internet-surveillance-espionnage

Une police “aux grandes oreilles”

RENSEIGNEMENT/C’est une petite révolution pour la police monégasque. Les écoutes administratives sont désormais autorisées à Monaco. Qui sera concerné par ces interceptions ? Et quels garde-fous le législateur a-t-il prévu pour préserver les libertés individuelles ? Les précisions du directeur des services judiciaires, Philippe Narmino.

Pas question de créer un vent de panique… Il n’y aura pas des écoutes de masse en principauté, le ministre d’Etat ne sera pas un tyran « aux grandes oreilles », et le système mis en place à Monaco est « l’un des plus protecteurs en Europe » en termes de libertés individuelles… C’est en substance le message martelé par les autorités judiciaires et administratives depuis qu’une nouvelle loi sur la sécurité intérieure — votée le 6 juillet dernier au conseil national — autorise les écoutes administratives (et pas que des écoutes !) à Monaco. Ce nouveau texte, qui a suscité des débats musclés entre élus et membres du gouvernement, donne des moyens supplémentaires et très sophistiqués à la police pour surveiller, écouter ou capter des images d’individus suspects. Objectif : éviter que des infractions graves ne soient commises sur le territoire monégasque. « Il s’agit de pouvoir déceler une éventuelle menace terroriste ou autre, et de surveiller les suspects », avait résumé le prince Albert dans une récente interview.

« A titre exceptionnel »

Pour le directeur des services judiciaires, Philippe Narmino, cette loi est clairement « une petite révolution » dans le droit monégasque. Et pour cause. Jusqu’à ce texte, les seules écoutes légales étaient celles décidées par un juge, dans le cadre d’infractions généralement déjà commises (1)«Monaco met donc un pied dans ce système de police administrative tel qu’on le voit fonctionner dans d’autres pays, et qui suscite parfois crainte et méfiance », souligne-t-il. Mais il l’assure : ces méthodes anticipatives de surveillance, particulièrement intrusives, seront très encadrées et enclenchées uniquement « à titre exceptionnel ». Pas question donc, martèle-t-on, « d’écouter n’importe qui, pour n’importe quelle raison… » C’est l’article 9 de la loi qui définit dans quel cadre la police administrative peut agir. Le texte cite notamment « la prévention du terrorisme, de la criminalité et de la délinquance organisées », « la prolifération des armes de destruction massive », mais aussi « la prévention de toute forme d’ingérence étrangère », ou encore « le maintien de l’indépendance et des institutions de la Principauté, l’intégrité de son territoire, la sécurité et la sauvegarde de sa population. »

Des écoutes mais pas que…

Précision importante : le texte ne concerne pas uniquement les écoutes téléphoniques. Loin de là… La loi mentionne, plus globalement, « l’interception de correspondances émises par voie électronique et autres mesures de détection ». Derrière ce long énoncé, il faut comprendre que les mails, les sms ou encore les messages transmis via des logiciels informatiques ou mobiles, pourront aussi être interceptés. La police administrative pourra ainsi faire de « la captation de parole et d’image dans des lieux publics et privés », mais aussi de la localisation en temps réel d’une personne à l’aide, pourquoi pas, « d’une puce » placée par exemple dans un véhicule ou un lieu privé. « On se rapproche un peu des séries américaines… », sourit à ce propos Philippe Narmino.

Une commission comme garde-fou

Reste à voir qui décide de mener ces interceptions ? En tout premier lieu, c’est le directeur de la sûreté publique qui enclenche le processus. Si celui-ci a des soupçons sur la dangerosité d’un individu (et souhaite le placer sur écoute), il fait une demande officielle et motivée au ministre d’Etat qui valide, ou non, cette requête. Histoire d’encadrer le dispositif et de préserver les libertés individuelles, les autorités monégasques ont prévu plusieurs garde-fous. Ainsi, si le ministre d’Etat valide l’interception, une commission indépendante composée de trois membres (voir encadré) doit être obligatoirement saisie dans un délai de 24 heures. Celle-ci doit contrôler si la procédure d’écoute est raisonnable et légitime. Elle a 48 heures pour se prononcer. Si les trois membres estiment que « les conditions de régularité de l’interception ne sont pas réunies », ils adressent alors au ministre d’Etat « une recommandation, demandant que cette opération soit interrompue ou suspendue. » Le chef du gouvernement peut alors choisir de se rallier à l’avis de la commission en stoppant l’opération. Dans ce cas, les informations déjà recueillies devront être détruites « sans délai ». Mais le ministre d’Etat peut aussi décider de poursuivre le processus s’il estime « que les intérêts fondamentaux de la principauté » sont menacés. Il devra alors adresser une requête au président du tribunal suprême, qui aura donc le dernier mot. « Si la requête du ministre d’Etat est rejetée par le tribunal suprême, toutes les mesures provisoires d’enregistrement, de contrôle, de captation d’image ou d’écoute déjà effectuées, seront détruites et cesseront immédiatement », assure Philippe Narmino. Face aux craintes des élus, le gouvernement a tout de même accepté qu’un bilan de la loi soit effectué tous les ans. Une « mesure sage », selon le directeur des services judiciaires. « Ainsi, si l’on constate des glissements qui paraissent néfastes, on pourra les corriger. Si, au contraire, le système fonctionne bien, on pourra le pérenniser ». Rendez-vous donc dans un an, pour un premier bilan.

