Cibles stratégiques de la NSA : tous les moyens sont bons

Promis, juré, craché. 25
En bref
image dediée
Crédits : EFF (licence CC-BY 3.0)
Securité
Vincent Hermann

De nouveaux documents dévoilés par le Washington Post permettent de mieux comprendre comment la NSA opère sa surveillance sur des cibles étrangères. Les protections et les alliances en place ne sont pas toujours prises en compte : quand une cible intéresse l’agence de sécurité, tous les moyens sont bons.

nsa surveillance
Crédits : nolifebeforecoffee (licence: CC by SA 2.0)

Même la Section 702 de la loi FISA n'est plus une base solide 

Depuis que les révélations d’Edward Snowden ont explosé il y a plus d’un an maintenant, l’un des points centraux concernant la collecte des informations est la Section 702 de la loi FISA (Foreign Intelligence Surveillance Act), dans sa version amendée en 2008. Elle autorise explicitement les agences de sécurité à collecter les données des étrangers si elles se trouvent sur des serveurs situés physiquement sur le sol des États-Unis, et que les internautes soient dans d’autres pays.

Mais selon un article publié hier dans le Washington Post, la situation est bien loin d’être aussi simple. Des documents datant de 2010 montrent en effet que la NSA en particulier dispose de pouvoirs à géométrie variable, lui permettant de s’adapter et de faire face à de nombreuses situations, notamment via le contournement des règles. Par exemple, les lois américaines sont très claires en ce qui concerne les citoyens américains : ils ne peuvent faire l’objet d’une collecte automatique et toute aspiration de données doit faire l’objet d’un mandat. Dans la pratique, la situation est bien plus floue.

Cibles stratégiques : tous les moyens sont bons 

Le Washington Post indique en effet que la NSA dispose d’une certification spéciale lui permettant d’établir une liste de cibles ainsi que les moyens pour parvenir à récupérer des informations les concernant. Des dizaines de pays sont concernés, ainsi que des organisations importantes telles que la Banque mondiale, le FMI ou encore l’Union européenne. Mais ce sont les moyens d’accès aux informations qui sont les plus marquants.

L’exemple donné par le journal est particulièrement représentatif. Considérons que la NSA s’intéresse de près à l’Allemagne, à cause d’une importante négociation sur un traité commercial international (l’exemple n’est certainement pas dû au hasard). La certification de la NSA lui permettrait de prélever des renseignements chez un professeur suisse en possession d’informations sur ce sujet. Si un professeur américain communique avec son collègue suisse, il se retrouve alors lui aussi pris dans la boucle.

Ni les citoyens américains, ni les Five Eyes ne sont à l'abris 

Or, ceux qui ont suivi l’actualité entourant la NSA savent que normalement, l’agence ne procède pas à la collecte d’un citoyen américain, à moins qu’il ne soit lui-même au centre d’une enquête. Quand des données sont récupérées de manière automatique, elles doivent être exfiltrées aussi rapidement que possibles par les analystes. Les données agrégées, quand elles doivent être fournies à d’autres agences nationales, dans le cadre d’accords d’échanges, doivent ainsi ne plus contenir ce type d’informations, ou les masquer. On connait cependant au moins un exemple prouvant le contraire : l’accord entre les États-Unis et Israël

Mais les documents du Washington Post sont importants pour deux raisons très distinctes. Premièrement, ils montrent que les citoyens américains peuvent tout à fait faire l’objet d’une collecte automatisée s’ils sont en contact avec des « cibles d’intérêt ». Deuxièmement, la certification de la NSA est une fêlure dans l’accord de non-surveillance des Five Eyes, comprenant les quatre alliés des États-Unis dans ce domaine : le Canada, le Royaume-Uni, la Nouvelle-Zélande et l’Australie. Car même des citoyens de ces pays peuvent se retrouver pris dans la nasse.

Une immense toile d'araignée numérique 

Face à la situation, la NSA s’est montrée relativement évasive. La porte-parole Vanee Vines a ainsi indiqué que l’agence ne pouvait cibler que des étrangers dont elle pense « raisonnablement » qu’ils sont situés hors des frontières américaines. Mais le message est faussé dans la mesure où Vines n’aborde que les personnes ciblées. Or, la problématique touche ici les personnes étant en contact plus ou moins lointain avec les cibles proprement dites.

En fait, la situation rappelle directement les niveaux de profondeur des requêtes appliquées sur les bases de données par les analystes de la NSA. Cette immense toile permet de faire vibrer de nombreux fils dès lors qu’une cible y « remue ». Le niveau N représente ainsi cette dernière, tandis que le niveau N+1 concerne toutes les personnes ayant été directement en contact avec la cible. L’exemple fourni par le Washington Post est un cas de niveau N+2 : la cible, ses contacts directs, ainsi que les contacts de ces derniers sont tous pris dans les filets. Chaque fois que le niveau augmente, le nombre potentiel de personnes concernées grimpe de manière exponentielle.

Les sujets de polémiques ouverts par ces documents sont en conséquence nombreux. D’une part, une remise en cause du pouvoir de la FISC (Foreign Intelligence Surveillance Court), le tribunal secret validant certains pouvoirs de la NSA. D’anciens responsables de la surveillance ont en effet indiqué au Washington Post qu’elle était étroitement surveillée par l’exécutif américain et que sa marge de manœuvre était très mince. D’autre part, et encore une fois, la vie privée des étrangers n’est clairement pas au centre des préoccupations de l’agence. Enfin, celle des citoyens américains, ce qui risque de provoquer de plus amples réactions outre-Atlantique.

On rappellera également qu’Eric Holder, ministre américain de la Justice, a récemment déclaré que les citoyens de l’Union européenne bénéficieraient des mêmes protections de la vie privée que les Américains. À la lumière de ces informations, cependant, une telle barrière serait inefficace pour les personnes en contact, de près comme de loin, avec une cible jugée d’intérêt par la NSA. Une liste de cibles validée par la FISC, et donc plus ou moins directement par l’exécutif américain. Un point souligné d’ailleurs par Jameel Jaffer, responsable juridique de l’ACLU (American Civil Liberties Union) : « Ces documents montrent à la fois la portée des activités de surveillance du gouvernement et le rôle extrêmement modeste que le tribunal joue dans leur supervision ».


chargement
Chargement des commentaires...