Nous indiquions hier dans nos colonnes qu’un important lien avait été révélé entre Verizon et l’agence américaine du renseignement, la NSA. L’opérateur fournit sur une base automatisée de nombreuses données sur l’historique de ses clients. Mais Verizon était clairement la pointe de l’iceberg et le programme de la NSA, baptisé PRISM, touche en fait de nombreuses sociétés.
AT&T et Sprint sont eux aussi concernés
L’opérateur Verizon transmet quotidiennement à la NSA un grand nombre de données, notamment les appels émis par ses abonnés, la durée, la destination ou encore la position géographique. L’information, révélée par The Guardian, fait scandale aux États-Unis et a attiré les foudres de politiques tels qu’Al Gore ainsi que des défenseurs de la vie privée. Problème : Verizon n’est qu’un nom dans une liste d’entreprises liées à la NSA.
Concernant la téléphonie tout d’abord, le Wall Street Journal indique, selon ses propres sources, que les opérateurs AT&T et Sprint font également bien partie du lot. La sénatrice démocrate Dianne Feinstein, qui dirige avec Saxby Chambliss le comité du renseignement au Sénat, a confirmé que cette surveillance était le résultat d’un ordre directement issu de la FISC (Foreign Intelligence Surveillance Court), et était renouvelé tous les trois mois en accord avec la section relative aux enregistrements du monde professionnel dans le Patriot Act.
Le même ordre depuis sept ans
Saxby Chambliss, de son côté, indique que rien de ceci n’est nouveau. Et pour cause : il s’agit du même ordre, valable trois mois, qui est renouvelé depuis maintenant sept ans. En fait, il n’y a pour le sénateur aucun problème : non seulement les informations collectées ne sont que des métadonnées (et donc pas les conversations elles-mêmes), mais elles conduisent en plus à des succès dans la lutte anti-terroriste.
La sauvegarde de ces données a également été abordée durant une conférence de presse, mais Dianne Feinstein y a opposé une simple question de logique : impossible de savoir quand une donne se révèlera utile. Pour Chambliss, l’historique est important car il aide à recréer les degrés de séparation entre les terroristes et d’éventuels américains. Mais dans tous les cas, si la collecte des métadonnées est automatique, la NSA a besoin d’une autorisation supplémentaire pour leur exploitation.
PRISM : la surveillance généralisée et automatisée
Mais le Washington Post est entré en possession d’un document classé top secret émanant de la NSA. On y apprend l’existence d’un programme spécial, baptisé PRISM, liant l’agence du renseignement à toute une liste d’entreprises dans le secteur informatique, des communications et ainsi de suite. Un programme né des restes d’un projet de surveillance sans autorisation du temps de l’administration Bush.
PRISM est lui aussi âgé de sept ans et représente l’institutionnalisation de la surveillance intérieure. Neuf entreprises sont concernées : Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube et Apple. Selon le document obtenu par le Washington Post, toutes ces sociétés travaillent avec la NSA, qui de fait peut accéder à leurs serveurs pour en récupérer de nombreuses données : les emails, les conversations texte, audio et vidéoconférences, les photos, les vidéos, les données sauvegardées, la VoIP, les transferts de fichiers, des notifications sur une activité particulière, des détails sur les réseaux sociaux ainsi que des « requêtes spéciales ».
On y apprend en outre que la société ayant accepté en premier la collaboration avec la NSA est Microsoft, le 11 septembre 2007. Un constat amusant quand on sait que la firme est au beau milieu d’une campagne publicitaire pour indiquer à quel point la vie privée des utilisateurs est importante. Puis ont suivi dans l’ordre : Yahoo en 2008, Google, Facebook et PalTalk en 2009, YouTube en 2010, Skype et AOL en 2011, et finalement Apple, en octobre dernier. Des collectes de données importantes car même si le programme PRISM est censé être avant tout destiné à la surveillance à l’étranger, de très nombreuses données circulent par les serveurs américains.
