PRISM : comment la NSA surveille le monde

PRISM : comment la NSA surveille le monde !

Jeudi soir, le Guardian et le Washington Post révélaient que la National Security Agency (NSA), une des principales agences fédérales américaines de renseignement, fouille directement dans les e-mails, documents, photos, vidéos et autres données privées gérées par Facebook, Google, Microsoft, Yahoo, PalTalk, AOL, Skype, YouTube et Apple via un programme de surveillance appelé Prism.

PRISM : seule la surface a été grattée

Il y a maintenant plus d’une semaine, le Guardian et le Washington Post ont enflammé la sphère médiatique avec les révélations autour du programme PRISM. Initié par la NSA et basé sur des lois qui l’y autorisent, il permet l’inspection des données étrangères dès qu’elles transitent par les serveurs américains. Un programme qui tient sa force du concours obligatoire de larges firmes telles que Microsoft, Apple, Google, Yahoo, Facebook ou encore Twitter.

Ces informations ont été fournies par Edward Snowden,  un ex-technicien de la CIA et employé d’une entreprise militaire, Booz Allen Hamilton. Réfugié à Hong-Kong, il distille ses découvertes au fur et à mesure. Il y a quelques jours, il révélait ainsi que la NSA s’était introduite dans les routeurs chinois, ce lui avait permis d’espionner des centaines de milliers d’ordinateurs, sans avoir besoin de les pirater.

Sous la pression, la NSA révèle quelques documents

Les agences de renseignement sont désormais sous pression. Il leur est notamment demandé par le Congrès américain de donner des preuves de l’efficacité de PRISM. C’est dans ce contexte qu’a été déclassé un nouveau document, qui a justement été transmis au Congrès. Bien que le document ne soit pas encore public, il doit l’être prochainement. En attendant, CNN et Associated Press ont pu l’obtenir et se livrer à une analyse.

Le document, transmis samedi, indique que la surveillance opérée par la NSA a permis de bloquer des menaces terroristes potentielles contre les États-Unis et vingt autres pays. Et cette défense, effective donc, se serait faite sans violer la vie privée des Américains. En fait, moins de 300 numéros de téléphone auraient été examinés dans la masse des millions collectés via le concours des opérateurs, comme l’affaire Verizon l’a révélé récemment.

Les deux programmes de la NSA, aussi bien PRISM que la surveillance des réseaux téléphoniques, ne fonctionnent pas en roue libre, toujours selon le même document. Ils sont examinés tous les 90 jours par le tribunal secret créé par la loi FISA (Foreign Intelligence Surveillance Act). En outre, les métadonnées extraites de ces programmes ne peuvent être inspectées que dans le cadre précis de « connexions suspectes avec le terrorisme ». C’est du moins la présentation officielle, qui contredit directement les propos de Snowden selon lesquels le personnel de ces programmes peut accéder à n’importe quelle information, sans contrôle.

Évidemment, la défense du programme PRISM et de la surveillance téléphonique était prévisible. Le gouvernement Obama a déjà tenté de calmer le jeu en expliquant non seulement que des attentats avaient pu être déjoués, mais que ces programmes étaient légaux. Une déclaration qui rappelle la problématique de l’œuf et de la poule, puisque lesdites lois ont été créées dans cette optique précisément.

Les entreprises américaines tentent d’ouvrir les vannes de la communication

Comme on l’avait vu avec la lettre ouverte de Google, les entreprises américaines concernées par le programme PRISM font tout pour communiquer davantage. Piégées entre leur obligation légale et la gronde des utilisateurs, elles souhaitent expliquer leur absence de choix, mais surtout afficher plus de transparence sur les demandes qui leur sont faites. Ce qui, techniquement, est impossible à cause d’un silence imposé : non seulement il n’est pas question d’indiquer l’objet de la demande, mais parler de la demande elle-même peut se révéler illégal.

Les rapports de transparence publiés par les uns et les autres sont donc la plupart du temps nébuleux. Cela n’empêche toutefois pas quelques petites avancées. Dans un nouveau rapport publié vendredi soir, Facebook indique avoir obtenu le droit de donner des indications un peu plus précises. Ainsi, durant le semestre qui s’est terminé le 31 décembre 2012, l’entreprise indique avoir fait face à un nombre de requêtes compris entre 9 000 et 10 000, pour un total de 18 000 à 19 000 comptes concernés. Les demandes étaient un mélange de requêtes FISA et de NSL (voir notre article à ce sujet), sans plus de détails. Facebook indique tout de même que ces requêtes avaient des périmètres très variés : un sheriff enquêtant sur une disparition d’enfant, un Marshall traquant un fugitif, la police enquêtant sur une agression ou un agent de la sécurité nationale creusant une menace terroriste.

Pratiquement en même temps que Facebook, Microsoft a posté son propre rapport de transparence. On sait ainsi qu’entre 6 000 et 7 000 requêtes ont été formulées, pour un total de 31 000 à 32 000 comptes utilisateurs. Microsoft prend soin toutefois de préciser les limites imposées par la loi : les requêtes sont amalgamées et ne permettent donc pas de connaître le ratio NSL/ordres FISA, la période couverte ne peut excéder six mois et les résultats ne peuvent être présentés que par milliers. Ce dernier point était cependant déjà connu. La firme précise enfin que jamais la moindre requête n’a été formulée contre l’ensemble des clients américains, comme ce fut le cas pour Verizon.

Côté Apple, on réitère l’affirmation : jamais le mot « PRISM » n’avait été entendu jusqu’à ce que les médias en parlent. Ce qui n’interdit évidemment pas de répondre aux requêtes quand celles-ci sont envoyées. C’est ainsi que 4 000 à 5 000 d’entre elles ont été recensées, pour un total de 9 000 à 10 000 comptes utilisateurs ou appareils. Ces requêtes ont concerné surtout des disparitions d’enfants, la recherche d’un patient atteint de la maladie d’Alzheimer, des enquêtes sur des vols ou des crimes ou encore la prévention d’un suicide. Apple précise cependant qu’il existe des catégories d’informations qui ne sont pas transmises aux services de renseignement, car la firme « a fait le choix de ne pas les enregistrer. Par exemple, les conversations qui prennent place sur iMessage et FaceTime sont protégées par un chiffrement de bout en bout qui ne permet une lecture que par l’expéditeur et le destinataire ».

Dans tous les cas, toutes les entreprises restent sur la ligne de défense qu’aucun accès direct n’est jamais réalisé par la NSA ou une autre agence dans les serveurs de l’entreprise.

Sources : PC Inpact