Bataille d'informations autour de l'outil de surveillance "Prism"
Potentiellement, ce sont les données de l'ensemble des utilisateurs mondiaux d'AOL, Apple, Facebook, Google (et YouTube), Microsoft (et Skype), PalTank et Yahoo qui sont concernées.
Le programme américain de surveillance des internautes étrangers, Prism, reste un mystère à bien des égards. Son fonctionnement exact est le sujet de déclarations contradictoires, depuis sa révélation, vendredi 7 juin, par le Washington Post. D'abord compris comme un accès direct de la National Security Agency (NSA) et du Federal Bureau of Investigation (FBI) aux serveurs de neuf géants d'Internet, le système a par la suite été décrit comme un moyen de centraliser les informations collectées par les services de renseignement américains à l'étranger. "Le fonctionnement de Prism et son architecture restent des questions ouvertes", écrivait encore lundi le site spécialisé The Register.
Les documents du Washington Post, du Guardian et du New York Times pointent neuf entreprises : AOL, Apple, Facebook, Google (et Youtube), Microsoft (et Skype), Paltank et Yahoo!. Toutes ont démenti participer à un programme nommé "Prism" ou avoir installé des "portes dérobées" permettant un accès direct par la NSA. Une première version d'un article du Washington Post évoquant une collaboration "volontaire" de ces entreprises a lui été amendé.
PAS DE COLLABORATION DE TWITTER
Le programme Prism dépend de la section 702 du Foreign Intelligence Surveillance Act (FISA), qui permet la collecte d'informations sur des personnes habitant en dehors des Etats-Unis par les services de renseignement. Dans ce cadre, les différentes collectes sont contrôlées par une cour dédiée. Le secret entourant ces délibérations est d'ailleurs la cible de requêtes de l'association de défense des libertés Electronic Frontier Foundation. Dans un article publié vendredi, le New York Times décrit une collaboration entre les autorités américaines et les entreprises pour faciliter la collecte des informations permises par la loi FISA : 1 856 requêtes auraient été formulées en 2012, soit 6 % de plus en un an.
Les neuf entreprises citées auraient ouvert des négociations avec des officiels de la sécurité nationale américaine pour trouver des moyens de partager efficacement des informations, selon des personnes proches des négociations au New York Times. Les discussions se seraient poursuivies ces derniers mois, notamment avec Intel. Selon des documents du Guardian, ces informations incluent les courriels, les fichiers hébergés (par exemple sur Google Drive), les photos, le contenu des communications (texte, audio, vidéo) ou encore des actions précises, comme la connexion au compte utilisateur.
Dans au moins deux cas, Google et Facebook, a été évoquée la possibilité de créer une pièce sécurisée où les entreprises déposeraient les informations souhaitées et dont seul le gouvernement aurait la clé. Cet emplacement numérique sécurisé pourrait être hébergé par l'entreprise elle-même. Facebook aurait accepté de placer un tel système. Prudentes, les entreprises indiquent officiellement s'en tenir à la loi, en ne fournissant les données que si la demande est justifiée et légale. Les données ne seraient ni envoyées automatiquement, ni par lot.
DES DOCUMENTS DÉCLASSIFIÉS
The Week détaille pour sa part le fonctionnement de la collecte des données par la NSA. "Prism", dont le nom de code serait "US-984XN", est intégré à un enchevêtrement volontairement complexe de missions de collecte, d'outils d'analyse de données, de sources et de lieux de stockage. Chaque nom peut couvrir tout ou partie de ces éléments, une base de données d'informations pouvant par exemple servir à plusieurs outils ou missions.
Le gouvernement a lui réagi en déclassifiant des documents, samedi, et en affirmant que "Prism" n'est pas "un ensemble secret de programmes d'analyse de données". "Pourtant, d'importantes mésinterprétations sont venues de récents articles. Toutes les erreurs ne peuvent être corrigées sans révéler d'autres informations classifiées", attaque James Clapper, directeur des services de renseignement, sans plus de détails.
"C'est un système informatique interne au gouvernement, utilisé pour faciliter la collecte autorisée statutairement d'informations des renseignements étrangers à partir de fournisseurs de services électroniques sous supervision judiciaire, comme autorisé par la section 702 du Foreign Intelligence Surveillance Act", affirme le gouvernement dans sa fiche. La collecte doit répondre à certains impératifs, comme la prévention du terrorisme, des cyberactivités hostiles ou la prolifération nucléaire, selon le gouvernement.
