Interview de Guilhem Giraud par France Culture le 29 décembre 2022 par Christian Chesnot.
Guilhem Giraud : "Grâce à l’intelligence artificielle, la surveillance de masse n’a pas de limite !"
Depuis les attentats du 11 septembre 2001 aux États-Unis, les technologies de surveillance de masse n'ont cessé de se développer. Au nom de la lutte contre le terrorisme, de nombreux pays ont mis en place des outils pour capter massivement des données sur leur population. Dans les pays autoritaires, il s'agit surtout de réprimer les opposants. Dans les démocraties, les autorités sont aussi tentées par ce qu'elles qualifient volontiers de "solutions techniques". Parfois, ces technologies de surveillance peuvent être achetés par des groupes criminels, met en garde Guilhem Giraud, ancien ingénieur de la Direction de la surveillance du territoire (DST), qui raconte l'envers du décor des systèmes de surveillance de masse. Ce spécialiste des écoutes, auteur récemment de Confidences d’un agent du renseignement français (éditions Robert Laffont), alerte aussi sur les capacités de nos smartphones et des Gafam à prendre en main nos données privées.
Que signifie au juste le terme de "surveillance de masse" ?
En fait, je définis la surveillance de masse par sa négative : une surveillance est "de masse" quand elle n’est pas ciblée. Le travail des forces de sécurité est de collecter des informations sur des gens intéressants. Mais dès que l’on cherche des informations sur tout le monde en espérant en obtenir indirectement sur des gens intéressants, cela devient de la surveillance de masse.
Le phénomène s’est propagé dans le monde entier après les attentats du 11 septembre 2001. Les États-Unis ont alors décidé que l’ennemi pouvait être partout. Donc, que tout le monde pouvait être surveillé afin de procurer des informations aux forces de sécurité.
Toute la population devient suspecte…
Exactement. Ce qui pose la question de l’efficacité de la surveillance de masse : comment gérer une telle quantité d’informations ? Pour moi, son efficacité est proche de zéro. J’ai vu arriver cette évolution quand j’ai commencé ma carrière à la DST, le service de renseignement intérieur [devenue Direction générale de la sécurité intérieure depuis, ndlr], quand j’y ai fait mon service militaire, en 1997-1998. À l’époque, la surveillance était un travail de policier. Il s’agissait de collecter des informations sur des personnes qui intéressaient la sécurité de l’État.
A partir de 2001, j’ai noté de changements profonds de doctrine, et quand je suis revenu à la DST en tant qu’ingénieur, j’ai commencé à voir ce nouveau mode de fonctionnement se mettre en place. Il a atteint son paroxysme quand la DST, devenue DCRI puis DGSI, a fait l’acquisition du système Palantir, après les attentats de 2015 à Paris, sous la pression très forte du politique. Le système Palantir, c’est typiquement un outil de surveillance de masse.
Comment est-il utilisé ?
Conçu aux États-Unis, Palantir offre plusieurs possibilités. C’est avant tout un outil qui donne aux enquêteurs une visibilité sur des informations en très grand nombre. Le système est prêt à accueillir toutes sortes de flux. Il a permis surtout de pouvoir échanger toutes ces informations entre services de renseignement.
Les États-Unis ont créé un standard de fait avec ce type de produit. À partir du moment où un, puis deux, trois ou quatre services de renseignements de pays européens ont fait l’acquisition de Palantir, il devient presque naturel pour les autres de l’utiliser aussi, parce qu’ils pourront ainsi échanger des informations beaucoup plus facilement. Ce qui caractérise aussi la surveillance de masse, c’est la circulation facilitée d’informations sur des populations de pays divers.
À lire aussi : Palantir : livre-t-on nos secrets à nos alliés américains ?
Quels types de données personnelles sont concernées ?
