Surveillance : les géants du web ont enfin droit à plus de transparence

Les annonces de Barack Obama sur la réforme de la surveillance américaine avaient beau manquer de portée, elles contenaient tout de même quelques changements importants, dont la possibilité pour les entreprises de mieux communiquer sur ce qui leur était demandé par les différents services. C’est le secrétaire de la Défense, Eric Holder, qui vient de confirmer la nouvelle politique d’information mise en place.

Crédits : Jef Pearlman, licence Creative Commons

Un sérieux problème de confiance 

Lorsque le scandale Prism a éclaté et que les informations se sont rapidement enchainées, les grandes entreprises américaines ayant développé des stratégies « Cloud » ont été bien ennuyées. Les documents dérobés par Edward Snowden montraient un certain degré de participation volontaire de la part d'Apple, Facebook, Google, Microsoft, ou encore Yahoo, tandis que des données diffusées plus tard ont indiqué que la NSA prenait par la force ce qu’elle ne pouvait obtenir sur une base volontaire.

Depuis, les entreprises concernées n’ont eu de cesse de communiquer pour afficher leur bonne foi. Comme l’indiquait récemment un responsable anonyme de l’une d’entre elles : « Chaque fois que nous parlions, il semblait que les choses empiraient ». Un constat que venait appuyer Michael Buckley, directeur de la communication chez Facebook : « Le fait est que le gouvernement ne peut pas remettre le génie dans la lampe. Nous pouvons publier des communiqués et des statistiques, mais à la lumière de ce qui semble être des révélations hebdomadaires, la question est : quelqu’un va-t-il nous croire ? ». La problématique était simple pour les sociétés concernées et se résumait à une crise de confiance.

Des vannes rouillées 

L’une des solutions, et la seule potentiellement, est de permettre à ces sociétés de communiquer plus librement. Mais sur ce terrain, elles font face à une loi très stricte encadrant l'évocation des détails sur ce qui leur est demandé. C’est particulièrement vrai en ce qui concerne les NSL (National Security Letters), des lettres contenant des requêtes sur de larges quantités de données et dont les termes doivent être maintenus secrets. En conséquence, il est interdit aux entreprises de communiquer la moindre information sur ces courriers et seule une fourchette peut être donnée pour le nombre de NSL qu’elles reçoivent.

Le discours récent de Barack Obama sur l’état de la surveillance, et son absolue nécessité pour lutter contre le terrorisme, se focalisait surtout sur la collecte des métadonnées téléphoniques et la communication des entreprises. Le président américain avait indiqué que ces dernières seraient plus libres dans les informations qu’elles souhaitaient diffuser. Une décision qui était sans doute une conséquence directe des demandes répétées pour cette ouverture des vannes. Google et Microsoft sont d’ailleurs allées jusqu’à s’associer pour déposer une plainte commune contre le département de la Justice (DoJ), avant d’être rejointes par Apple, Facebook et LinkedIn.

Des chiffres nettement plus précis... 

C’est Eric Holder en personne, le secrétaire d’État à la Défense, qui a annoncé plus en détails les conséquences pour les entreprises. Tout d’abord, elles pourront communiquer sur les requêtes FISA et sur les NSL avec une granularité accrue. S’il n’est toujours pas question de chiffres exacts, les tranches de 1 000 peuvent être réduites à 250. En outre, et c’est une nouveauté, chaque société peut communiquer sur le nombre de comptes touchés par les requêtes des agences.

Apple en a d’ailleurs profité dans la foulée pour mettre à jour un rapport publié en novembre dernier et qui portait sur les chiffres du premier semestre 2013. On peut donc voir que la firme de Cupertino a reçu entre 0 et 249 NSL pour un total de comptes concernés compris lui aussi entre 0 et 249. Mais les autres éléments donnés sont par contre beaucoup plus précis, et l'on sait par exemple que le nombre total de requêtes d’accès à des comptes est de 927, pour 2 330 comptes. Sur ce total, Apple précise que 81 % des requêtes ont été accordées.

Selon le Wall Street Journal, les termes de cet accord ont été négociés directement entre James Cole, numéro 2 du département de la Justice, et les responsables juridiques des cinq entreprises qui avaient déposé plainte : Facebook, Google, LinkedIn, Microsoft et Yahoo. Eric Holder résume la situation : « À travers ces nouvelles méthodes de diffusion, les fournisseurs de solutions de communication auront la permission de révéler plus d’informations que jamais à leurs clients. Le bureau du directeur du renseignement national a déterminé que l’intérêt du public dans la révélation de ces informations dépasse désormais les inquiétudes de sécurité nationales qui avaient conduit à leur classification ».

... qui n'enlèvent rien à l'accès aux données elles-mêmes 

L’association American Civil Liberties Union, très critique depuis le débat des scandales sur la surveillance, a applaudit la mesure : « C’est une victoire pour la transparence et une étape critique vers la limitation de la surveillance excessive du gouvernement ». Et visiblement, l’ACLU n’est pas la seule à être satisfaite puisque Facebook, Google, LinkedIn, Microsoft et Yahoo ont toutes abandonné leur plainte.

Pour autant, il n’est pas certain que les clients de ces entreprises se contentent longtemps de ces chiffres plus précis. Car si les sociétés peuvent se montrer plus transparentes sur les demandes qui leurs sont faites, cela n’enlève rien au problème principal : l’accès lui-même aux données personnelles. Or, dans un contexte d’aspiration aveugle de ces données, la crise de confiance concerne davantage la sécurité des informations et les risques d’espionnage industriel.