(1) La loi 1 430 « portant diverses mesures relatives à la préservation de la sécurité nationale », rappelle qu’à Monaco les écoutes judiciaires ou administratives sauvages, c’est-à-dire non autorisées par un juge, ou qui sortent du cadre légal de cette nouvelle loi, seront punies de cinq ans d’emprisonnement et d’une forte amende.

En Bref/

Une commission comme sentinelle

Les trois membres de la commission (et leurs suppléants) ont été nommés par ordonnance souveraine. Il s’agit de maître Frédéric Sangiorgio, avocat-défenseur honoraire et président de la commission, Christophe Steiner, actuel président du conseil national, et un juge des libertés. Ce magistrat du siège sera désigné à tour de rôle par le président du tribunal de première instance. _S.B.

Les professions épargnées

Plusieurs professions ne seront pas concernées par ces dispositifs de surveillance. C’est le cas des avocats, des conseillers nationaux et des journalistes. La loi précise que les interceptions « ne peuvent concerner ni le véhicule, ni le bureau, ni le domicile d’un avocat, du bâtonnier, d’un conseiller national ou du président du conseil national. » Elles ne peuvent pas concerner non plus « les locaux d’une entreprise de presse, d’une entreprise de communication audiovisuelle, d’une agence de presse, ou encore le domicile d’un journaliste. » Toutefois, une exception est prévue quand les « atteintes aux intérêts stratégiques de l’Etat » sont menacées. _S.B.

La Siger aux commandes

À la Sûreté publique, c’est la dizaine de membres du service spécialisé de la Siger (Section des informations générales, des études et du renseignement), l’équivalent monégasque de la DGSI française (Direction générale de la sécurité intérieure) qui sera chargée des missions de surveillance. _S.B.

 

« L’agence n’est pas un service de renseignements »

CYBERBATAILLE/La lutte contre la cybercriminalité est enfin en marche à Monaco…  Alors qu’un projet de loi destiné à combattre la criminalité technologique est toujours entre les mains du conseil national, les ingénieurs de l’Agence monégasque de sécurité numérique (AMSN) se préparent à leurs nouvelles missions. Les explications du directeur, Dominique Riban, et de son adjoint, Frédéric Fautrier.

Ingénieur de l’École navale et de Suptélécom Paris, le contre-amiral Dominique Riban a assuré la fonction de directeur général adjoint de l’ANSSI en France durant 4 ans. Il est désormais le numéro 1 de l’Agence monégasque de sécurité numérique (AMSN). Frédéric Fautrier, directeur adjoint de l’AMSN, a travaillé pendant 21 ans dans les télécommunications, en Europe et à Monaco._S.B.

Bios express/ Ingénieur de l’École navale et de Suptélécom Paris, le contre-amiral Dominique Riban a assuré la fonction de directeur général adjoint de l’ANSSI en France durant 4 ans. Il est désormais le numéro 1 de l’Agence monégasque de sécurité numérique (AMSN). Frédéric Fautrier, directeur adjoint de l’AMSN, a travaillé pendant 21 ans dans les télécommunications, en Europe et à Monaco. © Photo L’Obs’

Dominique Riban, après quatre années passées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, pourquoi avoir accepté de créer et diriger une agence à Monaco ?

Dominique Riban : Cela me passionnait de partir d’une feuille blanche et de construire un nouveau service. Cette mission est extrêmement valorisante. J’étais également en fin de carrière militaire. C’était donc une opportunité à ne pas rater.

Est-ce un gros défi pour vous ?

Dominique Riban : Construire un service de A à Z est bien sûr un gros défi. Il y a également toute une pédagogie à faire auprès du personnel de l’Etat et les opérateurs d’importance vitale (OIV). Il faut les sensibiliser et les convaincre qu’il est absolument nécessaire de se protéger. On a d’ores et déjà initié le travail mais il y a encore du chemin.

