La NSA peut garder jusqu'à quinze ans les données collectées

SkyDrive, Google Drive et DropBox peuvent aller se rhabiller
00
Vincent Hermann
Par Le lundi 30 septembre 2013 à 10:15

Plusieurs documents au sujet de la NSA, qui n’avait jusqu’à présent pas été révélés par le lanceur d’alertes Edward Snowden, éclairent sous un nouveau jour la mécanique interne de la collecte de données. Des informations capitales, notamment pour les citoyens américains puisque leurs propres données personnelles peuvent être aspirées sans discernement, et enregistrées pour quinze ans.

nsa

Crédits : Jef Pearlman, licence Creative Commons

Plus de différences entre les données étrangères et américaines 

Les révélations d’Edward Snowden sur l’étendue de la surveillance américaine des communications n’en finit plus de connaître des rebondissements. Un nombre croissant de documents est utilisé dans les articles du Washington Post, du Guardian, du Spiegel et désormais du New York Times (depuis son accord avec le Guardian). Or, plus les informations circulent, plus l’image globale de la NSA et de ses activités se fait plus précise. Et désormais, il ne fait plus de doute que l’agence de sécurité dispose d’un pouvoir considérable.

 

Selon les dernières informations publiées par le New York Times (article co-écrit par Laura Poitras, qui a réalisé l’interview de Snowden il y a trois mois pour The Guardian), la National Security Agency brasse en permanence un torrent de métadonnées qui ne fait guère la différence entre ce qui vient de l’étranger et ce qui est interne aux frontières des États-Unis. Pourquoi le signaler ? Parce que la situation est en théorie très différente selon l’origine des données : la Section 702 de la loi FISA (Foreign Intelligence Surveillance Act) amendée précise que seules les données étrangères peuvent être collectées si elles sont enregistrées sur les serveurs américains. Une opération d’autant plus simple que les offres cloud de Microsoft, Google et Apple sont les plus utilisées, sans parler de l’imposante présence de Facebook.

Des profils créés par le recoupement et le chaînage des données 

Mais d’après le New York Times, des documents internes de la NSA montrent clairement que l’agence crée des profils en recombinant les informations de très nombreuses sources sur des citoyens américains. On ne parle pas ici des données prises « accidentellement » dans les filets lors de larges requêtes, mais bien d’opérations volontaires. La création de ces profils intervient dès que le nom d’un citoyen apparaît connecté à une enquête en cours et pour laquelle un mandat a déjà été délivré. Dans ce cas, les métadonnées sont rassemblées et il est possible d’en savoir très long sur ladite personne.

 

La NSA utilise essentiellement les métadonnées récupérées des bases de données téléphoniques et email. L’agence effectue alors un « chaînage » pour lier les informations entre elles et les métadonnées téléphoniques à elles seules peuvent se révéler extrêmement précieuses. Il est ainsi possible de savoir précisément qui a été appelé, ou qui a appelé, combien de temps, à quel jour et à quelle heure ou encore la géolocalisation si elle est active et que l’appel a été passé depuis ou vers un smartphone. Pour donner un ordre de grandeur, la NSA était capable en août 2011 de traiter 1,1 milliard d’enregistrements téléphoniques par jour. La capacité de calcul croit évidemment avec le temps qui passe.

 

La NSA a en outre le pouvoir d’enrichir les profils des personnes ciblées avec quantités d’autres sources de données : titres de propriété, réseaux sociaux, impôts, titres de transport nominatifs, assurances, informations bancaires, des sociétés spécialisées dans la géolocalisation telles que TomTom et ainsi de suite. Plusieurs anciens responsables de l’agence (qui ont demandé à garder l’anonymat) ont ainsi confirmé au New York Times que ces données étaient collectées aussi bien pour des personnes étrangères que des citoyens américains.

L'assise légale 

La base juridique d’une telle collecte est floue. Une porte-parole de la NSA a indiqué au Times qu’en vertu d'un verdict de la Cour Suprême en 1979, les citoyens américains ne pouvaient espérer aucun respect de la vie privée quand il s’agissait des métadonnées téléphoniques. Mais qu’en est-il du cadre dans lequel s’exerce cette pêche miraculeuse et des autres données ? C’est ici que la situation se complique.

