Le big data constitue aujourd’hui "le pétrole" des services de renseignements. Depuis 2016, une société américaine liée à la CIA, Palantir, travaille pour le renseignement intérieur français, la DGSI. Y a-t-il un risque de fuite de données ? Enquête sur l’une des start-up les plus puissantes du monde.

Y a-t-il un risque de porte dérobée qui serait caché dans le logiciel américain Palantir ? © Getty / Matt Anderson Photography

23 mai 2018. Une cinquantaine de patrons de géants du numérique sont invités par le chef de l’État, Emmanuel Macron, lors d’une réunion baptisée Tech for good.

Parmi eux, un homme aux cheveux en bataille : Alexander Karp, le PDG de Palantir. Cette start-up, fondée en 2004, est peu connue du grand public. Elle est pourtant devenue l’un des leaders mondiaux du traitement massif de données. Grâce à des algorithmes, Palantir fait se croiser et analyse des milliers de données différentes.

Alexandre Karp au Palais de l'Élysée, le 23 mai 2018, lors du rendez-vous des géant du web Tech for good. © Maxppp / Aurelien Morissard / IP3 PRESS

"La promesse de Palantir c'est de rendre visible ce qui est invisible à l’œil nu en moulinant des données et en leur donnant du sens, explique le journaliste à Téléréma, spécialiste du numérique, Olivier Tesquet. Par exemple, ils vont deviner les zones de famine en étudiant l'évolution du prix du pain ou permettre à des entreprises de détecter des menaces internes en identifiant les fichiers partagés sur les ordinateurs."

La boule de cristal du "Seigneur des anneaux"

Le nom de Palantir n’a rien d’innocent. Il fait référence à la pierre de vision apportée par des elfes dans le célèbre roman de Tolkien, Le Seigneur des anneaux : une boule de cristal qui permet de tout savoir.

Les principaux clients de Palantir sont les banques, les assurances, mais aussi les services de renseignement, particulièrement intéressés par la puissance de ces algorithmes. "Cette technologie permet de traiter des données produites par les compagnies aériennes ou par les entreprises de télécoms, explique Alexandre Papaemmanuel, responsable sécurité et renseignement intérieur à la société Soprasteria. On peut tracer les appels entrants et sortants, faire des graphes relationnels, savoir qui parle avec qui et quand."

Mathématiser le comportement humain

Aux États-Unis, Palantir travaille pour plusieurs agences de renseignement, comme la NSA, mais aussi le FBI, certains secrétariats d’État comme la Défense ou la Justice, ou encore plusieurs polices locales, notamment à Los Angeles ou à la Nouvelle-Orléans.

La "police prédictive" est un marché en pleine expansion dans lequel est également actif une autre société baptisée Prédpol. "Derrière ces sociétés, il y a l'idée qu'on pourrait mathématiser les comportements humains grâce aux données, analyse Philippe Vion-Dury, auteur du livre La nouvelle servitude volontaire. C’est ce qu’on appelle du machine learning. On retrouve les mêmes techniques chez Google, Facebook, ou Youtube. Cela répond à un certain esprit de la Silicon Valley qui pense pouvoir réduire les grands problèmes sociaux et comportementaux de l'humanité à des équations."

La technologie de Palantir a également été utilisée par le Consortium international de journalistes d’investigation, l’ICIJ, dont Radio France est partenaire.

En revanche, plusieurs grosses entreprises comme Coca-Cola ou American Express ont préféré se passer de ses services, notamment en raison d'un coût trop élevé.

PayPal, "laboratoire" de Palantir

Derrière Palantir, il y a un homme : Peter Thiel. Ce "petit génie" de la Silicon Valley (qui a investi très tôt dans Facebook) est un libertarien qui prône le rétrécissement du rôle de l’État.

L’homme a aussi "la folie des grandeurs" : il veut repousser l’âge de la mort et finance des projets de cités flottantes dans les eaux internationales, hors de la souveraineté des États.

