Comment une start-up financée par la CIA s'est imposée au cœur des services de renseignement français

RADIO FRANCE / FRANCE INFO

Une société américaine, Palantir, a un œil sur les données des services secrets français depuis un contrat passé en 2016. Ce marché est-il sans risque ? Pourquoi aucune société française n'a-t-elle pu rivaliser ? franceinfo a mené l'enquête. 

Le big data constitue aujourd’hui "le pétrole" des services de renseignements. Depuis 2016, une société américaine liée à la CIA, Palantir, travaille pour le renseignement intérieur français, la Direction générale de la sécurité intérieure (DGSI). Existe-t-il un risque de fuite de données ? Enquête sur l’une des start-up les plus puissantes du monde.

Le mai 23 mai 2018, une cinquantaine de patrons de géants du numérique sont invités par le chef de l’État, Emmanuel Macron, lors d’une réunion baptisée Tech for Good. Parmi eux, figure Alexander Karp, le PDG de Palantir.

Alexandre Karp quitte l\'Elysée après le sommet \"Tech for Good\" le 23 mai 2018.
Alexandre Karp quitte l'Elysée après le sommet "Tech for Good" le 23 mai 2018. (AURELIEN MORISSARD / MAXPPP)

Il a fondé sa start-up en 2004, et elle reste peu connue du grand public. L'entreprise d'Alexandre Karp est pourtant devenue l’un des leaders mondiaux du traitement massif de données. Grâce à des algorithmes, Palantir fait se croiser et analyse des milliers de données différentes. "La promesse de Palantir, c'est de rendre visible ce qui est invisible à l’œil nu, en moulinant des données et en leur donnant du sens, explique Olivier Tesquet, journaliste et spécialiste du numérique à TélérémaPar exemple, ils vont deviner les zones de famine en étudiant l'évolution du prix du pain ou permettre à des entreprises de détecter des menaces internes en identifiant les fichiers partagés sur les ordinateurs."

Un nom inspiré du "Seigneur des anneaux"

Le nom de la société américaine n’a rien d’innocent. Il fait référence au palantír, la "pierre de vision" dans les romans de J.R.R. Tolkien, Le Seigneur des anneaux ou le Silmarillion : une boule de cristal qui permet de tout voir, tout savoir. Les principaux clients de Palantir sont les banques, les assurances, mais aussi les services de renseignement, particulièrement intéressés par la puissance de ces algorithmes. "Cette technologie permet de traiter des données produites par les compagnies aériennes ou par les entreprises de télécoms, explique Alexandre Papaemmanuel, responsable sécurité et renseignement intérieur à la société Sopra Steria. On peut tracer les appels entrants et sortants, faire des graphes relationnels, savoir qui parle avec qui et quand."  

"Mathématiser les comportements humains"

Aux États-Unis, Palantir travaille pour plusieurs agences de renseignement, comme la NSA, mais aussi le FBI, certains secrétariats d’État comme celui la Défense, de de la Justice, ou encore plusieurs polices locales, notamment à Los Angeles ou à la Nouvelle-Orléans, comme le décrit le site The Verge (article en anglais). La "police prédictive" est un marché en pleine expansion, ainsi que l'avait relevé le quotidien Le Monde en janvier 2013 (article sur abonnement). C'est un secteur dans lequel est également actif une autre société baptisée PredPol. "Derrière ces sociétés, il y a l'idée qu'on pourrait mathématiser les comportements humains grâce aux données, analyse Philippe Vion-Dury, auteur du livre La nouvelle servitude volontaire, aux éditions Fyp. C’est ce qu’on appelle le machine learning. On retrouve les mêmes techniques chez Google, Facebook, ou Youtube."

Cela répond à un certain esprit de la Silicon Valley qui pense pouvoir réduire les grands problèmes sociaux et comportementaux de l'humanité à des équations.

Philippe Vion-Dury

à franceinfo

La technologie de Palantir a également été utilisée par le Consortium international de journalistes d’investigation, l’ICIJ, dont Radio France est partenaire. En revanche, plusieurs grosses entreprises comme Coca Cola ou American Express ont préféré se passer de ses services, notamment en raison d'un coût trop élevé. 