La personne visée doit également "être raisonnablement considérée comme vivant hors des Etats-Unis", selon les autorités. S'il est estimé qu'il y a 51 % de chances qu'une personne est à l'étranger, ses communications peuvent être collectées pour Prism, expliquait vendredi le Wall Street Journal. Si la collecte est sujette à une validation de la cour destinée au contrôle de ces surveillances, les raisons avancées ne sont pas obligatoirement vérifiées.
The Guardian a pour sa part révélé d'autres informations, dimanche, notamment "Boundless Informant", un outil permettant aux renseignements américains de connaître le niveau de surveillance appliqué à chaque pays. 97 milliards d'informations auraient ainsi été collectées en mars 2013, dont 3 milliards aux Etats-Unis.
Qui la NSA peut-elle traquer ? A peu près tout le monde !
Qui est concerné par le réseau d'espionnage mise en place par le gouvernement américain ? Pour répondre à cette question, voici un tour d'horizon des individus que la NSA est en droit – ou non – de traquer via ses différents réseaux de surveillance.
.
Depuis la publication par le Guardian et le Washington Post la semaine dernière des révélations d'Edward Snowden sur l'existence d'un réseau d'espionnage mondial baptisé PRISM et piloté par la NSA (National Security Agency) aux Etats-Unis, le monde entier se sent observé. Si PRISM est loin d'être le premier réseau du genre, il va toutefois beaucoup plus loin que ses prédécesseurs en rendant possible la surveillance d'un individu n'importe où sur le globe, pourvu qu'il utilise des services de géants du Net tels que ceux de Facebook, Google, Microsoft, Yahoo ou encore Apple. A une exception près : le citoyen américain, sur son territoire, en serait exclu. Vraiment ? Passage en revue des profils d'individus que la NSA est susceptible de pister, au regard des législations en vigueur aux Etats-Unis et ailleurs sur le globe.
Vous êtes citoyen américain sur le sol américain
En théorie, vous êtes protégé par le 4ème Amendement, pare-feu constitutionnel contre les perquisitions non motivées. La surveillance domestique faisant partie des prérogatives du FBI, la NSA doit s’assurer qu’au moins un des deux interlocuteurs qu’elle écoute est situé hors des Etats-Unis. C’est ce que prévoit le Foreign Intelligence Surveillance Act (FISA), une loi qui autorise l’écoute de toute télécommunication émise depuis les Etats-Unis vers l’étranger ou vice-versa. Dans les faits, c’est un peu plus flou que ça : en 2005, deux journalistes du New York Times, James Risen et Eric Lichtblau, ont révélé l’existence du programme Stellar Wind, ce qui leur a valu un prix Pulitzer et des poursuites judiciaires. Le principe de ce “vent stellaire” ? Permettre aux grandes oreilles de la NSA de mettre sur écoute des citoyens américains “à la maison”, au nom d’un “Special Collection Program” bien flou.
Dès 2002, George W. Bush a voulu créer des exceptions à la loi, qu’il jugeait peu adaptée à un climat de guerre (contre le terrorisme). Et le système perdure encore aujourd’hui : rebaptisé RAGTIME, le dispositif se découpe en quatre segments (dénudés dans Deep State, un récent ouvrage de Marc Ambinder et D.B. Grady). RAGTIME-A se concentre sur les interceptions à l’étranger ; RAGTIME-B s’intéresse aux données des gouvernements étrangers qui transitent dans les câbles américains ; RAGTIME-C se focalise sur la contre-prolifération ; Quant à RAGTIME-P (avec le P de Patriot Act), il est tout dédié à la surveillance sur le territoire américain.
Et ce n’est pas tout : depuis quelques années déjà, les opérateurs téléphoniques et les FAI locaux collaborent avec la NSA. En 2003, Mark Klein, un ingénieur de AT&T, découvre la “Room 641A”, une petite pièce servant à intercepter les appels effectués via l’opérateur. Trois ans plus tard, l’Electronic Frontier Foundation tentera de poursuivre AT&T devant la justice. En vain. Leur class action se heurtera à l’octroi d’une immunité rétroactive. La semaine dernière, juste avant la révélation de PRISM, c’était au tour de Verizon, autre poids-lourds des télécoms, de se faire poisser - par le Guardian, déjà. L’administration Obama l’aurait autorisé, au nom du FISA. Comment ? Amendé en 2008, le texte autorise désormais la surveillance domestique au nom de la lutte contre Al-Qaida. Et ne cherchez pas à en savoir plus : la NSA refuse catégoriquement de révéler si elle a espionné des citoyens américains... car elle violerait leur vie privée en le faisant.