En France, comme dans beaucoup de pays européens, il existe une doctrine assez claire et qui protège les citoyens : la surveillance de masse concerne essentiellement ce qu’on appelle les données techniques, c’est-à-dire pas les conversations et leurs contenus, mais tout ce qui permet l’identification d’une conversation : qui vous avez appelé ? Quand ? Pendant combien de temps ? Sur quelle borne GSM vous étiez localisé ? Si c’est sur internet, sur quel site vous étiez connecté ? Quel a été l’historique de votre navigation... Mais sans rentrer davantage dans le contenu.
Quand on travaille dans le domaine de la surveillance, il existe une dichotomie très forte entre le contenu, qui est ce que la personne exprime, qui relève de la vie privée, protégée par le code pénal, et la donnée technique, qui est un domaine un peu gris puisqu’il existe des dispositifs qui permettent d’acquérir ces données en masse.
Les Américains surveillent-ils au-delà de ces données "techniques" ou pas ?
C’est effectivement un point très intéressant. Je me permets de douter de l’efficacité de la surveillance de masse parce qu’elle génère des données en très grand nombre. Et quand on parle aussi de contenu en masse, cela veut dire déployer des capacités d’analyse absolument phénoménales. On peut se demander si, au final, on n’est pas passé au travers d’autres manières de travailler. Le principe de sobriété que l’on applique à l’environnement pourrait aussi concerner la surveillance.
Le défi, pour les services de renseignement, c’est alors de gérer cette masse d’information…
Oui, ils écoutent au-delà de l’aspect technique des données. Il y a eu plusieurs scandales aux États-Unis, qui fort heureusement n’ont pas été détectés chez nous. Les opérateurs ont fait du zèle outre-Atlantique. Dans la foulée des attentats de 2001, le Patriot Act a été voté à la quasi-unanimité du parlement américain. Quand les opérateurs de télécommunications ont vu arriver cet objet législatif dans leur paysage, ils ont fait du zèle. Ils ont n’ont seulement mis à disposition les données techniques, mais ils se sont permis d’écouter en masse des conversations des Américains.
Pour les régimes démocratiques, quels sont les risques de dérive ?
La dérive, c’est la tentation de l’exécutif de recourir à la technologie parce que c’est facile. C’est ce qu’on appelle le "techno-solutionnisme", qui consiste à considérer que la technologie est là, disponible, qu’elle permet de faire beaucoup de choses et qu’on peut afficher des résultats.
Il faut bien comprendre qu’internet, qui nous surveille à travers les Gafam [Google, Apple, Facebook, Amazon et Microsoft, ndlr], a une limite, c’est la limite du physique. Internet ne peut pas savoir avec qui vous êtes dans une pièce quand vous surfez. Avec la technologie, un système central peut le savoir, via les téléphones portables. Et cela me heurte profondément.
La reconnaissance faciale est-elle un outil de la surveillance de masse ?
Je suis moins un spécialiste de la surveillance par l’image, mais pour moi, la surveillance vidéo est un entre-deux. On va capter un flux dans un lieu déterminé. On fait la même chose en télécoms quand un opérateur met à disposition des enquêteurs la liste de tous les téléphones qui ont borné dans un lieu précis. C’est un outil précieux dans une enquête.
Donc, je rapproche ces deux techniques. Là où cela devient de la surveillance de masse, c’est quand ce dispositif de captation de l’image agit sur tout un territoire donné. C’est possible dans des pays qui ont une configuration bien particulière, comme celle des monarchies du Golfe persique. Elles concentrent l’essentiel de l’activité humaine dans des cités-États. On peut y quadriller tout le tissu urbain avec un réseau de caméras de surveillance.
Il faut alors s’interroger sur le rôle de l’intelligence artificielle, par-dessus cette captation des données, pour reconnaître automatiquement des visages et les coupler à des bases de donner pour en déduire des identités, pour détecter des comportements à risque, etc. Le résultat, c’est que quand vous vous promenez dans la rue, vous êtes espionné.
Des villes comme Dubaï ou Doha sont-elles gérées sur ce modèle ?
