Surveillance globale des communications

[Roseau]

Source: http://www.mediapart.fr/journal/international/140613/espionnage-electronique-briser-la-carapace-du-secret

(ouvert car payant)f

Espionnage électronique: «briser la carapace du secret»

 PAR MICHEL DE PRACONTAL

ARTICLE PUBLIÉ LE SAMEDI 15 JUIN 2013

Le FBI a lancé une enquête criminelle contre Edward Snowden, le consultant de 29 ans qui a révélé l’ampleur de la surveillance électronique mise en place par le gouvernement des États-Unis. Snowden, ancien analyste de la CIA, travaillait pour la société Booz Allen Hamilton, sous contrat avec la NSA, la National Security Agency, l’une des principales agences américaines de renseignement. Snowden a dévoilé des documents top secret qui montrent que la NSA, avec le FBI, a utilisé depuis 2007 un programme appelé Prism pour collecter massivement des données sur les serveurs des grandes compagnies du web dont Google, Facebook, Microsoft, et six autres. L’éventail des données collectées avec Prism est très large : emails, chats audio et vidéo, photos, historiques de connexion… Pratiquement, cela couvre à peu près tout ce qu’on peut faire en ligne, y compris une recherche sur Google. L’échelle de cette entreprise d’espionnage généralisé est colossale : un document de la NSA montre qu’en mars 2013, l’agence a récolté 97 milliards d’éléments d’information sur les réseaux informatiques mondiaux. En clair, les services de renseignement des États-Unis ont aujourd’hui les moyens de surveiller une part significative du trafic Internet mondial. Au nom de la lutte contre le terrorisme, mais au risque d’empiéter gravement sur les droits civiques.

Comment les citoyens peuvent-ils résister à cette dérive sécuritaire ?

La question est au coeur de la démarche de la Quadrature du net, organisation de défense des libertés sur Internet. Son porteparole, Jérémie Zimmermann, est co-auteur du dernier livre de Julian Assange, le fondateur de Wikileaks, Cypherpunks, en français Menaces sur nos libertés. Il revient, dans cet entretien, sur les conséquences des révélations de Snowden et les enjeux du combat démocratique contre les abus de la surveillance électronique. Edward Snowden explique sa démarche par son refus de « laisser le gouvernement américain détruire la vie privée, la liberté sur Internet et les libertés individuelles dans le monde avec cette machine de surveillance massive qu’ils sont en train de construire secrètement ». Que savait-on de cette surveillance ? L’alerte lancée par Snowden crée-telle une situation nouvelle ?

 
Depuis des années, on disposait d’informations qui montraient que les services américains exerçaient une surveillance massive et généralisée. La nouveauté, c’est d’en avoir la preuve irréfutable. Ceux qui ont dénoncé cette surveillance, par le passé, ont souvent été qualifiés de conspirationnistes. Cette fois, on a sous les yeux des documents de la NSA qui montrent que l’espionnage massif et généralisé des citoyens ne relève pas d’un délire complotiste, mais qu’il s’agit bien d’une pratique organisée, sous couvert de lutte anti-terroriste, par les agences de renseignement américaines. Avant Snowden, un autre lanceur d’alerte, Mark Klein, a révélé en 2006 que la compagnie de téléphone ATT avait laissé installer sur son réseau une dérivation qui permettait d’envoyer une copie de toutes les communications dans un local secret de la NSA à San Francisco. Ce cas a donné lieu à un procès intenté par l’association de droits civiques EFF (Electronic Frontier Foundation), action qui n’a pas abouti jusqu’ici. Mais il n’y avait pas de preuve directe de l’implication de la NSA, et le gouvernement a pu botter en touche. De plus, on n’avait pas de preuve irréfutable de la collaboration de l’entreprise. Avec les documents Prism, on a la preuve certaine que c’est non pas une seule, mais neuf entreprises de la Silicon Valley parmi les plus importantes qui sont impliquées, et qu’elles ont dû participer activement au programme de la NSA. Autrement dit, on n’est plus dans la théorie du complot, mais on se trouve face à une redoutable collusion entre les agences d’État et des sociétés privées, dans un mélange de genres nuisible à la démocratie. La surveillance massive est autorisée par la loi américaine.

