Les informations relatives à l'interception constituent l'ossature des métadonnées de toute opération d'interception légale. Dans le cadre de l'interception légale, deux catégories de données sont fondamentales pour chaque opération d'interception : les informations relatives à l'interception (IRI) et le contenu de la communication (CC). Ces deux types de données constituent l'essentiel de ce qu'un opérateur fournit aux forces de l'ordre lorsqu'il exécute un ordre d'interception, et elles sont transmises par des interfaces de transfert distinctes - HI2 pour les IRI et HI3 pour les CC - dans le cadre de l'ETSI. Si la plupart des praticiens comprennent la distinction fondamentale - les IRI sont des métadonnées, les CC du contenu - les implications pratiques de cette distinction sont plus nuancées qu'il n'y paraît à première vue.
Cet article examine la signification pratique des termes IRI et CC, les éléments de données qu'ils englobent, la manière dont ils sont générés et fournis, et l'importance de cette distinction pour les opérateurs, les services répressifs et l'écosystème plus large de l'interception légale.
Ce que signifie l'information relative à l'interception
Les informations relatives à l'interception englobent toutes les métadonnées associées à une communication interceptée. En termes simples, l'IRI répond aux questions suivantes : qui a communiqué, avec qui, quand, pendant combien de temps, en utilisant quel service et à partir de quel endroit ? Il n'inclut pas la substance de la communication elle-même - c'est le domaine du CC. L'IRI est défini et structuré conformément à la série ETSI TS 102 232, qui spécifie les éléments de données, les formats d'encodage et les mécanismes de livraison pour les différentes technologies de réseau.
Les éléments de données spécifiques inclus dans l'IRI varient en fonction du type de communication et de la technologie de réseau impliquée. Pour un appel vocal traditionnel, l'IRI comprend généralement le numéro appelant (numéro A), le numéro appelé (numéro B), l'IMSI et l'IMEI de l'appareil de la cible, l'heure à laquelle l'appel a été lancé, l'heure à laquelle il a été répondu, la durée de l'appel, les identifiants cellulaires au début et pendant l'appel (fournissant des informations de localisation), et la disposition de l'appel (répondu, occupé, pas de réponse, transféré). Pour une session de données IP, l'IRI peut comprendre l'adresse IP de la cible, le nom du point d'accès (APN) attribué, les paramètres du support, les heures de début et de fin de la session et le volume de données transférées.
L'IRI est généré sous la forme d'une série d'événements qui correspondent à la progression de la communication. Les normes ETSI définissent des types d'événements IRI spécifiques pour les différentes étapes d'une communication - par exemple, un événement d'établissement d'appel, un événement de réponse, un événement de libération d'appel et divers événements de services supplémentaires. Chaque événement contient les éléments de données pertinents et un horodatage précis. La fonction de médiation dans le réseau de l'opérateur est chargée de surveiller les protocoles de signalisation (SIP, Diameter, GTP, SS7 et autres) et de générer les événements IRI correspondants au format ETSI.
L'une des caractéristiques les plus importantes de l'IRI est sa nature structurée. Comme l'IRI est codée au format ASN.1 selon des structures de données bien définies, elle peut être automatiquement analysée et traitée par les systèmes des services répressifs. Ce format structuré permet d'automatiser la corrélation, l'analyse des schémas et les opérations d'exploration de données, ce qui serait beaucoup plus difficile avec des données non structurées. La valeur d'investigation de l'IRI ne doit pas être sous-estimée - dans de nombreux cas, les métadonnées fournies par l'IRI sont aussi précieuses, voire plus précieuses, que le contenu lui-même.
Définir le CC : la couche de contenu
Le contenu de la communication est la substance même de la communication interceptée - les mots prononcés lors d'un appel téléphonique, le texte d'un message SMS, les pages web consultées lors d'une session de données, les fichiers joints à un courrier électronique. La CC représente ce qui a été communiqué, par opposition aux informations contextuelles relatives à la communication. Les CC sont transmis au LEMF via l'interface HI3.
Le format du CC varie considérablement en fonction du type de communication. Pour les appels vocaux, la CC est un flux audio en temps réel, généralement codé à l'aide de codecs tels que AMR (Adaptive Multi-Rate), AMR-WB (Wideband) ou G.711. L'audio doit être transmis en temps réel pour que les forces de l'ordre puissent suivre la conversation au fur et à mesure, mais il est aussi généralement enregistré en vue d'un examen ultérieur. Pour les messages SMS, le CC est le contenu textuel du message. Pour les sessions de données, la CC est constituée des paquets IP échangés par la cible, qui peuvent contenir du trafic de navigation sur le web, du contenu de courrier électronique, des données d'application, des médias en continu et tout autre type de communication basée sur IP.
