IV. LE CYBERESPACE : NOUVEAU TERRAIN D'ACTION DES SERVICES DE RENSEIGNEMENT
À côté des missions menées pour soutenir la politique de cyberdéfense, et dans le cadre de leurs missions respectives de renseignement, les services recueillent et exploitent le renseignement d'origine cyber à partir des innombrables sources en libre accès sur l'Internet, mais aussi aux moyens de techniques qui font l'objet lorsqu'elles sont mises en oeuvre sur le territoire national ou concernent au moins un identifiant rattaché au territoire national d'un encadrement légal au titre des lois de 2015 sur le renseignement et sur la surveillance des communications internationales.
A. LES DONNÉES DE SOURCES OUVERTES
Face à la masse de ces données, l'efficacité des services dépend de leurs capacités à les sélectionner, à les traiter en nombre au moyen de puissantes solutions d'analyse et de calcul recourant aux technologies du big data et de l'intelligence artificielle, et à les fusionner avec les renseignements recueillis par d'autres sources ou techniques. Un effort de recherche, de conception et de développement de solutions est poursuivi depuis plusieurs années en ce domaine (cf. infra).
B. L'UTILISATION DE TECHNIQUES DE RENSEIGNEMENT
Pour l'ensemble de leurs missions de renseignement les services du premier cercle peuvent mettre en oeuvre les techniques de renseignement qui leurs sont ouvertes soit par la loi du 24 juillet 2015 sur le renseignement soit par celle du 30 novembre 2015 sur la surveillance des communications électroniques internationales, lorsque le besoin opérationnel le justifie.
Sur le périmètre cyber, stricto sensu , les techniques utilisées sont le dispositif technique de surveillance internationale (DTSI, articles L. 854-1 et suivants du Code de la Sécurité Intérieure, CSI) et le recueil de données informatiques, qu'elles soient sous la forme de copies de supports numériques ou d'interception de flux (article L. 853-2 du CSI).
1. Les techniques de renseignement ouvertes par la loi du 24 juillet 2015
a) Des techniques utilisées par trois services uniquement
À l'exception de Tracfin 182 ( * ) , les services du premier cercle sont tous autorisés à collecter du renseignement par le biais d'opérations autorisées sur le fondement de l'article L.853-2 du CSI soit de recueil de données informatiques (RDI, article L.853-2-1°) soit de captation de données informatiques (CDI, article L.853-2-2°). Mais tous ne l'utilisent pas.
Ces techniques sont complexes à mettre en oeuvre et les agents qui opèrent doivent être individuellement désignés et habilités.
La première technique est utilisée largement par les services. En 2019, elle a fait l'objet de plus de 4060 demandes (contre plus de 3350 en 2018), la seconde très rarement, 3 demandes en 2019 (contre 4 en 2018) 183 ( * ) .
S'agissant de la mise en oeuvre effective, le nombre de demandes ne reflète pas nécessairement la mise en oeuvre réelle des techniques. Le CNRLT a réalisé une enquête qui montre une mise en oeuvre effective inférieure à 50 %. Ceci est dû « à l'absence d'opportunité opérationnelles pour la mise en oeuvre ou à la nécessité d'effectuer une demande de renouvellement dans l'attente d'une telle opportunité. En effet, le décompte du temps d'autorisation commence dès la signature du Premier ministre. Ainsi les services peuvent être amenés à soumettre à nouveau des demandes sur le même objectif, l'opportunité opérationnelle ne s'étant pas présentée dans la durée d'autorisation, augmentant inutilement la charge administrative, de l'ensemble des acteurs impliqués dans le processus d'autorisation 184 ( * ) ».
*****. Compte tenu de la difficulté de distinction des domaines informatiques de stock (RDI) et de flux (CDI), seul le RDI est utilisé. *****
Toutes finalités confondues, la DGSE utilise de façon régulière la RDI et indique que la captation de données informatiques n'a fait l'objet que d'une vingtaine de demandes initiales. Seules quelques-unes ont fait l'objet de demandes de renouvellement, parfois à plusieurs reprises. Ces demandes de renouvellement s'expliquent par les difficultés techniques de ces opérations qui nécessitent un très long travail préparatoire.