Vous êtes citoyen américain à l'étranger
Pour un pays qui n’hésite plus à éliminer ses ressortissants à l’étranger (l’imam Anwar el-Awlaki, abattu par un drone au Yémen en 2011), les surveiller relèverait presque de la routine. L’amendement du FISA (qui a récémment été prolongé jusqu’en 2017) a introduit de nouvelles procédures pour surveiller les Américains hors des frontières. Sont notamment visés tous ceux qui joueraient – directement ou indirectement – les espions pour le compte d’un autre pays, les terroristes en puissance, les individus qui usurpent leur identité au nom d’une puissance tierce, et tous ceux qui aideraient financièrement les trois catégories précédentes. Et les services de renseignement ont les coudées franches : ils n’ont pas besoin de mandat individuel et peuvent tendre l’oreille avant même que la Foreign Intelligence Surveillance Court, l’administration secrète chargée de mettre en oeuvre le FISA, ne donne son accord. Qui est quasiment toujours acquis. En 33 ans, sur 33 900 demandes, elle n’en a rejeté que 11, soit le pourcentage famélique de 0,03%.
Vous êtes étranger, sur le sol américain
D’abord, évitez de souscrire à un abonnement chez Verizon pour un téléphone portable, sauf si votre souhait le plus cher est d’être mis sur écoute. Comme le montrent les révélations du Guardian la semaine dernière (avant même celle de PRISM), la NSA, sur ordre de l’administration Obama, a en effet collecté depuis depuis le 25 avril nombre d'informations sur les conversations et les échanges des utilisateurs – suspects ou non – sur le réseau de l’opérateur américain. Et continue sans doute de le faire aujourd’hui, malgré ce scandale. Si l’on peut penser que d’autres opérateurs US sont – ou seront – mis au pas également, mieux vaut éviter quand même Verizon en priorité. Surtout s’il vous prend l’envie de faire des blagues sur le terrorisme, la Maison Blanche voire Barack Obama.
En revanche, si vous êtes utilisateurs de Facebook, Skype, Yahoo, ou qu’il vous arrive, à tout hasard, d’utiliser Google, vous n’êtes a priori pas susceptible d’être surveillé par PRISM, en vertu de la section 702 du FISA qui régit la surveillance électronique et physique de puissance étrangères depuis 1978 et protège, entre autres, les étrangers sur le sol américain. «[FISA] est destiné à faciliter l’obtention de renseignements concernant les individus non-américains hors des Etats-Unis. Il ne peut en aucun cas être utilisé pour espionner les citoyens américains résidant dans le pays, ni les américains expatriés, ni un quelconque individu [étranger] vivant sur le sol américain. », a ainsi déclaré le 6 juin James R. Clapper, directeur du Renseignement national américain, dans un communiqué.
Une disposition légale rassurante, mais dont on ne peut s’empêcher de penser qu’elle soit l’objet d’entorses, le cas échéant. Dans les faits, une surveillance d'un étranger sur le sol américain n’est possible que dans le cadre d’un mandat judiciaire, si un individu est soupçonné d’appartenir à al-Qaïda par exemple. Mais quand on sait qu’un agent de la NSA est autorisé à lancer une traque électronique ou physique dès lors qu’il s’estime sûr à 51% que l’individu qu’il suit est étranger, on imagine que, parfois, il doit pouvoir se passer d’un mandat pour opérer. Un conseil donc : si vous êtes ressortissant d'un pays ennemi des USA, évitez d’annoncer sur Skype à votre femme que vous venez d’acheter une nouvelle cocotte-minute .
Vous êtes étranger, hors du territoire américain
A priori, que vous soyez suspect ou non, vous êtes le cœur de cible de FISA et du réseau PRISM. Ce qui, si l’on soustrait les 316 millions d’Américains au 7 milliards d’humains, constitue un sacré nombre de cibles, et autant – voire beaucoup plus – de données personnelles dont disposent la NSA et le FBI sur vous, nous, et en somme tout le reste du monde. Si vous êtes européen, aucune législation digne de PRISM n’est susceptible d’empêcher réellement des entreprises américaines telles que Google ou Microsoft de rapatrier des infos personnelles vous concernant sur leurs serveurs aux Etats-Unis. Et donc, de tomber dans ceux de la NSA. Cette procédure pourrait d’ailleurs être rendue légale aux Etats-Unis par le Cispa, un texte très controversé voté en avril dernier par la Chambre des représentants (mais pas encore adopté par le Sénat), qui autorise le transfert de données personnelles entre les entreprises et le gouvernement américain, au nom de la cybersécurité. En Europe, les entreprises américaines sont toutefois tenues de respecter depuis 1998 le « Safe Harbor » (Sphère de sécurité), un accord entre le Département du Commerce des États-Unis et la Commission européenne qui leur intiment de certifier qu’elles respectent la législation européenne en matière de respect de la vie privée, avant de transférer des infos personnelles vers leurs serveurs. Une certification dont le seul garant est… elles-mêmes. Autant dire que si la NSA décide de traquer quelqu'un, elle y parvient sans peine.
Pourquoi la NSA espionne tout le monde ?
http://bugbrother.blog.lemonde.fr/2013/06/30/pourquoi-la-nsa-espionne-aussi-votre-papa-oupas/
Les révélations d'Edward Snowden, le "lanceur d'alerte" américain, sur l'ampleur des opérations d'espionnage et de surveillance des télécommunications de la National Security Agency (NSA), ont incité de nombreux journalistes à me demander si cela pouvait aussi concerner des Français.
En l'espèce, votre papa, votre maman, vos grands-parents, vos enfants, collègues, amis, tous ceux avec qui vous êtes en contact peuvent effectivement être espionnés, ou l'ont peut-être même déjà été. L'explication figure noir sur blanc dans un rapport top secret de l'inspecteur général de la NSA révélé par le Guardian.
Contrairement aux écoutes téléphoniques classiques, ce qui intéresse la NSA, ce n'est pas tant le contenu des télécommunications que leur contenant, ce que l'on appelle des méta-données : qui communique avec qui, quand, d'où, au sujet de quoi, en utilisant quels logiciels, passerelles, fournisseurs d'accès, adresses IP, etc (voir à ce sujet l'excellent et très pédago guide du Guardian, ou encore comment les méta-données d'une photographie a permis de géolocaliser puis d'arrêter John McAfee).
L'objectif est en effet de constituer un "graphe social" des personnes et organisations ciblées ("targeted") par la NSA, la CIA et le FBI, en demandant à ses analystes d'effectuer ce qu'elle qualifie de "contact chaining" :
« En général, ils analysent les réseaux situés à deux degrés de séparation de la cible. »
Autrement dit, la NSA espionne aussi ceux qui communiquent avec ceux qui communiquent avec ceux qui sont espionnés (exemple). La seule limite imposée aux analystes de la NSA est d'"estimer sûr à 51% que l’individu qu’il suit est étranger"... Sont donc espionnables une bonne partie des Américains, et la totalité des non-Américains (cf Qui la NSA peut-elle traquer ? A peu près tout le monde !).
Ce qui, en ces temps de Big Data, de fouille sociale de données et (donc) de police prédictive, n'est pas sans inquiéter (voir, à ce sujet, la traduction française du texte de Bruce Schneier : "Ce que nous ne savons pas sur l’espionnage des citoyens est plus effrayant que ce que nous savons").
Moins de 6 degrés de séparation
En 1929, le Hongrois Frigyes Karinthy émettait l'hypothèse qu'il n'existerait que six degrés de séparation entre tous les êtres humains.
En 1967, le psychologue américain Stanley Milgram avait démontré dans son étude du petit monde la validité de cette théorie en demandant à 296 volontaires d'envoyer une carte postale à un agent de change de Boston qu'ils ne connaissaient pas.
En 2011, une étude portant sur les utilisateurs de Facebook révélait que ses utilisateurs ne sont séparés, en moyenne, que de 4,74 degrés -soit moins de 4 personnes. Sur Twitter, il ne serait que de 4,67 degrés.
L'homme qui a vu l'homme qui a vu l’ours
Votre papa, votre maman, vos grands-parents, vos enfants, collègues, amis n'ont peut-être "rien à se reprocher". Mais ils connaissent très probablement quelqu'un qui connaît quelqu'un qui a été en contact avec Mohamed Merah -ou l'un des 126 terroristes arrêtés en France depuis 2012-, ou encore avec l'un des nombreux employés de l'Union européenne (puisque La NSA espionnait aussi l'Union européenne).
D'ordinaire, on tend à considérer que l'homme qui a vu l'homme qui a vu l’ours n'est guère crédible, et que son histoire ne peut que relever du ragot, des ouïe-dires, voire de la rumeur. Pour les services de renseignement, c'est différent. Comme l'expliquait récemment Daniel Martin, l'ancien responsable informatique de la DST, leur objectif est de "tout savoir sur tout, tout le temps", au nom de la "règle des 7T".
Le métier des services de renseignement est d'être prudent, voire suspicieux. Le problème, c'est que depuis le 11 septembre 2001, les espions américains sont devenus paranoïaques, au point de vouloir surveiller tout le monde ou presque, comme si nous étions tous des suspects potentiels. En 2001, des chercheurs d'AT&T avaient ainsi théorisé la notion de "culpabilité par association" pour décrire leurs façons d'identifier les n° de téléphone de ceux qui étaient en contact avec les n° de téléphone en contact avec les véritables suspects...
