Inde : Big brother en marche

Centre de développement des télématiques

Les autorités indiennes ne se sont pas jointes à la vague d’indignation qui a suivi les révélations d’Edward Snowden sur la NSA. Et pour cause. New-Delhi dispose d’un système de surveillance de très grande ampleur, renforcé depuis les attentats de Bombay en 2008 : le Central Monitoring System, CMS. Développé par le Centre de développement des télématiques (Centre for Development of Telematics, C-DOT), il permet un accès direct, illimité et en temps réel à tous types de communications électroniques sans avoir besoin de passer par les fournisseurs d’accès à Internet.

La mission du Centre de développement des télématiques, créé en 1984 par le ministère des Télécommunications et des Technologies de l’information, consistait initialement à développer la communication numérique dans le pays. Progressivement, et en l’absence de loi interdisant ou autorisant la surveillance, il est devenu le principal contributeur d’un système de surveillance à la hauteur des enjeux : sur ses 1,2 milliard de citoyens, l’Inde compte 213 millions d’internautes et 13 % de la population dispose d’un smartphone (Wearesocial.net, janvier 2014).

L’ITA, une loi taillée pour la surveillance

Dans un premier temps, les contrats de licence établis en 2002 par le gouvernement contraignent les fournisseurs d’accès à Internet (FAI) à transmettre aux autorités les données privées relatives à leurs clients. Les sociétés, qui ont à leur charge l’achat de logiciels adaptés, font ainsi payer à leurs utilisateurs le coût de leur propre surveillance. Dans un second temps, des textes législatifs, au premier rang desquels l’Information Technology Act (lien PDF), couramment appelé ITA-2000, autorisent la collecte de données privées au profit des autorités.

Amendée en 2008 (lien PDF) sans qu’aucun débat n’ait eu lieu au parlement, cette loi est la source d’une intense polémique au sein de la société civile. De nombreuses organisations réclament son abrogation ou sa modification, certaines sections donnant licence aux autorités de surveiller sans limitation les internautes et utilisateurs de moyens de télécommunication.

La section 44 prévoit des sanctions financières (jusqu’à 150 000 roupies, 1 800 euros) contre tout individu qui refuserait de fournir « tout type d’information » aux autorités.

La section 66A prévoit des sanctions, et jusqu’à trois ans de prison, pour quiconque posterait entre autres des « messages injurieux » et des « informations susceptibles de causer des désagréments » en ligne. L’emploi de formulations vagues offre une grande latitude aux autorités pour punir les internautes et exercer leur arbitraire. Cette section, qui a fait l’objet de vives critiques, viole le principe de la liberté d’expression et est contraire au chapitre 3 de la Constitution indienne relatif aux libertés fondamentales. Fin 2012, une pétition demandant son retrait a été remise à la Haute Cour d’Allahabad.

La section 69 autorise l’interception, la surveillance et le décryptage de toute information transmise par ordinateur. Toute personne qui s’oppose à la livraison de ces informations à la demande des autorités risque jusqu’à sept ans d’emprisonnement.

La section 80 de la loi prévoit également la fouille et l’interpellation dans l’espace public de suspects, même en l’absence de mandat d’arrêt.

Depuis 2011, une série d’amendement à l’ITA, baptisés Guidelines for Cyber Cafe (PDF), oblige les propriétaires de cybercafés, qui doivent désormais obtenir une licence d’exploitation, à enregistrer l’identité de leurs clients et à conserver pendant un an toutes les données de navigation des internautes, y compris leurs identifiants de connexion. Ces informations peuvent être transmises à tout agent de police qui les réclame.

Au cœur du système : le CMS

Ce système de surveillance, mis en place en 2008 et rendu public en 2009, a été élaboré par le Centre de développement des télématiques et est mis en œuvre par pas moins de 34 unités de surveillances des télécommunications dénommées « cellules TERM » (Telecom Enforcement Resource and Monitoring cells). Pour un coût officiel de 72 millions de dollars, il intercepte toutes les télécommunications du pays en centralisant les informations récoltées par les Centres de contrôle régionaux (Monitoring center) de tous les Etats.

chart_1-1.png

Architecture du Système Central de Surveillance (CMS) (source: Centre for Internet and Society)

Le « programme d’interception et de surveillance légale » (Lawful Intercept and Monitoring, LIM) est une composante de ce système de surveillance tentaculaire. Développé dans le plus grand secret puis rendu public en septembre 2013, il inclut tous types de télécommunications en plus d’Internet.  Il permet aux autorités de lancer des recherches à partir de mots clés jugés « sensibles » sur l’ensemble de la Toile, sans autorisation particulière, et surtout sans que les fournisseurs d’accès à Internet n’en soient informés. Alors que depuis 2006, suite à un scandale d’écoutes, le gouvernement s’est engagé à garantir la « confidentialité des communications », ces pratiques s’y opposent clairement. Mis en place par le Centre de développement des télématiques (C-DOT), le LIM permet l’analyse de toutes les activités d’Internet, de la navigation classique et des e-mails jusqu’aux logiciels de voix sur IP (VoIP) tels que Skype.

