En fin de semaine dernière, la NSA a été une nouvelle fois sous le feu des projecteurs à cause de nouvelles informations relevées par les documents d’Edward Snowden. Il s’agissait cette fois des erreurs commises régulièrement par l’agence et la manière dont elle collectait par inadvertance des données de citoyens américains. Pour la NSA cependant, ces erreurs ne sont qu’une goutte d’eau dans l’océan des requêtes.
Crédits : Greg Goebel, licence Creative Commons
Il y a quelques jours, le Washington Post révélait de nouvelles informations sur le fonctionnement de la NSA. Edward Snowden, le lanceur d’alerte qui a propulsé le programme de surveillance Prism sous l’œil des médias, a en effet fourni au journal un rapport d’erreurs datant de mai 2012 et rendant compte des erreurs recensées durant un audit de sécurité.
Le nombre d'erreurs est « minuscule »
Le rapport, vu par une minorité de membres du Congrès américain, était riche d’enseignements. On y apprenait que la NSA s’approchait des 2 776 erreurs sur une période d’une année, et qu’une grande majorité était due à des erreurs humaines, notamment à la saisie des requêtes, soit parce qu’elles étaient malformées, soit parce qu’elles dépassaient les attributions des analystes. Beaucoup provenaient également d’erreurs informatiques, autrement dit des problèmes dans le code qui engendraient une récupération involontaire d’informations. Dans la quasi-totalité des cas, les données des citoyens américains se retrouvaient « simplement » prises dans le filet d’une pêche beaucoup plus grande.
Pour John DeLong, directeur de la conformité de la NSA, il s’agirait cependant de ne pas oublier que le travail de la NSA va bien au-delà de ces quelques erreurs. Lors d'une conférence téléphonique, il a d’abord tenu à rappeler que « personne à la NSA ne pense qu’une erreur n’est pas importante ». Et de rappeler que l’écrasante majorité des erreurs provient d’erreurs humaines non intentionnelles ou techniques. Pour DeLong, les audits sont la preuve que l’agence cherche constamment à repérer et corriger ses erreurs, et le nombre d'erreurs est de toute façon « minuscule ».
Des erreurs qui s'expliquent très facilement pour l'agence
Le directeur de la conformité va plus loin dans sa démonstration en insistant particulièrement sur la goutte d’eau que représentent les erreurs relevées par l’audit. Ainsi, le document de mai 2012 mettait en avant une centaine d’erreurs imputables aux analystes, autrement dit des requêtes erronées dans leur forme et/ou dans leur périmètre de recherche. Pour John DeLong, ce chiffre est proche de l’infinitésimal puisque la NSA réalise chaque fois près de 20 millions de requêtes, soit plus de 650 000 par jour.
Un chiffre qui peut donner le vertige mais qui n’est finalement pas étonnant. On se rappelle ainsi les révélations faites par l’agence devant le Congrès américain au sujet des niveaux de profondeur des requêtes, qui pouvaient faire grimper le nombre de cibles de manière exponentielle. Chacune de ces cibles devenait alors sujette à de nouvelles requêtes.
DeLong a en outre tenu à expliquer plus précisément le problème des visiteurs étrangers qui entrent en territoire américain avec un téléphone. Tant qu’un tel utilisateur reste dans son pays, il peut être soumis à la surveillance de la NSA.La loi FAA (FISA Amendment Act) permet en effet aux autorités de fouiller dans les services cloud hébergés outre-Atlantique et scruter les données fournies par tous les non-résidents US. Cependant, à partir du moment où cette même personne foule le sol des États-Unis, le niveau d’autorisation change car la loi réclame une procédure spécifique pour la surveillance à l’intérieur des frontières. La NSA aurait ainsi rencontré des problèmes pour ces personnes, la reconnaissance du passage en « roaming » étant trop lente pour effectuer immédiatement la bascule. Toujours selon le responsable, l’agence doit effacer les données dès que la détection signale l’entrée dans les États-Unis.
La NSA face à sa supervision
Vendredi dernier, la révélation publique de l’audit avait provoqué une réaction sèche de la sénatrice Dianne Feinstein, présidente du comité sénatorial du renseignement. L'organe politique n’avait jamais eu vent de ce document et n’était donc pas au courant du détail des erreurs de la NSA.
Selon John DeLong, l’explication est simple : le document de mai 2012 n’a jamais été prévu pour être produit devant des yeux extérieurs. Il s’agit en effet d’un rapport interne créé pour les besoins de l’agence. Il a été par la suite utilisé pour produire d’autres documents qui, eux, étaient bien prévus pour le comité et d’autres membres des organes de supervision. Dianne Feinstein a pour sa part indiqué que le comité recevait régulièrement des informations sur des « incidents de conformité » à la NSA. Cependant, « le comité n’a jamais identifié de cas où la NSA aurait intentionnellement abusé de son autorité pour conduire une surveillance pour des raisons inappropriées ». Elle a également insisté sur la nécessité pour le comité de contrôler plus fréquemment et de manière indépendante les opérations de l’agence ainsi que les problèmes de conformité relevés.
Chiffres erronés ou agence proche de la perfection ?
Enfin, DeLong a tenu à réagir sur un autre rapport : la NSA donnerait pour consigne à ses analystes de toujours présenter les résultats des requêtes, ainsi que la raison qui se trouve derrière, de manière succincte et « sans détails superflus » quand ils doivent être remis aux organes de contrôle. Il peut s’agir du comité précédemment nommé, mais encore du département américain de Justice ou encore du bureau du directeur national du renseignement. Mais il ne s’agit pour DeLong d’une volonté de masquer les informations : les concentrés d’informations sont des résumés permettant une lecture rapide des objectifs et des résultats. Dans le cas d’une demande de détails supplémentaires, des informations plus complètes sont accessibles rapidement selon le responsable.
Plutôt que de remettre en cause la surveillance globale des réseaux, la NSA communique surtout sur son parfait respect des lois en vigueur et sur la manière dont elle apprend de ses erreurs... Elle insiste particulièrement sur le faible nombre de ces dernières. Et pour cause : 2 776 erreurs sur 240 millions de requêtes en un an produisent un taux d’erreurs de 0.000012 %. La question est dès lors de savoir si la NSA produit des informations précises, auquel cas son fonctionnement serait quasiment parfait. Il n’est pas évident cependant que ceux dont les données personnelles ont été prises dans le filet géant apprécient cette « perfection ».