La DNRED a également recours, en tant que de besoin, à la mise en oeuvre de techniques de renseignement (TR). *****
Opérant principalement hors du territoire national dans un objectif de renseignement d'intérêt militaire, la DRM n'a, à ce jour, pas sollicité l'autorisation de mettre en oeuvre ces techniques de renseignement auxquelles elle peut légalement avoir recours. Il en va de même pour la DRSD à ce jour.
b) Un assouplissement des règles sollicité par la DGSI
Actuellement les 1° et 2° de l'article L. 853-2 du CSI qui font une distinction entre le recueil de données informatiques (données stockées dans un système informatique), dont la durée d'autorisation est de 30 jours, et la captation de données informatiques (données informatiques captées sous forme de flux), dont la durée d'autorisation est de 2 mois. Très complexe, cette distinction est impossible à mettre en oeuvre, et conduit à ne solliciter que la technique de recueil de données informatiques, la plus restrictive, en plein accord avec la CNCTR. Pour coller à la réalité opérationnelle et technique mais aussi pour donner une meilleure lisibilité au dispositif législatif, le regroupement en un seul régime juridique avec un délai de réalisation de deux mois, qui au surplus éviterait les renouvellements répétés de demandes de techniques qui n'ont pu être réalisées pour des raisons opérationnelles, est souhaité ( cf. recommandation n° 5). Cet assouplissement est également considéré comme souhaitable par la DNRED.
2. Les techniques relevant de la surveillance internationale
La majorité des cibles évoluant à l'extérieur du territoire national, la DGSE utilise principalement les mesures de surveillance internationale prévues par les articles L.854-1 et suivants du CSI. Elle s'est dotée à ce titre d'installations destinées à fournir aux autorités publiques, une capacité de renseignement efficiente.
Depuis l'entrée en vigueur de la loi de programmation militaire 2019-2025 et l'élargissement des possibilités d'exploitation des données collectées dans le cadre de la surveillance internationale, la CNCTR a indiqué avoir rendu 971 avis en 2018 et 2133 en 2019. Le rapport n'indique pas la répartition par services mais tout indique que ces nouvelles capacités ont été rapidement et pleinement utilisées par les services et notamment par des services qui y recouraient peu jusqu'à présent 185 ( * ) , en particulier les services de sécurité intérieure ( cf. chapitre I).
3. Les outils spécifiques
a) La DNRED
La DNRED mène des investigations sur Internet pour lutter contre la cybercriminalité. Elle cible les profils d'internautes se livrant à de la fraude douanière (tabac, contrefaçons, stupéfiants, armes, biens culturels, produits de santé, espèces protégées) afin de les « désanonymiser » et de mettre un terme à leurs agissements.
*****
Dans ce cadre, elle a recours aux pouvoirs du code des douanes (notamment l'article 65 quinquies, entré en vigueur le 1 er janvier 2019, qui permet l'obtention d'informations auprès des fournisseurs d'accès à Internet et des hébergeurs de données en ligne) dans le cadre d'enquêtes administratives, après autorisation du procureur de la République compétent. *****.
Une fois la fraude détectée, les services mettent en oeuvre les pouvoirs du code des douanes pour identifier les personnes concernées, puis procéder aux interpellations et investigations douanières 186 ( * ) . A l'issue de la retenue douanière, le Procureur de la République territorialement compétent décide des suites à donner à l'enquête judicaire qui peut être poursuivie par le service national de douane judiciaire (SNDJ) ou par un autre service de police judiciaire.
Activité et résultats de Cyberdouane
L'unité Cyberdouane de la DNRED est chargée de la lutte contre les infractions douaniè res sur le clearnet et le darknet. Ce service exerce son activité principalement sur initiative, mais est également sollicité par les services douaniers (DNRED ou services territoriaux) en assistance sur des problématiques nécessitant une expertise technique particulière.
Le service ouvre chaque année plusieurs centaines d'enquêtes qui donnent lieu à l'exercice de nombreux droits de communication visant à désanonymiser les cibles.
*****
En 2018 et 2019, Cyberdouane a privilégié le démantèlement de forums du darknet, induisant un fort engagement de ses agents *****. Les plateformes Black Hand (2018) et French Deep Web Market (2019) 187 ( * ) , ainsi que les plateformes satellites, ont été démantelées à cette occasion, occasionnant une très forte baisse d'activité sur la partie francophone du darknet .
*****
b) Tracfin
Dans le cadre de ses missions, Tracfin traite depuis de nombreuses années et sous l'angle financier des dossiers en lien avec la criminalité organisée recourant au cyberespace. Les investigations sous forme de ROSO (renseignement d'origine source ouverte) viennent ainsi en appui des investigations financières du service 188 ( * ) . La cybercriminalité a su s'adapter à la recomposition du secteur financier, notamment au travers des fintech 189 ( * ) .
