la suite que la direction du renseignement militaire (DRM) avait été sollicitée pour aider à la formation des « surveillants » libyens (2).
En Syrie, c’est du matériel américain qui permet au régime de M. Bachar Al-Assad de censurer Internet et de récupérer comme bon lui semble les identifiants et mots de passe des citoyens, afin d’accéder à leurs messageries électroniques ou à leurs comptes sur les réseaux sociaux Facebook et Twitter. Un outil particulièrement efficace pour reconstituer les interactions d’un opposant avec des appuis intérieurs ou extérieurs. Les technologies employées portent le doux nom de Deep Packet Inspection (DPI, en français « inspection en profondeur des paquets »). Lorsqu’on envoie un courriel, des dizaines de machines se relaient pour l’acheminer. Se contentant de consulter l’adresse de destination, elles n’en regardent pas le contenu et le transmettent directement au voisin. De proche en proche, le courrier parvient à bon port. Comme l’explique Jonathan Zittrain, spécialiste du droit d’Internet, « c’est un peu comme dans une soirée avec des gens polis. Si vous êtes trop loin du bar et qu’il y a trop de monde pour s’en approcher, vous demandez à votre voisin de vous faire parvenir une bière. Il demande alors à son voisin qui est, lui, un peu plus proche du bar, etc. En fin de compte, votre demande parvient jusqu’au bar et la bière revient par le même chemin. Comme tout le monde est poli, personne n’a bu dans votre verre pendant l’opération (3) ».
Avec le DPI, c’est une autre vision de l’Internet qui se met en place. Moins polie. Que diriez-vous si votre voisin analysait votre commande et commençait par vous faire la morale ? Ou s’il décidait de changer le contenu de votre verre, pour y verser de l’eau, ou un euphorisant plus fort ? C’est ce que permettent les techniques de DPI : lire le contenu des conversations, les modifier, les envoyer à quelqu’un d’autre…
Sur ce marché, Amesys n’est pas isolée. Qosmos, autre société française, vient de se faire épingler par Bloomberg. L’agence de presse américaine a en effet révélé qu’elle avait fourni des sondes DPI à un consortium chargé d’équiper la Syrie sur le même modèle que la Libye de Kadhafi (4). En Chine, les technologies de DPI sont au cœur du grand pare-feu qui permet au gouvernement de censurer les conversations et d’espionner les citoyens.
Savoir qui télécharge quoi
De fait, comme le montre la récente divulgation par le site WikiLeaks de nombreux documents internes de ces sociétés, la surveillance des réseaux de communication est « une nouvelle industrie secrète recouvrant vingt-cinq pays. (…) Dans les histoires d’espionnage traditionnelles, les agences de sécurité comme le MI5 britannique mettent sur écoute le téléphone d’une ou deux personnalités intéressantes. Au cours des dix dernières années, les systèmes de surveillance massive et indiscriminée sont devenus la norme (5) ». Un peu plus tôt, le Wall Street Journal avait publié plus de deux cents documents marketing émanant de trente-six sociétés proposant aux autorités antiterroristes américaines divers outils de surveillance et de piratage (6).
Aux Etats-Unis, le DPI a connu son heure de gloire en mai 2006 : M. Mark Klein, ancien technicien de AT&T (gros fournisseur d’accès Internet américain), sort alors du silence. Il dénonce l’installation chez son ancien employeur, et donc au cœur du réseau Internet américain, de produits de la société Narus. Maître d’œuvre, la fameuse National Security Agency (NSA), qui a conçu dans les années 1980-1990 le projet Echelon (7). La devise de Narus : « See clearly. Act swiftly » (« Voir clair. Agir vite »). Créé en 1997, cet éditeur de technologie DPI, avec ses cent cinquante employés, a levé 30 millions de dollars en 2006, et a été racheté par Boeing en 2010. Ses produits auraient été installés en Egypte à l’époque de M. Hosni Moubarak (8).
Parmi les flux d’informations qui transitent par Internet, les opérateurs de télécommunications voient passer des sites, des courriers électroniques, des discussions en temps réel, des échanges vocaux, de la vidéo, des discussions asynchrones, des données brutes, etc. La plupart de ces flux sont échangés en clair, sans chiffrement cryptographique. Il est donc aisé, pour le pirate du dimanche comme pour les services de sécurité étatiques, de les placer sur écoute.
Mais certains acteurs privés trouvent aussi un intérêt dans ces technologies. Les opérateurs de télécommunications comme Free, SFR ou Orange commencent à se plaindre de voir passer sur leur réseau des masses de données en provenance d’acteurs qui ne payent pas pour ce transport. Par exemple, les fournisseurs d’accès à Internet (FAI) trouvent désagréable de payer pour les vidéos en provenance de YouTube, qu’ils sont obligés de servir à leurs abonnés. D’où l’idée de facturer un supplément à l’émetteur des données ou à l’utilisateur final, ou encore de ralentir sélectivement certains flux, pour en privilégier d’autres. Mais, pour cela, il est indispensable de mesurer avec précision ce qui passe dans les tuyaux.