 

L’agence de sécurité, dans sa mission de protection des États-Unis, s’est vite retrouvée devant une barrière particulière à la fin du vingtième siècle : dès qu’une enquête sur une personne étrangère mettait en évidence un citoyen américain, la collecte d’informations sans mandat devait s’arrêter. Selon les documents de Snowden, la NSA a donc demandé dès 1999 que cette limite soit supprimée, ce qui lui a été refusé, à cause des règles imposées par la Foreign Intelligence Surveillance Court (FISC).

 

La situation est floue pour les années suivantes, mais les attentats du 11 septembre 2001 ont joué un rôle essentiel dans le changement de politique. En 2006, le New York Times révèle en effet que l’administration Bush a autorisé un programme d’écoutes sans requérir le moindre mandat. Mis au grand jour, le programme n’est pas pour autant arrêté et la NSA demande officiellement à effectuer ce type d’opération. Un mémo du Département de la Justice met bien en garde contre les retombées d’un tel programme, mais l’administration Bush donne tout de même son aval en 2008.

Un véritable « graphique social » interrogeable à la demande 

Les changements interviennent alors rapidement. Une nouvelle politique est mise en place par le Secrétaire à la Défense Robert M. Gates : puisque les métadonnées ne répondent pas aux critères de protection de la vie privée selon la Cour Suprême, aucune autorisation n’est à demander, ni pour les étrangers, ni pour les citoyens américains. La NSA emboite alors le pas et teste à partir de novembre 2010 et pendant dix-huit mois les premiers rouages d’un « graphique social » basé sur le chainage des informations et la mise en relation.

 

En 2011, un mémo interne de la NSA présente les changements de politique. Il indique aux analystes que la collecte peut désormais s’effectuer sur tout citoyen américain, à la condition que son nom apparaisse en connexion avec une enquête en cours sur un étranger. Dans ce cadre, aucun mandat n’est nécessaire. Les analystes sont toutefois avertis que les règles de minimisation doivent toujours être appliquées : si les informations sortent de la NSA pour alimenter une enquête, les noms des citoyens doivent être expressément effacés.

 

L’infrastructure qui permet la collecte est en perpétuel développement, et c’est ici que l’on retrouve un nom de code déjà abordé plusieurs fois dans nos colonnes : Mainway. Ce module constitue en fait un vaste réservoir de métadonnées alimenté principalement par trois sources, à savoir les « backbones » en fibre optique (les axes principaux de l’infrastructure internationale de communication), les partenaires commerciaux (Microsoft, Google, Apple, Facebook, etc.) ainsi que les réseaux informations qui ont été pénétrés. Selon les documents de Snowden, un nombre important d’informations qui entrent dans Mainway provient bien de citoyens américains.

Des possibilités titanesques 

Selon d’autres documents, la NSA réclame désormais les moyens de mettre en place une infrastructure informatique capable de traiter vingt milliards d‘évènements par jour et de fournir des résultats à des requêtes en soixante minutes maximum. Un document top-secret, intitulé « Better Person Centric Analysis », révèle qu’en l’état actuel, la NSA dispose de 94 « entités » pouvant faire l’objet de requêtes : numéros de téléphone, adresses email, adresses IP et ainsi de suite. 164 types de relations peuvent en outre être exploités et agissent comme autant d’opérateurs : « voyage avec », « a un père », « travaille pour », etc.

 

Mais l’un des points les plus importants concerne clairement la rétention des données. Dans un mémo datant de 2011, la NSA indique que les données peuvent être mises de côté pour un éventuel traitement plus tard. Dans le cas des citoyens américains, les données peuvent ainsi rester en base active pendant cinq ans, auquel il faut ajouter dix années supplémentaires dans les archives. Il n’y a aucune raison de penser que les données étrangères, non protégées par les lois américaines, disposent d’un meilleur traitement.

 

Ces nouvelles informations ne seront pas aptes à calmer le jeu pour la NSA, qui a déjà fort à faire sur le plan de la communication. Les auditions des responsables du renseignement devant le Sénat américain ne sont pas terminées et une crise de confiance pourrait bien avoir lieu. On rappellera à ce titre les avertissements de la commissaire européenne Viviane Reding au sujet d’un potentiel détournement des solutions commerciales américaines dans le domaine du cloud par les entreprises européennes.

Ce contenu est en accès libre

La rédaction vous offre l'accès à cet article, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7278

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires