Comment l’affaire a-t-elle éclaté ?
6 juin 2013. Le quotidien britannique The Guardian lance une bombe, la première d’une longue série : d’après des documents que son journaliste Glenn Greenwald a pu consulter, la NSA, la gargantuesque agence de renseignement américaine -35 000 employés, 10 milliards de dollars de budget annuel- enregistrerait les données d’appels de millions d’abonnés américains de l’opérateur Verizon. Le lendemain, dans les colonnes du Washington Post, c’est un scandale d’une toute autre ampleur qui est dévoilé, sur la base des mêmes documents. Par le biais d’un programme « top secret » baptisé Prism, la NSA et son équivalent britannique, le GCHQ, auraient accès aux données des utilisateurs stockées sur les serveurs des plus grandes entreprises mondiales de high-tech, comme Google, Microsoft, Facebook ou Apple. Et quelques jours plus tard, on apprendra aussi l’existence de Xkeyscore, un outil d’espionnage du web encore plus effrayant…
Depuis un an, ces révélations, publiées grâce à des documents subtilisés par Edward Snowden, se sont multipliées. Les dossiers confidentiels récupérés par l’ancien cadre de la NSA –il y aurait en tout 50 000 fichiers !- ont mis au jour une surveillance globale, implacable d’Internet, organisée depuis les Etats-Unis. Et ont montré qu’il est fort probable que certaines de vos informations personnelles dorment quelque part, dans un des coffres forts numériques de ce Big Brother américain… Qui jure ses grands dieux qu’il en fait un usage raisonnable. Difficile à croire.
Le programme d’écoutes américain, c’est quoi ?
Il est multiple, tentaculaire. Et Prism, qui a lancé l’affaire des écoutes, n’en est qu’une composante, peut-être pas la plus importante du lot. Prism est un système informatique secret doublé d’un moteur de recherche qui permet aux agents de la NSA d’aller aisément consulter des données utilisateurs stockées sur les serveurs de grandes compagnies high-tech. Ces dernières, Apple, Facebook et Google en tête, ont toutes affirmé à grands renforts de communiqués de presse qu’elles n’avaient jamais entendu parler de ce programme… Mais ont rappelé qu’elles se devaient de transmettre, sur demande légale, des données aux agences gouvernementales américaines. D’après le grand patron du renseignement américain, James R. Clapper, Prism n’est en réalité qu’un « explorateur de fichiers » qui ne contiendrait que des données récupérées « légalement » chez les géants du web.
Rassurant ? Pas vraiment : au-delà de Prism, les documents fournis par Snowden ont en effet dévoilé des programmes bien plus inquiétants encore. Le premier, XKeyscore, est même, selon un Powerpoint servant à la formation des agents de la NSA, le plus important outil de surveillance des réseaux mis en place outre-Atlantique. « Xkeyscore couvre à peu près tout ce que fait un utilisateur typique sur Internet » indique notamment le document récupéré par Greenwald. L’outil permet notamment de connaître le contenu de ses mails, les sites qu’il visite, y compris quand ils sont cryptés ou quand il utilise un réseau privé virtuel. Et propose des options extrêmement pointues, comme aller fouiller dans les discussions Facebook d’un utilisateur entre deux dates, de lister tous les francophones utlisant le web au Pakistan ou encore de suivre en temps réel les recherches Google effectuées par un internaute. Le tout, cette fois, sans aucun prérequis légal.
Ce ne sont que deux exemples parmi bien d’autres, qui pourraient faire scandale à leur tour bientôt. Le New York Times, qui a également eu accès à certains fichiers de Snowden, a par exemple révélé l’existence de la base DishFire, sur laquelle la NSA a stocké des années de messages SMS, provenant de partout dans le monde… Et celle de sa base Tracfin, où sont enregistrées des dizaines de millions de paiements par carte bancaire.
D’autres révélations, chiffrées, ont montré l’ampleur incroyable de cette collecte généralisée : du 8 février au 8 mars 2013, l’agence a collecté pas mois de… 221 milliards de renseignements en provenance d’internet et des réseaux téléphoniques !
Existe-t-il un programme français analogue ?