La cellule de lutte contre la cybercriminalité financière
Créée en juillet 2018, cette cellule traite de tous les dossiers liés aux crypto-monnaies et effectue dans le cadre de son activité des recherches sur le darknet 190 ( * ) . *****. Les investigations ont une importante composante internationale. Le canal spécifique de coopération des cellules de renseignement financier permet ainsi d'obtenir des informations financières, souvent de grande qualité. Dans le cadre du renseignement cyber, son activité a, depuis sa création, pris plusieurs formes qu'il s'agisse de transmissions d'informations à l'autorité judiciaire ou de transmissions d'informations aux services de renseignement du premier cercle comme des dossiers d'achats ou de tentatives d'achat d'arme sur le darknet par des particuliers et par le biais de crypto-monnaies, un dossier de financement de terrorisme via des crypto-actifs et une étude financière sur une société spécialisée du secteur de la cryptographie.
c) La DRM
La DRM dispose en propre du centre de recherche et d'analyse du cyberespace (CRAC) créé en 2015. Avec un effectif de 100 personnes, il assure trois missions : la production de renseignement d'origine cyber (ROC), le pilotage de la production du renseignement d'intérêt militaire (RIM) relatif au cyberespace et de l'orientation des capteurs cyber de la DRM et de la fonction interarmées du renseignement (FIR).
*****.
Compte tenu de son orientation vers le renseignement d'intérêt militaire, les actions réalisées par la DRM sur les théâtres d'opération (par exemple l'analyse de supports informatiques saisis à l'ennemi), ne relèvent pas d'une autorisation de technique de renseignement.
d) La DRSD
Le cyberespace constitue pour la DRSD un milieu stratégique dans lequel elle entend renforcer ses capacités de contre-ingérence. Elle est amenée à collecter du renseignement d'origine cyber via les moyens autorisés par la loi renseignement de 2015 et dans sa sphère de compétences.
L'exploitation de l'information constitue aujourd'hui un défi majeur. L'émergence de la donnée, associée à l'explosion des flux et à l'hétérogénéité des supports, pose la question de son contrôle (intégrité, confidentialité, disponibilité) mais plus encore de son traitement et de sa mise en perspective. La DRSD conduit le développement d'un nouveau système de recueil et d'exploitation du renseignement (SIRCID) qui constituera la première solution nationale en matière de SI d'un service de renseignement et contribuera à renforcer de façon significative sa capacité en matière d'exploitation de l'information de masse.
* 182 Tracfin ne sollicite pas d'évolutions législatives à cet égard.
* 183 Source : CNCTR.
* 184 CNRLT Rapport annuel d'activité des services spécialisés 2018 p.73.
* 185 *****
* 186 Dans le cadre de la mise en oeuvre de coups d'achat ou d'enquête sous pseudonyme, un contact est pris au cours des investigations avec le parquet territorialement compétent pour obtenir son autorisation ou l'informer de l'action envisagée.
* 187 Ainsi elle a permis de démanteler le 12 juin 2019 d'une immense plateforme du darkweb francophone nommée « French-Deep-Web-Market » sur laquelle les internautes pouvaient se procurer des stupéfiants, des rames ou encore des faux papiers. Cette opération qui a visé 5 sites distants a mobilisé 90 agents de la DNRED, de la police nationale et de l'ANSSI. Les administrateurs et développeurs de la plateforme ont été arrêtés, des matériels saisis ainsi que des cryptomonnaies. Auditionnées en retenue douanière, les suspects ont été remis à la police judiciaire.
* 188 Ces dossiers portent par exemple sur des escroqueries aux placements financiers à l'encontre de très nombreux particuliers : placements aux investissements sur les options binaires, les diamants, le FOREX, les terres rares, les vaches laitières, etc. Ces escroqueries utilisent les facilités offertes par Internet pour démarcher leurs clients à distance ( cf. Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2017-2018 ).
* 189 Le service constate une hausse des dossiers avec des fraudes à l'usurpation d'identité dans le cadre de la digitalisation des relations d'affaires financières (cf. Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2018-2019 ).
* 190 Au vu de la porosité de ces sujets, cette cellule traite également des dossiers en lien avec la pédopornographie, une importante partie de ces dossiers passant par le darknet et, de plus en plus, les crypto-actifs.