Métadonnées et organismes de sécurité nationale et d’application de la loi

Holly Porteous
Division des affaires juridiques et sociales

La présente Note de la Colline est la troisième d’une série de quatre. (Aussi disponible en anglais : Metadata, National Security and Law Enforcement Agencies)

Les métadonnées – les données sur les données – sont importantes pour les organismes de sécurité nationale et d’application de la loi. Ces organismes ne cessent de dire aux parlementaires que la collecte et l’analyse de métadonnées sont essentielles à leurs opérations.

Que peuvent révéler au sujet d’une personne les métadonnées qu’elle génère? Voici des exemples :

  • Téléphone fixe – L’interlocuteur ainsi que le moment et la durée de l’appel.
  • Courriel – Le destinataire, le moment de l’envoi, le genre de contenu envoyé et les renseignements fournis sous la rubrique de l’objet.
  • Navigation sur le Web – Le type d’ordinateur et de navigateur utilisés, les sites Web consultés, les pages d’intérêt, les paramètres d’ouverture de session (si le remplissage automatique est activé), les interactions antérieures avec un site Web (si les témoins et la mise en cache sont autorisés) et la géolocalisation jusqu’à l’immeuble ou la rue (si un mobile est utilisé).
  • Téléchargement d’images numériques – Le lieu et le moment de la prise des photos, le type d’appareil employé et la façon dont il était réglé.

Pour celui qui exerce la surveillance, la teneur du message peut être moins importante que le moment et le lieu de l’échange ou l’identité de l’interlocuteur. Les habitudes générales d’une personne, établies par l’analyse des métadonnées – ou « analyse du trafic » –, en disent plus long que les détails d’une conversation. Les gens peuvent bien se vanter ou mentir aux autres, mais il leur est beaucoup plus difficile de dissimuler la totalité de leur vie.

Au responsable de l’application de la loi, l’analyse du trafic peut permettre de situer chacun des nœuds d’un réseau en ligne de pornographie juvénile ou d’une opération de pollupostage et, ainsi, d’obtenir des mandats de perquisition et de faire des arrestations.

SIGINT – L’analyse du trafic sur une grande échelle

Les organismes de renseignement électromagnétique (ou SIGINT, de l’anglais SIGnals INTelligence) analysent le trafic sur une grande échelle pour glaner du renseignement étranger dans l’infrastructure d’information mondiale. L’analyse du trafic leur permet de dresser un tableau des réseaux sociaux que les terroristes utilisent pour recruter des gens ainsi que pour planifier et exécuter des attentats.

En plus du renseignement qui donne une vue d’ensemble, l’analyse du trafic permet de générer du renseignement à valeur tactique immédiate. Michael Hayden, ancien directeur de la National Security Agency des États‑Unis, ne plaisantait pas lorsqu’il a déclaré : « Nous tuons des gens en nous fondant sur les métadonnées. » Dans ce contexte, les métadonnées de géolocalisation en temps réel deviennent les données servant à diriger une attaque par drone.

L’analyse de trafic se trouve aussi au cœur d’une autre préoccupation en matière de sécurité nationale et d’application de la loi – la cybersécurité. Pour déterminer l’existence d’une activité liée à la cybersécurité, il faut interpréter des métadonnées enregistrées. Les routeurs de réseau, les pare-feu, les serveurs Web et ceux de courrier électronique, les ordinateurs de bureau et même les appareils sans fil sont parmi les nombreuses sources potentielles de métadonnées enregistrées.

Les attaques sophistiquées – celles qui visent à créer une présence non détectée dans un système visé directement – sont un casse-tête analytique pour les défenseurs de réseaux, car elles ont lieu lentement et subrepticement. Leurs auteurs mettent généralement en œuvre divers vecteurs (c.-à-d. divers moyens) d’attaque pendant des semaines, voire des mois, pour contourner les mesures de sécurité de l’organisation visée et pour en infiltrer le système.

Les organismes d’État et les organisations criminelles emploient souvent des spécialistes pour exécuter chaque étape d’une attaque : reconnaissance, création d’au moins un point d’accès secret, exfiltration de données et préservation continue des points d’accès secrets obtenus.

Pour détecter ces « menaces sophistiquées et persistantes » (MSP), il faut effectuer une analyse du trafic de métadonnées, courantes et anciennes, de diverses sources à l’intérieur et à l’extérieur du réseau visé. Par exemple, certains incidents de MSP récents consistaient à pénétrer dans le système de l’organisation visée au moyen de ses liens avec les réseaux moins sécurisés de sous-traitants.

Les réseaux de « zombies » – Des ordinateurs compromis

Pour exécuter des opérations de MSP, il faut créer une sorte de réseau de zombies (parfois appelé « botnet »), c’est-à-dire d’ordinateurs compromis et transformés en robots contrôlés à distance. L’utilisateur final ne s’en rend généralement pas compte, parce que son ordinateur continue à fonctionner normalement.

Les réseaux de zombies, qui peuvent être constitués de quelques ordinateurs clés sur un ou plusieurs réseaux, ou de milliers d’ordinateurs branchés à Internet partout sur la planète, sont une infrastructure secrète multifonctionnelle.

Les organismes de renseignement électromagnétique étrangers peuvent se servir des réseaux de zombies pour exfiltrer des données sensibles du secteur public et des éléments de propriété intellectuelle du secteur privé. Ils peuvent aussi laisser ces réseaux inactifs, pour ensuite les réactiver à distance et leur ordonner de saboter les systèmes dont les zombies font partie.

Entre les mains de criminels, les réseaux de zombies sont un moyen de faire du pollupostage ou d’accéder à des renseignements précieux. Ils peuvent aussi être vendus ou loués (souvent à des organismes d’État). Les réseaux de zombies peuvent aussi être une arme. Par exemple, les criminels peuvent les employer pour exiger des rançons en lançant des attaques par déni de service qui dirigent un énorme trafic vers le site de cybercommerce d’une entreprise et le paralysent en attendant le versement demandé.

Des réseaux de zombies créés à échelle industrielle

Attirés par des risques faibles et des résultats très avantageux, les organismes d’État et les organisations criminelles créent des zombies à échelle industrielle pour voler des données, extorquer des fonds, effectuer du pollupostage et préparer des opérations de sabotage.

L’analyse de trafic sur une grande échelle est nécessaire pour détecter, situer et éliminer les réseaux de zombies. Par conséquent, quiconque est appelé à défendre un vaste réseau – notamment les organismes de sécurité nationale et d’application de la loi – doit entreprendre une volumineuse collecte de métadonnées.

Le débat public sur la collecte volumineuse et l’analyse de métadonnées tend à opposer le préjudice causé à la vie privée et l’utilité pour ce qui est de découvrir les réseaux terroristes. Toutefois, le débat ne peut être exhaustif s’il ne tient pas compte du rôle joué par la collecte et l’analyse de métadonnées sur une grande échelle dans le domaine de la cybersécurité.

Il doit aussi soulever des questions quant au rôle que peuvent remplir les organismes de renseignement électromagnétique, les organismes d’application de la loi et les fournisseurs de technologies de l’information en vue d’éliminer les failles techniques de l’infrastructure mondiale de l’information exploitées par les assaillants pour créer des réseaux de zombies.