Contenu

PRISM : questions et réponses pour bien comprendre [Màj]

La controverse gronde depuis quelques jours, Barack Obama et son administration sont accusés d’espionner les relevés téléphoniques et d’avoir accès aux serveurs informatiques de grandes sociétés actives sur Internet comme Google, Facebook, Apple et Microsoft. Il semblerait qu’on tienne la confirmation de ce qu’on soupçonnait depuis longtemps. Cette affaire fait resurgir le spectre des lois antiterroristes qui ont suivi le 11 septembre et qui ont servi de justificatif pour surveiller les citoyens américains (au moins). Le Patriot Act apparait en tête de liste. Essayons donc d’y voir plus clair.

Concernant les relevés téléphoniques

De quoi parle-t-on ?

Le quotidien anglais The Guardian a mis la main sur une décision “secrète” qui démontre que la National Security Agency (NSA) a obtenu des relevés quotidiens très détaillés de tous les appels nationaux et internationaux des clients de l’opérateur américain Verizon depuis le mois d’avril au moins. Cette décision ordonnerait à Verizon de continuer à fournir ces informations jusqu’au 19 juillet au moins.

De quelle instance parle-t-on ?

L’instance qui a rendu la décision est la Foreign Intelligence Surveillance Court (FISC) à Washington D.C., une entité spécialement créée pour surveiller les demandes d’accès du gouvernement à des données, les demandes d’accès étant faites au moyen du Foreign Intelligence Surveillance Act (FISA).

FISA, c’est quoi ?

FISA est une loi américaine de 1978 et amendée en 2008. À l’origine, elle a été conçue pour donner aux agences de renseignements des moyens pour surveiller des individus dans des pays étrangers qui étaient considérés comme des ennemis des États-Unis. Depuis sa récente modification, elle offre un champ d’application plus grand encore : les agences de renseignement peuvent surveiller (et notamment mettre sur écoute) à l’intérieur comme à l’extérieur des frontières des individus constituant un risque pour le pays. Cependant, la NSA n’est pas autorisée à surveiller des citoyens américains.

Quelle est la disposition de FISA permettant cette surveillance ?

C’est sur la base de la section 215 de FISA que la décision a été rendue. Cette section permet de demander une décision de la FISC afin d’obtenir n’importe quelle information tangible (“any tangible things”) sur un individu selon les critères ci-dessus. Cependant, il semblerait que l’administration américaine ait dépassé, à tout le moins étendu, les limites du champ d’application de FISA… comme le craignaient les organisations de défense de la vie privée et des droits civils. En effet, il faut des “motifs raisonnables” de croire que les données vont servir l’antiterrorisme. Et c’est cette liberté d’appréciation qui poserait problème.

Pourquoi la NSA collecte ces données ?

La rengaine habituelle : lutter contre le terrorisme en gardant une trace des communications de terroristes supposés ou connus. Le gouvernement assure d’ailleurs que des contrôles stricts sont appliqués, notamment en regard de la protection de la vie privée et concernant les modalités d’accès aux données et le type de données collecté. Le gouvernement s’étonne aussi de toute cette ronflante polémique, car il n’a fait qu’agir selon la loi et selon les décisions de la FISC. De plus, la NSA doit obtenir une autorisation supplémentaire si elle veut exploiter toutes ces données.

De quelles données parle-t-on ?

Verizon doit fournir les données concernant les appels téléphoniques, à savoir le numéro de l’appelant et de l’appelé, l’heure et la durée de l’appel, les données de localisation, les numéros de la carte SIM de l’appelant, les numéros IMEI et encore d’autres identifiants uniques du terminal utilisé. Le contenu des conversations et les informations sur le nom et la résidence du client Verizon ne sont pas dévoilés par l’opérateur. 250 millions de clients seraient concernés.

/images/prism-slide-2.jpg

Pourquoi s’inquiéter si les noms et adresses des clients et le contenu de leurs conversations ne sont pas collectés ?

