La NSA réduit l’ampleur de sa surveillance de masse, mais PRISM continue

La NSA ne collecte désormais plus automatiquement les communications des citoyens américains quand ils écrivent à des destinataires surveillées ou s’ils mentionnent des termes spécifiques. Un changement important pour l’agence de sécurité et une conséquence des révélations d’Edward Snowden.

Pour bien comprendre ce changement, il faut se remettre dans le contexte. Les attentats du 11 septembre ont profondément changé la donne aux États-Unis, un torrent de lois sécuritaires étant voté pendant les années qui ont suivi. Les agences de sécurité et de renseignement ont obtenu notamment des pouvoirs toujours plus importants, via des budgets qui devenaient colossaux.

Les révélations de Snowden en 2013 ont spécifiquement montré le rôle central de la Section 702 de la loi FISA Amendments Act de 2008. Elle fixe la manière dont la NSA peut récolter de manière quasi systématique les données des utilisateurs étrangers si elles se situent sur des serveurs au sein des frontières américaines. La même loi interdit cependant toute récupération des informations de citoyens américains.

Dans ce cas, la NSA fait face au Quatrième Amendement de la Constitution des États-Unis, qui garantit l’absence de « perquisition non motivée ». Conséquence, les forces de l’ordre ont l’obligation d’obtenir un mandat auprès d’un juge. Or, les documents dérobés par Snowden à l’agence montraient qu’elle avait instauré de multiples collectes automatisées, prenant dans ses filets les citoyens américains. Dans certains cas, les données envoyées aux partenaires contenaient encore ces informations, sans avoir été extirpées.

La fin de cette collecte automatique

Depuis le week-end dernier, cette collecte est désormais arrêtée, ou tout du moins présentée comme telle. En France, cette mesure ne change rien, mais aux États-Unis, l’étape est importante, tant pour les citoyens que pour l’agence de sécurité elle-même.

Le mouvement est bien entendu politique, au moins en partie. Si les citoyens ont la garantie publique de ne plus voir leurs données aspirées dans les collectes visant les informations extérieures, ils seront également moins enclins à critiquer le travail de la NSA. Outre-Atlantique, cette dernière n’a véritablement été sous le feu des critiques que lorsque des documents de Snowden ont commencé à montrer à quel point les programmes de la NSA pouvaient parfois être poreux.

La Section 702 a fait l’objet d’un examen approfondi

Les activités désormais à l’arrêt étaient toutes menées sous le parapluie de la Section 702 de la loi FISA. Dans un communiqué, la NSA explique qu’elles ont fait l’objet d’un examen attentif. Après quoi l’agence aurait décidé de faire le grand ménage.

Cette révision des pratiques intervenait dans un contexte particulier : le renouvellement des autorisations liées à la Section 702 par la FISC (Foreign Intelligence Surveillance Court), le tribunal secret délivrant les mandats pour tout ce qui touche à la collecte des données extérieures. L’agence indique avoir dû rapporter plusieurs « incidents » qui, s’ils n’étaient pas volontaires, avaient néanmoins l’obligation d’être remontés non seulement à la FISC, mais également au Congrès.

Le programme PRISM court toujours

Tout aussi intéressant, la NSA précise que ses activités de type Section 702 se concentraient essentiellement dans deux méthodes. La première, nommée « downstream », permet de récupérer les informations provenant de ou se dirigeant vers un « sélecteur », comme une adresse email. Ce programme a longtemps été connu sous le nom de « PRISM ». La seconde, nommée « upstream », permettait de capter également toute communication faisant référence à ce sélecteur. Même si cette communication prenait place entre deux citoyens américains.

Or, il existe une différence énorme entre les deux programmes. Ils sont en principe couverts par un mandat délivré pour un an par la FISC. Mais si la méthode downstream fait ressortir les communications directes d’un sélecteur, upstream peut provoquer la collecte d’échanges entre Américains, qui réclament des mandats au cas par cas, comme l’exige le Quatrième Amendement.

Le ménage dans les collectes et les données

En conséquence, la NSA arrête donc son programme upstream et ne se concentrera donc que sur PRISM. En d’autres termes, ne peuvent être récupérées que les communications qui proviennent d’un sélecteur (souvent une personne) ou qui lui sont envoyées.

L’agence indique également qu’elle va supprimer « la grande majorité » des données du programme upstream « dès que ce sera réalisable ». Aucune autre information n’est fournie à ce sujet, et on ne sait donc pas quel est l’agenda de la NSA.

Elle préfère également réitérer une mise en garde : il est impossible, à cause de certaines limitations technologiques, d’empêcher toute collecte de type upstream. En clair, il y a eu des incidents, il y en aura encore, mais l’agence estime dans tous les cas que la décision représente « une approche responsable et prudente ».

Pour Snowden, « la vérité a tout changé »

Le lanceur d’alerte, en asile en Russie depuis des années, s’est félicité sur Twitter de cette annonce. Il rappelle que la NSA avait nié pendant un temps que des informations de citoyens américains étaient prises dans les filets. Pour autant, le fond des programmes n’a pas changé.

The truth changed everything. https://t.co/j4Mir6GoYA

— Edward Snowden (@Snowden) 28 avril 2017

Le programme PRISM reste en place, et avec lui la collecte de masse sur les données émanant et se dirigeant vers les sélecteurs. Des informations personnelles sur des citoyens américains peuvent y être prises, et les mandats ne s’embarrassent pas d’autorisations tierces pour les informations « étrangères ».

La FISC ayant autorisé ces nouvelles règles, le New York Times précise que les avocats de la vie privée pressent le Congrès de légiférer pour forcer l’agence à réclamer des mandats chaque fois que des données américaines sont visées.