Après un démarrage en trombe et plusieurs crises politiques, l’actualité a délaissé le programme de surveillance Prism pour se concentrer davantage sur le lanceur d'alertes Edward Snowden. Pourtant, de nouveaux documents ont été révélés et la NSA a publié vendredi une longue explication relative à ses capacités. Alors que Barack Obama appelle désormais à une réforme du Patriot Act, le renseignement américain cherche à tout prix l'apaisement.
Crédits : Mark Turnauckas, licence Creative Commons.
Surveillance des communications, espionnage, intrusion dans les routeurs chinois, collecte des métadonnées téléphoniques, des emails et d’autres informations personnelles : les révélations d’Edward Snowden ont provoqué bien des réactions, tant dans la presse que chez le grand public, en passant par les ondes de chocs diplomatiques. On se souvient notamment de l’avion présidentiel bolivien forcé d'atterrir à Vienne, en Autriche, à cause de soupçons sur l’éventuelle présence de Snowden à son bord (le président Evo Morales rentrait de Russie). Plus récemment, la Russie a accordé un asile politique temporaire à Snowden, provoquant la colère des États-Unis et l’annulation d’une rencontre entre Barack Obama et Vladimir Poutine.
La NSA souhaite se justifier
Mais alors que Barack Obama tentait vendredi après-midi de calmer le jeu au cours d’une conférence de presse, appelant notamment à une réforme d'une section de la loi dite du Patriot Act (socle, avec la loi FISA, du renseignement actuel), la NSA (National Security Agency) a publié dans la foulée un long plaidoyer. L’agence y donne en détails son point de vue et explique le fonctionnement de sa machinerie, comme l'a souhaité le président américain.
Et le prologue de ce document de sept pages est particulièrement éloquent : l’agence rappelle comment ont eu lieu les attaques du 11 septembre 2001, insiste sur le fait que Khalid al-Midhar, le principal architecte des attentats, avait résidé plus de six mois en Californie. Pendant ce temps, malgré des écoutes avec d’autres personnes d’Al-Qaida, la NSA avait été incapable d’obtenir des informations sur le téléphone utilisé par Midhar.
La NSA a fort à faire car elle est pointée du doigt pour diverses raisons. On se souvient en particulier des liaisons spécifiques entre l’agence et les entreprises telles que Microsoft, Google, Facebook, Apple ou encore Yahoo. Sans nommer personne, l’agence confirme que de telles relations existent et qu’elles sont essentielles dans la constitution d’une base de données efficace. Ces bases sont liées à des programmes dont les noms de code ont déjà été publiés : Fairview, Blarney, Oakstar ou encore Lithium. La NSA ne nie aucune de ces données, confirme la validité des informations contenues dans les documents révélés, mais elle indique que les extrapolations qui en ont été tirées sont fausses.
Pas de contournement des lois grâce aux agences étrangères
Toujours dans la même page (6), l’agence aborde le cas des accords liant les États-Unis à d’autres pays. La NSA était en effet accusée de contourner les garde-fous imposés par la loi en obtenant les données via ses partenaires. Elle s’explique :
« La NSA est partenaire de plus de trente nations différentes dans le but de remplir sa mission de renseignement étranger. Dans tous les cas, la NSA n’utilise pas et n’utilisera pas une relation avec un service étranger du renseignement pour demander un service que la loi l’empêcherait elle-même de réaliser. Ces partenariats sont une partie importante de la défense des États-Unis et des alliés contre le terrorisme, les cybermenaces et tous ceux qui menacent notre sécurité individuelle ou collective. Les deux parties de ces relations en bénéficient. »
Seuls 0,00004 % des données mondiales seraient examinées
Mais c’est la dernière page du document qui contient les informations les plus intéressantes. La NSA est régulièrement accusée d’espionner une large proportion du trafic internet. Chose dont l’agence se défend :
« Selon les chiffres publiés par un fournisseur majeur, internet transporte 1 826 pétaoctets d’informations par jour. Dans sa mission de surveillance de l’étranger, la NSA ne touche que 1,6 % de ces données. Cependant, sur ces 1,6 % de données, seuls 0,025 % en sont sélectionnés pour analyse. En conséquence, les analystes de la NSA n’examinent que 0,00004 % du trafic mondial pour mener à bien sa mission, soit moins d’un millionième. »
Données américaines : une grande prudence selon la NSA
L’agence se veut rassurante sur les données des résidents américains : « Nous n’avons pas besoin de sacrifier les libertés civiles pour la sauvegarde de la sécurité nationale ; les deux font partie intégrante de ce qui fait de nous des Américains. La NSA peut et continuera de conduire ses opérations d’une manière qui respecte les deux. »
L’agence indique toutefois que des emails peuvent se retrouver pris dans les mailles du filet géant :
« Par exemple, une personne américaine pourrait être en copie d’un email envoyé ou reçu par une cible étrangère légitime, ou une personne américaine pourrait être en contact avec un terroriste connu. Dans ces cas, les procédures de minimisation adoptées par le procureur général, en consultation avec le directeur nationale du renseignement, et approuvées par la Foreign Intelligence Surveillance Court, sont utilisées pour préserver la vie privée de la personne. Ces procédures contrôlent l’acquisition, la rétention et la diffusion des informations de la personne, acquises secondairement durant les opérations conduites conformément à la Section 702. »
Toucher aux données des citoyens américains sans le faire
La Section 702 est connue pour être la partie de la loi FISA Amendments Act (FAA) permettant de chercher des informations nominatives, mais seulement quand elles concernent des étrangers, et en-dehors du sol américain. Or, selon le journal The Guardian, qui s’appuie sur un document fourni par Edward Snowden, la NSA a fait élargir le périmètre d’action de cette fameuse section : dans la nouvelle version, elle permet les requêtes nominatives envers les citoyens américains. Un changement dont le document de l’agence ne parle évidemment pas.
Il faut noter cependant un point important souligné par The Gardian : selon l’extrait du glossaire contenant ces informations, les analystes ont pour instruction formelle de ne formuler aucune requête tant qu’aucun processus de supervision n’aura été mis en place par l’agence et validé tant par le département américaine de Justice et que par le Bureau du directeur national du renseignement. Des requêtes qui ne peuvent donc concerner ni le nom, ni le numéro de téléphone, ni l’adresse email, ni encore l’adresse IP. On notera que le processus de supervision peut être rapproché de la demande par Barack Obama de nommer un responsable de la vie privée au sein la NSA.
Pour Ron Wyden, sénateur démocrate, il existe tout de même un sérieux problème. La NSA a été ainsi incapable de donner au Congrès des renseignements clairs sur le nombre d’américains qui avaient été pris malgré eux dans le filet. Et dans ce qu’il décrit comme une « faille », le gouvernement peut selon lui « potentiellement naviguer dans ces données et mener des recherches sans mandat dans les appels téléphoniques et les emails ».
L'autorégulation mise en avant par la NSA
Côté NSA, on insiste toutefois sur la capacité à s’auto-réguler : « En plus des précautions de la NSA, le personnel a pour obligation de faire un rapport quand il estime que la NSA n’agit pas, ou pourrait ne pas agir en accord avec une loi, une politique ou une procédure. Cette auto-analyse fait partie intégrante de la culture et du tissus même de la NSA. Si la NSA n’agit pas en accord avec une loi, une politique ou une procédure, elle fera un rapport via ses canaux de supervision internes et externes, conduira des examens pour en comprendre la cause et fera les ajustements appropriés en vue d’une amélioration constante ».
Pour autant, il s’agit de la vision idyllique présentée par l’agence dans son document publié vendredi. Néanmoins, elle n’a pas souhaité réagir aux demandes du Guardian sur les nouveaux éléments présentés. En outre, il est intéressant de constater que la NSA met en avant le processus d’amélioration interne, porté par le personnel, alors même que l’agence de renseignement souhaite supprimer 90 % des postes d’administrateurs système.