D’abord, ce n’est pas parce que ces données ne sont pas transmises que la NSA ne peut pas les obtenir d’une autre manière (légale ou pas). Ensuite, ce genre de collecte est assimilable à une pêche au filet à l’échelle du pays : énormément d’informations sont collectées de manière générale sur tous les clients de l’opérateur, soit des millions de personnes, sans distinction particulière. Enfin, les données collectées par la NSA vont lui permettre de créer un profil détaillé de chaque client Verizon, et d’associer ces données avec d’autres qu’elle aurait déjà en sa possession. Le data mining potentiel est monstrueux.

Depuis combien de temps ?

Selon les informations, des décisions judiciaires similaires auraient été rendues depuis 2007 au moins. Ces décisions sont renouvelées tous les trois mois.

Verizon est-il le seul opérateur concerné ?

C’est très peu probable. La décision publiée par The Guardian ne concerne que Verizon, mais on peut raisonnablement supposer que d’autres grands opérateurs ont reçu des décisions similaires. Selon le Wall Street Journal, il semblerait que Sprint et AT&T soient aussi concernés.

Ces données ont-elles au moins été utiles ?

On n’en sait rien. Le gouvernement insiste sur la nécessité stratégique d’avoir un tel historique.

Concernant la surveillance d’Internet

De quoi parle-t-on ?

Le Washington Post est entré en possession d’un document (dont l’authenticité ne fait pas de doute, selon le quotidien) qui démontre que le Federal Bureau of Investigation (FBI) et la NSA ont un accès direct aux données stockées sur les serveurs de grandes sociétés informatiques comme Apple, Facebook, Google et Microsoft. Les deux agences gardent donc des traces des communications et actions d’individus représentant une menace pour les États-Unis, ou pouvant le devenir. Le nom de code de cette opération est PRISM et elle serait active depuis six ans environ. Tout internaute étranger utilisant les services de ces sociétés (quelle que soit la localisation des serveurs hébergeant les données) est potentiellement concerné.

/images/prism-slide-1.jpg

Est-ce une gigantesque collecte de données ?

Apparemment pas. Il s’agirait plutôt de l’octroi par les sociétés concernées d’un accès ouvert aux agences sur requête et dans le cadre d’une investigation. Cependant, les documents du Washington Post évoquent un accès direct aux serveurs des sociétés. Il semble aussi peu probable que des portes dérobées (backdoors) aient été ouvertes et maintenues à l’insu de ces sociétés dont les services évoluent et sont mis à jour régulièrement. Au contraire, des sources parlent d’accès négociés avec ces sociétés, grâce à des moyens de pression…

Quelles sont les données concernées ?

Le FBI et la NSA auraient notamment accédé à des données audio et vidéo (VoIP, visioconférences, etc.), des e-mails, des discussions instantanées, des photos, des documents et des journaux de connexions (logs). PRISM permettrait à des analystes du FBI de la section Data Intercept Technology Unit et au groupe Special Source Operations de la NSA de chercher et inspecter des éléments particuliers en fonction de leurs intérêts directement dans les flux de données des sociétés participant à PRISM. Les données seraient donc collectées directement depuis les serveurs des sociétés.

/images/prism-slide-4.jpg

La NSA n’étant pas autorisée à enquêter sur des citoyens américains, des procédures sont mises en oeuvre pour empêcher que les contenus des citoyens américains soient inclus dans la surveillance, mais selon les documents obtenus par le Washington Post, ces procédures ne seraient pas strictement appliquées. Les agences ne collectent sans doute pas toutes les données transitant sur les serveurs des sociétés, mais PRISM permettrait à des agents de chercher un contenu et de le retirer des serveurs.

De quelles sociétés parle-t-on ?

Microsoft, Google, Yahoo!, Facebook, PalTalk, Youtube, Skype, AOL et Apple sont les neuf sociétés citées. Les unes après les autres, elles démentent participer à cette opération dont elles n’auraient jamais entendu parler. Elles jurent se conformer à la loi.

/images/prism-slide-5.jpg

Quel est le but de cette collecte de données ?

Encore et toujours la lutte contre le terrorisme.

Quelle est la base légale applicable ?

La section 702 de FISA, conçue pour aider l’obtention d’informations concernant des individus non américains se trouvant hors du territoire américain. Comme pour les relevés téléphoniques, une décision de la FISC est nécessaire pour procéder à l’acquisition des données. Que les citoyens américains se rassurent, l’obtention autorisée d’informations ne peut pas viser intentionnellement une personne américaine ou se trouvant aux États-Unis au moment de la collecte. Cela signifie donc que des informations sur des citoyens européens et suisses peuvent être collectées ou l’ont déjà été.

