L’internaute, précieuse source d’informations de la NSA

De nouveaux documents émanant d’Edward Snowden montrent pour la première fois comment sont gérées par la NSA les données appartenant aux internautes, citoyens américains y compris. L’agence américaine semble se reposer sur une compréhension volontiers élastique du terme « étranger » quand il s’agit de collecter les données en masse.

Des données personnelles pour la première fois dans les documents de Snowden 

Dans la nuit de samedi à dimanche, le Washington Post, qui a déjà publié de nombreux articles basés sur les documents dérobés par Edward Snowden à la NSA, est revenu avec de nouvelles informations. Elles se concentrent cette fois sur la manière dont l’agence traite les informations liées à des citoyens américains, censés être bien plus protégés dans leur vie privée que le reste du monde. Rappelons que la loi FISA (Foreign Intelligence Surveillance Act) autorise expressément les agences de renseignement à procéder à des collectes de masse si les données appartiennent à des étrangers et sont stockées sur des serveurs américains.

Normalement, la NSA dispose de procédures de minimisation au terme desquelles les données des citoyens américains sont extirpées des informations ou masquées. Mais de nouveaux documents montrent que cette opération peut se faire « par dessus la jambe », la NSA passant cette étape parfois très rapidement. Pour la première fois, on constate également que les documents de Snowden contiennent des données personnelles qui fournissent des éléments concrets sur la manière dont elles sont traitées.

Un lot représentatif de 160 000 emails 

C’est ainsi que les informations contenaient pas moins de 160 000 emails et 7 900 documents issus de plus de 11 000 comptes en ligne de différents services. Toutes ces données proviennent de la collecte de masse à travers les programmes Prism et Upstream, entre 2009 et 2012. Ce n’est évidemment qu’une goutte d’eau dans l’océan d’informations que récupère la NSA, mais les emails en particulier fournissent de précieux renseignements.

Comme l’explique en effet le Washington Post, environ 65 000 emails contiennent des références masquées d’utilisateurs américains. Ces derniers peuvent être nommés directement dans le contenu de l’email ou d’un document, soit leur adresse est affichée en clair. Dans tous les cas, les analystes de la NSA ont pour instruction de gommer ces références, mais il existe plusieurs moyens de le faire. Ils peuvent ainsi la supprimer purement et simplement. Ils peuvent également modifier le nom pour laisser une simple référence descriptive.

Selon le Post, cette « minimisation » intervient pour toute personne morale ou physique. Un internaute américain est donc pleinement concerné, au même titre qu’une entreprise, une université et ainsi de suite. Cependant, le descriptif utilisé parfois est selon le journal de nature à clairement identifier une personne. Par exemple, « Barack Obama » devient « président américain » : le nom disparaît mais la description ne laisse aucun doute sur l’identité de la personne. Parfois même, les noms et les adresses emails ne sont pas masqués du tout (900 ont été trouvées par le Post).

Les citoyens américains pris dans les filets de la NSA à cause de leurs contacts 

Mais puisque les citoyens américains ne sont pas censés être pris dans les mailles des filets géants de la NSA, pourquoi ces données sont-elles présentes dans les bases de l’agence ? Parce que les programmes Prism et Upstream collectent massivement les données sans opérer de véritables tris. La NSA se retrouve donc avec des quantités titanesques d’informations agrégées qui doivent ensuite être séparées pour garder la matière intéressante. En outre, on sait de manière plus précise que lorsqu’une cible est marquée par la NSA, ses communications et ses relations sont analysées de manière poussée, en se focalisant d’abord sur ses contacts directs, puis les contacts des contacts, et ainsi de suite. De cette manière, des internautes américains peuvent ainsi être pris dans la nasse.

Selon les documents obtenus par le Washington Post, la NSA estime que cette collecte fonctionne et qu’elle arrive à récupérer des informations importantes sur ses cibles, via ses contacts plus ou moins lointains : renseignements sur des programmes nucléaires secrets, mouvements militaires, identités de certains pirates, ou encore allié jouant double-jeu font partie des résultats obtenus. De fait, le nombre d'internautes classiques dont les données sont aspirées est très largement supérieur au nombre de cibles intéressant réellement la NSA. Et si ces informations sont clairement pertinentes dans le cadre de la protection d’un pays, d’autres informations beaucoup plus privées sont également extraites par l'agence.

La NSA enregistre bien des informations très personnelles 

Les documents ne cachent en effet pas le fait qu’elle peut entrer en possession d’informations très sensibles telles que « les relations amoureuses et ruptures, liaisons sexuelles extraconjugales, crises de maladies mentales, conversations politiques et religieuses, anxiétés financières et espoirs déçus ». En clair, la NSA est capable de prendre globalement le pouls du pays et les grandes lignes de ce que le peuple a en tête, et cette situation est probablement généralisable à l’ensemble des autres nations.

La question de l’exploitation réelle de ce type d’information n’a cependant pas de réponse claire. Les documents semblent indiquer que la récupération de ces informations est dans certains cas impossible. On se souviendra à ce sujet que la NSA rencontre régulièrement ce type de difficulté, notamment dans les lots de données qui sont envoyés en Israël dans le cadre d’un accord d’échanges d’informations de renseignement : l’agence pointait alors vers une incapacité à séparer certaines données du reste, notamment tout ce qui touchait aux citoyens américains. Il était donc demandé à l’agence israélienne de faire comme si elle ne « voyait rien ».

Les analystes ont une réelle marge d'interprétation 

Mais pourquoi de tels conglomérats de données que rien ne semble pouvoir séparer ? Parce que tout dépend de la situation qui est à la base de la collecte. Une cible peut par exemple entrer dans une pièce et parler avec l’ensemble des personnes. Toutes ces informations vont constituer un lit unique dont les détails ne pourront pas être extirpés. Dans tous les cas, chaque analyste semble disposer d’une réelle liberté dans l’interprétation des situations et dans ce qui lui semble intéressant de récupérer ou, au contraire, de supprimer. Des règles existent toutefois pour limiter la quantité d’informations personnelles. Ainsi, si le téléphone d’une cible est utilisé par son conjoint ou son enfant, l’enregistrement doit être coupé.

Cette élasticité se retrouve également sur un point crucial. Comme on l’a vu, l’arsenal de la NSA sert essentiellement pour traquer des cibles étrangères. Et justement, ce qui définit un « étranger » est laissé aux bons soins des analystes. Ces derniers doivent avoir une « certitude raisonnable » que la cible est bien d’un autre pays et il suffit parfois d’un rien pour qu’elle soit qualifiée ainsi. Les documents du Washington Post indiquent en effet qu’une analyste a pu continuer à suivre sa cible « étrangère » sur la seule base d’un échange d’emails rédigés dans une autre langue que l’anglais. Autre exemple : tous les contacts de messagerie d’un étranger sont eux-mêmes étrangers. Des raccourcis qui permettent à l’agence de continuer à travailler sans entrave.

Ce qui renvoie directement aux promesses récemment faites par Eric Holder, ministre américain de la Justice. Lors d’une conférence à Athènes, et pour verser une eau bienvenue sur des cendres vives, il a indiqué que les utilisateurs européens seraient protégés par les mêmes lois que les Américains, en particulier le Privacy Act. Privacy International avait alors appelé à la prudence en précisant que la mesure n’était pas encore votée, et que le Privacy Act comportait de nombreuses faiblesses. Au vu des informations rapportées par le Post, il est évident que la porosité des règles permet aux analystes de poursuivre à peu près toute personne leur semblant digne d’intérêt.