Le Royaume-Uni a espionné des millions de conversations vidéo sur Yahoo

Le GCHQ, l’équivalent anglais de la NSA, espionne depuis des années les utilisateurs de la fonction webcam de Yahoo Messenger. Plusieurs millions de communications auraient ainsi été surveillées, révélant au passage un taux « surprenant » de nudité.

Un nerf optique survitaminé 

Les documents dérobés à la NSA par Edward Snowden n’ont décidément pas fini de faire parler d’eux. Alors que la situation politique mondiale se teinte de méfiance vis-à-vis de l’espionnage intensif réalisé par les États-Unis, le Royaume-Uni est souvent concerné à cause de ses relations privilégiées. Le GCHQ (Government Communications Headquarters) partage ainsi de nombreuses informations avec la NSA, et les documents révélés hier par The Guardian montrent une nouvelle fois à quel point la coopération est grande.

Selon le journal anglais, en effet, le GCHQ possède un programme de surveillance conçu spécifiquement pour récupérer de temps en temps une image extraite d’un flux vidéo émis par un utilisateur de Yahoo Messenger. Le programme, baptisé « Optic Nerve » (nerf optique), est bien piloté par l’agence anglaise mais les documents dérobés par Snowden indiquent que c’est bien le travail de la NSA qui a permis de réaliser l’outil.

Un programme démarré en 2008 et qui pourrait toujours être actif 

Toujours d’après ces fameux documents, le programme a été actif au minimum sur la période allant de 2008 à 2010. Cependant, une information semble préciser que le programme était toujours actif en 2012. Rien n’empêche donc que ce soit toujours le cas aujourd’hui. En outre, tout porte à croire que cette surveillance est exercée sur les internautes étrangers. Ainsi, durant une période de six mois seulement de l’année 2008, le GCHQ a espionné un total de 1,8 million de communications sur Yahoo Messenger.

L’extraction des données se fait sous la forme d’une capture réalisée toutes les cinq minutes sur un flux vidéo. Ces images sont liées aux identifiants Yahoo qui servent évidemment à initier les connexions. Le GCHQ possède donc potentiellement au moins une image de chaque personne ayant utilisé sa webcam avec une ou plusieurs autres personnes. Il s’agit d’une collecte de masse alimentant des bases de données géantes. Le même type de collecte qui est d’ailleurs si sévèrement critiqué aux États-Unis car il permet la construction d’une toile d’araignée sur laquelle la moindre requête fait vibrer tous les fils en relation.

Surprise : 7 % des webcams en moyenne sont coquines 

Les documents précisent également de quelle manière les analystes du GCHQ peuvent utiliser les informations. Normalement, ils n’ont ainsi accès qu’aux métadonnées et ne peuvent pas consulter directement les images enregistrées. Cependant, si la recherche est faite dans le cadre d’une cible clairement identifiée, les visages des utilisateurs ayant des identifiants proches peuvent être affichés. Dans ce cas, la banque d’images devient consultable. Un programme de reconnaissance faciale peut également aller débusquer les images présentant des visages « proches ».

Source : The Guardian

Problème : une part non négligeable des images contient de la nudité explicite. Dans les documents de Snowden, le GCHQ semble surpris de cette utilisation, estimant qu’en moyenne, plus de 7 % des images sont à caractère pornographique. L’agence anglaise relève d’ailleurs que la diffusion d’un flux vidéo par le logiciel de Yahoo peut permettre à des internautes ne possédant pas l’application de le visionner grâce à un simple lien. Ainsi, sur un échantillon de 323 identifiants, 23 (7,1 %) images montrent un nu explicite.

La NSA hérite du travail réalisé 

L’article du Gardian mentionne également d’autres détails intéressants. Par exemple, ce programme de surveillance a fait l’objet d’une étude sur la possibilité d’agrandir le nombre de cibles. S’est ainsi posée la question d’une extension à la Xbox 360 pour prendre en charge les flux vidéo émis depuis le Kinect. Rien ne permet actuellement de savoir si cette étape a été franchie. En outre, les données par le GCHQ sont transmises à la NSA qui les incorpore dans son programme XKeyScore.

Le journal anglais précise en outre qu’aucune mesure technique ne permet au GCHQ de filtrer automatiquement des images qui pourraient provenir d’utilisateurs anglais et américains. La situation est comparable aux problématiques rencontrées par la NSA, dont le travail de surveillance ne doit en théorie pas toucher les citoyens américains. Le Guardian ajoute qu’aucune loi anglaise n’interdit aux analystes du GCHQ de récolter et de consulter des images d’utilisateurs américains.

Entre balayage du revers de la main et condamnation 

Du côté de l’agence anglaise, on se contente de répéter évidemment un message régulièrement entendu depuis que les documents de Snowden sortent à un rythme régulier : « Tout notre travail est basé sur une infrastructure stricte et légale qui assure que nos activités sont autorisées, nécessaires et proportionnées, et qu’il y a une supervision rigoureuse, incluant celles du secrétaire d’État, des commissaires des services d’interception et de renseignement et du Comité de Sécurité ». La NSA, quant à elle, ne nie pas directement la récupération des données obtenues par son homologue anglaise : « L’agence n’a demandé à aucun partenaire étranger, tel que le GCHQ, de collecter du renseignement qu’elle ne pourrait pas acquérir légalement ».

Quant à Yahoo, le ton est réprobateur : « Nous n’étions pas au courant et nous n’approuvons pas une telle activité. Ce rapport, s’il est avéré, représente un tout nouveau niveau de violation de la vie privée de nos utilisateurs qui est totalement inacceptable, et nous appelons fortement les gouvernements à réformer les lois sur la surveillance, en accord avec le principes que nous avons soulignés en décembre ». On notera que Barack Obama a bien annoncé une réforme, mais qu'elle est assez peu ambitieuse au vu des problèmes relevés.

Ces révélations rappellent surtout que trop de services en ligne ne sont pas chiffrés. Comme nous l’avons signalé à de multiples reprises, il aura fallu malheureusement attendre qu’éclatent ces scandales pour que des entreprises telles que Yahoo, Google ou Microsoft annoncent le chiffrement complet des données. Ainsi, Yahoo Mail est intégralement chiffré depuis janvier pour tous les utilisateurs, mais Messenger devra attendre la fin du mois prochain.