Les tests, menés par deux fournisseurs d'accès à Internet non identifiés, le ministère de l'Intérieur et la National Crime Agency, sont réalisés dans le cadre de lois de surveillance controversées introduites fin 2016. En cas de succès, les systèmes de collecte de données pourraient être déployés à l'échelle nationale, créant ainsi l'un des outils de surveillance les plus puissants et les plus controversés utilisés par une nation démocratique.
Bien que l'Agence nationale de lutte contre la criminalité ait déclaré qu'un "travail important" avait été réalisé dans le cadre de ce procès, celui-ci reste entouré de secret. Certains éléments de la législation sont également contestés devant les tribunaux. Le procès n'a fait l'objet d'aucune annonce publique, les initiés du secteur affirmant qu'ils ne peuvent pas parler de cette technologie pour des raisons de sécurité.
Le procès est mené en vertu de la loi sur les pouvoirs d'investigation de 2016, surnommée la charte du fouineur, et implique la création d'enregistrements de connexion Internet, ou ICR (Internet Connection Records). Ces derniers sont des enregistrements de ce que vous faites en ligne et ont une définition large. En bref, ils contiennent les métadonnées de votre vie en ligne : qui, quoi, où, pourquoi et le quand de votre vie numérique. La loi sur la surveillance peut obliger les sociétés de téléphonie et d'Internet à conserver les historiques de navigation pendant 12 mois, mais pour cela, elles doivent recevoir une ordonnance, approuvée par un juge de grande instance, leur demandant de conserver les données.
La première de ces ordonnances a été rendue en juillet 2019 et a donné le coup d'envoi des ICR testés dans le monde réel, selon un récent rapport du commissaire aux pouvoirs d'investigation. Une deuxième ordonnance, rendue à un autre fournisseur d'accès à Internet dans le cadre du même essai, a suivi en octobre 2019. Un porte-parole du Commissariat aux pouvoirs d'investigation indique que l'essai est en cours et qu'il procède à des examens réguliers pour "s'assurer que les types de données collectées restent nécessaires et proportionnés". Ils ajoutent qu'une fois que l'essai aura été pleinement évalué, une décision sera prise pour déterminer si le système sera étendu à l'échelle nationale.
Mais les organisations de défense des libertés civiles affirment que le manque de transparence autour des essais - et la lenteur apparente des progrès - laisse entrevoir une législation qui n'est pas adaptée à son objectif. "Le fait d'avoir pris plusieurs années pour arriver à un essai de base, afin de recueillir deux ICR, suggère que le système n'était pas la meilleure option à l'époque, et qu'il ne l'est certainement pas aujourd'hui", déclare Heather Burns, responsable politique à l'Open Rights Group, une organisation britannique de défense de la vie privée et de la liberté sur Internet.
Selon Mme Burns, l'essai de l'ICR semblait exiger des fournisseurs de services Internet qu'ils "rassemblent la botte de foin afin de trouver deux aiguilles". Elle ajoute qu'il n'est pas clair de savoir quelles données ont été collectées dans le cadre de l'essai, si ce qui a été collecté dans la pratique a dépassé la portée de l'essai, ni aucune de ses spécificités. "C'est un manque de transparence assez stupéfiant autour de la collecte et de la conservation des données de masse".
La nature spécifique de l'essai est un secret étroitement gardé. On ne sait pas quelles données sont collectées, quelles entreprises sont impliquées et comment les informations sont utilisées. Le ministère de l'intérieur a refusé de fournir des détails sur l'essai, affirmant qu'il est "à petite échelle" et qu'il est mené pour déterminer quelles données pourraient être acquises et dans quelle mesure elles sont utiles. Les données ne peuvent être stockées que si cela est nécessaire et proportionné, et les ICR ont été introduits pour aider à lutter contre les crimes graves, selon le Home Office.
"Nous soutenons l'essai de la fonction d'enregistrement de la connexion Internet parrainé par le ministère de l'Intérieur afin de déterminer les considérations techniques, opérationnelles, juridiques et politiques associées à la prestation de cette fonction", déclare un porte-parole de la National Crime Agency. L'agence a dépensé au moins 130 000 livres sterling pour deux contrats externes servant à charger des entreprises de construire les systèmes techniques sous-jacents pour mener les essais. Les documents contractuels, qui ont été publiés en juin 2019, indiquent que "des travaux importants ont déjà été effectués" dans les systèmes de collecte des enregistrements Internet.
Parmi les principaux fournisseurs d'accès à Internet du Royaume-Uni, seul Vodafone a confirmé qu'il n'avait pas participé à des essais impliquant le stockage des données Internet des personnes. Les porte-parole de BT, Virgin Media et Sky ont refusé de commenter les mesures prises dans le cadre de l'Investigatory Powers Act. L'opérateur de réseau mobile Three n'a pas répondu à une demande de commentaire. Les petits fournisseurs de services Internet affirment qu'ils n'ont été inclus dans aucun essai.
