Comment Microsoft s’est adapté pour répondre aux voeux de la NSA

Certains documents d’Edward Snowden montrent plus en détail la relation entre Microsoft et les agences de sécurité. La participation de la firme à la collecte de données n’est pas une nouveauté, mais les nouvelles informations permettent de mieux gérer les demandes qui lui ont été faites et comment elles se sont traduites en actions concrètes.

Le scandale Prism et le contrôle des dégâts 

Juin 2013 : le scandale du programme Prism explose suite à la révélation de documents dérobés par Edward Snowden à la NSA. Ledit programme permet la récupération auprès des grandes entreprises du cloud de données pouvant servir la lutte antiterroriste américaine. Ces liaisons provoquent un tollé et Microsoft apparaît comme la première société à avoir accepté la participation au programme.

Évidemment, dans les mois qui suivent, aussi bien la NSA que les entreprises concernées communiquent très largement pour se défendre d’un tel programme. La réponse de Microsoft se veut tranchée : « Nous ne fournissons les données des utilisateurs que lorsque nous recevons un ordre légal, et jamais sur une base volontaire. De plus, nous n’acceptons ces ordres que s’ils concernent des comptes ou identifiants spécifiques. Si le gouvernement a un programme de sécurité plus large et sur une base volontaire pour collecter des données, nous n’y participons pas ». Qu’il s’agisse de Google, Facebook ou Apple, toutes les réponses sont du même acabit.

Requête au cas par cas ou traitement automatisé ? 

Tout s’est cependant écroulé sur le plan de la communication en mars quand le responsable juridique de la NSA, Rajesh De, participe une fois de plus à une commission sénatoriale portant justement sur les programmes de surveillance. La collecte a-t-elle eu lieu avec « la pleine connaissance et l’aide de toute entreprise dont les données étaient obtenues » ? Réponse concise de l’intéressé : « Oui ». Il précisera quand même que le programme était bâti sur des bases légales et que les entreprises n’avaient d’autre choix que d’accepter.

Un mois plus tard, des informations étaient apparues sur la manière dont Microsoft participait. Cela concernait surtout plusieurs services comme Skype, SkyDrive (devenu OneDrive entre temps) et Outlook.com. Dans les trois cas, Microsoft avait expliqué que les changements intervenus étaient en effet pour certains conçus pour simplifier le traitement des requêtes provenant des agences de sécurité. Mais la firme insistait une nouvelle fois : chaque requête était traitée au cas par cas et il n’y avait pas de communication volontaire et constante des informations.

Hausse de la sécurité et mesures de contournement 

Plusieurs documents révélés par le journaliste Glenn Greenwald permettent de mieux cerner comment le lancement des services de Microsoft a été perçu par la NSA.

Sur le document ci-dessus, on peut clairement voir que le lancement d’Outlook.com, en remplacement de Hotmail, a créé des difficultés. L’arrivée du service était accompagnée du chiffrement des échanges, ce qui provoquait une cassure dans la collecte pour « FAA 702 ». Une référence à la Section 702 de la loi « Foreign Intelligence Surveillance Act » de 1978, amendée en 2008.

Cette désormais célèbre section autorise les agences à collecter des données personnelles si elles sont stockées sur des serveurs américains et que les utilisateurs sont étrangers. Mais il est précisé également que Microsoft a travaillé sur un moyen de contourner cette nouvelle sécurité pour rester en phase avec les demandes qui lui sont faites ainsi que le programme Prism. La NSA prévoyait donc une augmentation du volume des données, mais aucun changement spécifique à effectuer de son côté.

Skype, SkyDrive : à chaque problème sa solution 

Ces autres documents expliquent comment le programme Prism pouvait rencontrer des difficultés avec Skype, prévu pour absorber des communications sur la base de connexions identifiées par des pseudonymes. Mais quand Microsoft a permis aux utilisateurs de se connecter avec leur compte Hotmail/Outlook.com, notamment pour avoir les contacts Skype et Messenger dans un lieu unique, Prism n’a pas su suivre le mouvement. Le problème s’est visiblement résolu par la suite, la NSA se félicitant de pouvoir accéder aux « Skype stored communications », contenant entre autres les listes de contacts, les cartes de paiement utilisées, les informations sur le compte ou encore les métadonnées relatives aux appels.

Enfin, ce dernier document montre comment la situation s’est débloquée également avec SkyDrive, la NSA se félicitant du temps gagné dans les opérations de collecte par la suite. Est également mise en valeur la forte implication du FBI et son travail avec Microsoft pour aboutir à ce résultat.

Ces informations ne changent pas la perception de la relation qui peut exister entre une entreprise comme Microsoft et les agences de sécurité que sont le FBI et la NSA. Il est toujours intéressant de constater qu’il existe véritablement un travail de longue haleine et souterrain pour aboutir à une communication efficace entre les fournisseurs de données et ceux qui en ont besoin. Ces entreprises y sont tenues par la loi, mais les documents illustrent surtout l’écart entre la communication qui vise à rassurer et la réalité du renseignement.