Suis-je concerné(e) ?

En admettant que, pour une raison X ou Y, vous discutez du Djihad ou d’Al-Qaïda (ou d’autres sujets “sensibles”) sur Facebook ou dans un e-mail échangé via Gmail. Même de manière innocente, ou pour rigoler. En fonction de certains mots clés, des données vont être récoltées à votre sujet, traitées par les agences américaines, puis éventuellement transmises au gouvernement de votre pays (car les États-Unis ne peuvent pas agir directement contre vous si vous n’êtes pas sur leur territoire), au nom de la coopération internationale en matière de lutte contre le terrorisme.

L’Union européenne était-elle au courant ?

Oui. Une étude avait même été réalisée en fin d’année dernière sur la protection des données dans le cloud. Déjà on estimait que le danger ne viendrait pas du Patriot Act, mais de FISA. FISA ayant été reconduite pour cinq ans à fin 2012, l’UE savait que tous les étrangers se trouvant hors du territoire des États-Unis seraient susceptibles d’être surveillés, en particulier via les clouds des fournisseurs de services américains comme Google, Apple, Facebook…

Le plus amusant, c’est que suite aux révélations de ces derniers jours, la vice-présidente de la Commission des affaires juridiques du Parlement européen a interpellé la Commission européenne au sujet de PRISM. Bien que sa démarche soit un peu tardive et paraisse politiquement opportuniste, elle est néanmoins utile et permettra peut-être de légiférer en Europe dans le domaine, afin de mieux protéger les citoyens. Elle pose trois questions à la Commission européenne :

  1. La Commission confirme-t-elle l’existence de telles pratiques ? En était-elle informée ?
  2. Qu’a prévu de faire la Commission face à la toute-puissance du Foreign Intelligence Surveillance Amendment Act (FISAA), afin de protéger la vie privée des ressortissants de l’Union européenne, en particulier sur le cloud ?
  3. Quels organismes dans l’Union européenne disposent de dérogations similaires à la législation européenne sur la protection des données personnelles ?

Commentaire

Tous les médias parlent de ces révélations comme un scandale sans précédent. Si c’est effectivement préoccupant, que personne ne vienne me dire qu’on ne s’en doutait pas. Les États-Unis sont en guerre et tentent de se protéger, quoi de plus normal, nous ferions pareils (avec nos moyens qui sont évidemment moins colossaux). De plus, ils agissent dans le cadre – certes extensibles – de lois votées par le Congrès. Ces lois sont publiées et connues depuis des années. L’ampleur du phénomène est peut-être ahurissante, mais qui cela étonne-t-il ?

Alors bien sûr, ce n’est pas une raison pour rester les bras croisés. Plusieurs moyens existent pour limiter la collecte des données, voici les deux principaux :

  1. Le plus difficile à faire sera sans doute de ne plus utiliser de services Internet gérés par des sociétés américaines. Dites au revoir à Google, Facebook, Twitter, iCloud, Android, LinkedIn, Dropbox… Pour les entreprises, mais aussi pour les particuliers, évitez de stocker vos données sur des clouds américains.
  2. Utiliser des services ou logiciels comme Tor qui, utilisés correctement, permettent de rendre anonyme une grande partie de vos actions sur Internet.

Au fait, saviez-vous qu’une loi américaine, le Electronic Communications Privacy Act, permet au gouvernement américain ou à ses agences d’accéder sans mandat à vos e-mails si ceux-ci sont stockés depuis plus de 180 jours sous forme électronique sur des serveurs d’une société américaine ? Maintenant, oui.

[Mise à jour du 9 juin 2013] Le Washington Post a supprimé de la version en ligne de son article l’affirmation selon laquelle les sociétés participaient “en toute connaissance de cause” à PRISM. Pour sa part, le New York Times doute que PRISM permette à la NSA d’accéder directement aux serveurs des sociétés. Celles-ci affirment toujours ne participer à aucun programme secret du gouvernement américain et ignorer tout de PRISM.