Peter Thiel s’est fait connaître en investissant avec Elon Musk, dans une autre société qui a beaucoup fait parler d’elle : PayPal, un système de paiement en ligne. "Palantir se trouvait déjà en germe à l'intérieur de PayPal, souligne l’expert en cyber sécurité, Fabrice Epelboin. À l'époque, PayPal a gagné contre les banques, en s’attaquant à la fraude d’une manière très originale. Là où les banques, ses concurrents de l'époque, s'attaquaient à la fraude avec des systèmes automatisés, PayPal a introduit des opérateurs humains manipulant ces données avec des interfaces graphiques."

Le monde selon Palantir

Le siège de Palantir est situé à Palo Alto, en Californie, au cœur de la Silicon Valley. La start-up pèse aujourd’hui 20 milliards de dollars et se veut incontournable dans de multiples secteurs d’activités.

Son patron Peter Thiel est convaincu que Palantir va régler tous les problèmes de la planète, comme il l’écrit dans son livre De zéro à un. Comment construire le futur, paru en France en 2017 :

"En plus d’aider à repérer des terroristes, écrit Peter Thiel, les analystes utilisant le logiciel de Palantir ont été en mesure de prédire là où des insurgés installent des engins explosifs improvisés en Afghanistan, de permettre d’instruire des dossiers de délits d’initiés de grande ampleur, de démanteler des réseaux de pornographie infantile partout dans le monde, de soutenir les centres américains de contrôle et de prévention des maladies dans la lutte contre les épidémies d’origine alimentaire et de faire économiser des centaines de millions de dollars par an aux banques et au gouvernement [américain] grâce à un dispositif de détection avancée de la fraude."

Un circuit parallèle du renseignement

Palantir est également proche de la CIA. L’entreprise a été financée en partie par le fonds In-Q- Tel, lié au service de renseignements américain. "C'est la CIA qui a financé le développement de leur projet, dans toutes ces facettes, explique l’ancien directeur du renseignement à la DGSE, Alain Juillet. Comme tous les services de renseignement du monde, l'agence américaine avait besoin d'avoir le maximum d'informations dans un minimum de temps. Les méthodes de Palantir ont semblé tellement intéressantes que la CIA a dit : 'Banco, on paye, vous y allez'. Palantir a réussi à créer un outil unique au monde."

Sans qu’on sache vraiment s’il s’agit d’une légende, Palantir laisse dire qu’elle aurait permis à l’administration américaine de localiser Oussama Ben Laden. "Nous n’avons pas d’informations à dévoiler sur cette opération, écrit Peter Thiel dans son livre, mais nous pouvons affirmer qu’à eux seuls, ni l’intelligence humaine ni les ordinateurs ne seront en mesure d’assurer notre sécurité."

Contrairement à la plupart des patrons de la Sillicon Valley, Peter Thiel est un proche de l’administration Trump.

Donald Trump et Peter Thiel, le fondateur de Palantir, le 14 décembre 2016 à la Trump Tower, lors d'une rencontre entre le Président-élu et les patrons des entreprises de technologies américaines. © AFP / DREW ANGERER / GETTY IMAGES NORTH AMERICA

Il est devenu le conseiller numérique de l’actuel président américain. "Dans l'Amérique de Trump qui développe une défiance quasi-pathologique vis-à-vis des services de renseignement, Peter Thiel conseille à Trump de ne plus se fier à des services secrets qui ne seraient pas loyaux, commente le journaliste Olivier Tesquet. Comme si Palantir devenait une espèce de circuit bis du renseignement."

Les codes du jeu vidéo

Depuis sa création, Palantir a cherché à plusieurs reprises à décrocher des marchés en France. "Il y a dix ans, des équipes de Palantir sont venues chez moi en m’expliquant qu’il y avait des marchés publics qui les intéressaient, notamment avec la Direction générale des finances publiques, témoigne le vice-président du Conseil national du numérique, Gilles Babinet. Elles m’ont fait une démonstration. Leur technologie était impressionnante. Ils avaient rendus simples des choses complexes, en utilisant les codes du jeu vidéo."