Tous les fournisseurs d’accès disposant d’un système de surveillance et d’interception légale sous la forme d’un « serveur ISF » (Interception Store and Forward), les informations récoltées sont directement transmises au centre de contrôle régional (Regional Monitoring Center, RMC), lui-même redirigé vers le Centre de surveillance centralisé (CMS). Le CMS, véritable base de données nationale, est donc le produit de la mise en commun des bases de données régionales, qui puisent les informations relatives aux utilisateurs via les outils de surveillance des fournisseurs d’accès.

Alors que les systèmes classiques d’interception transmettent des informations en réponse à des requêtes des autorités, le CMS automatise le processus d’interception. Les cellules TERM du CMS, mais aussi des agences gouvernementales externes, disposent d’un branchement direct sur les internautes, sans l’aval des fournisseurs d’accès à Internet ou aux réseaux de téléphonie mobile. Les agences gouvernementales ayant accès à cette base de données nationale sont le Bureau du renseignement (Intelligence Bureau, IB), le Bureau d’enquête central (Central Bureau of Investigation, CBI), le Directorat du renseignement fiscal (the Directorate of Revenue Intelligence, DRI), la Branche recherche et analyse (Research and Analysis Wing, RAW), et l’Agence nationale d’enquête (National Investigation Agency, NIA).

Silence au Cachemire

Les autorités indiennes pratiquent un contrôle étroit d’Internet dans la région du Cachemire. Il n’y est pas rare, en effet, qu’elles ordonnent aux FAI de couper totalement la connexion Internet pendant une période donnée, par exemple pour prévenir la survenue de troubles ou l’organisation de rassemblements via les réseaux sociaux. Ce fut le cas en 2010, en 2012, puis en juillet 2013 après que les Forces de sécurité des frontières (BSF) eurent abattu six civils qui participaient à une manifestation contre un raid policier dans une mosquée. Le gouvernement a par la suite nié avoir ordonné la suspension des services Internet et 3G mobile dans toute la vallée, mais les opérateurs téléphoniques ont rétabli la vérité : « Nous avons reçu une directive orale de couper les services GPRS et 3G. La vitesse de débit a également été réduite », a déclaré un responsable du fournisseur d’accès au réseau téléphonique BSNL, sous couvert d’anonymat.

NETRA, nec plus ultra de l’espionnage

Pour ne pas s’arrêter en si bon chemin, les autorités indiennes ont mis en place un système espion capable de détecter en temps réel les messages écrits et oraux « de mauvaise foi » (mala fide). Netra (NEtwork TRaffic Analysis) a été développé par le Centre for Artificial Intelligence and Robotics (CAIR), un laboratoire sous le contrôle d’une agence gouvernementale, la Defence Research and Development Organization (DRDO).

Testé à petite échelle, Netra devrait être déployé au niveau national et utilisé par toutes les agences de renseignement dans le courant de l’année 2014, selon des informations officielles relayées par la presse indienne. Le système sera effectif sur des logiciels tels que Skype, les mises à jour de statuts et messages postés sur Twitter, les blogs et les forums.

Le pouvoir de New-Delhi, au lieu de mettre en place des lois visant à protéger les données confidentielles des citoyens, repousse les limites de la surveillance. Il est donc légitime de s’interroger sur cette spirale infernale et sur la répression qu’elle engendrera.

Premières victimes

La mise en place du CMS étant relativement récente, peu d’affaires de poursuites judiciaires d’internautes ont été rendues publiques. Toutefois, en 2013, un scandale a mis en lumière les dérives du système de surveillance de masse. Il s’agit de l’affaire dite du « Snoopgate », des écoutes illégales sur une jeune femme dans lesquelles sont impliqués le ministre en chef du Gujarat, Narendra Modi, et son ministre de l’Intérieur. Remontant à 2009, ces écoutes, commanditées par les deux hommes, auraient été réalisées par la police d’État.

Autre exemple : en novembre 2012, deux jeunes filles de 21 ans ont été arrêtées par la police puis placées en garde à vue en vertu de l’ITA-2008, section 66 A. L’une, Shaheen Dhada, avait vivement réagi sur Facebook à la suspension nationale des transports en raison des funérailles de Bal Thackeray, politicien nationaliste hindou, alors que l’autre, Rinu Shrinivasan avait « liké » cette publication. Elles ont été libérées sous caution avant la fin de leurs 14 jours de garde à vue.

Enfin, les autorités, pour filtrer les informations qu’elles jugent sensibles, n’hésitent pas à s’attaquer aux entreprises du Net, nationales et internationales. En 2012, Google India, Facebook, Exbii, IMC India, My Lot, Shyni Blog, Topix, Zombie Time, Boardreader et d’autres ont été traînées en justice pour la diffusion de contenus jugés « répréhensibles ». Les poursuites ont été abandonnées pour 16 des 22 opérateurs concernés.