A l'époque, j'avais participé à la "Journée de brouillage d'Echelon en codant un petit générateur d'emails subversifs afin de moquer cette façon qu'a la NSA de considérer comme "suspecte" toute personne évoquant des mots-clefs ciblés par les grandes oreilles américaines :
Même anonymisées, les méta-données vous trahissent
Le problème, comme l'expliquait Julian Sanchez, du Cato Institute, au Guardian, c'est que les méta-données de vos télécommunications, qui ne sont pas considérées comme relevant de votre vie privée par les autorités américaines, révèlent énormément de choses sur vous :
« Les appels téléphoniques que vous faites peuvent révèler beaucoup de choses, mais à mesure que nos vies sont de plus en plus médiatisées par l'Internet, nos traces IP dressent comme une carte en temps réel de votre cerveau : ce que vous lisez, ce qui vous intéresse, les publicités ciblées auxquelles vous répondez, les discussions auxquelles vous participez...
Surveiller les traces que vous laissez sur l'Internet -d'autant plus en les exploitant au moyen d'outils d'analyse très sophistiqués- est une façon de rentrer dans votre tête qui est à bien des égards comparable au fait de lire votre journal intime. »
"Il est temps de parler des métadonnées", écrivaient récemment plusieurs chercheurs qui ont récemment démontré que, même anonymisées, "il suffisait de 4 informations de localisation dans le temps et l’espace (c’est-à-dire connaître 4 antennes d’où un utilisateur s’est connecté pour téléphoner ainsi que la date est l’heure, données qui sont par essence compilées dans les métadonnées de nos appels téléphoniques) pour identifier précisément 95 % des utilisateurs et que 2 informations suffisent à les identifier à 50%".
La DGSE est en « 1ère division »
Les révélations d'Edward Snowden ne sont pas si nouvelles que cela. En 2009, j'écrivais ainsi que la NSA a accès à toutes les communications des Américains (et surtout celles des journalistes), sachant que l'on savait déjà, depuis la fin des années 90, que la NSA surveillait les télécommunications des non-américains avec son système Echelon.
L'exploitation des méta-données ? Les services de renseignement français le font aussi, mais avec moins de moyens, à une plus petite échelle, même si la France dispose de nombreuses stations d'interception des télécommunications (cf Frenchelon: la carte des stations espion du renseignement français).
En 2010, le directeur technique de la DGSE expliquait ainsi qu'en matière d'espionnage des télécommunications, la DGSE est en « 1ère division » et que, à l'instar de la NSA, "le contenant devient plus intéressant que le contenu" :
« Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s'intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau. »
Pour autant, cela ne veut pas dire que les services de renseignement français espionnent autant de télécommunications que ne le font les services anglo-saxons : Edward Snowden a ainsi révélé que le GCHQ, l'équivalent britannique de la NSA, était capable de traiter 600 millions d'évènements téléphoniques... par jour, ce qui a même eu le don d'énerver certains pontes du renseignement britanniques, qui estiment que cela va trop loin.
En attendant, ni votre papa, ni votre maman ni personne d'autre d'ailleurs ne pourra plus dire que puisqu'elle n'a rien à se reprocher, elle n'a rien à cacher (voir aussi ma lettre ouverte à ceux qui n'ont rien à cacher).
Ce scandale arrive au pire moment qui soit pour les relations américano-européennes. Les autorités américaines déploient en effet depuis quelques mois la plus vaste campagne de lobbying qu'aient jamais vues les institutions européennes. L'Union a en effet décidé d'adopter un règlement sur la protection des données personnelles qui vise précisément à protéger nos données, ce qui déplaît au plus haut point aux Américains, pour qui ces données sont une mine d'or commerciale (voir Du droit à violer la vie privée des internautes au foyer).
La veille des premières révélations d'Edward Snowden, l'UE décidait de repousser les négociations portant sur ce projet de règlement. Elles ne pourront plus se tenir comme avant. Il y aura probablement un avant et un après Snowden, tout comme il y eut un avant et un après Watergate, avec la création de commissions d'enquêtes visant à mieux contrôler les services de renseignement US.
En tout état de cause, si vous ne voulez pas que vos données sensibles puissent être espionnées par qui que ce soit (sachant qu'au moins 7 pays européens auraient des accords avec la NSA), je vous renvoie au mode d'emploi que j'avais écrit il y a quelques mois : Comment (ne pas) être (cyber)espionné ?
From : le Monde,L'actu Médias / Net (Jean-Baptiste Roch et Olivier Tesquet ),Blog Bugbrother,.....