En 2015, Palantir se porte candidat sur deux appels d’offres publics, notamment sur le traitement des données fiscales. "Je me suis ému de cette situation, se souvient la sénatrice UDI Catherine Morin-Desailly, spécialiste des questions numériques. J’ai alerté sur le fait qu’on ne pouvait pas confier la gestion de ces données ultra-sensibles à une entreprise américaine qui n'applique pas les mêmes règles que nous.»

Un contrat dans l’urgence

Finalement, Palantir ne sera pas retenue sur ces marchés publics.

Mais en mai 2016, la start-up de Peter Thiel et Alex Karp décroche un contrat de 10 millions d’euros auprès du renseignement intérieur français, la DGSI (Direction générale de la sécurité intérieure). "Nous étions après les attentats de 2015, rappelle Guillaume Farde de la société Risk and Co. Dans un contexte de menace extrêmement élevée, nos services avaient besoin, dans l’urgence, de capacités techniques de renseignement. Mais il n'y avait pas d'opérateur national capable de répondre à cette demande. Les services de renseignement n’avaient pas le choix."

En réalité, la DGSI a eu le choix entre un fournisseur américain et un israélien. C’est l’option américaine qui l’a emporté. "Nous ne manquons pas de données, ni de métadonnées, mais nous manquons de systèmes pour les analyser, déclare le patron de la DGSI, Patrick Calvar, devant la Commission de la défense de l’Assemblée nationale, le 10 mai 2016. Les entreprises françaises qui développent des systèmes ne sont pas encore capables de répondre à nos besoins, alors que nous devons acquérir ce big data immédiatement. Nos camarades européens sont dans la même situation."

À l’époque, le directeur de la DGSI parle de "solution temporaire".

"Un risque majeur pour le renseignement"

"Peut-on avoir complètement confiance dans le fait que les informations qui vont être traitées par Palantir ne vont pas fuiter vers les États-Unis ?, s’interroge Serge Abiteboul, membre du collège de l’Arcep, l’autorité de régulation des communications électroniques. Le fait que cette société soit proche des services secrets américains pose question."

Autrement dit : y a-t-il un risque de porte dérobée (back door), un peu comme un cheval de Troie qui serait caché dans le logiciel américain ?

Du côté de la DGSI, on explique que le système est "efficace et parfaitement sécurisé." Une source proche du renseignement explique que "si Palantir a bien formé des agents français à l’utilisation du logiciel, l’entreprise n’a jamais accès directement aux données."

"Au moment où nous avons passé ce contrat avec Palantir, des techniciens ont donné leur feu vert et nous ont garanti l’étanchéité du système", assure encore une source proche de la direction du renseignement, à l’époque.

"Nos services ont des capacités de cyber-défense et de contre-espionnage qui sont très développées, ajoute l’ancien conseiller du garde des Sceaux Jean-Jacques Urvoas, Floran Vadillo. Une porte dérobée ou un cheval de Troie serait facilement repéré. Et puis, il n'est pas dans l'intérêt commercial de Palantir d'offrir des solutions minées à ses clients. Si on apprend qu'elle participe à un détournement de données, tout son système-business s'effondre."

"À partir du moment où Palantir ne donne pas le code source de son logiciel, qui est son secret de fabrication, il y a toujours le risque qu'une porte dérobée soit mise en œuvre et qu’elle recrache des données essentielles, sans contrôle, estime, en revanche, le représentant français des questions numériques auprès de la Commission européenne, Gilles Babinet. C'est un risque majeur pour le renseignement."

Un comité d’éthique payé par Palantir

Palantir n’a pas répondu à nos demandes d’interview mais l’entreprise assure qu’elle respecte l’éthique et la confidentialité des échanges. "Cela nous arrive souvent de refuser de gros clients qui pourraient nous faire gagner des millions parce que l'on considère que nos valeurs ne sont pas alignées avec les leurs, déclare le représentant français de Palantir, Gautier Cloix lors d’un colloque sur le big data, en avril 2016. Nos valeurs, c'est une culture tournée vers l'impact. Ce qui nous motive tous, en tant que 'palantiriens', ce qui est à la base de nos contrats, c'est l'impact que l'on peut avoir."