L’un des documents divulgués par Snowden donne l’ordre chronologique, avec des dates précises depuis 2007, de l’entrée des neuf sociétés dans le programme Prism (voir ci-dessous). Mais les entreprises concernées se défendent d’avoir collaboré avec les agences. Apple, Microsoft, Yahoo et Google ont toutes nié avoir participé au programme Prism. Ces sociétés contestent formellement que le FBI et la NSA aient eu un accès direct à leurs données. Quel crédit peut-on leur accorder ?

La probabilité qu’elles n’aient pas participé est très faible. Le reconnaître ouvertement nuirait à leur crédibilité et à leur image de sociétés « cool » de la Silicon Valley. À mon sens, leurs dénégations relèvent de la communication de crise, selon la fameuse règle : « Admit nothing, deny everything, launch counteraccusations » (« n’admettez rien, niez tout, lancez des contre-accusations »). Dire qu’elles n’ont pas donné d’accès direct à leurs informations n’est pas un argument. Il est assez simple d’organiser un accès indirect par une interface spéciale, une « porte dérobée » (). La description du système Prism dans les documents qui ont été divulgués suggère fortement que pour fonctionner il nécessite la coopération active des entreprises.

Par ailleurs, l’intérêt d’une société comme Google n’est pas de s’opposer à l’État. Refuser d’accéder à une demande justifiée par la sécurité nationale expose les entreprises à des poursuites. Les agences peuvent émettre des demandes spéciales, des NSL (national security letters) qui leur permettent d’accéder quasiment à toutes les informations qu’elles souhaitent obtenir. Les lois antiterroristes promulguées après le 11 septembre 2001, le Patriot Act d’abord, puis les amendements du FISA (Foreign intelligence surveillance act, ou loi sur la surveillance et le renseignement international), ont donné de très grands pouvoirs aux agences, notamment au FBI et à la NSA. On a en quelque sorte installé l’état d’exception. Les agences se considèrent dans un état de guerre permanent, un peu comme dans le roman d’Orwell. Lorsqu’elles utilisent les NSL, les agences n’ont pas à justifier leurs demandes et l’entreprise à qui s’adresse la demande est tenue au secret. C’est une autre raison pour laquelle on ne peut pas faire confiance aux sociétés quand elles nient leur participation au programme Prism : si elles y ont participé, elles n’ont pas le droit d’en parler ! Google a d’ailleurs demandé au gouvernement de lui donner l’autorisation de publier le nombre de demandes qui lui ont été adressées pour la sécurité nationale, afin de montrer que la société n’a pas été complaisante… C’est encore de la communication de crise. De toute façon, le gouvernement n’acceptera pas. Ce qu’il faut comprendre, c’est que ces opérations se déroulent dans un cadre légal, et que ce cadre impose le secret. Les employés de Google ou de Facebook n’ont pas le droit de parler publiquement des actions qu’ils ont menées dans le cadre des NSL, ou de celles dont ils sont au courant. Dans ces conditions, comment croire le discours des entreprises ?

 
Le plus choquant, au fond, est que ces opérations de surveillance sont entièrement légales ! Elles sont en effet effectuées dans le cadre légal mis en place au nom d’une politique anti-terroriste qui n’a jamais été discutée. La loi américaine permet aujourd’hui un contrôle massif par les agences, exercé dans le secret total. Dans tous les agissements révélés par Snowden, il n’y a aucune infraction. Concernant les citoyens non-américains, le système du FISA permet aux agences de demander quasiment tout ce qu’elles veulent, sans avoir à cibler leurs demandes et sans avoir besoin d’une ordonnance de justice. En principe les citoyens des États-Unis sont mieux protégés, mais on a découvert que pendant des années, le gouvernement s’est appuyé sur une interprétation secrète du Patriot Act. Selon cette interprétation, une agence comme la NSA pouvait collecter et stocker toutes les données sur les citoyens américains à condition de ne pas les regarder… L’administration Bush, mais aussi celle d’Obama, ont mis en place un cadre légal qui garantit l’impunité des services en élargissant démesurément les pouvoirs des agences, sans aucune forme de contrôle citoyen. Obama n’a pas remis en cause ce système, il l’a conforté et renforcé. Il semble que cette spirale du secret et de la paranoïa aboutisse à une fuite en avant qui ne cesse pas si l'on n'y met pas un coup d'arrêt. Un sursaut citoyen pourrait inverser la tendance.

