La surveillance d’Internet : qui est à l’œuvre ?

Comment fonctionne Internet ? Comment la surveillance de la Toile est-elle organisée ? Voilà ce que se propose de montrer une recherche inédite portant sur les données qui transitent sur Internet et menée par ARTE, OpenDataCity, RTSdécouverte et la SRF. En partant des adresses IP, il est en effet possible de voir comment le transport des données s’effectue par-delà les frontières. Les datavisualisations qui ont déjà pu être réalisées ne sont qu’un début. Le 10 avril, le tableau final sera dévoilé.

Dans le langage courant, Internet et la Toile, autrement dit le World Wide Web (WWW), sont souvent utilisés comme des synonymes : Internet s’apparente au réseau mondial et le réseau mondial, c’est Internet. Or, il existe une considérable différence d’ordre technique entre Internet et le Web. Internet pourrait être comparé à une infrastructure de transports : les paquets de données fusent à travers un réseau d’ordinateurs comme les voitures sur le réseau routier. D'innombrables services expédient les paquets de données. Parmi eux, la messagerie électronique, la téléphonie par Internet, le transfert de données, et bien sûr le Web. Les navigateurs comme Mozilla Firefox ou Google Chrome servent de chemin d’accès au Web.

Depuis les révélations choc du lanceur d’alertes Edward Snowden sur les programmes d’espionnages de la NSA (National Security Agency) et de son homologue britannique du GCHQ (Government Communications Headquarters), il ne fait plus aucun doute que la circulation numérique de données est systématiquement surveillée et répertoriée. Les visualisations donnent à voir les itinéraires empruntés par les paquets de données lors de l’utilisation de services populaires comme le moteur de recherches Google ou le réseau social Facebook. Elles montrent également les entreprises qui travaillent main dans la main, se jouant des frontières nationales.

 

Les programmeurs de l’agence allemande OpenDataCity ont identifié les itinéraires empruntés par les paquets de données à travers les réseaux d’Internet à partir des adresses IP. Ce système d’adresses propre à Internet est géré par une société à but non lucratif, la Société pour l’attribution des noms de domaine et des numéros (Internet Corporation for Assigned Names and Numbers ou Icann). Cette autorité de régulation est mandatée par le Département du commerce des Etats-Unis. En mars 2014, ce dernier a fait part de son intention de placer des secteurs clés de cette organisation, notamment l’autorité en charge des adresses IP (Internet Assigned Numbers Authority ou Iana), hors de l’influence du gouvernement américain à compter de l’automne 2015.

Iana contrôle la zone racine du DNS, véritable point d’ancrage du système d’adresses du Net. En Europe, cette tâche incombe aux Réseaux IP Européens (RIPE). Grâce aux données collectées par RIPE, il est possible d’étudier les points d’échange des FAI (fournisseurs d’accès Internet) et des prestataires du numérique. Les recherches menées par ARTE, OpenDataCity, la RTS (radiodiffusion suisse en langue française) et la SRF (radiodiffusion suisse en langue allemande) montrent pour la première fois comment ces derniers dirigent le flux de données et agissent en quelque sorte comme les agents de la circulation du Net. L’intégralité des résultats de cette étude sera publiée le 10 avril.  

 

L’échange de données entre les opérateurs réseau comme Deutsche Telekom, Orange (anciennement France Télécom) ou Swisscom a lieu en des points d’échanges (Internet exchange point ou IXP). Pour l’Allemagne, la Suisse et la France, les principales plaques tournantes d’échange du trafic Internet sont DE-CIX à Francfort, SwissIX à Zurich et PARIX à Paris. L’échange de données est désigné par le terme de peering (appairage) et régi par des accords mutuels. En règle générale, le trafic de données d’un FAI est redirigé gratuitement sur le réseau d’un autre FAI. Voilà comment les frontières nationales sont franchies.

Le programme britannique d’espionnage Tempora travaille sur ces points d’échanges. Il comprend deux volets, comme l’ont montré les archives dévoilées par Edward Snowden. D’après le Guardian, « les ambitions des services secrets sont affichées rien que dans les intitulés de leurs deux principales composantes : Mastering the Internet (dominer Internet) et Global Telecom Exploitation (l’exploitation des télécommunications mondiales). Avec pour objectif de passer au crible le maximum de communications Internet ou téléphoniques. »

C’est ainsi que les services secrets britanniques du GCHQ siphonnent grâce à Tempora les comptes Internet et les connexions transatlantiques. Ils s’attaquent au trafic de données qui emprunte le réseau transatlantique en fibre de verre transitant par le Royaume-Uni. Au passage, les données sont préalablement conservées pendant une durée maximale de 30 jours. Principales cibles de cette surveillance : les e-mails, les informations issues des réseaux sociaux et les conversations téléphoniques.

En Suisse, le Conseil national a récemment adopté la nouvelle loi sur les services de renseignement par 119 voix pour, 65 voix contre et 5 abstentions. Le SRC (Service de renseignement de la Confédération) voit ses compétences élargies. Avec l’entrée en vigueur de cette loi, le SRC pourra prendre des mesures jusque-là juridiquement impossibles pour se procurer des informations.

 

Une de ces mesures de surveillance concerne « l’exploration du réseau câblé ». Elle rappelle d’ailleurs ce qui se passe outre-Manche avec Tempora. Car d’après la loi, le SRC est désormais habilité à enregistrer « les signaux transmis par réseau filaire qui traversent la Suisse, afin de rechercher des informations sur des événements importants en matière de politique de sécurité se produisant à l’étranger ». L’habilitation est également valable dans le cas d’une « menace pour la sécurité intérieure » ainsi que pour « préserver les intérêts nationaux d’une grande importance ». Ce qui veut dire que seules les données transitant par la fibre de verre suisse vers des fournisseurs étrangers peuvent être surveillées. Car si l’expéditeur et le destinataire se trouvent tous deux en Suisse, l’utilisation des données collectées est interdite. Sauf que lorsqu’un e-mail est envoyé de Zurich à Genève, il peut être redirigé sous forme de paquet de données vers des fournisseurs étrangers si les deux adresses ne sont pas enregistrées auprès d’un même FAI suisse.

Par Sylke Gruhnwald, Michael Kreil et Kay Meseberg