Vous voulez dire que les opérateurs monégasques ne sont pas encore très conscients de la menace ?

Dominique Riban : Oui, mais c’est le cas partout dans le monde. En France aussi, il a fallu persuader les OIV que la menace était réelle, qu’ils étaient des cibles potentielles, et qu’il fallait prendre des dispositifs pour les protéger. Nous avons donc le même type de discours à Monaco.

Quels souvenirs gardez-vous de vos quatre années passées à l’ANSSI ?

Dominique Riban : Des souvenirs de travail intense et passionnant. Lorsque je suis arrivée dans le service en 2012 à Paris, nous étions environ 180 ingénieurs. Aujourd’hui, il y en a plus de 500 extrêmement performants.

Quelles sont les affaires les plus marquantes ?

Dominique Riban : En 2015, nous avons eu à gérer une trentaine de grosses attaques. Je peux vous parler des affaires qui sont publiques. L’attaque à Bercy en 2011 notamment qui a commencé par un mail piégé, l’affaire Areva qui a coûté très cher à la société et à l’ANSSI, en termes d’investissement humain, ou encore l’attaque de TV5 Monde.

La création d’une agence de sécurité numérique à Monaco est-elle, à l’origine, une volonté politique ?

Frédéric Fautrier : C’était effectivement une volonté politique de l’ancien ministre d’Etat Michel Roger. La société civile réclamait également des avancées en la matière, considérant que c’était une obligation régalienne de l’Etat. Pendant quatre ans, il y a donc eu de nombreuses discussions et de nombreux travaux entre la société civile et l’Exécutif.

Peut-on considérer que Monaco a pris beaucoup de retard dans ce domaine ?

Dominique Riban : Non, pas particulièrement. Il faut rappeler qu’il n’existe pas des agences de sécurité numérique dans tous les pays. L’Italie par exemple n’a pas une agence parfaitement dédiée à ce sujet, et la Belgique vient tout juste de créer la sienne. En revanche, il est certain que si la Principauté veut continuer à développer en toute sécurité son commerce et son économie, il est indispensable qu’elle prenne toutes les dispositions pour se protéger des menaces qui existent dans le cyberespace.

Concrètement, quels types de cyberattaques Monaco a déjà subi ?

Dominique Riban : Aujourd’hui, nous n’avons pas vraiment les moyens de le savoir dans le détail. C’est pourquoi l’agence sera équipée de matériels très perfectionnés pour le déterminer et évaluer le niveau de menace. En revanche, je ne peux pas croire que la Principauté ne soit pas concernée. C’est un pays où il y a beaucoup d’intérêts financiers. C’est un peu le pot de miel…

Frédéric Fautrier : En matière de cybercriminalité, il n’y pas de frontières. Les attaques que subissent les autres pays, Monaco peut parfaitement les subir à son tour. C’est pourquoi, il faut s’en protéger.

Des exemples concrets ?

Frédéric Fautrier : Je ne citerai que des exemples relayés dans la presse. On sait notamment que des entreprises monégasques ont été victimes d’escroqueries au président (1), le site internet de Sainte Dévote a été effacé… Bref, ce qui existe ailleurs, existe aussi en principauté.

Pourriez-vous nous détailler les types d’attaques auxquels les pays comme Monaco, les entreprises, ou même les particuliers sont exposés ?

Dominique Riban : Il y a quatre types d’attaques. Tout d’abord, tout ce qui touche à la cybercriminalité : les escroqueries au président par exemple, les arnaques à la carte bleue, ou encore les cryptolockers, à savoir des logiciels malveillants qui cryptent l’ensemble des données de votre PC. Il y a également ce que je regroupe dans la catégorie atteinte à l’image. Il s’agit par exemple d’effacements de site Internet. Cela consiste à défigurer un site internet classique en remplaçant la page d’accueil originale par une autre. Sur la page effacée on peut y trouver, entre autres, le pseudonyme de l’effaceur, une image, ou encore les revendications de l’effaceur.

Quelles sont les conséquences pour la société ou le pays qui en est victime ?

Dominique Riban : Le premier risque est l’atteinte à l’image de marque. Car cela met en évidence l’existence de sérieux problèmes de sécurité… Pour Monaco, qui a l’image d’un pays très sécurisé, ce genre d’évènement peut avoir de lourdes conséquences et peut entraîner une sérieuse perte de crédibilité. Une autre atteinte à l’image possible est le déni de service.

De quoi s’agit-il ?

