Microsoft a annoncé avoir combattu avec succès une requête du FBI portant sur les données d’un client professionnel de la firme. L’objectif de cette annonce est multiple, mais est avant tout un signal pour les autres entreprises ainsi qu’une opération de communication.
Brad smith, reponsable juridique de Microsoft
La communication, seule arme face au scandale de la surveillance américaine
Depuis l’éclatement du scandale de l’espionnage américain par l’entremise de la NSA et de ses programmes de surveillance, les grandes entreprises impliquées avancent sur la corde très raide de la bonne communication à adopter. Face au programme Prism et à la collecte géante des données des utilisateurs étrangers, elles ont toutes insisté sur deux points cruciaux : il n’y avait aucune transmission volontaire d’informations à la NSA ou à une autre agence liée à la sécurité, et seules les informations visées par des requêtes précises pouvaient être données, après examen de la demande.
Cette communication est devenue essentielle au fur et à mesure que les documents d’Edward Snowden étaient révélés. Cette cascade d’informations a mis à mal l’angle d’attaque des entreprises car elles montraient graduellement comment la collecte avait été organisée. Jusqu’à ce qu’un responsable de la NSA, lors d’une énième audition au Sénat, finisse par confirmer que non seulement le programme Prism existait bel et bien, mais que les grandes entreprises étaient parfaitement au courant.
Microsoft met en doute la légalité d'une requête de sécurité
De fait, la communication est devenue encore plus importante car ces sociétés font face à un évident problème : une crise potentielle de confiance, comme l’a prédit la commissaire européenne Viviane Reding. Et c’est de communication dont il est question avec le billet publié par Microsoft hier soir : le FBI a fini par retirer une requête après une contestation formelle de la firme devant les tribunaux.
Cette information même n’aurait en temps normal pas été possible. Les requêtes de ce type sont en effet scellées : le fait d’en parler suffit à enfreindre la loi. C’est précisément ce point qui a été attaqué par Microsoft. La firme de Redmond estimait en effet qu’elle avait le devoir de répondre à la loi et aux requêtes, mais elle martèle depuis des mois (avec d’autres entreprises) que la communication sur ces requêtes devrait être beaucoup plus ouverte.
Victoire devant les tribunaux...
Le billet n’a été rendu possible que parce qu’un tribunal fédéral de Seattle a justement levé le scellé. Microsoft n’avait bien entendu pas le droit de révéler le nom du compte entreprise mentionné dans la « National Security Letter », mais elle a pu indiquer déjà qu’il s’agissait d’un compte professionnel, une demande « rare » selon la firme. Mais « compte professionnel » ne signifie pas nécessairement qu’il s’agissait d’une entreprise : les ONG et même les gouvernements ont également cette étiquette.
Pour Microsoft, cette « victoire » fait suite à la promesse en décembre dernier que toute demande touchant un compte professionnel provoquerait un avertissement au dit compte. Si le secret était imposé par l’expéditeur de la requête, il y aurait alors plainte au tribunal. Dont acte. Et la victoire est d’autant plus marquante pour la société que le FBI a fini par retirer complètement sa requête de peur sans doute que le nom de la cible finisse par apparaître.
... et contre-attaque par la brèche ouverte
L’occasion est donc excellente pour Microsoft mais il faut rappeler que même s’il s’agit effectivement d’une victoire qui pourrait conduire à une plus grande liberté de parole sur les requêtes de sécurité, la firme est largement impliquée dans un ou plusieurs programmes de surveillance, dont Prism. Plusieurs documents ont révélé comment les nouveaux services de l’entreprise avaient apporté leur lot d’améliorations sur la sécurité et comment, dans le même temps, elle avait réalisé les contournements nécessaires à une récupération rapide des données par la NSA. Et le même Brad Smith est poliment invité par le Parlement allemand pour venir expliquer les liens qui peuvent exister entre Microsoft et les agences de sécurité, aux côtés de Tim Cook, Mark Zuckerberg et Eric Schmidt.