Vodafone confirme que six pays ont un accès direct à ses métadonnées

Vodafone a publié vendredi dernier et pour la première fois un rapport de transparence sur tout ce qui touche aux activités de surveillance. Le bilan est mondial et l’opérateur de téléphonie n’hésite pas à confirmer que des gouvernements disposent de connexions directes à ses serveurs pour y puiser données et métadonnées.

Le rapport de transparence est devenu une arme de communication 

Lorsque le scandale du programme américain de surveillance Prism a éclaté il y a un an, de grandes entreprises américaines se sont retrouvées pointées du doigt pour les relations troubles qu’elles pouvaient entretenir avec la NSA (National Security Agency). Pour lutter contre la mauvaise presse, elles ont alors communiqué à tout va et Microsoft, Google, Apple, Facebook ou encore LinkedIn ont tous publié des communiqués niant un lien direct entre l’agence et leurs serveurs.

Cette communication a pris par la suite un autre tournant avec la multiplication des rapports de transparence. Ces derniers recensent le nombre de demandes ayant trait à la sécurité sur une période donnée, le plus souvent sur un trimestre. Ces rapports n’étaient pas nouveaux, mais leur importance est devenue manifeste, les entreprises s’en servant comme autant de preuves de leur bonne volonté. Elles ont d’ailleurs appelé plusieurs fois le gouvernement à leur permettre d’ouvrir véritablement les vannes, surtout sur la précision des données, car la plupart des informations sont données sous forme de fourchettes.

Vodafone publie un rapport global pour ses activités mondiales 

Mais Vodafone jette un véritable pavé dans la mare. L’opérateur de téléphonie, présent dans le monde entier, a publié pour la première fois son propre rapport de transparence et va nettement plus loin que les autres entreprises. Il s’accompagne tout d’abord d’une explication assez détaillée de la vision de l’entreprise sur l’état actuel du marché des télécoms. Elle rappelle par exemple que les dernières décennies ont vu l’émergence d’un certain nombre de lois donnant tout pouvoir à certaines agences de sécurité, court-circuitant du même coup le respect de la vie privée des populations.

Ce premier Law Enforcement Disclosure Report résume la situation pour 29 pays dans lesquels est présent Vodafone, pour la période allant du 1er avril 2013 au 31 mars 2014, soit une année complète. Ces 29 pays sont ceux qui ont émis des requêtes de sécurité à l’opérateur : Albanie, Australie, Belgique, République Tchèque, Congo, Egypte, Fiji, France, Allemagne, Ghana, Grèce, Hongrie, Inde, Irlande, Italie, Kenya, Lesotho, Malte, Mozambique, Pays-Bas, Nouvelle-Zélande, Portugal, Qatar, Roumanie, Afrique du Sud, Espagne, Tanzanie, Turquie et Royaume-Uni.

Pour chaque pays, la situation expliquée point par point

Pour chaque pays, la situation est détaillée. Ce qui signifie notamment un exposé de toutes les lois auxquelles est soumise l’entreprise. Dans le cas de l’Australie par exemple, la liste est longue : Telecommunications Act (1997), Telecommunications (Interception and Access) Act (1979), Australian Security Intelligence Act (1979), Crimes Act (1914), chacune d’elles possédant des sections, des chapitres ou encore des parties spécifiques à la surveillance des réseaux téléphoniques. Le rapport décrit également les garde-fous mis en place et la manière dont l’entreprise doit se plier aux demandes.

Le descriptif complet se répète pour tous les pays, y compris la France (pages 26 et 27 du rapport), pour laquelle Vodafone rappelle que la loi de programmation militaire ajoutera de nouveaux dispositifs. Les articles 246-1 à 246-5 prévoient par exemple que des agents des ministères de l’Intérieur, de la Défense ainsi que de l’Économie pourront réaliser des requêtes auprès des opérateurs pour obtenir des données. Ces requêtes seront soumises à l’approbation d’une « personnalité qualifiée placée auprès du Premier ministre ».