L'interception de données produit un volume de CC nettement plus important que l'interception vocale. Un seul appel vocal génère un flux audio continu mais à largeur de bande relativement faible, tandis qu'une session de données peut générer des gigaoctets de trafic en fonction de l'activité de la cible. Cette disparité a des conséquences importantes sur le dimensionnement des systèmes LI, la largeur de bande des canaux de transmission HI3 et la capacité de stockage nécessaire au LEMF.
La livraison des CC doit se faire en temps voulu. Pour les interceptions vocales, cela signifie une transmission en temps réel avec un temps de latence minimal. Pour l'interception de données, une livraison en temps quasi réel est généralement requise, bien que les exigences exactes puissent varier d'une juridiction à l'autre. Les mécanismes de transport pour la livraison de CC sont définis dans les normes ETSI et utilisent généralement des connexions TCP ou UDP sécurisées, avec un cryptage pour protéger le contenu pendant le transit.
L'importance de la distinction
La distinction entre IRI et CC n'est pas simplement technique - elle a des implications juridiques, opérationnelles et stratégiques importantes. D'un point de vue juridique, de nombreuses juridictions traitent différemment les métadonnées et le contenu. Certains ordres d'interception peuvent autoriser la collecte d'IRI et de CC, tandis que d'autres peuvent se limiter aux métadonnées. Les seuils légaux pour obtenir une autorisation peuvent varier, l'interception de contenu nécessitant généralement un niveau de preuve plus élevé ou une catégorie d'infraction plus grave. Les opérateurs doivent être en mesure d'activer indépendamment les interceptions IRI uniquement et les interceptions combinées IRI-plus-CC, car la portée de l'ordre d'interception dicte les données qui peuvent être collectées et livrées.
D'un point de vue opérationnel, l'IRI et le CC présentent des caractéristiques différentes en termes de volume, de format, d'exigences de traitement et de mécanismes de livraison. L'IRI est relativement compacte et structurée, ce qui la rend bien adaptée au traitement et à l'analyse automatisés. Les CC sont potentiellement volumineux et leur format est très variable, ce qui nécessite des approches différentes en matière de traitement, de stockage et d'analyse. Les opérateurs doivent concevoir leurs systèmes LI de manière à traiter efficacement les deux types de données, avec des mécanismes appropriés de mise en mémoire tampon, de contrôle des flux et de qualité de service.
Du point de vue de la stratégie et de l'enquête, l'IRI et le CC fournissent différents types de renseignements. L'IRI permet d'analyser des schémas, de cartographier des réseaux, de localiser des lieux et d'identifier des schémas de communication dans le temps. La CC permet d'obtenir des informations directes sur le contenu de communications spécifiques, mais son traitement et son analyse peuvent nécessiter des efforts considérables, en particulier pour les interceptions de données qui produisent de grands volumes de contenus mixtes. Les services répressifs reconnaissent de plus en plus la valeur stratégique des métadonnées et, dans certaines enquêtes, l'IRI peut être l'objectif principal de l'effort d'interception.
L'IRI dans les réseaux modernes
Le passage des réseaux à commutation de circuits aux réseaux à commutation de paquets a considérablement élargi la portée et la complexité de l'IRI. Dans les réseaux de téléphonie traditionnels, l'IRI était relativement simple - la signalisation de l'établissement de l'appel fournissait un ensemble bien défini d'éléments de métadonnées. Dans les réseaux IP modernes, le paysage de la signalisation est beaucoup plus diversifié et complexe, impliquant des protocoles tels que SIP, Diameter, GTP-C, et divers protocoles de la couche application.
VoLTE, par exemple, utilise la signalisation SIP sur le cœur IMS (IP Multimedia Subsystem), combinée à Diameter pour l'authentification et le contrôle des politiques et à GTP pour la gestion des supports. Pour générer un IRI complet pour un appel VoLTE, la fonction de médiation doit surveiller plusieurs protocoles simultanément et corréler les événements résultants dans un enregistrement IRI cohérent. Les normes ETSI définissent des éléments de données IRI spécifiques pour les services basés sur l'IMS, mais la mise en œuvre pratique peut s'avérer difficile.
