La France va se doter d'un système centralisé d'interception des données téléphoniques et internet. Mais les futures grandes oreilles de l'Etat, gérées par le groupe Thales, posent de graves problèmes. Surcoûts, failles de sécurité, risques de conflit d'intérêts... Révélations.

Cette visite devait être une formalité. Ce fut une catastrophe. Le 15 février, Christian Vigouroux s'invite pour la première fois dans les locaux de Thales, le groupe de défense et d'électronique, à Elancourt, dans les Yvelines. Ce déplacement n'a officiellement jamais eu lieu. Et pour cause : le haut fonctionnaire, alors directeur de cabinet de la ministre de la Justice, veut vérifier de ses propres yeux où en sont les derniers préparatifs d'un projet secret, classé "confidentiel défense". Son nom est tout ce qu'il y a de plus anodin : la PNIJ, pour "plate-forme nationale des interceptions judiciaires". En réalité, derrière ce sigle, se cache un monstre numérique sur le point de s'éveiller.

Découvrez le nouveau système centralisé des écoutes téléphoniques et Internet: Schéma complet de la plate-forme nationale des interceptions judiciaires (PNIJ)

Conversations téléphoniques, SMS, MMS, Internet... Dès cet été, l'ensemble des communications mises sur écoute passera par ces grandes oreilles de l'Etat. Souhaité dès 2010 par l'ancien président Nicolas Sarkozy, ce système de surveillance va permettre de centraliser en un seul point plus de 5 millions de réquisitions judiciaires (liste des appels téléphoniques, identité d'un abonné derrière un numéro...) et près de 40 000 écoutes autorisées par les juges dans le cadre de leurs enquêtes.

À lire, en complément: Thales, l'écouteur écouté?

[Offre limitée] Spécial rentrée. 1€ par mois

Je m'abonne

Et aussi: Internet passé au crible

Ce 15 février, pour s'assurer que ce titan ne porte pas atteinte à la vie privée des citoyens, la présidente de la Commission nationale informatique et libertés (Cnil), Isabelle Falque-Pierrotin, fait aussi le déplacement. L'Association française des magistrats instructeurs, également conviée, n'a pas daigné envoyer de représentant, signifiant ainsi la désapprobation des juges, qui n'ont jamais été consultés.

Cette petite délégation est accueillie par plusieurs responsables de Thales - des "guides" omniprésents tout au long d'une visite très encadrée. Ce jour-là, les émissaires de la garde des Sceaux se sentent alors dépossédés de leur projet. Ils comprennent qu'une partie de leurs prérogatives est désormais tombée entre les mains d'une société privée (même si "l'Etat est actionnaire"). Le golem leur échappe. Pourtant, d'autres implantations avaient été envisagées, comme les locaux de la police, sur le site de Nanterre, ou ceux des gendarmes, sur celui de Rosny-sous-Bois. La place Vendôme, siège du ministère, avait également été évoquée. Mais ces points de chute ont tous été écartés pour des raisons de capacités d'accueil.

La centralisation engendre un risque majeur

A la veille de son entrée en vigueur, avec deux ans de retard sur le calendrier initial, le "Big Brother" français pose surtout des problèmes d'une tout autre gravité : risque sur la sécurité des données, appel d'offres biaisé, dépassement de budget, coûts cachés et conflits d'intérêts avec le groupe Thales, lui-même sous le coup de plusieurs enquêtes. Autant de dérives que L'Express est en mesure de révéler.

Sur le papier, le projet était pourtant séduisant. Il permettait, à la fois, de gérer l'explosion des réquisitions et de réduire les coûts. Car l'augmentation continue du nombre d'écou-tes téléphoniques ou des interceptions de SMS ne cesse de grever le budget de la Justice. En cinq ans, les dépenses ont ainsi pratiquement doublé, passant de 55 à 106 millions d'euros en 2011. Et l'inflation n'est pas près de s'arrêter, étant donné l'accroissement de la surveillance des échanges sur l'Internet fixe et mobile.

L'envoléee des coûts

Jusqu'à présent, les opérateurs de télécommunications étaient défrayés lors de chaque interception. Ils envoyaient les informations une fois saisies aux officiers de police et de gendarmerie. Six petites sociétés privées épaulaient alors les forces de l'ordre en leur fournissant gratuitement du matériel pour retranscrire les écoutes (lignes sécurisées, ordinateurs, logiciels). La PNIJ, elle, permet de tout regrouper, de réaliser des économies et de faire disparaître près de 1 million de documents administratifs. Adieu la paperasse. "Il a été décidé de renforcer la sécurité autour des réquisitions et des écoutes, explique Richard Dubant, responsable de la Délégation aux interceptions judiciaires (DIJ). Pour cela, seule une grande entreprise comme Thales possède les capacités techniques suffisantes pour gérer des volumes à traiter de plus en plus importants."

Mais ce tableau idyllique se fracasse aujourd'hui contre le mur de la réalité. D'abord, la centralisation même des informations en un seul lieu engendre un risque majeur. Dès 2011, le directeur général de la police nationale, Frédéric Péchenard, s'en était ému dans une note confidentielle dont L'Express a obtenu copie. Ce proche de Nicolas Sarkozy n'hésitait pas alors à déclarer que cette plate-forme était "une cible potentielle, du fait même de la concentration de données sensibles", avant de préciser : "Cette fragilité a été soulignée par l'Agence nationale de la sécurité des systèmes d'information [Anssi]." Un autre sujet l'alarmait. Il s'agit de la difficulté pour le ministère de changer d'hébergeur. "Nous pouvons récupérer l'ensemble des éléments à tout moment, se défend Richard Dubant. D'ailleurs, il est prévu de rapatrier un jour la PNIJ au sein de la Justice."