PayPal, le "laboratoire" de Palantir

Derrière Palantir, il y a un homme : Peter Thiel. Ce petit génie de la Silicon Valley, qui a investi très tôt dans Facebook, est un libertarien qui prône le rétrécissement du rôle de l’État. L’homme a aussi la folie des grandeurs : il veut repousser l’âge de la mort et il finance des projets de cités flottantes dans les eaux internationales, hors de la souveraineté des États. Peter Thiel s’est fait connaître en investissant avec Elon Musk, dans une autre société qui a beaucoup fait parler d’elle : PayPal, un système de paiement en ligne. "Palantir se trouvait déjà en germe à l'intérieur de PayPal, souligne l’expert en cyber sécurité Fabrice Epelboin. À l'époque, PayPal a gagné contre les banques, en s’attaquant à la fraude d’une manière très originale. Là où les banques, ses concurrents de l'époque, s'attaquaient à la fraude avec des systèmes automatisés, PayPal a introduit des opérateurs humains manipulant ces données avec des interfaces graphiques."  

Le monde selon Palantir

Le siège de Palantir est situé à Palo Alto, en Californie, au cœur de la Silicon Valley. La start-up pèse aujourd’hui 20 milliards de dollars et se veut incontournable dans de multiples secteurs d’activités. Peter Thiel est convaincu que Palantir va régler tous les problèmes de la planète, comme il l’écrit dans son livre De zéro à un. Comment construire le futur, paru en France en 2017, aux éditions JC Lattès. "En plus d’aider à repérer des terroristes, écrit l'entrepreneur, les analystes utilisant le logiciel de Palantir ont été en mesure de prédire là où des insurgés installent des engins explosifs improvisés en Afghanistan." La liste des atouts de Palantir est longue, selon l'auteur. Les analyses à partir du logiciel ont aussi permis "d’instruire des dossiers de délits d’initiés de grande ampleur, de démanteler des réseaux de pornographie infantile partout dans le monde, de soutenir les centres américains de contrôle et de prévention des maladies dans la lutte contre les épidémies d’origine alimentaire et de faire économiser des centaines de millions de dollars par an aux banques et au gouvernement [américain] grâce à un dispositif de détection avancée de la fraude".

Un circuit parallèle du renseignement

Palantir est également proche de la CIA. L’entreprise a été financée en partie par le fonds In-Q-Tel, lié au service de renseignements américain. "C'est la CIA qui a financé le développement de leur projet, dans toutes ses facettes, explique l’ancien directeur du renseignement à la DGSE Alain Juillet. Comme tous les services de renseignement du monde, l'agence américaine avait besoin d'avoir le maximum d'informations dans un minimum de temps. Les méthodes de Palantir ont semblé tellement intéressantes que la CIA a dit : 'Banco, on paye, vous y allez'. Palantir a réussi à créer un outil unique au monde."

Sans que l'on sache vraiment s’il s’agit d’une légende, Palantir laisse dire qu’elle aurait permis à l’administration américaine de localiser Oussama Ben Laden. "Nous n’avons pas d’informations à dévoiler sur cette opération, écrit Peter Thiel dans son livre, mais nous pouvons affirmer qu’à eux seuls, ni l’intelligence humaine ni les ordinateurs ne seront en mesure d’assurer notre sécurité." Contrairement à la plupart des patrons de la Silicon Valley, Peter Thiel est un proche de l’administration Trump, ainsi que le notait Le Figaro en novembre 2016. 

Peter Thiel, le fondateur de Palantir, à droite du président des Etats-Unis, le 14 septembre 2016 à New York, lors d\'une rencontre avec les patrons des entreprises de technologies américaines. 
Peter Thiel, le fondateur de Palantir, à droite du président des Etats-Unis, le 14 septembre 2016 à New York, lors d'une rencontre avec les patrons des entreprises de technologies américaines.  (DREW ANGERER / GETTY IMAGES NORTH AMERICA)

Peter Thiel est devenu le conseiller numérique de l’actuel président américain. "Dans l'Amérique de Trump qui développe une défiance quasi-pathologique vis-à-vis des services de renseignement, Peter Thiel conseille à Trump de ne plus se fier à des services secrets qui ne seraient pas loyaux, commente le journaliste Olivier Tesquet. Comme si Palantir devenait une espèce de circuit bis du renseignement."  

Les "codes du jeu vidéo"

Depuis sa création, à plusieurs reprises, Palantir a cherché à décrocher des marchés en France. "Il y a dix ans, des équipes de Palantir sont venues chez moi en m’expliquant qu’il y avait des marchés publics qui les intéressaient, notamment avec la Direction générale des finances publiques, témoigne le vice-président du Conseil national du numérique, Gilles Babinet. Elles m’ont fait une démonstration. Leur technologie était impressionnante. Ils avaient rendus simples des choses complexes, en utilisant les codes du jeu vidéo."