De même, les opérateurs de téléphonie mobile ont décidé, pour essayer de limiter leurs coûts d’infrastructure, de ne fournir à leurs usagers qu’un accès bridé à Internet. Ils interdisent donc aux utilisateurs de téléphones « intelligents » de procéder à des échanges de fichiers en pair-à-pair ou d’utiliser des outils de communication vocale ou vidéo tels que Skype.
Là encore, c’est le DPI qui leur permet de pratiquer la surveillance et la gestion des flux, d’allouer une « bande passante » supérieure à certains services (par exemple, ceux qu’ils éditent…). En contradiction avec la notion de « neutralité du réseau », qui affirme que le rôle du fournisseur d’accès est de faire transiter sans discrimination toutes les données demandées.
Appliqué à la navigation sur le Web, le DPI permet de garder une trace de tout ce que vous y faites. Les professionnels du marketing se frottent les mains et rêvent d’exploiter ces données. Orange a d’ailleurs tout récemment lancé une offre « Orange préférence », reposant sur du DPI, qui se propose, avec l’accord de l’abonné, d’analyser les sites Web qu’il visite pour lui proposer ensuite des offres commerciales ultraciblées. De quoi permettre aux FAI de devenir aussi rentables que Facebook et Google. A condition que ces programmes de fidélisation-surveillance attirent des abonnés ; mais il suffira de clamer que les données sont anonymisées pour en faire un produit parfaitement commercialisable.
Le lecteur curieux pourra consulter la page « Data Privacy » du site de GFK, un groupe international de recherche en marketing actionnaire de Qosmos : s’il évoque, banalement, les cookies des navigateurs Internet, il omet d’expliquer qu’il utilise aussi, pour « tracer » les visiteurs des sites Internet, une technologie DPI, prétendument « anonymisée » par une recette connue de lui seul. GFK est présent dans plus de cent cinquante pays, et pas uniquement de grandes démocraties…
Le DPI attire aussi les sociétés d’ayants droit et les détenteurs de copyright qui souhaitent lutter contre les échanges de fichiers « illégaux » sur les réseaux en pair-à-pair ou les sites de téléchargement direct, du type Megaupload. Savoir précisément quel internaute tente de télécharger tel ou tel film ou fichier musical, et réussir à lui en bloquer l’accès, ne peut se faire qu’avec une infrastructure de surveillance « profonde » et répartie sur l’ensemble des points d’échange de données que sont les FAI.
Un autre marché naturel du DPI est la surveillance légale. La police a parfois besoin d’écouter ce que fait un particulier, dans le cadre d’une instruction judiciaire, sous le contrôle d’un juge et, en France, de la Commission nationale de contrôle des interceptions de sécurité. Cependant, il s’agit d’un marché de niche, ne concernant qu’une très faible partie de la population. A moins de tabler sur une nouvelle augmentation fulgurante des budgets consacrés à l’antiterrorisme, il paraît sage pour les entreprises du secteur de rechercher d’autres débouchés commerciaux.
C’est là qu’interviennent les gouvernements d’Etats policiers, qui souhaitent écouter toute la population. Grâce à ces pays, les logiciels de surveillance sont testés en grandeur nature. La Tunisie de M. Zine El-Abidine Ben Ali bénéficiait ainsi de rabais pour des systèmes où subsistaient encore des bugs. Quant à Amesys, la Libye a sans conteste été une expérimentation grandeur nature de ce que peut faire (ou pas) son logiciel Eagle (9). Alcatel opère de même en Birmanie (10). De fil en aiguille, l’exploitation des données récoltées par le DPI facilite les arrestations. La torture fait le reste, les bourreaux reprenant les bonnes vieilles techniques qu’ils connaissent et qui donnent des résultats.
Probablement intrigué par la présence massive d’entreprises européennes sur ce type de marchés, le Parlement européen a passé une résolution destinée à proscrire la vente à l’étranger de systèmes de surveillance des appels téléphoniques et des textos, ou fournissant une surveillance ciblée d’Internet, s’ils sont utilisés pour contrevenir aux principes démocratiques, bafouer les droits humains ou la liberté d’expression (11). Le 1er décembre 2011, le Conseil de l’Union européenne, durcissant les mesures restrictives à l’égard du régime syrien, a ainsi interdit « les exportations d’équipements et de logiciels destinés à la surveillance d’Internet et des communications téléphoniques ».
Mais la fourniture de produits d’écoute globale reste mal encadrée sur le plan juridique. Il est aisé pour les producteurs de passer entre les mailles du filet. D’autant que les législations sont diverses. Les autorisations données par le gouvernement ne sont pas publiées. Et les logiciels de ce genre ne sont pas considérés stricto sensu comme des armes.
Journaliste, Reflets.info