Je ne suis pas intervenu sur ce type de dispositif mais ce que je comprends avec mon expérience me donne à penser que ce type de surveillance est en activité. Ce sont des villes qui se sont mises en situation de pouvoir quadriller leur territoire pour surveiller en permanence ce que font les gens. Et avec une couche d’intelligence artificielle, de ne pas avoir besoin à déployer des milliers de paires d’yeux de surveillance des écrans de contrôle, mais de faire seulement remonter les cas intéressants.
Pour la dernière Coupe du monde au Qatar, on était dans ce schéma-là ?
Tout me laisse à le penser. Il y a des limites techniques pour ce genre d’événement en termes de densité et de traitement des masses. Il y un goulet d’étranglement dans ces dispositifs de surveillance de masse. On construit un système qui alimente des bases de données et des serveurs avec un nombre gigantesques de données. L’intelligence artificielle permet de faire sauter le verrou du traitement humain. Je pourrais même dire que grâce à l’intelligence artificielle, la surveillance de masse n’a pas de limite !
Pour autant, peut-on freiner ces développements ?
Aujourd’hui, le plus inquiétant quand on parle de surveillance de masse, c’est la capacité de nos auxiliaires du quotidien que sont les smartphones de nous espionner à travers les applications déployées par les Gafam. Ces sociétés ont mis en place un écosystème complet autour d’elles qui leur permet de capter des données, de les monétiser, de les revendre à d’autres qui vont les exploiter. On l’a vu dans le cas de la société Cambridge Analytica, qui exploitait les données de Facebook pour biaiser quelque part des processus électoraux.
Aujourd’hui, il y a une capacité absolument phénoménale à capter des informations à forte valeur ajoutée sur les gens. Quand vous mettez un pouce vers le haut dans une application vous dites énormément sur ce que vous êtes. C’est encore plus calibré qu’une interception de communication ! Vous exprimez ce que vous ressentez. Imaginez ce que ces sociétés sont capables de savoir sur vous quand vous avez mis 100, 500 ou 1 000 pouces levés.
Cette capacité produit un gisement inépuisable et qui a des fonctionnalités dont on n’a pas encore défini tous les contours. Par exemple, j’ai lu dans un article spécialisé aux États-Unis qu’il existait un projet de Google, dans un pays du Proche-Orient, consistant à coupler les images captées par les applications sur les téléphones portables de la population avec un système de vidéosurveillance du gouvernement.
C’est ce qu’on appelle le "crowdsourcing" [la production participative, ndlr]. L’idée est de demander à la population de remplir une fonctionnalité, et ça, typiquement, les Gafam peuvent le faire. Concrètement, vous faites une vidéo personnelle, qui est interceptée par Google, notamment grâce à la géolocalisation. Google les renvoie ensuite à un serveur du gouvernement local qui fusionne ce flux avec ses bases de données.
C’est terrifiant, parce que cela signifie que tout le monde espionne tout le monde, et les images sont ensuite exploitées par un surveillant central.
Le logiciel espion Pegasus, mis au point par une société israélienne, entre-t-il dans la surveillance de masse ?
C’est un accident industriel de la surveillance. La société qui a mis au point le logiciel Pegasus a obtenu un blanc-seing et un appui franc de son gouvernement, en l’occurrence Israël. Mais quelque part, ils ont créé un monstre qui est sorti de sa cage. Aujourd’hui, la police mexicaine craint que Pegasus ait été vendu à des cartels de drogue qui l’ont utilisé à leur bénéfice. Vous avez un outil extrêmement puissant qui est aussi privatisé. Pour moi, on joue aux apprenti-sorciers. On est dans une jungle.
À réécouter : De quoi l’affaire Pegasus est-elle le nom ?
Esprit de justice
58 min
À réécouter : Pegasus : le marché de la cybersurveillance est-il hors de contrôle ?
Le Temps du débat d'été