hedgehog skin - CC gari.baldi
La semaine dernière est apparu un étrange et pour le moins inquiétant “animal” : Hérisson. Étrange et inquiétant, car on est bien loin du petit mammifère européen : cet Hérisson-là est un système informatique commandé par la DGA (Délégation Générale pour l’Armement) en 2007 et dont les capacités prévues semblaient très larges : accéder et collecter tout ce qui est diffusé par les médias en ligne, quel que soit le vecteur (IRC, mailing list, forum, P2P…), le format (vidéo, audio, texte, image…) ou le procotole (HTTP, FTP, POP3…). Révélé par PC Inpact, cet appel offres a logiquement provoqué quelques réactions d’inquiétudes.
Alors Hérisson, futur Echelon à la française ? Au regard du champ d’action de cet “Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées”, Ecrans a souhaité en savoir plus en contactant un porte-parole de la DGA. On y apprend donc que les documents retrouvés par PC Inpact sont authentiques et que cet appel d’offres a été largement distribué à toutes les sociétés d’être prestataires. Le cahier des clauses techniques particulières (CCTP) était par ailleurs ajouté en annexe de l’appel d’offres.
Le porte-parole de la DGA nous informe donc qu’un contrat a été notifié fin 2008 avec EADS, le mandataire, ainsi que les entreprises Bull et Bertin. D’une durée de trois ans, ce contrat vise avant tout à mettre en place un démonstrateur technologique. L’objectif n’est donc pas de le rendre opérationnel, mais de s’en servir comme un prototype afin de réaliser des études techniques en amont. Le responsable précise par ailleurs qu’il n’est pas question avec Hérisson de rentrer dans la sphère privée ; d’ailleurs le nom Hérisson spécifie bien “Sources Ouvertes Numérisées”. Donc aucune analyse illégale, aucune intrusion dans la sphère privée, aucun piratage de sites ou de pénétration dans des systèmes ne sont prévues par Hérisson. C’est davantage un moyen de tester différents logiciels commerciaux ou libres en essayant de les interconnecter.
Et pour illustrer son propos, le porte-parole indique quelques exemples : le fait de rechercher des informations sur POP3 (protocole de messagerie), ce n’est pas pour aller espionner les mails des gens, mais pour pouvoir s’inscrire à des mailing-lists qui nécessitent également POP3. Pour le p2p, on ne va pas surveiller qui télécharge quoi, mais typiquement on doit pouvoir savoir que, sur Emule, telle information est disponible en téléchargement. Par exemple, une vidéo d’Al-Qaida. Autre exemple, pour le « web invisible », il s’agit d’avoir accès à des pages qui ne sont pas ou mal indexées par les moteurs de recherche, mais qui restent encore une fois accessibles à ceux qui savent les chercher.
Pour ce qui est de la CNIL, dans la mesure où le démonstrateur technologique ne constitue pas de données mais va simplement récupérer les informations sur un échantillon représentatif pour tester le système, il n’a pas été nécessaire d’obtenir une autorisation puisqu’aucune sauvegarde ou classification n’est prévue avec Hérisson.
De plus, il précise pour conclure que si l’armée aurait cherché à mettre en place un système équivalent à Echelon, les informations relatives à l’appel d’offres auraient été classées Secret-Défense et il aurait été bien improbable d’en trouver la trace sur Internet, puisque la divulgation de ce type de contenus relève du pénal (413-9 du code pénal et c’est le décret n°98-608 du Conseil d’État qui fixe les différents niveaux de classification).
Enfin d’ici trois ans, si les essais s’avèrent concluant, un nouveau contrat pourra être établi pour concevoir un logiciel opérationnel basé sur le démonstrateur Hérisson.