En 2015, Palantir se porte candidat sur deux appels d’offres publics, notamment sur le traitement des données fiscales. "Je me suis ému de cette situation, se souvient la sénatrice UDI Catherine Morin-Desailly, spécialiste des questions numériques. J’ai alerté sur le fait qu’on ne pouvait pas confier la gestion de ces données ultra-sensibles à une entreprise américaine qui n'applique pas les mêmes règles que nous."

Un contrat avec la DGSI, signé "dans l’urgence"

Finalement, la société Palantir ne sera pas retenue sur ces marchés publics. Mais en mai 2016, la start-up de Peter Thiel et Alex Karp décroche un contrat de 10 millions d’euros auprès de la Direction générale de la sécurité intérieure (DGSI). "Nous étions après les attentats de 2015, rappelle Guillaume Farde de la société Risk and Co. Dans un contexte de menace extrêmement élevée, nos services avaient besoin, dans l’urgence, de capacités techniques de renseignement. Mais il n'y avait pas d'opérateur national capable de répondre à cette demande. Les services de renseignement n’avaient pas le choix."

En réalité, la DGSI a eu le choix entre un fournisseur américain et un israélien. C’est l’option américaine qui l’a emporté. "Nous ne manquons pas de données, ni de métadonnées, mais nous manquons de systèmes pour les analyser, déclare le patron de la DGSI, Patrick Calvar, devant la Commission de la défense de l’Assemblée nationale, le 10 mai 2016. Les entreprises françaises qui développent des systèmes ne sont pas encore capables de répondre à nos besoins, alors que nous devons acquérir ce big data immédiatement. Nos camarades européens sont dans la même situation." À l’époque, le directeur de la DGSI parle de solution temporaire.  

"Un risque majeur pour le renseignement"

"Peut-on avoir complètement confiance dans le fait que les informations qui vont être traitées par Palantir ne vont pas fuiter vers les États-Unis ?, s’interroge Serge Abiteboul, membre du collège de l’Autorité de régulation des communications électroniques (Arcep). Le fait que cette société soit proche des services secrets américains pose question." Autrement dit : y a-t-il un risque de porte dérobée, de back door, un peu comme un cheval de Troie qui serait caché dans le logiciel américain ? Du côté de la DGSI, on explique que le système est "efficace et parfaitement sécurisé". Une source proche du renseignement explique que "si Palantir a bien formé des agents français à l’utilisation du logiciel, l’entreprise n’a jamais accès directement aux données"

"Au moment où nous avons passé ce contrat avec Palantir, des techniciens ont donné leur feu vert et nous ont garanti l’étanchéité du système", assure encore une source proche de la direction du renseignement, à l’époque. "Nos services ont des capacités de cyber-défense et de contre-espionnage qui sont très développées, ajoute l’ancien conseiller du garde des Sceaux Jean-Jacques Urvoas, Floran Vadillo. Une porte dérobée ou un cheval de Troie seraient facilement repérés. Et puis, il n'est pas dans l'intérêt commercial de Palantir d'offrir des solutions minées à ses clients. Si on apprend qu'elle participe à un détournement de données, tout son system-business s'effondre."

"À partir du moment où Palantir ne donne pas le code source de son logiciel, qui est son secret de fabrication, il y a toujours le risque qu'une porte dérobée soit mise en œuvre et qu’elle recrache des données essentielles, sans contrôle, estime en revanche le représentant français des questions numériques auprès de la Commission européenne, Gilles Babinet. C'est un risque majeur pour le renseignement."

Un comité d’éthique payé par Palantir

Palantir n’a pas répondu à nos demandes d’interview mais l’entreprise assure qu’elle respecte l’éthique et la confidentialité des échanges. "Cela nous arrive souvent de refuser de gros clients qui pourraient nous faire gagner des millions parce que l'on considère que nos valeurs ne sont pas alignées avec les leurs", déclare le représentant français de Palantir, Gautier Cloix, lors d’un colloque sur le big data, en avril 2016.

