Les multiples révélations d’Edward Snowden ont apporté un regard nouveau sur le fonctionnement des agences de sécurité nationale à travers le monde, notamment celui de la NSA. Alors que le grand public débat de l’attitude à adopter, des gouvernements tentent de tirer avantage de la situation. C’est le cas de la Russie, dont plusieurs lois veulent forcer les entreprises du cloud à stocker leurs données au sein des frontières géographiques.
Crédits : OSCE Parliamentary Assembly, licence Creative Commons
Partage de données entre amis
L’impact d’Edward Snowden sur le monde de la sécurité informatique est indéniable. Depuis bientôt un an, les documents qu’il a dérobés ont montré comment la NSA prenait notamment appui sur la titanesque somme de données engrangées par les géants du cloud, ou encore les métadonnées stockées par les opérateurs de téléphonie mobile. Des révélations successives qui ont attiré l’œil des médias, du grand public, et surtout celui des gouvernements.
Les articles de certains journaux, tels que le Guardian et le Washington Post, ont créé de véritables ondes de choc diplomatiques. On se souvient notamment de l’affaire du smartphone d’Angela Merkel, espionné directement par la NSA. En France et en Allemagne, l’aura de scandale a surtout servi à négocier des accords d’échanges d’informations bidirectionnels. Plus récemment, d’autres documents révélaient que 122 chefs d’États avaient été surveillés activement, engendrant de nouvelles protestations.
La Russie s'inspire des États-Unis post-11 septembre
Cet aspect politique est important et se retrouve dans un autre domaine : l’enchainement des actions qui ont permis aux États-Unis d’obtenir un tel arsenal d’espionnage. Les attentats du 11 septembre 2001 ont été le déclencheur d’une machine qui s’est emballée. Le Patriot Act fut particulièrement représentatif de la vague de lois qui allait suivre. Jusqu’à la fameuse section 702 de la loi FISA (Foreign Intelligence Surveillance Act), qui autorise les agences de sécurité à puiser dans les données personnelles des utilisateurs étrangers si elles sont stockées dans des serveurs situés au sein des frontières des États-Unis.
Et si nous rappelons ces éléments, c’est précisément parce que la Russie suit actuellement le même chemin. Le pays a voté mardi plusieurs textes luttant notamment contre le terrorisme et les troubles massifs. Pour renforcer cette lutte, plusieurs dispositions sont prises et le paysage des médias russes risque d’être profondément modifié dans les prochains mois.
Un contrôle beaucoup plus strict des blogs et du partage des idées
Les lois changent avant tout la manière dont les données sont stockées, combien de temps et par qui. Dans la pratique, dès qu’un simple site, ou même un blog, sera consulté par au moins 3 000 visiteurs uniques par jour, il devra obligatoirement se déclarer à l’autorité de contrôle des médias, le Roskomnadzor. Il devra également faire en sorte que toutes les données soient conservées un minimum de six mois. Les lois stipulent également que les informations devront être vérifiées et qu’un âge minimal doit être clairement indiqué, sous peine d’amendes.
Et les obligations ne s'arrêtent pas là, comme l'indique Reporters Sans Frontières, puisque la loi exige que l'exactitude des informations soit contrôlée, et que les propos soient mesurés. Pas question ainsi de proférer des jurons, de diffuser une opinion extrêmiste, de révéler des secrets d'État ou encore de discréditer un citoyen ou un groupe de citoyens. Des barrières qui visent essentiellement à faire abattre sur les blogs et les réseaux sociaux la même chape de plomb qu'aux citoyens classiques et à laminer les propos tendancieux.
Dans la pratique, ces lois pourront donner le pouvoir aux autorités de s'en prendre directement aux auteurs de textes jugés subversifs. Une manière de contrôler directement les diffusions d'opinion, en particulier dans le contexte politique tendu de la crise en Ukraine.
Les grandes entreprises devront laisser les données au sein des frontières russes
Mais ces lois vont également avoir un impact direct sur le fonctionnement des plus grosses entreprises. Skype, Google, Facebook, Microsoft et ainsi de suite vont devoir s’y plier si elles souhaitent rester sur le marché russe. Car toutes ces sociétés devront mettre en place des serveurs au sein des frontières géographiques du pays pour entreposer les données. Un changement radical car bon nombre de ces informations sont justement stockées… aux États-Unis.
Il n’y a ici aucun mystère : la Russie cherche à mettre en place la même infrastructure juridique qui lui donnera le même type de pouvoir que les États-Unis sur les données personnelles. Mais contrairement à la patrie de l’oncle Sam, la Russie ne dispose pas de grandes entreprises au rayonnement mondial dans le domaine du cloud. La solution est donc toute trouvée : faire en sorte que les données ne quittent pas le pays, ou au moins qu’une copie y reste.
La question corolaire est donc de savoir si les grandes entreprises concernées vont accepter ces nouvelles lois et s’y plier. Cependant, nous disposons dans ce domaine de l’exemple de la Chine, où de très nombreuses sociétés américaines et d’ailleurs ont accepté les règles en la matière, notamment la surveillance de certains mots-clés et la conservation des données. De fait, on peut imaginer que Microsoft, Google et les autres accepteront le nouveau cadre juridique. À l’exception près que le marché russe représente un potentiel bien moindre que la Chine. En cas de non acceptation, la Russie pourra donc bloquer complètement des réseaux comme Facebook ou Twitter sur lesquels le pays n’a que peu de contrôle.
Le pays sera gagnant dans les deux cas
Si la Russie réussit sa manœuvre, elle disposera à la fois des lois nécessaires et des données pour pratiquer le même type de recherches que la NSA. Si la manœuvre échoue, il ne restera dans le pays que des entreprises russes et des blogs soumis aux nouvelles réglementations plus strictes. Dans les deux cas, elle exercera un contrôle renforcé sur les échanges d'idées, avec la possibilité d’y puiser de précieux renseignements et/ou de les arrêter.
Un contrôle dénoncé par RSF qui s’inquiète vivement du « durcissement de la législation russe en matière de liberté d’expression et d’information, engagé depuis 2012 » et qui « se poursuit mois après mois ». L’association cite le blogueur russe Anton Nossik, pour qui la Russie n’aura aucune hésitation à bloquer les services qui ne répondront pas aux nouvelles obligations légales : « Ce sera le premier [...] pas pour atteindre le but de cette législation liberticide : restreindre les communications non contrôlées et la critique des autorités ».
On notera qu'il n'est pas impossible que l'Europe en arrive à ce type de proposition. Angela Merkel avait exprimé en février son désir de voir se construire un internet européen, pour lequel peu d'explications ont été données. La chancelière allemande pourrait avoir signifié une volonté d'obliger les entreprises américaines à stocker obligatoirement leurs données sur le sol européen, pour ne plus qu'elles soient soumises à la loi FISA américaine.