"Palantir m’a assuré qu’elle avait intégré dans l’architecture de son système des mécanismes protégeant la vie privée et la confidentialité des échanges, rapporte le journaliste Olivier Tesquet qui a enquêté sur la start-up américaine. Ils m’ont aussi expliqué qu’ils avaient un comité d’éthique, composé de chercheurs et de professeurs de droit… mais ils sont tous rémunérés par Palantir !"

Nuages noirs sur le cloud

Palantir travaille également pour l’avionneur Airbus, un concurrent de l’américain Boeing.

Là encore, on peut s’interroger sur les risques pris par l’un des fleurons de l’industrie européenne, étant donné la proximité de Palantir avec le renseignement américain. "Ils ont cinq ans d'avance sur la concurrence, déclarait au magazine Challenges Marc Fontaine, directeur de la transformation digitale d’Airbus. Leurs logiciels permettent d'harmoniser très rapidement des bases de données hétérogènes. Le tout avec un haut niveau de sécurité : chaque donnée affiche elle-même sa propre traçabilité, avec des droits d'accès différenciés en fonction des publics."

"Cette situation est hallucinante. Qu’est ce qui va se passer si Boeing récupère des données pour mieux concurrencer Airbus sur un appel d’offre ?", se demande Benjamin Sonntag cofondateur de La Quadrature du net.

La situation est d’autant plus délicate que depuis avril 2018, les Américains ont mis en place un nouveau dispositif : le Cloud act (Clarifying Lawful Overseas Use of data Act). Cette loi oblige désormais les entreprises américaines à fournir leurs données à l’administration américaine… y compris en dehors du territoire américain.

Par ailleurs, certains clients de Palantir comme la police de New-York ont récemment engagé un bras de fer avec la société américaine pour récupérer des données que Palantir considère comme sa "propriété intellectuelle"...

Le témoignage d’un lanceur d’alerte

L’ombre de Palantir apparait également en marge de l’affaire Cambridge Analytica, cette société britannique qui a siphonné les données personnelles de millions d’utilisateurs de Facebook au service de la campagne de Donald Trump.

En mars dernier, un lanceur d’alerte, Christopher Wylie a témoigné devant les parlementaires britanniques, en citant Palantir (à 1h23) :

"L’un des tous premiers e-mails que j’ai reçu me demandait ce que je savais au sujet d’une société appelée Palantir, déclare Christopher Wylie. Quand je suis arrivé, la première question a été : 'Est-ce qu’on peut faire quelque chose avec Palantir ? Qu’est-ce que vous en pensez ?' Nous avons eu plusieurs réunions avec Palantir, où j’étais moi aussi présent. Il y avait du personnel de haut niveau qui travaillait sur les données de Facebook. Il ne s’agissait pas d’un contrat officiel entre Palantir et Cambridge Analytica. Mais il y avait bien des employés de Palantir qui venaient dans nos bureaux et travaillaient sur les données."

De son côté, Palantir dément tout lien avec Cambridge Analytica. "On voit bien désormais que Palantir a travaillé pour Cambridge Analytica, s’insurge Catherine Morin-Desailly. Nous sommes au cœur du cyclone. Il ne faut pas être naïf et être très vigilant. Car nous sommes en perte de souveraineté numérique."

La sénatrice UDI vient de remettre un rapport intitulée "Prendre en main notre destin numérique : l’urgence de la formation".

"Une guerre de la donnée"

Pour l’instant, il n’y a pas encore de véritable alternative française ou européenne à la technologie de Palantir. "Il y a eu une prise de conscience", estime Alexandre Papaemmanuel de la société SopraStéria, qui travaille avec la Direction générale de l’armement dans un projet de traitement massif de données baptisé Artémis. "Le mot 'souveraineté numérique' apparait dans la revue stratégique pour la défense et la sécurité nationale ainsi que dans la loi de programmation militaire. Il y a une volonté d'autonomie, et même de coopération au niveau européen. Si on ne veut pas perdre la guerre de la donnée, il ne faut pas rater ce virage-là."

