Octave Klaba, le président-fondateur d'OVH qui a renoncé à quitter la France, a pris la plume pour tenter de rassurer ses clients sur la portée du projet de loi Renseignement et de ses fameuses boîtes noires. Mais dit-il vrai ? Nous avons vérifié.

Lorsque nous avons fait le vrai/faux du vrai/faux du Gouvernement sur le contenu réel du projet de loi Renseignement, nous ne nous attendions pas à devoir faire quelques semaines plus tard un vrai/faux du point de vue d'OVH sur la loi adoptée par le parlement. Et pourtant l'hébergeur français nous y oblige, lui qui avait fait partie du vent de rébellion en menaçant de déménager si les boîtes noires prévues dans la loi Renseignement étaient adoptées. Elles l'ont été, et OVH restera en France.

OVH a en effet publié mercredi une auto-interview de son président-fondateur Octave Klaba, qui "revient en détail sur les conséquences réelles de cette loi, pour les hébergeurs, les FAI et leurs clients", et tente surtout de les rassurer, comme l'avait fait son concurrent Gandi dans un premier temps, avant de repartir à la charge. Mais alors que Gandi s'est toujours montré prudent avec les promesses qui lui ont été faites par le gouvernement, OVH ne prend aucune distance et relaie comme des faits acquis ce qui ne transparaît pas dans la loi.

Donc, allons-y :

1. "La loi (au sujet des boîtes noires) s’applique uniquement dans le cadre de la lutte antiterroriste. Elle ne peut pas être appliquée pour d’autres cas, par exemple l’activisme politique"

Le texte du projet de loi adopté par les députés dit effectivement que les boîtes noires ne peuvent être ordonnées que "pour les seuls besoins de la prévention du terrorisme". Les six autres critères permettant aux services de renseignement de glaner des informations sont exclus du dispositif. Mais encore faut-il savoir ce qu'est la "prévention du terrorisme". Il est assez cocasse qu'OVH précise que la loi ne peut donc pas être appliquée contre "l'activisme politique", alors que la lecture du Monde d'aujourd'hui montre que Julien Coupat est renvoyé en correctionnelle officiellement pour terrorisme, mais précisément pour une forme d'activisme politique qui n'a débouché sur aucun acte terrorisme au sens où l'entend le grand public. Rien de plus politique que la désignation d'un adversaire comme "terroriste". Même le juge anti-terroriste Marc Trévidic le disait : "ce n'est pas la vérité que l'on cherche dans l'anti-terrorisme".

2. "Les demandes doivent être ciblées et précises. (…) Par exemple, on doit nous préciser l'IP ou l'e-mail qui doit être écouté"

Absolument rien dans le texte de la loi ne dit que les demandes doivent être "ciblées et précises". L'article 2 de la loi dispose que le Premier ministre peut imposer aux FAI et hébergeurs "la mise en oeuvre sur leurs réseaux d'un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés". Il précise que l'ordre doit préciser "le champ technique de la mise en oeuvre" de l'algorithme, et respecter le "principe de proportionnalité", mais ce n'est pas là un langage suffisant pour dire que la collecte sera "ciblée et précise". En tout état de cause, absolument rien ne permet de dire que l'Etat devra préciser par exemple l'adresse IP d'un serveur sous surveillance, ou une adresse e-mail. Ce sont là des explications fournies lors d'une réunion avec les services de l'Etat, mais ce ne sont pas des promesses retranscrites dans la loi. Et le décret qui doit traduire les promesses sera classifié, donc même si l'Etat trahit ses engagements oraux, rien ne permettra de le savoir. Qui plus est, les engagements d'un gouvernement n'engagent pas le gouvernement suivant…

3. "la demande ne peut pas porter sur le contenu des communications elles-mêmes. Si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées sur l’IP écoutée. Si la demande est une boîte d’e-mail, les métadonnées sont une liste des adresses e-mails qui ont communiqué avec la boîte e-mail écoutée"