En même temps, le fait de voir surgir un lanceur d’alerte comme Snowden ne trahit-il pas une fragilité ? Le système n’est-il pas au bord de l’implosion ?

Le cas Snowden est révélateur. Il présente des analogies avec celui de Bradley Manning. Tous deux ont eu accès à des informations hautement confidentielles alors qu’ils n’étaient pas eux-mêmes à un degré très élevé de la hiérarchie du renseignement. Snowden était consultant extérieur et il avait accès à des documents top secret. La culture du secret conduit à devoir traiter un volume d’informations confidentielles qui augmente de manière exponentielle. Pour gérer cette masse vertigineuse d’informations secrètes, les agences publiques sont obligées de faire appel à une nuée d'organismes privés et de consultants extérieurs. Aujourd’hui, plus d’un million de personnes ont accès à des informations relevant de la sécurité nationale. Cela pose de grave questions de transparence et de responsabilité, et c'est potentiellement une source de fuites. Cette inflation du secret et de la surveillance des citoyens porte en germe une dérive anti-démocratiques. C’est pourquoi il est si important d’avoir la preuve irréfutable de l’existence de cette surveillance : cela va peut-être permettre d’ouvrir un débat public sur cette politique sécuritaire paranoïaque qui fait le jeu des terroristes et des marchands de canons. Le monde entier doit faire pression sur les États-Unis pour les pousser à faire le ménage, à reprendre le contrôle de ces agences de renseignement et à briser la carapace de secret.


Quelle est la place de l’Europe dans ce débat ?

 
Jusqu’ici, il n’y a eu que des gesticulations politiques. L’Europe pourrait jouer un rôle important, et elle pourrait être beaucoup plus offensive. Elle pourrait faire pression sur les entreprises américaines, par le biais du « safe harbour ». Schématiquement, cette disposition permet aux entreprises américaines de fonctionner en Europe sans être soumises à la totalité du droit européen, qui est plus contraignant que le droit américain pour la protection des données personnelles. L’Europe pourrait imposer aux entreprises américaines de mieux protéger les données de ses citoyens en les menaçant de supprimer le safe harbour, ce qui ouvrirait la possibilité d’attaquer Google, Facebook et les autres devant les tribunaux européens. Mais pour cela, il faudrait une position plus affirmée de l’Europe. Ce n’est pas exactement ce que l’on observe en ce moment à Bruxelles, où l’on est en train d'examiner le règlement révisant la législation sur la protection des données personnelles. Alors que le texte initial prévoyait un encadrement assez strict de l’exportation des données, parmi d'autres outils favorisant le contrôle par les citoyens, on assiste à une avalanche d’amendements visant à tout déréguler. Ils ne tombent pas du ciel, mais résultent d’un lobbying puissant : le gouvernement américain et la Silicon Valley, alliés au secteur des banques et des assurances, ont organisé un front commun contre la protection des données et leur contrôle par les citoyens. S’il y avait une Europe politique, et si elle avait une stratégie industrielle, elle saisirait l’occasion pour favoriser l’émergence d’un marché des services internet basé sur la décentralisation des données et la confiance des utilisateurs. Les services américains sont hypercentralisés, avec une masse de données colossales entre les mains d’un petit nombre d’acteurs géographiquement concentrés en Californie. La puissance de ces acteurs, leur capacité d’influence sur les politiques publiques, posent un problème démocratique. Je pense qu’il est encore possible d’inverser la tendance, s’il y a un sursaut citoyen. Il faut développer un modèle basé sur la décentralisation des services

 
Une telle inversion est-elle plausible ? La réussite de Google ou Facebook n’est-elle pas aussi due au fait qu’un grand nombre de consommateurs les plébiscitent ? Et ces consommateurs ne sont-ils pas les premiers à exposer leur vie privée sur les réseaux sociaux ?