Dominique Riban : C’est une attaque qui vise à rendre indisponible pendant un temps indéterminé les services d’une entreprise par exemple, afin qu’ils ne puissent plus être utilisés et consultés. Le but d’une telle attaque n’est pas de récupérer ou d’altérer des données, mais de nuire à la réputation d’une société ayant une présence sur internet et d’en empêcher son fonctionnement ou son commerce.

La troisième catégorie d’attaque ?

Dominique Riban : L’espionnage. Des hackers parviennent à pénétrer les systèmes informatiques d’un pays ou d’une société pour voler des informations ou du savoir-faire, soit commercial, soit technologique, soit économique. La quatrième catégorie d’attaque est enfin le sabotage. L’affaire des centrifugeuses iraniennes (Stuxnet) par exemple ou, plus récemment, l’attaque de TV5 Monde.

Un spécialiste de la criminalité technologique, Nicolas Arpagian, a estimé dans nos colonnes « qu’il n’est pas à exclure que dans une logique militante ou politique, certains, puissent s’attaquer au symbole de luxe et d’opulence que la Principauté représente. » Qu’est-ce que cela vous inspire ?

Dominique Riban : C’est tout à fait plausible. C’est pour cela qu’il faut mettre des moyens pour évaluer les menaces qui pèsent sur la Principauté. Aujourd’hui, on tâtonne un peu les yeux fermés… Il faut bien comprendre également que se protéger en amont coûte certes un peu, en moyens humains et matériels, mais cela coûtera toujours moins cher que si la cyberattaque a réellement lieu. Après l’attaque de TV5 Monde par exemple, la chaîne a dû débourser, dans les 8 jours qui ont suivi, plus de 5 millions d’euros de matériels. Sinon, la chaîne ne pouvait pas redémarrer son activité. Mieux vaut donc s’équiper en amont. Car l’urgence coûte toujours très cher.

L’agence pourra préserver Monaco de toutes ces attaques ?

Dominique Riban : L’agence a pour mission de détecter, traiter et réparer toute éventuelle cyberattaque qui toucherait les systèmes d’information de l’Etat et les opérateurs d’importance vitale. Les OIV.

Que sont les OIV ?

Dominique Riban : Ce sont l’ensemble des opérateurs qui sont vitaux pour le fonctionnement d’un Etat, la vie des résidents, la vie économique et la sécurité de tous.

Plus concrètement, vous parlez des entités qui traitent de l’eau, l’électricité, les feux tricolores… ?

Dominique Riban : La liste n’est pas encore établie, mais on peut aisément comprendre de quoi il s’agit… Nous n’avons pas spécialement envie de crier le nom de ces opérateurs sur les toits au risque de tenter les hackers de nous défier…

Vous ne pouvez donc pas protéger directement les particuliers ou les entreprises ?

Dominique Riban : Pas dans un premier temps. En revanche, nous allons publier sur Internet des guides et des consignes accessibles à tous. Ce qui est applicable pour les OIV l’est aussi pour les industriels ou les particuliers. L’hygiène informatique est applicable par tout le monde.

Concernant les entreprises et les particuliers, pourquoi dites-vous « pas dans un premier temps » ? Ce sera le cas par la suite ?

Dominique Riban : Aujourd’hui, ce n’est pas dans les missions de l’agence, c’est une évolution possible qui méritera d’être étudiée en temps voulu.

Quel est le rôle de l’agence si une cyberattaque se produit ?

Dominique Riban : Nous allons d’abord essayer de comprendre comment l’attaque est survenue. Notre rôle est ensuite de fermer toutes les portes et toutes les fenêtres pour éviter de nouvelles intrusions. Nous donnons ensuite des conseils pour réparer le mal, et nous faisons enfin des visites de prévention pour vérifier que les préconisations ont été prises en compte. Mais nous ne sommes pas là pour identifier les coupables. Un pompier éteint le feu mais ne cherche pas à savoir qui a mis le feu… Il ne mène pas l’enquête. C’est à la police de le faire. En revanche, si nos ingénieurs trouvent des éléments techniques anormaux dans les systèmes, nous les communiquerons à la Sûreté publique. Mais c’est aux enquêteurs d’identifier les coupables.

L’agence a été officialisée par ordonnance souveraine le 23 décembre dernier, mais quand sera-t-elle pleinement opérationnelle ?

Dominique Riban : À l’heure actuelle, nous mettons en place la règlementation et les textes fondateurs qui vont nous servir de base législative et juridique au bon fonctionnement de l’agence. Nous venons également de finaliser le recrutement de trois ingénieurs spécialisés.