Dans les réseaux 5G, la complexité augmente encore. L'architecture basée sur les services du cœur de la 5G introduit de nouvelles fonctions de réseau et interfaces de signalisation qui doivent être contrôlées pour la génération d'IRI. L'architecture 3GPP LI pour la 5G définit des emplacements de points d'interception (POI) spécifiques et des éléments de données IRI pour les services 5G, mais les opérateurs doivent s'assurer que leurs fonctions de médiation peuvent extraire les informations requises des flux de signalisation 5G.
L'impact du cryptage sur le CC
L'un des défis les plus importants pour la fourniture de CC dans les réseaux modernes est la prévalence croissante du cryptage. Les communications cryptées de bout en bout - telles que celles fournies par les applications de messagerie avec E2EE - ne peuvent pas être interceptées de manière significative au niveau de la couche réseau. L'opérateur peut capturer les paquets cryptés, mais sans les clés de cryptage, le contenu est inintelligible. Cela crée une situation dans laquelle l'opérateur peut fournir l'IRI (qui est généré à partir de la signalisation du réseau et ne dépend pas de l'accès au contenu) mais ne peut pas fournir un CC utilisable.
Ce défi du chiffrement est devenu l'un des principaux débats politiques au sein de la communauté de l'interception légale. Les services répressifs soutiennent que le chiffrement crée des angles morts qui entravent les enquêtes criminelles, tandis que les défenseurs de la vie privée affirment qu'un chiffrement fort est essentiel à la protection des droits fondamentaux. La résolution de ce débat - si elle a lieu - aura de profondes implications pour la composante CC de l'interception légale. En attendant, les opérateurs doivent fournir tous les services de communication auxquels ils sont techniquement capables d'accéder, tout en étant transparents avec les autorités chargées de l'application de la loi au sujet des limites imposées par le cryptage.
Considérations pratiques pour les opérateurs
Les opérateurs qui mettent en œuvre des systèmes de LI doivent s'assurer que leurs fonctions de médiation sont capables de générer des IRI et des CC complets, précis et opportuns pour tous les services et technologies de réseau de leur portefeuille. Cela nécessite une intégration profonde avec l'infrastructure de signalisation de l'opérateur, des capacités d'analyse de protocole robustes et une attention particulière à la corrélation et à la synchronisation des données.
Les essais sont essentiels pour vérifier que l'IRI et le CC sont générés correctement. Les opérateurs doivent effectuer des tests complets par rapport aux définitions de la structure des données IRI de l'ETSI, en s'assurant que tous les éléments de données requis sont présents et correctement renseignés pour chaque type d'événement. La livraison des CC doit être testée en termes de fidélité, de synchronisation et d'exhaustivité pour tous les types de médias pris en charge.
Enfin, les opérateurs doivent maintenir leurs systèmes LI au fur et à mesure de l'évolution de leurs réseaux. De nouveaux services, de nouveaux protocoles et de nouvelles technologies de réseau nécessiteront des mises à jour des capacités de génération d'IRI et de capture de CC. Un système d'interception légale qui était totalement conforme au moment de son déploiement peut devenir non conforme au fur et à mesure que le réseau évolue, ce qui fait de la maintenance et du développement continus un élément essentiel du programme de conformité.
Conclusion
L'IRI et le CC sont les deux piliers de la fourniture de données d'interception légale. L'IRI fournit les métadonnées structurées qui permettent l'analyse des schémas, la localisation et la cartographie des communications. CC fournit le contenu réel des communications interceptées, offrant un aperçu direct de ce que les cibles communiquent. Ensemble, ils forment une image complète qui soutient les enquêtes des forces de l'ordre. Pour les opérateurs, il est essentiel de comprendre les implications techniques, juridiques et opérationnelles de l'IRI et du CC - et de mettre en place des systèmes LI qui traitent efficacement les deux - afin de respecter leurs obligations en matière d'interception légale dans les réseaux de télécommunications modernes.
L'exactitude de la collecte des informations relatives à l'interception est fondamentale pour la légalité des opérations d'interception. Les opérateurs doivent veiller à ce que leurs systèmes saisissent tous les champs d'information requis en matière d'interception.
Articles connexes
Pour en savoir plus sur des sujets connexes, consultez les articles suivants :
- HI1 vs HI2 vs HI3 : comprendre les trois interfaces d'interception légale
- Comment fonctionne une fonction de médiation : Le pont entre votre réseau et les forces de l'ordre
- ETSI TS 103 120 expliqué : Interfaces de transfert pour les réseaux IP modernes
Ressources externes
Les ressources externes suivantes fournissent un contexte supplémentaire et une documentation officielle :