Oui, même si les informations sur le projet sont très peu nombreuses, faute de documents publics similaires à ceux livrés par Snowden. Cependant, Le Monde a révélé l’année dernière l’existence d’un programme de surveillance massif des communications mis en place par la DGSE (Direction Générale de la Sécurité Extérieure). Sans entrer dans les détails, le quotidien précisait toutefois que « la totalité de nos communications sont espionnées : l’ensemble des mails, des SMS, des relevés d’appels téléphoniques, des accès à Facebook, Twitter, sont ensuite stockés pendant des années. » Des informations capturées qui serviraient non seulement au renseignement extérieur, mais aussi à la DCRI ou aux douanes…
Contrairement à celui de la NSA, le système mis en place en France n’enregistrerait pas le contenu des messages, seulement leurs métadonnées, comme par exemple le destinataire d’un e-mail, l’heure et la date d’envoi etc. C’est bien moins compliqué à stocker (voir ci-dessous) et c’est largement suffisant pour établir un journal détaillé recensant l’activité de chaque internaute, mais aussi une cartographie précise des relations entre individus…
Pourquoi sommes-nous tous concernés ?
Parce que personne, surtout pas les français, n’échappe à cette surveillance massive et quotidienne… Notre pays, bien qu’allié des Etats-Unis, fait en effet aussi partie des cibles de choix de la surveillance électronique de l’Oncle Sam. Un autre document fourni par Snowden montre que la NSA a par exemple procédé à 70,3 millions d’enregistrements de données téléphoniques en France… en moins d’un mois, du 10 décembre 2012 au 8 janvier 2013 !
Le Monde a également révélé que la NSA s’était durant tout le mois de janvier dernier intéressée de près au domaine Wanadoo.fr, encore largement utilisé comme compte mail de nombreux internautes français. Pour quelles raisons ? Mystère. Tout comme son attachement au domaine alcatel-lucent.com, l’équipementier télécom basé à Paris. Cela démontre cependant que l’agence œuvre non seulement pour le contre-terrorisme, mais aussi pour d’autres pratiques bien moins avouables… Comme l’espionnage industriel, même si les autorités américaines s’en défendent.
Quel est le rôle des géants des high-tech dans cette affaire ?
L’affaire Prism a eu du bon : elle a forcé certaines entreprises américaines high-tech à s’exprimer sur la question de la surveillance. Leur position est complexe : obligées par la loi de fournir à l’agence des données sur leurs utilisateurs, elles craignent par ailleurs que ce « partenariat » avec la NSA provoque une défiance de leurs clients et qu’il nuise gravement à leurs affaires. D’autant qu’elles étaient, jusqu’à une période récente, contraintes au secret le plus total. Depuis le scandale Prism, la loi a été quelque peu assouplie. Ce qui a notamment permis à Apple, Facebook et Google de publier leurs premiers « rapports de transparence », qui détaillent l’ensemble des requêtes gouvernementales d’accès à des données utilisateurs.
Le problème, c’est que d’après les dernières révélations des documents Snowden, les géants du web sont eux aussi… Espionnés en douce, sans qu’ils le sachent. Ce qui a notamment fait sortir de ses gonds Brandon Downey, ingénieur sécurité chez Google : « J’emmerde ces types ! » n’a-t-il pas hésité à publier sur son blog, en parlant de la NSA. La raison de son courroux ? Le projet MUSCULAR, opéré de concert avec le GCHQ britannique, qui permettrait à la NSA d’accéder à des centaines de millions de contenus stockés dans les serveurs de Google ou encore de Yahoo… Sans en demander la permission, cette fois, aux entreprises concernées. « C’est outrageant » a quant à lui commenté Eric Schmidt, patron de Google pour le Wall Street Journal. «Nous ne sommes pas d’accord avec ce que souhaite faire cette organisation pour poursuivre sa mission et potentiellement violer la vie privée des gens. » a-t-il précisé.
Mais malgré la contestation de ces grands patrons –Mark Zuckerberg a lui aussi vivement critiqué les méthodes de la NSA, jusqu’à appeler le président Obama pour lui en toucher deux mots- rien n’a pour le moment bougé : la réforme de la NSA, étudiée actuellement au Sénat américain, n’a tellement pas convaincu la Silicon Valley que l’ensemble des PDG des plus grandes entreprises américaines ont cosigné une lettre (ci-dessus) exhortant le Sénat a amender la loi de façon à mettre un terme à la surveillance, aux Etats-Unis et à l’étranger. Ce n’est pas gagné.
Comment les données sont-elles collectées ?