Combien d’ingénieurs serez-vous au total ?

Dominique Riban : Dans un premier temps, nous serons six. Fréderic Fautrier, les trois ingénieurs, une secrétaire, et moi-même. Mais deux autres postes d’ingénieurs sont prévus au budget primitif 2017. La composition évoluera en fonction des problématiques que nous rencontrerons.

Quel est le budget nécessaire à cette agence ?

Dominique Riban : Initialement, une enveloppe de 1,5 million d’euros a été débloquée pour financer l’achat de matériels. Quant au budget de fonctionnement annuel, il sera probablement aux alentours de 300 000 à 400 000 euros par an. Cette enveloppe sera nécessaire pour payer les licences, et la maintenance notamment.

L’agence sera-t-elle opérationnelle 24h/24, 7 jours sur 7 ?

Dominique Riban : Dans un premier temps non, car nous n’aurons pas suffisamment d’ingénieurs au sein de l’agence. Elle ne sera opérationnelle 24h/24 et 7 jours sur 7 que si le niveau de menace est élevé.

Certains craignent que l’AMSN serve aussi à faire de l’espionnage. Que répondez-vous ?

Dominique Riban : Que c’est absolument faux. L’AMSN tout comme l’ANSSI, n’est pas du tout une “NSA monégasque”. Nous ne sommes absolument pas un service de renseignements. D’ailleurs, si l’on m’avait demandé de faire du renseignement, j’aurais clairement refusé. Ce n’est ni dans mes compétences, ni dans mon état d’esprit. La France a fait le choix de séparer les deux entités : le renseignement d’un côté, et la sécurité numérique de l’autre. Je pense que Monaco a très bien fait de suivre cet exemple. Car avec une agence comme la nôtre, on acquiert assez facilement la confiance, non seulement des services de l’Etat, mais également des opérateurs. Précisément parce que l’agence n’est pas un service de renseignements. Cela change beaucoup les rapports.

Cela signifie que certains pays mélangent la sécurité numérique et le renseignement ?

Dominique Riban : Oui. C’est le cas aux Etats-Unis ou encore en Angleterre. Et lorsque l’on est face à un service de renseignements, il ne faut surtout pas être dupe. C’est ce qui me fait souvent dire que l’on a des faux amis, mais aussi des vrais ennemis…

On a le sentiment que la cybercriminalité continue de prospérer dans une vaste impunité. Est-ce effectivement le cas ?

Dominique Riban : Il est très difficile en effet d’identifier l’auteur d’une cyberattaque. C’est toute la difficulté du cyberespace car il n’y a absolument pas de frontières. De plus, il est rare qu’un hacker attaque de son propre poste. Il utilise des postes anonymisés, avec des faux noms, qui attaquent d’autres postes, et à partir de ces postes, ils attaquent leur cible finale. Cela peut faire le tour de la terre… Par exemple, le malware qui a été utilisé pour l’attaque de TV5 Monde est d’origine russe d’après la presse française. Est-ce que ça veut dire que ce sont les russes qui ont attaqué ? Pas forcément. Il est donc très difficile d’identifier le commanditaire.

Frédéric Fautrier : Il n’y a pas d’impunité totale non plus. Pour tout ce qui concerne la cybercriminalité, des organismes internationaux se sont structurés. Il y a d’abord les Nations Unies qui travaillent beaucoup sur ces sujets, en terme de suivi et de répression. Il y a également Interpol qui a monté son propre CERT (Computer Emergency Response Team). Europol a fait une démarche similaire pour pouvoir enquêter au-delà des frontières nationales.

Que pensez-vous des Anonymous ? Peut-on parler de “hacker citoyens” ?

Dominique Riban : Lorsque j’étais jeune et que l’on voulait contester quelque chose, on allait devant la préfecture pour faire un sitting… Les Anonymous font, en quelque sorte, du sitting moderne… Mais au lieu de se déplacer, ils font cela depuis leur salon avec une bière à la main. Ils ne sont pas malveillants. Ils cherchent à faire passer des messages, souvent politiques.

(1) Selon le département de l’Intérieur, entre octobre 2013 et juin 2014, 46 escroqueries et tentatives d’escroquerie au président ont été commises à l’encontre de sociétés monégasques. 23 ont fait l’objet d’un dépôt de plainte. Et parmi ces 46 tentatives, 3 ont atteint leur but. « Les virements demandés étant compris le plus souvent entre 400 000 euros et 1 000 000 euros, les sociétés victimes subissent un préjudice du même ordre, voire supérieur, lorsque plusieurs virements sont effectués », nous a précisé le gouvernement.