 Internet a changé la donne, et la société n’a pas encore pris la mesure de tous les changements qui en résultent. Ce qu’apporte Internet de nouveau, c’est la capacité universelle de participation. Tout citoyen connecté peut accéder mais aussi publier. De ce fait, nous avons désormais tous la possibilité d’avoir une vie publique, ce n’est plus le privilège des personnalités politiques, des journalistes vedettes de la télévision et des stars du spectacle. Cette universalité de la vie publique a des conséquences sociales. Or, le modèle économique de sociétés comme Facebook s’appuie sur le brouillage des limites entre vie privée et vie publique. Ces entreprises tendent à aggraver la confusion. Cela touche en particulier les adolescents qui sont à une étape de leur vie où ils testent des limites, cherchent à s'affirmer et sont plus vulnérables. Il faut donc apprendre à protéger sa vie privée sur Internet. Ce n’est pas une cause perdue. Mais on risque d’avoir une génération sacrifiée. Une étude américaine a montré qu’un jeune sur dix s’était vu refuser un emploi à cause de son profil sur un réseau. social (photo compromettante, mauvaise blague, etc.). Mais quand on a eu un accident grave de données, on apprend à faire plus attention. Comprendre les technologies, aujourd’hui, devient aussi vital que savoir lire, écrire ou compter. Il faut que les citoyens reprennent le contrôle sur leurs données personnelles, et pour cela ils doivent comprendre les conséquences des techniques et de l’architecture des réseaux. Les réseaux sociaux actuels ont une architecture très centralisée qui pousse à concentrer toutes les données. Une alternative consisterait à développer des services décentralisés et à chiffrer ses données (c'est-à-dire les protéger par les mathématiques pour ne les rendre compréhensibles que par des destinataires choisis). Et ce pourrait être aussi l’objet d’une stratégie industrielle et d’un nouveau modèle développé par l’Europe, puisque les États-Unis sont partis dans la direction opposée.


Mais les grands acteurs du net ne vont pas spontanément se retirer du jeu. Ne faut-il pas renforcer le contrôle légal sur ces grandes sociétés, les contraindre à mieux protéger les données personnelles, avant de chercher à inventer un nouveau modèle ?

Les deux sont nécessaires. Il serait absurde de vouloir concurrencer Facebook et Google sur leur terrain, étant donné l’avance qu’ils ont prise. Mais de ce côté-ci de l’Atlantique, on peut développer une autre politique industrielle, qui épouse des principes de conception respectueux des données. Cela repose sur des services décentralisés, utilisant des logiciels libres, et des communications basées sur le chiffrement point à point. Dans un tel modèle, le respect de la vie privée et le contrôle de la technologie par les utilisateurs sont inscrits dans la conception des systèmes. L’idée est de mettre en oeuvre des principes architecturaux qui prémunissent contre la concentration excessive des pouvoirs, ce qui implique une prise de conscience et une reprise en main de la technologie par les citoyens.

 

[gérard menvussa]

euh... Peut être la mise en page est-elle légèrement illisible. J'dis ça, j'dis rien...

[Roseau]

Très long... mais j'ai refait la mise en page.

[sylvestre]

L'agence des services secrets britannique Government Communications Headquarters (GCHQ) aurait utilisé "des capacités révolutionnaires de renseignement" pour contrôler les communications des personnalités qui ont participé à ces deux réunions, selon des documents dont a eu connaissance le quotidien the Guardian. 
Ces documents suggèrent que les services de renseignement ont installé des cafés internet où ils pouvaient intercepter des communications et surveiller les messages email et les appels téléphoniques passés par les appareils BlackBerry des délégués.

En savoir plus sur http://www.lexpress.fr/actualite/monde/londres-aurait-espionne-les-delegues-du-g20_1258112.html#zyhc2ibO1FqzBLRJ.99 

[sylvestre]

Comment marche le logiciel de surveillance de la NSA

[Contenu sponsorisé]