Prism : quand Microsoft ouvre les vannes sur Skype et Outlook.com

Bien que de nombreuses informations aient déjà circulé au sujet du programme américain de surveillance Prism, les documents détenus par Edward Snowden sont loin d’avoir révélé tous leurs secrets. On apprend désormais que Microsoft communique de manière poussée avec la NSA, par l’entremise du FBI, l’éditeur ayant facilité la collecte des données sur ses produits, notamment Outlook.com et Skype.

Documents volés et réactions officielles : l'écart se creuse 

Prism a déjà révélé de nombreux aspects de son fonctionnement. Le programme permet à la NSA de collecter des montagnes de métadonnées sur toute personne étrangère ne résidant pas sur le sol américain. Cette machinerie de la NSA (National Security Agency) est notamment alimentée par neuf grandes entreprises américaines (Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube et Apple) que l’agence considère comme des « fournisseurs ».

Bien que les documents de Snowden soulignent une participation directe de ces sociétés, la défense érigée par les concernées et le monde du renseignement est claire : les informations ne sont communiquées que sous réserve d’un ordre précis et signé par la FISC (Foreign Intelligence Surveillance Court).

La NSA pioche dans les emails et la messagerie d'Outlook.com 

Mais grâce à un nouvel article de The Guardian, premier avec le Washington Post à avoir ouvert le bal au sujet de Prism, on en apprend beaucoup plus sur le cas de Microsoft. Le journal cite plusieurs documents top secret décrivant la manière dont la firme a facilité l’accès à certaines données pour la NSA, par l’entremise du FBI qui sert régulièrement d’agent de liaison auprès des entreprises américaines. C’est notamment le cas pour certains produits tels qu’Outlook.com et Skype.

La solution n’a finalement pas été prête avant le 12 décembre 2012 et on notera que la version finale du service a été lancée en février dernier, soit deux mois après tout juste. Ce qui signifie en clair qu’actuellement, deux utilisateurs français échangeant des emails ou de la messagerie instantanée via Outlook.com sont susceptibles de voir leurs communications espionnées. Prism et les autres programmes permettent de récupérer aussi bien les métadonnées, y compris les évènements de type authentification, que les données elles-mêmes, soit par collecte automatisée, soit de manière directe.

Skype n’échappe pas à la surveillance… et ses utilisateurs non plus

Toujours selon les documents recueillis par The Guardian, la NSA a consacré des efforts importants à Skype pour s’assurer que la plateforme VoIP pouvait livrer ses secrets à volonté. L’agence aurait commencé à approcher Skype en novembre 2010 pour lui demander une participation volontaire, ce que l’entreprise a vraisemblablement refusé dans un premier temps. En effet, la situation n’évolue que quatre mois plus tard lorsque Skype reçoit une directive signée d’un procureur, l'enjoignant à se plier aux demandes.

La NSA a commencé à collecter les donnes Skype à partir du 6 février 2011, avant donc que l'entreprise ne soit rachetée par Microsoft pour 8,5 milliards de dollars. Un rapport indiquait alors que les communications étaient « très claires » et que les « métadonnées paraissaient complètes ». Le même rapport indiquait en outre que le succès de ce travail avait reposé sur la très bonne coopération entre les équipes du FBI et de la NSA. Actuellement, Skype s’avance vers les 700 millions de comptes actifs. On notera également que la perméabilité des communications via ce client avait fait l’objet d’une lettre ouverte de dizaines de journalistes et associations pour réclamer la transparence sur le sujet.

Stockage distant : SkyDrive passe lui aussi à la moulinette 

Les documents du Guardian indiquent en outre que l’espace de stockage distant SkyDrive est lui aussi concerné par les collectes de données. Un rapport datant du 8 avril 2013 précise ainsi que ce cas particulier a demandé de nombreux mois de travail de la part de Microsoft et du FBI et qu’il en a résulté un accès permanent pour la NSA. Les analystes n’ont ainsi plus besoin de faire des demandes spécifiques auprès de la division SSO (Special Source Operations). À ce jour, SkyDrive compte environ 250 millions d’utilisateurs actifs.

La défense ne change pas

Évidemment, Microsoft reste sur sa ligne classique de défense. Il s’agit d’ailleurs de la même que toutes les entreprises concernées par le programme Prism : la firme martèle encore une fois qu’elle ne répond qu’aux demandes spécifiques, sur la base d’un processus entièrement légal. De plus, les équipes d’avocats de l’entreprise examinent chacune de ces demandes pour attester de leur validité, et les données communiquées ne dépassent jamais le strict cadre imposé par la demande.

Microsoft aborde en outre une plainte déjà répétée plusieurs fois : « Lorsque nous mettons à jour nos produits, des obligations judiciaires peuvent nous imposer dans certaines circonstances de maintenir la possibilité de fournir des informations, en réponse à une loi ou une requête de sécurité nationale. Ce sont les aspects de ce débat dont nous aimerions pouvoir discuter plus librement. C’est pour cela que nous réclamons une transparence supplémentaire qui pourrait aider tout le monde à mieux comprendre et débattre de ces sujets importants. »

Respect de la vie privée à géométrie variable 

Côté NSA, la réponse est sensiblement équivalente, l’agence rappelant que les échanges ne s’opèrent que sur la base de requêtes précises et sous une supervision stricte par les tribunaux, le Congrès ainsi que le directeur de la sécurité nationale. La porte-parole Judith Emmel se permet d’ailleurs une pique à ce sujet : « Tous les pays n’ont pas un équivalent à cette supervision pour protéger les libertés civiles et la vie privée ».

Il y a donc en définitive toujours un affrontement entre les informations révélées par les documents d’Edward Snowden et la défense des acteurs concernés. D’un côté, un accès manifestement direct, de l’autre des requêtes précises et limitées dans leur portée. Mais si les entreprises telles que Microsoft affichent un visage décidé, la situation est sans doute tendue en coulisses : comme a prévenu récemment la commissaire européenne Neelie Kroes, ces informations pourraient bien provoquer à terme une véritable crise de confiance, avec à la clé une chute du chiffre d’affaires. D'autant que les récents développement de l'affaire Prism cadrent mal avec la campagne actuelle de publicités de Microsoft, qui porte sur... le respect de la vie privée.