Cinq entreprises, s'estimant lésées, ont attaqué en justice

Plus inquiétant encore, afin que son bon fonctionnement soit assuré, la plate-forme doit être dotée d'une soeur jumelle, qui prendrait le relais en cas de pannes. Or, selon nos informations, celle-ci est, elle aussi, basée à Elancourt, à 300 mètres seulement de la première. Un éloignement insuffisant en cas d'incendie, d'accident ou d'actes de malveillance. "Les bonnes pratiques en la matière exigent une installation située à une distance entre 20 et 30 kilomètres du premier site", estime Marc Ayadi, consultant associé en sécurité informatique chez Deloitte.

Cette plateforme est "une cible potentielle", s'inquiétait le directeur général de la police nationale

Le système actuel, quoique imparfait et dispersé, ne soulève pas ce type de problèmes. Les centrales d'écoutes sont éparpillées sur tout le territoire. Pour l'heure, six entreprises (Foretec, Elektron, Amecs, Azur Integration, Midi System et SGME) équipent gratuitement quelque 350 centres de police et de gendarmerie par le biais de lignes sécurisées et de plus de 10 000 ordinateurs, selon leurs dires. Difficile pour des malfrats de repérer l'endroit où se trouvent les données les concernant. Ces six sociétés rentabilisent leurs investissements en facturant leurs prestations à des tarifs élevés, même si ceux-ci ont baissé de près de la moitié ces dernières années. "En cas de panne, les transferts peuvent facilement être [basculés] d'un centre sur un autre en un temps très court. La PNIJ devra pouvoir relever ce défi", déclarait, en octobre dernier, la prudente Cour des comptes.

Aujourd'hui, voyant ce marché leur échapper, cinq de ces six entreprises se sont regroupées pour attaquer en justice l'appel d'offres du ministère dont, au passage, elles n'ont jamais été informées. De fait, ce dossier avait été classé "confidentiel défense" afin que soient écartés plusieurs groupes étrangers comme l'israélien Nice Systems ou le danois ETI Connect, attirés par ce juteux marché. Le tribunal administratif de Paris leur a donné raison, estimant que "la garde des Sceaux [avait] commis une erreur manifeste d'appréciation" en les excluant. Pour l'Etat, hors de question cependant de faire machine arrière, car "l'annulation [de ce] contrat porterait une atteinte excessive à l'intérêt général"... Plus de 15 millions d'euros ont en effet déjà été engagés. Le tribunal propose donc aux plaignants de demander des dédommagements à la justice. Si elle aboutissait, leur requête alourdirait une facture déjà bien salée.

La moralisation de la vie politique menacée

Faisons les comptes. A l'origine, le Big Brother devait coûter 17 millions d'euros. A présent, la douloureuse se monte à 43 millions. Au bas mot. Car Orange, SFR, Bouygues Telecom, Free et Numericable ont dû déployer des fibres optiques jusqu'au site d'Elancourt pour répondre à leurs obligations légales d'acheminer les communications. En considérant les frais de mise à jour de leurs systèmes d'information, ils sont en droit de se faire rembourser une quinzaine de millions d'euros supplémentaires. Mais il y a pire. Comme le souligne Francis Nebot, secrétaire national du syndicat Synergie officiers : "Les réseaux Internet de la police nationale n'offrent pas les débits suffisants pour se connecter à ce système dans de bonnes conditions et accéder aux écoutes à distance. Du coup, le ministère de l'Intérieur va devoir investir pour redimensionner nos réseaux. On nous a offert une Ferrari sans avoir les routes pour la faire rouler !"

Selon ce syndicat, l'ardoise pourrait donc s'allonger de 40 à 50 millions d'euros. Et encore, ce montant n'inclut pas les dépenses engagées par les gendarmes et les douanes. "Si cela s'avère nécessaire, il est convenu que le ministère de l'Intérieur prenne à sa charge le réseau de la police", argumente Richard Dubant, manifestement soucieux de rassurer son monde.

La PNIJ doit être mise en service en septembre prochain et rendre obsolètes les trois plates-formes actuellement spécialisées dans l'interception des données. L'une concerne les SMS (le STIJ) : elle a coûté plus de 1 million d'euros. Les deux autres ont trait à l'Internet fixe et mobile. Appelées Cariatide et Primatice, elles vont également cesser leurs activités. Quant aux six entreprises gérant les centrales d'écoutes téléphoniques, elles vont reprendre les 10 000 ordinateurs mis jusqu'ici à la disposition de la police. "Finalement, pour écarter des petites sociétés privées du marché des écoutes, ils ont fait appel à une grosse société... privée. Tout cela est ubuesque", observe avec amusement un ancien gendarme.

En plein débat sur la moralisation de la vie politique voulue par François Hollande, l'éveil prochain de la PNIJ paraît bien problématique. Par exemple, les gouvernants pourraient-ils avoir accès à des enquêtes en cours les concernant, eux ou leurs proches, en se connectant directement à cette plate-forme ? Nul ne le sait. Le risque est important. Et, d'abord, pour Thales lui-même. "Même si, techniquement, cette hypothèse paraît improbable, un comité de contrôle de six "sages" va être constitué pour apporter toutes garanties aux citoyens", confie Richard Dubant. Une manière aussi de répondre à la question que tout le monde se pose : "Qui surveillera les surveillants ?"