Une situation "hallucinante"

Palantir travaille également pour l’avionneur Airbus, un concurrent de l’américain Boeing. Là encore, on peut s’interroger sur les risques pris par l’un des fleurons de l’industrie européenne, étant donné la proximité de Palantir avec le renseignement américain. "Ils ont cinq ans d'avance sur la concurrence, déclarait au magazine Challenges Marc Fontaine, directeur de la transformation digitale d’Airbus. Leurs logiciels permettent d'harmoniser très rapidement des bases de données hétérogènes. Le tout avec un haut niveau de sécurité : chaque donnée affiche elle-même sa propre traçabilité, avec des droits d'accès différenciés en fonction des publics."

"Cette situation est hallucinante. Qu’est ce qui va se passer si Boeing récupère des données pour mieux concurrencer Airbus sur un appel d’offre ?", se demande Benjamin Sonntag, cofondateur de la Quadrature du net. La situation est d’autant plus délicate que depuis avril 2018, les Américains ont mis en place un nouveau dispositif : le Cloud Act (Clarifying Lawful Overseas Use of Data Act). Cette loi oblige désormais les entreprises américaines à fournir leurs données à l’administration américaine… y compris en dehors du territoire américain. 

Le témoignage d’un lanceur d’alerte

L’ombre de Palantir apparait également en marge de l’affaire Cambridge Analytica, cette société britannique qui a siphonné les données personnelles de millions d’utilisateurs de Facebook au service de la campagne de Donald Trump. En mars dernier, un lanceur d’alerte, Christopher Wylie, a témoigné devant les parlementaires britanniques, en citant Palantir.

"L’un des tous premiers e-mails que j’ai reçu me demandait ce que je savais au sujet d’une société appelée Palantir, raconte Christopher Wylie, qui est alors directeur de recherche à Cambridge Analytica. Quand je suis arrivé, la première question a été : 'Est-ce qu’on peut faire quelque chose avec Palantir ? Qu’est-ce que vous en pensez ?' Nous avons eu plusieurs réunions avec Palantir, où j’étais moi aussi présent. Il y avait du personnel de haut niveau qui travaillait sur les données de Facebook. Il ne s’agissait pas d’un contrat officiel entre Palantir et Cambridge Analytica. Mais il y avait bien des employés de Palantir qui venaient dans nos bureaux et travaillaient sur les données."

De son côté, Palantir dément tout lien avec Cambridge Analytica. "On voit bien désormais que Palantir a travaillé pour Cambridge Analytica, s’insurge la sénatrice Catherine Morin-Desailly. Nous sommes au cœur du cyclone. Il ne faut pas être naïf et être très vigilant. Car nous sommes en perte de souveraineté numérique." La sénatrice UDI vient de remettre un rapport intitulé "Prendre en main notre destin numérique : l’urgence de la formation".

"Une guerre de la donnée"

Pour l’instant, il n’y a pas encore de véritable alternative française ou européenne à la technologie de Palantir. "Il y a eu une prise de conscience, estime Alexandre Papaemmanuel de la société Sopra Steria, qui travaille avec la Direction générale de l’armement dans un projet de traitement massif de données baptisé Artémis. Le terme 'souveraineté numérique' apparait dans la Revue stratégique de défense et de sécurité nationale, ainsi que dans la loi de programmation militaire. Il y a une volonté d'autonomie, et même de coopération au niveau européen. Si on ne veut pas perdre la guerre de la donnée, il ne faut pas rater ce virage-là."

De son côté, la gendarmerie française a développé son propre algorithme, dans le cadre d’un programme d'aide à l’analyse décisionnelle. "Nous avons eu des offres de services de sociétés américaines comme IBM, explique le colonel Laurent Collorig, chef de la division du renseignement de la gendarmerie nationale. Mais nous avons fait le choix de garder la main sur notre logiciel, avec nos ingénieurs, programmateurs et 'data scientists'."

Sur cette carte dîte de chaleur, l\'algorithme utilisé par la gendarmerie française détecte les zones de cambriolages à risques, au quartier près.
Sur cette carte dîte de chaleur, l'algorithme utilisé par la gendarmerie française détecte les zones de cambriolages à risques, au quartier près. (BENOÎT COLLOMBAT / RADIO FRANCE)

Ce logiciel d’"analyse prédictive de la délinquance", qui n’utilise aucune donnée personnelle, a été testé dans onze départements français avant d’être élargi à l’ensemble du territoire en septembre 2018. Il permet de cartographier précisément les zones à risque en matière de cambriolage. Mais la route vers une possible souveraineté numérique est encore longue. Depuis 2008, un contrat interroge, il lie l’armée française… à Microsoft. 

Vous êtes à nouveau en ligne