Selon des sources industrielles, les fournisseurs de services sont gênés par la loi qui les empêche de parler des données qu'ils collectent. Ce secret, selon ces sources, risque de compromettre le développement et l'examen des systèmes. Une section de la loi sur les pouvoirs d'investigation (Investigatory Powers Act) stipule que les entreprises de télécommunications, ou les personnes qui leur sont liées, ne sont pas autorisées à parler de "l'existence ou du contenu" des ordonnances leur demandant de conserver les données Internet des particuliers. Selon une personne, le secret est tel que "les experts du secteur ne peuvent même pas se parler entre eux, dans différentes organisations, pour partager leurs connaissances sur les meilleures pratiques".
La loi sur les pouvoirs d'investigation est une loi de grande envergure qui définit comment les organismes au Royaume-Uni peuvent collecter et traiter les données qui peuvent être liées à une activité criminelle. Depuis son adoption en 2016, la loi a entraîné des réformes radicales des pouvoirs de surveillance du Royaume-Uni, ajoutant de nouveaux contrôles sur ce que les organismes d'application de la loi et de renseignement peuvent faire et expliquant quand les téléphones, les ordinateurs et autres systèmes peuvent être piratés - d'autres lois couvraient auparavant ces pouvoirs. Dans le cadre de ces changements, les ICR ont été introduits comme un nouveau type de données pouvant être collectées et stockées à des fins de sécurité.
Les dossiers internet des personnes peuvent contenir les applications qu'elles ont utilisées, les domaines qu'elles ont visités (wired.co.uk, par exemple, mais pas cet article spécifique), les adresses IP, les heures de début et de fin d'utilisation de l'internet et la quantité de données transférées vers et depuis un appareil. Si elles ne contiennent pas le contenu de ce que les gens regardent, les métadonnées peuvent néanmoins être extrêmement révélatrices. Elles peuvent, entre autres, révéler des informations sur la santé, les tendances politiques et les intérêts personnels. Selon des documents du ministère de l'intérieur, "il n'existe pas un ensemble unique de données qui constitue un ICR" et les journaux sont susceptibles d'être détenus par les fournisseurs d'accès à Internet.
Lors de son adoption il y a cinq ans, de nombreux aspects de la législation étaient controversés - et les ICR figuraient en bonne place sur la liste. Le lanceur d'alerte de la NSA, Edward Snowden, a qualifié la loi de "surveillance la plus extrême de l'histoire de la démocratie occidentale". Depuis lors, le champ d'application de la législation a été élargi pour inclure davantage d'organisations. Des actions en justice ont suivi, avec ou sans succès, pour contester l'énorme quantité de données collectées.
Bien que la loi ait été adoptée en novembre 2016, il est probable que les systèmes techniques nécessaires pour collecter les historiques internet de millions de personnes auront demandé du temps et de l'argent pour être créés. Alors que la loi sur la surveillance était débattue en décembre 2015, les cadres des fournisseurs d'accès à Internet ont déclaré que les ICR étaient un tout nouveau type de données et que rien de tel n'existait.
Hugh Woolford, alors directeur des opérations chez Virgin Media, a déclaré que cela pourrait obliger les entreprises à "refléter tout le trafic de notre réseau pour pouvoir ensuite le filtrer". Il a poursuivi en disant qu'il faudrait des années pour que la technologie soit développée. D'autres ont déclaré que les systèmes coûteraient plus que les 175 millions de livres sterling que le ministère de l'Intérieur a budgété pour le développement et qu'il était possible que les factures de bande passante des gens augmentent en conséquence.
La loi sur les pouvoirs d'investigation (Investigatory Powers Act) doit faire l'objet d'un examen approfondi au cours de l'année prochaine, cinq ans et six mois après sa promulgation. Selon M. Burns, ce sera l'occasion d'améliorer la transparence et de comprendre comment la loi a fonctionné dans la pratique. "Nous devons veiller à ce que les ICR soient examinés du point de vue de leur portée, de leur proportionnalité et des coûts par rapport aux avantages", dit-elle. "Mais nous devons également veiller à ce que toute mesure visant à réduire ce système ne soit pas simplement transférée ou même augmentée dans d'autres propositions."
Mise à jour 11.03.21, 14:30 GMT : La loi sur les pouvoirs d'investigation n'a pas rendu le piratage informatique soutenu par l'État légal pour la première fois. Ces pouvoirs étaient auparavant couverts par d'autres lois.
source :
https://www.wired.co.uk/article/internet-connection-records-ip-act