La NSA pratique deux types de collectes. La première, que l’on appelle « downstream » (en aval) consiste tout simplement à demander les données utilisateur aux entreprises qui les détiennent. Outre la dizaine de multinationales impliquée dans Prism, la NSA entretient bien d’autres « partenariats » secrets, notamment avec l’ensemble de opérateurs téléphoniques américains…
Mais c’est surtout la seconde méthode, baptisée « Upstream » (en amont) qui est effrayante. Comme dans un bon film d’espionnage, il s’agit ici de se brancher directement sur les plus gros « tuyaux » d’Internet –les câbles internationaux de fibre optique notamment- afin de récupérer les informations qui circulent sur la Toile « à la source ». C’est grâce à l’upstream que la NSA peut stocker tous les jours une quantité titanesque de données. Dans un Powerpoint publié par le Washington Post, on apprend que le groupe « Special Source Operations », qui gère pour l’agence la surveillance massive des câbles, se targue de fournir 61 % des renseignements que le président américain se voit livrer quotidiennement !
Pour se brancher, la NSA coopère aussi avec des entreprises américaines ou étrangères, ainsi que d’autres agences de renseignement, dont sa cousine britannique GCHQ. Le cas du programme MUSCULAR, capable d’extraire en douce des données des serveurs de Google et de Yahoo, est particulièrement éloquent. Afin de parvenir à ses fins, le GCHQ a installé, quelque part au Royaume-Uni, un système qui lui permet de s’infiltrer dans le réseau privé de Google… Un « intranet » pourtant particulièrement sécurisé, qui relie les énormes data center de la firme –distant de milliers de kilomètres- entre eux.
La NSA et le GCHQ ont aussi recours à des techniques de pirates, lorsqu’ils souhaitent parvenir à leurs fins. Pour accéder à des données mobiles des clients de Belgacom –notamment opérateur officiel de l’Union Européenne-, les espions anglais et américains ont pris pour cible des ingénieurs réseau de l’entreprise, en leur « poussant » de fausses pages web vérolées, qui imitaient des sites qu’ils avaient l’habitude de consulter, comme LinkedIn. Avec cette technique, baptisée Quantum Insert, ils ont pu prendre le contrôle de leur machine, infiltrer le réseau interne de Belgacom et espionner ensuite un routeur sur lequel se connectent les abonnés qui passent des coups de fil !
Ou les données sont-elles stockées ?
Maryland, Texas, Georgie, Hawai… La NSA a tissé sa toile dans de nombreux états américains. Et ne cesse de construire de nouveaux superordinateurs et centres de données, indispensables pour analyser et stocker la quantité phénoménale de données que ses systèmes d’espionnage ingurgitent tous les jours.
Son plus grand projet se trouve dans la banlieue de Salt Lake City, à Bluffdale, dans l’Utah. Dans ce coin un peu perdu, c’est tout simplement le plus gros data center du monde que l’agence américaine a mis en route. Un site qui a coûté pas moins de 2 milliards de dollars. Etendu sur une dizaine d’hectares, le bâtiment va d’abord servir à l’enregistrement massif de données. Nul ne connait vraiment la capacité de stockage de ce monstre, mais Wired évoque le yottaoctet, soit… mille milliard de téraoctets ! De quoi enregistrer plusieurs fois l’Internet entier. Le centre de Bluffdale aura aussi une fonction de décodage : doté d’un supercalculateur, il devrait être capable de casser la totalité des protocoles de cryptages.
Est-ce que tout ça est légal ?
Au début de l’affaire Prism, la NSA s’est défendue en indiquant qu’elle agissait dans le strict respect de la loi américaine, qui lui a conféré des pouvoirs largement étendus depuis quelques années, notamment depuis le Patriot Act, voté après le 11 septembre 2001. Une position quasi-impossible à défendre. Dès le début de l’affaire, Snowden s’était étonné qu’à l’époque où il travaillait pour la NSA il « pouvait mettre qui il désirait sur écoute : vous, votre comptable, un juge fédéral ou même le président, à partir du moment ou il disposait de son adresse e-mail personnelle. » Ce qui est évidemment complètement illégal. Les pontes de l’agence ont vivement démenti… Mais une cour américaine a statué il y a quelques mois que la NSA avait outrepassé à de nombreuses reprises ses prérogatives. Une loi visant à encadrer les pratiques de la NSA et à alléger la surveillance, le USA Freedom Act, est en discussion aux Etats-Unis. Mais elle est d’ores et déjà discréditée, car largement insuffisante.
De ce côté-ci de l’Atlantique, deux juristes auteurs d’une étude sur les écoutes américaines mais aussi européennes ont statué qu’elles allaient clairement à l’encontre de la charte des droits fondamentaux de l’Union européenne. « Nous assistons là à une violation systématique des droits fondamentaux des gens » a notamment indiqué Sergio Carrera, l’un des auteurs de l’étude, cité par The Guardian. Ils urgent les gouvernements d’agir contre ces pratiques. Mais pour l’instant, c’est loin d’être le cas. Il est pourtant urgent d’agir.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.