La semaine dernière, un étrange, et quelque peu inquiétant, animal est apparu au grand jour : HERISSON. « La France serait-elle en voie de mettre en place l’équivalent d’un réseau Echelon dans l’hexagone pour surveiller et cataloguer tous les faits et gestes de tous les médias, radio, TV et internet compris ? », se demandait alors PC Inpact à l’origine de la médiatisation de l’appel d’offres de ce projet commandé par la Délégation générale pour l’armement (DGA), la direction du ministère de la Défense notamment responsable des essais et évaluations des systèmes de défense. Et pour cause, le système est décrit comme capable d’accéder et de collecter tout ce qui est diffusé dans les médias en ligne et de gérer notamment tous les contenus transitant via IRC, mailing-list, forums, p2p, etc., dans un large éventail de formats (vidéo, audio, images, texte), et de protocoles (POP3, FTP, etc.).
Nous avons donc contacté un porte-parole de la DGA pour avoir davantage de détails sur cet « Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées ».
Tout d’abord, pouvez-vous confirmer l’authenticité des documents publiés par PC Inpact ?
Oui. HERISSON a fait l’objet d’un appel d’offres en 2007, et il a été largement distribué à toutes les sociétés susceptibles d’être prestataires. Quant à l’autre document, il s’agit de ce qu’on appelle le cahier des clauses techniques particulières (CCTP), et il était en annexe de l’appel d’offres.
Et depuis 2007 que s’est-il passé ?
Un contrat a été notifié fin 2008.
Pouvez-vous préciser avec qui ?
Oui, avec EADS. EADS est le mandataire, et derrière, on retrouve les sociétés Bull et Bertin. La durée du marché est de trois ans.
Et donc, qu’est-ce qu’HERISSON ?
C’est un démonstrateur technologique. On appelle cela plus exactement un « programme d’étude amont ». C’est un peu comme un prototype. Il n’a pas pour but de devenir opérationnel, ça reste à un niveau purement technique. Et son objectif est de tester, d’évaluer les logiciels dans le commerce et les logiciels libres capables de traiter des sources ouvertes. Il en existe plein, mais tous ne sont pas stables. Alors on va regarder lesquels sont les plus performants et pourraient nous être utiles. Et voir si on peut les inter-connecter.
On parle de surveillance et de collecte de tout ce qui existe sur le réseau, des mails aux réseaux P2P. Quelles données sont concernées ?
On ne travaille que sur les sources ouvertes, c’est-à-dire tout ce qui est accessible au commun des mortels. C’est d’ailleurs dans le nom même d’HERISSON : Sources Ouvertes Numérisées. On exclut tout ce qui concerne la sphère privée. Ca n’a rien à voir avec Echelon comme j’ai pu le lire.
Par exemple, le fait de rechercher des informations sur POP3 (protocole de messagerie), ce n’est pas pour aller espionner les mails des gens, mais pour pouvoir s’inscrire à des mailing-lists qui nécessitent également POP3. Pour le p2p, on ne va pas surveiller qui télécharge quoi, mais typiquement on doit pouvoir savoir que, sur Emule, telle information est disponible en téléchargement. Par exemple, une vidéo d’Al-Qaida. Autre exemple, pour le « web invisible », il s’agit d’avoir accès à des pages qui ne sont pas ou mal indexées par les moteurs de recherche, mais qui restent encore une fois accessibles à ceux qui savent les chercher.
Par ailleurs, il n’y a aucune forme de hacking. Il n’est pas question de pirater des sites ou de rentrer dans des systèmes.
Vous avez dû demander une autorisation à la CNIL ?
Non. Nous avons regardé, mais elle n’est pas nécessaire car il s’agit d’un démonstrateur technologique et que nous ne constituons pas de bases de données. On va récupérer de l’information mais seulement pour avoir un échantillon représentatif pour pouvoir tester les différentes logiciels. On ne va pas conserver ni classifier l’information dans HERISSON.
Au final, le but est bien de passer à un système opérationnel ?
Oui, au bout de trois ans, il pourra y avoir un autre contrat pour faire un logiciel opérationnel, mais il sera sur la même base. Uniquement sur la recherche d’informations ouvertes. Ca n’a rien de « folichon », c’est d’ailleurs pourquoi les infos relatives à l’appel d’offres n’ont pas été classées Secret Défense. Si cela avait été un projet de type Echelon, cela aurait été le cas.