Intervention de Jean-Marc Manach

Merci de votre invitation. Journaliste sur Internet, j'ai commencé à me pencher sur les questions dont nous parlons au moment des révélations de Duncan Campbell sur le système Echelon. En 2001, aucun guide n'existait pour expliquer au grand public comment utiliser les outils de chiffrement : c'est en traduisant des modes d'emploi que je me suis familiarisé avec les systèmes de surveillance des télécommunications, et appris comment on pouvait s'en protéger. J'ai ainsi été conduit, notamment, à travailler sur l'affaire Amesys, entreprise française qui a conçu un système de surveillance de masse au profit du régime de Mouammar Kadhafi.

Lors de ma précédente audition dans cette enceinte, au lendemain des premières révélations de l'affaire Snowden sur l'interception des métadonnées par la National Security Agency (NSA), j'avais parlé d'« hystérie médiatique » car, si ces révélations n'étaient pas nouvelles, c'est la première fois qu'elles acquéraient une dimension médiatique mondiale ; depuis, le volume des documents révélés par Edward Snowden m'a conduit à revenir sur cette expression. Naguère, lorsque j'évoquais la « société de surveillance », on m'accusait souvent de paranoïa ; mais depuis l'affaire Snowden, tout le monde est devenu paranoïaque, et c'est bien le problème. Beaucoup de gens ont entendu dire dans les médias que la NSA espionne tout et, parce qu'ils ignorent le fonctionnement des systèmes de surveillance, en ont conclu que la Direction générale de la sécurité extérieure (DGSE) en faisait de même sur notre sol : c'est ce que laissait entendre, en juillet dernier, un article à la une du journal Le Monde. Il reposait sur l'un de mes propres articles, publié suite à une conférence du directeur technique de la DGSE, qui expliquait que la France était dans le « top 5 » des nations en matière d'interception des télécommunications. Après vérification, j'en suis arrivé à la conclusion que, si la DGSE est en effet capable d'espionnage à grande échelle, elle ne surveille pas l'intégralité des télécommunications en France : cela se verrait.

Ces vérifications, j'ai été amené à les faire à trois reprises, suite à des unes du Monde qui se sont révélées fausses, s'agissant par exemple de la prétendue surveillance, par la NSA, de 70 millions de communications téléphoniques en France – en réalité, il s'agit de métadonnées captées par la DGSE à l'étranger, et partagées avec son homologue américaine. On a aussi prétendu que la société Orange était un partenaire privilégié du Government communications headquarters (GCHQ), auquel elle fournirait des données relatives à ses abonnées français. Je n'ai pas de preuves que c'est faux, mais beaucoup d'indices me laissent plutôt penser que le GCHQ s'intéresse bien davantage aux clients d'Orange établis au Mali ou au Nigeria qu'à ceux qui le sont sur notre sol. Pourquoi, de plus, Le Monde n'évoquait-il que les abonnés français ? L'explication tient sans doute à la paranoïa que les révélations d'Edward Snowden ont suscitée : certains se sont réveillés avec, passez-moi l'expression, une « gueule de bois » qui leur inspire une défiance générale. Cette attitude est dangereuse en démocratie.

Même si j'ai un certain nombre d'idées sur le sujet, j'ignore les pratiques des services de renseignement en France ; en tout état de cause, si la surveillance devait être massive, elle serait plutôt le fait de la Direction générale de la sécurité intérieure (DGSI) que de la DGSE. Toutefois, aucun indice ne me conduit à penser que les services de renseignement français violent la loi, et je n'ai pas de raison de douter des propos de M. Delarue. Selon ses dires, toute interception, en France, s'opère sur une personne déterminée ; mais quid, alors, des « IMSI-catcher » (International Mobile Subscriber Identity), qui, semblables à des cellules téléphoniques, permettent d'intercepter les numéros de tous les utilisateurs situés dans leur zone ? J'ignore si les services utilisent de tels appareils – comme le font, à en croire la presse américaine, des forces de police aux États-Unis –, profitant ainsi de la loi de 1991 – qui exclut la surveillance du spectre hertzien du contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) – pour identifier des manifestants à Sivens, à Notre-Dame-des-Landes ou près de certaines mosquées. C'est en tout cas une possibilité que leur offre notre droit.

La culture du renseignement fait cruellement défaut. J'ai moi-même eu à me former à la sécurité informatique, auprès de hackers, afin de protéger mes sources. Les professionnels soumis au devoir de confidentialité découvriront, sur le site de la Commission nationale de l'informatique et des libertés (CNIL), comment leurs communications peuvent laisser des traces sur Internet, mais pas comment les protéger. Le site de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) contient également un guide du voyageur, où il est recommandé, lors des déplacements à l'étranger, d'utiliser un ordinateur vierge, de se connecter via un réseau privé virtuel – virtual private network, VPN – aux données restées en France, puis, une fois revenu, de confier l'ordinateur au responsable de la sécurité informatique de l'entreprise ou de l'administration afin de vérifier qu'aucun logiciel espion n'a été installé. Créé en 2008 seulement, le portail « securite-informatique.gouv.fr » n'a pas été mis à jour depuis décembre 2013, alors qu'il s'est passé beaucoup de choses en la matière depuis cette date. Il n'existe à ce jour aucun manuel grand public pour expliquer, notamment aux personnes soumises au secret professionnel, comment protéger les données. Le problème n'est pas législatif mais politique, car on ne pourra jamais dissuader les services des grands pays de mener des opérations d'espionnage ; c'est donc aux usagers eux-mêmes de se protéger à travers le chiffrement, dont nous répétons depuis des années qu'il devrait être une fonctionnalité par défaut des logiciels. L'affaire Snowden est de nature à favoriser l'écoute de notre message par les pouvoirs publics et économiques ; jamais autant d'informaticiens n'ont oeuvré à « durcir l'Internet », selon le mot de Bruce Schneier. Il faut faire en sorte que l'accumulation des couches de cryptage rende toute surveillance inutile : bien que la NSA ou la DGSE, entre autres, aient engagé de vastes campagnes pour déjouer le chiffrement, nos idées ont le vent en poupe, ce qui n'était pas le cas avant l'affaire Snowden.