Un fait confirmé par James R. Clapper, directeur du renseignement, qui explique que la section 702 du FISA (Foreign Intelligence Surveillance Act) est destinéee à « faciliter l’acquisition de renseignements étrangers concernant des personnes non-américaines et situées en-dehors des États-Unis » . Ce qui pose évidemment la question de la propriété des données personnelles dans le cloud dès lors qu'il s'agit de services américains, un sujet que nous avions abordé dans un dossier.
Mais puisque ça marche...
Le gouvernement américain n’a pas cherché à dissimuler les faits ni à nier. James R. Clapper a également indiqué que les « informations collectées à travers ce programme font partie des renseignements les plus importants et les plus précieux que nous rassemblons, et elles sont utilisées pour protéger notre nation d’une grande variété de menaces. La divulgation non autorisée d’informations au sujet de cet important programme entièrement légal est répréhensible et met en danger les protections mises en place pour la sécurité des Américains ».
Le directeur a en outre ajouté que des erreurs nombreuses étaient présentes dans les articles du Guardian et du Washington Post, mais sans nommer lesquelles.
Les entreprises nient l'accès direct à leurs serveurs
Du côté des entreprises concernées, on nie tout simplement l’ouverture des serveurs à la NSA. Voici les réactions de quelques-unes d’entre elles.
Microsoft : « Nous ne fournissons les données des utilisateurs que lorsque nous recevons un ordre légal, et jamais sur une base volontaire. De plus, nous n’acceptons ces ordres que s’ils concernent des comptes ou identifiants spécifiques. Si le gouvernement a un programme de sécurité plus large et sur une base volontaire pour collecter des données, nous n’y participons pas. »
Facebook : « Nous n’offrons à aucun gouvernement un accès direct aux serveurs de Facebook. Quand il est demandé à Facebook de fournir des données ou des informations spécifiques sur des individus, nous examinons avec attention la conformité avec la loi de chaque requête, et nous ne fournissons pas plus que ce qui est demandé ».
Google : « Google fait très attention à la sécurité des données de ses utilisateurs. Nous divulguons des données au gouvernement en accord avec la loi, et nous examinons avec attention de telles requêtes. De temps en temps, des personnes prétendent que nous avons créé une porte dérobée pour le gouvernement, mais Google n’a rien de tel pour les données privées des utilisateurs ».
Apple : « Nous n’avons jamais entendu parler de PRISM. Nous ne donnons à aucune agence gouvernementale l’accès direct à nos serveurs, et toute agence gouvernementale souhaitait des données d’utilisateurs doit posséder un ordre de la cour ».
Prendre soin de ces précieuses sources de données
Les autres réactions sont équivalentes, jusqu’à celle de Dropbox qui nie tout implication prochaine dans le programme de la NSA. Le Post avance en outre une théorie pour expliquer l’écart entre ce qui est annoncé dans les documents et les réponses des entreprises concernées. En effet, des documents non révélés suggèrent que la présentation manque en fait de précision : des équipements spécifiques seraient mis en place pour collecter les données et la NSA n’aurait alors pas un accès direct aux serveurs.
En d’autres termes, les entreprises peuvent nier l’accès direct au serveur. Mais ce n’est pas tout, car d’autres documents suggèrent encore que les partenariats avec les entreprises privées seront justement les secrets les plus sensibles du programme PRISM : « 98 % de la production PRISM sont basés sur Yahoo, Google et Microsoft ; nous devons nous assurer que nous n’endommageons pas ces sources ». En clair, tout faire pour cajoler ces puits de données et éviter qu’ils se retirent du programme. Cependant, sans les détails, difficile de comprendre ce qui peut lier une firme à la NSA d'autant que ces partenaires seraient à l’abri de toutes poursuites.
Le programme PRISM, dans la foulée de la révélation sur Verizon, est actuellement en train de déclencher un scandale aux États-Unis et au-delà. Il pose une nouvelle fois la question de la surveillance automatisée des données pour faits avérés ou supposés de terrorisme. Reste à savoir si les internautes, maintenant un peu plus au courant, accepteront cet œil braqué sur leur vie privée. Et s'ils pousseront leur soif de maitrise de leurs données en se passant des services de ces géants américains.
