Yahoo a fort à faire actuellement pour s’expliquer sur l’outil de surveillance développé pour le FBI ou la NSA. L’éditeur ne dément pas avoir coopéré, mais précise que la réalité est beaucoup moins impressionnante que ce que la presse en dit.
Pour rappel, Yahoo est à nouveau dans la tourmente médiatique après des révélations autour d’un outil qui aurait été développé en interne pour chercher certains mots-clés dans l’immense collection de courriers de ses utilisateurs. Un outil réclamé via mandat spécifique par le FBI ou la NSA, et créé de manière si secrète que le département sécurité de Yahoo n’en aurait jamais entendu parler, avant de s’apercevoir de son existence. Ce qui aurait d’ailleurs provoqué le départ de son responsable, Alex Stamos, maintenant chez Facebook.
Une action spécifique et très ciblée
Dans un premier temps, Yahoo n’avait ni confirmé, ni démenti. L’entreprise américaine s’était simplement contentée de répondre qu’elle « respectait la loi », ce qui laissait peu de place à l’imagination. Et en effet, Yahoo a confirmé avoir coopéré, tout simplement parce que la demande était faite dans les règles, dans le cadre d’une enquête antiterroriste.
L’éditeur n’a pas confirmé directement l’existence du logiciel « espion », mais en a profité pour remettre en cause la portée que les médias lui ont donnée. Selon Yahoo, il s’agit d’une action spécifique conçue pour un nombre limité d’emails. Mais quoi qu’en dise l’entreprise américaine, les rapports ont continué de pleuvoir, abreuvant le public de sources toujours plus nombreuses.
Retour sur la loi FISA
C’est particulièrement le cas du New York Times, qui cite deux représentants du gouvernent américain, ainsi qu’une personne qui travaillerait chez Yahoo (aucun des trois n’a été nommé). Selon le journal, le mandat aurait été présenté par le FBI sur la base de la loi FISA (Foreign Intelligence Surveillance Act), qui permet la recherche de données appartenant à des utilisateurs étrangers si elles sont stockées sur des serveurs américains (sur le territoire).
On retrouve ici des éléments communs aux révélations d’Edward Snowden en 2013, avec notamment un mandat a priori par la FISC, le tribunal secret qui s’occupe de valider justement les interventions sur les données « étrangères ». Toujours selon le Times, le FBI aurait demandé une recherche « très ciblée », sur la base « d’un identifiant ou d’une signature unique ». La cible : des utilisateurs de Yahoo membres d’un groupe terroriste. Notez que Reuters, déjà à l’origine des premières informations sur cette opération, donne désormais la même explication.
Même terminée, l'opération relance le débat
Selon les sources du New York Times et de Reuters, tout porte à croire que l’opération est terminée depuis un moment. Elle aurait été limitée dans le temps et placée comme un filtre dirigé vers des emails provenant d’une région géographique particulière, sans plus de précisions.
Mais que l’opération soit terminée ou pas, Yahoo ne peut pas éviter la tourmente dans laquelle le plonge cette affaire, sans parler de sa proximité avec la confirmation que plus d’un demi-milliard de comptes étaient concernés par la fuite de données. Ces révélations relancent une fois de plus le débat sur les procédures secrètes qui entourent la FISC et les pouvoirs du gouvernement américain en matière d’interception des données.