L'opérateur n'est pas toujours autorisé à communiquer 

Vodafone explique qu’en dépit des lois, les accès aux informations ne se font que sur la base de demandes s’appuyant sur une base juridique stricte et si l’entreprise ne peut pas faire autrement. Et comme on peut le voir sur la page dédiée aux requêtes, le nombre peut varier dans de très grandes proportions. La France par exemple a effectué trois demandes auprès de Vodafone, alors que l’Italie en a réalisé 605 601. Précisons cependant qu’une demande unique peut recouvrir plusieurs personnes d’un coup. Dans la plupart des cas, on trouve des dizaines de milliers de requêtes, mais les chiffres ne sont pas toujours donnés directement par l’opérateur.

Il existe en effet deux cas dans lesquels Vodafone ne fournit pas l’info. D’une part, le pays peut interdire la divulgation de l’information. C’est le cas de six d’entre eux : Afrique du Sud, Égypte, Inde, Qatar, Roumanie et Turquie. D’autre part, l’information peut être directement donnée par le pays en question. C’est notamment le cas de l’Allemagne qui publie un rapport fournissant ces informations, à la foi pour les demandes d’interception et les accès aux données. Vodafone estime cependant qu’il pourrait s’agir d’un frein à la transparence car, dans le même temps, le pays interdit aux opérateurs de communiquer eux-mêmes de manière précise.

Vodafone confirme l'existence d'accès directs dans six pays 

Mais ce rapport de transparence, déjà très détaillé, va beaucoup plus loin avec une information capitale. Vodafone indique en effet que six pays, dont les noms ne sont pas donnés, utilisent des connexions directes aux serveurs de l’opérateur ou obligent les opérateurs à mettre en place de tels accès. Traduction : dans ces pays, les agences de sécurité ont plein pouvoir pour piocher dans les métadonnées circulant dans le réseau.

Vodafone a pris la décision de dénoncer cette activité et est donc le premier opérateur à confirmer que des tels accès existent. Ils sont par ailleurs permanents : ils n’ont pas besoin de requêtes ni d’autorisations. Une fois en place, les analystes n’ont qu’à tendre la main pour y puiser ce qu’ils souhaitent, sans supervision particulière. Du côté de Vodafone, des employés spécifiques sont déployés dans les locaux concernés avec l’interdiction formelle de discuter de leur travail avec le reste de l’entreprise.

Et si cette information est importante, elle le devient encore davantage lorsque l’on replonge dans les détails du programme Prism, quand il a été révélé la première fois. Les documents dérobés par Edward Snowden semblaient indiquer en effet que des liens de ce type existaient entre la NSA et les grandes entreprises du cloud. Ces dernières avaient toutes démenti de telles connexions, assurant que les informations des clients n’étaient données qu’à la condition expresse qu’une requête en bonne et due forme était présentée. Et encore, beaucoup insistaient sur le fait que ces requêtes étaient analysées une par une par des équipes dédiées, et combattues lorsque c’était possible.

« Ce sont les scénarios de cauchemars que nous avions imaginés » 

Comme l’a confirmé à The Guardian Stephen Deadman, responsable des questions de vie privée chez Vodafone, « ces tuyaux existent, le modèle d’accès direct existe ». L’opérateur veut donner un coup de pied dans la fourmilière : « Nous lançons un appel pour que cessent ces accès directs, en tant que moyens pour les agences gouvernementales d’obtenir les données de communications des gens. Sans mandat officiel, il n’y a aucune visibilité externe. Si nous recevons une demande, nous pouvons repousser l’agence. Le fait qu’un gouvernement doive produire un morceau de papier est une restriction importante à la manière dont le pouvoir est utilisé ».

L’ONG Privacy International prend la mesure des révélations de Vodafone qui illustrent selon elle l’importance cruciale de la transparence dans un tel domaine. Elle pointe en particulier le cas des six pays disposant d’accès directs : « C’est la surveillance de masse sous sa forme la plus sévère, quand les gouvernements demandent aux opérateurs un accès complet aux données circulant dans leurs câbles, agissant en secret, selon des bases juridiques floues, sans devoir rendre de compte à personne ».

Gus Hosein, directeur de l’ONG, l’a d’ailleurs répété à The Guardian : « Ce sont les scénarios de cauchemars que nous avions imaginés. Je n’aurais jamais pensé que les opérateurs puissent être si complices. C’est un pas courageux de la part de Vodafone et j’espère que les autres opérateurs suivront le mouvement, mais ce dont nous avons besoin est qu’ils soient plus courageux encore et qu’ils combattent ces requêtes illégales et les lois elles-mêmes. »