De son côté, la gendarmerie française a développé son propre algorithme, dans le cadre d’un programme d’"aide à l’analyse décisionnelle" dans la lutte contre la délinquance. "Nous avons eu des offres de services de sociétés américaines comme IBM, explique le colonel Laurent Collorig, chef de la division du renseignement de la gendarmerie nationale. Mais nous avons fait le choix de garder la main sur notre logiciel, avec nos ingénieurs, programmateurs et 'data scientists'."

Ce logiciel d’"analyse prédictive de la délinquance" (qui n’utilise aucune donnée personnelle) a été testé dans onze départements français avant d’être élargi à l’ensemble du territoire en septembre 2018. "En quelques clics, on accède à une carte de France avec des zones de chaleur qui correspondent à des cambriolages, explique le colonel Collorig. Plus c'est rouge, plus c'est risqué. À l'aide de cet outil, le décideur opérationnel organise ses patrouilles, et occupe le terrain pour dissuader toute commission d'infraction."

Sur cette carte, l'algorithme utilisé par la gendarmerie française détecte les zones de cambriolages à risques, au quartier près. © Radio France / Benoît Collombat

Vers un Palantir français ?

Face à cette situation, certaines sociétés françaises aimeraient bien se poser en concurrentes de Palantir, comme Flaminem.

Cette start-up, dirigée par Guillaume Prunier, un ancien conseiller d’Emmanuel Macron à Bercy, compte notamment dans son conseil d’administration l’ancien patron de la Société générale Daniel Bouton ou l’ex-chef d’état-major des armées sous Nicolas Sarkozy, Edouard Guillaud. "C'est l'agrégation de toute une série de briques technologiques qui va constituer un système de type Palantir, explique Alain Juillet, présent lui aussi au conseil d’administration de Flaminem. C'est un travail qui prend du temps. Avec les progrès techniques et la qualité de nos spécialistes, nous serons capables de faire comme Palantir d’ici cinq ans."

Mais la route vers une possible souveraineté numérique est encore longue. Depuis 2008, un contrat lie l’armée française… à Microsoft.

Morpho, coqueluche du FBI

Le cas de l’entreprise Morpho est également emblématique de cette bataille sur le terrain des algorithmes.

Cette start-up française créée au début des années 1980, avec le soutien de la Caisse des dépôts (donc de l’État) s’est spécialisée dans l’analyse des empreintes digitales et la biométrie grâce à ses algorithmes.

Dans les années 2000, Morpho décroche de nombreux appels d’offre auprès de polices américaines… et même du FBI ! "Nous sommes devenu la coqueluche des polices américaines, se souvient Bernard Didier, le fondateur de Morpho. Nous avions les meilleures performances par rapport à nos concurrents. Nous avons même résolu des cold cases [des affaires non classées]."

L’entreprise a aussi été critiquée pour son intervention comme opérateur technique dans l’organisation de scrutins en Afrique.

Morpho est devenue une filiale du groupe Safran, avant d’être cédée en mai 2017 à un fonds américain, Advent international, avec le feu vert de Bercy. "C’est un savoir-faire français dans un secteur stratégique qui est parti l’étranger, déplore le député LR, Olivier Marleix, président de la Commission d’enquête sur les décisions de l’État en matière de politique industrielle. Ce n’est pas aux banques d’affaires de faire ou de défaire la politique industrielle de notre pays."

"La décision a été plus technique et financière que politique, estime Bernard Didier. Safran a fait une bonne affaire. C’est l’aspect financier qui l’a emporté. Mais l’objectif d’Advent est à court terme. Ce fonds veut tailler dans les coûts, dégager des résultats et revendre. J’aurais préféré un choix industriel européen."

A contrario, en décembre 2017, le géant français de l’électronique de défense, Thalès, a racheté le roi de la carte à puces, Gemalto.

Programmation musicale de Secrets d'info