Alors que les grandes firmes américaines du web s’acharnent depuis des mois à soigner leur communication autour de Prism, la NSA a clairement indiqué hier au Sénat américain qu’elles étaient parfaitement au courant de la collecte qui était pratiquée. Une double confirmation qui envoie une nouvelle onde de choc, bien plus forte, dans le monde de l’informatique et du respect de la vie privée.
L'un des schémas révélés par la première publication du Guardian
Retour aux sources
Prism est le premier scandale à avoir éclaté via la révélation des documents d’Edward Snowden. À l’époque, via les articles du Guardian notamment, on apprenait ainsi que les grandes sociétés du cloud telles que Microsoft, Apple, Google, Yahoo ou encore Facebook participaient à un programme de collecte d’informations visant à fournir à la NSA la matière première pour une surveillance rapprochée des habitudes des utilisateurs.
Dans les mois qui ont suivi, toutes ces entreprises ont émis des communiqués de presse pour indiquer non seulement qu’elles n’étaient pas au courant d’un tel programme, mais qu’il était illégal. En outre, plus récemment, des entreprises comme Microsoft, Google et Yahoo ont annoncé leur intention de passer au chiffrement intégral des données, y compris dans les communications entre les serveurs, pour se prémunir d’un tel espionnage.
Les entreprises avaient « pleine connaissance » du programme et ont aidé
Mais cette communication, déjà mise en doute, ne peut désormais plus tenir. Plusieurs responsables de la NSA étaient en effet présents une fois de plus hier devant une commission sénatoriale aux États-Unis. Le responsable juridique Rajesh De a dû faire face à une question très simple : la collecte a-t-elle eu lieu avec « la pleine connaissance et l’aide de toute entreprise dont les données étaient obtenues » ? La réponse a été lapidaire : « Oui ».
Traduction : aucune de ces entreprises ne peut plus se défendre sur une base de non-connaissance de cette opération. Rajesh De donne d’ailleurs de nouveaux détails, notamment pour expliquer que Prism était initialement une référence interne pour désigner le programme, devenu publique suite aux révélations des documents de Snowden. Il en va de même pour le programme « Upstream » de récupération des informations au fur et à mesure qu’elles transitent à travers les infrastructures du pays.
Aucune des sociétés impliquées n'avait le choix
Rajesh De explique toutefois que la « collecte sous ce programme était un processus obligatoire et légal que toute entreprise concernée pouvait recevoir ». Il s’agit ici de la fameuse Section 702 de la loi FISA (Foreign Intelligence Surveillance Act) qui autorise les agences de renseignement à puiser directement dans les données personnelles sous deux conditions : qu’elles appartiennent à des utilisateurs étrangers, et qu’elles soient stockées sur des serveurs américains, donc situés physiquement au sein des frontières du pays. En d’autres termes, les entreprises impliquées dans le programme n’avaient pas le choix puisqu’elles étaient soumises à la loi.
Il reste évidemment de nombreux points à éclaircir. D’une part, maintenant que le voile est levé, les entreprises vont devoir changer de disque et aborder une nouvelle forme de communication. La confirmation concrète de la NSA ne laisse plus aucune place aux arguments utilisés jusqu’ici. Évidemment, la réaction de la NSA est relativement prévisible dans le sens où toute la communication des firmes était justement orientée vers le blâme permanent d’une agence présentée comme sortant de son cadre légal.
La communication devra s'adapter
D’autre part, puisque la collecte s’effectuait en pleine connaissance de cause, cela suppose qu’une infrastructure idoine avait été mise en place. Là encore, les entreprises n’ont plus la capacité de dire qu’elles ne savaient pas. Reste cependant à en apprendre davantage sur ce qui était réellement utilisé, et dans quelles limites. Il faut rappeler en effet que certains documents de Snowden indiquaient clairement que la NSA ne pouvait pas se contenter de ce que les entreprises donnaient et qu’elle prenait donc le reste par d’autres moyens.
Notez que les firmes américaines pourraient tout à fait continuer à jouer sur une communication subtile en orientant la fameuse collecte vers la remise obligatoire des informations quand des demandes précises étaient reçues. Mais Prism n’a jamais fait état de requêtes particulières, mais au contraire d’une collecte massive et aveugle. Les communiqués de presse et les demandes répétées à l’administration Obama pour pouvoir parler plus librement apparaissent donc comme autant de « manœuvres d’évitement ». Le fait même que le président américain ait accordé plus de libertés sur la présentation des requêtes précises était présenté comme une victoire mais restait l’arbre qui masquait la forêt.
Aucune des sociétés impliquées n’a pour le moment réagi.