Là, c'est à la fois vrai et faux. C'est vrai que les boîtes noires n'auront en principe accès qu'aux données de connexion et autres métadonnées, et pas au contenu lui-même. Est-ce rassurant ? Absolument pas, tant les métadonnées peuvent être plus intéressantes que le contenu d'une communication. Il ne s'agit pas de savoir qui dit quoi, mais de savoir qui communique avec qui, dans quel contexte, à quel endroit, s'ils se rencontrent, s'ils parlent uniquement à distance, s'ils chiffrent leurs communications ou s'ils parlent en clair, etc., etc. Comme l'avait résumé un tweet fort à propos :

Par ailleurs, c'est un grand "si", lorsque OVH dit que "si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées". Ce n'est pas du tout ce que dit la loi, et ce n'est pas non plus ce qu'a expliqué le gouvernement lors des débats. Il s'agit de croiser différentes informations pour dégager ceux dont le comportement général a des caractéristiques identiques à celles identifiées chez des terroristes en puissance. "On sait quels sont leurs comportements et on sait, par conséquent que, par la mobilisation de techniques ciblées, il est possible de prévenir leurs actes en regardant sur internet la manière dont ils se comportent", avait expliqué Bernard Cazeneuve.

4. "la récupération des métadonnées doit être assurée par l’hébergeur lui-même. Il n’y a donc ni intervention d’une personne extérieure ni installation de boîtes noires au sein de datacentres"

Là encore il s'agit de promesses du gouvernement, mais pas exactement de ce que dit la loi. OVH fait référence implicitement à la disposition ajoutée au cours des débats, qui prévoit que les boîtes noires devront être installées par eux. Mais l'article précise qu'elles doivent l'être dans les conditions fixées par l'actuel article L242-9 du code de la sécurité intérieure, lequel dit que les opérations ne peuvent être effectuées "que sur ordre du ministre chargé des communications électroniques". Rien ne dit que les hébergeurs sont maîtres des flux entrants et sortants. En tout état de cause, l'hébergeur doit suivre les instructions qui lui sont données sous le sceau du secret défense.

5. "L’exécution de la demande ne relève plus du cadre de l’urgence, c’est-à-dire qu’elle doit passer par une commission de contrôle qui doit donner son avis au préalable"

C'est effectivement une précision ajoutée lors des débats. Aucune boîte noire ne pourra être installée sans l'avis préalable (consultatif et non impératif) de la Commission nationale de contrôle des techniques de renseignement. Celle-ci aura-t-elle la pleine compréhension de ce que feront les algorithmes censés détecter les suspects ? Un des membres de la CNCTR sera désigné par l'Arcep, et il a été promis que des ingénieurs télécoms seraient recrutés pour l'épauler dans cette difficile mission de contrôle.

6. "Pour nos clients hébergement français et étrangers, il n’y a pas de changements, sauf si le client a une activité terroriste"

OVH part du principe que les boîtes noires seront filtrées en amont pour ne collecter que les communications à destination de clients déjà connus des services de renseignement, qui hébergent leur site terroriste ou leur adresse e-mail chez OVH. On ne reviendra pas sur le fait que la loi ne dit pas cela. Partons juste du principe que ce soit effectivement le cas. Est-ce que Islamic News, qui était hébergé chez OVH et a été bloqué pour "apologie du terrorisme" (mais en réalité pour ses opinions politiques dérangeantes), avait une "activité terroriste" ? Certainement pas. Et pourtant c'est bien l'intention du gouvernement, explicitée comme telle lors des débats parlementaires, que de regarder qui regarde et diffuse quelles propagandes sur internet.

Par ailleurs, même en admettant qu'aujourd'hui l'algorithme des boîtes noires soit d'une simplicité enfantine, la nécessité de supprimer des faux positifs pourrait conduire les services de renseignement à vouloir collecter toujours davantage de données sur des sites qui ne sont pas directement intéressants pour dresser le profil d'un terroriste, mais qui permettent de vérifier que le comportement de tel individu n'a rien de problématique, et l'écarter des listings. C'est la somme de toutes les informations, à charge et à décharge, qui fera le "profil terroriste" recherché.

Enfin il est intéressant d'apprendre à cette occasion qu'OVH laissera des clients avoir une "activité terroriste" sur ses services, en toute connaissance de cause, pour permettre aux services de renseignement de les espionner. OVH devra-t-il demander l'autorisation à la DGSI avant de fermer un site qui ferait explicitement l'apologie d'attentats ?

Partager sur les réseaux sociaux

Articles liés