Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

DATA Wars

De la guerre des étoiles au cloud computing, derniers rebondissements dans le monde joyeux de l’espionnage domestique !
Quand la NSA espionne les internautes du monde entier…

[MàJ : StopWatching.us Mozilla propose une pétition à adresser au Congrès des USA. Petit rappel : Mozilla est le seul éditeur de navigateur à ne pas être dans la liste de la NSA. Il est vrai que Google, Apple et Microsoft sont également éditeurs de contenus. Une précision qui nous rappelle les risques de l’indistinction dans cette industrie : dans quelles mesures l’outil de navigation proposé par un éditeur n’est-il pas au service de la promotion des contenus fourni par le même éditeur (ou ses partenaires) ? Mais c’est un autre débat…

[MàJ : Info ou intox ? L’idée d’un fake est évidemment présente à l’esprit de nombreux commentateurs. Le fait que les journalistes aient pu se faire intoxiquer avec un faux PowerPoint est toujours possible (une version plus trendy sur slideshare). Les responsables des entreprises incriminées dénient catégoriquement la connaissance et leur participation au programme PRISM ou aux injonctions fédérales : Zuckerberg l’a même affirmé sur son Facebook. Affaire à suivre…]

[MàJ 2: Info ou intox ? La fuite proviendrait d’un ancien technicien de la CIA, Edward Snowden, qui a accepté de dévoiler son identité au Guardian pour attester de la véracité du projet PRISM.
Du coup, il est temps de se demander comment PRISM fonctionne réellement : si les allégations de Zuckerberg et al. sont fondées, comment les gars de la NSA font pour pirater Facebook ou Google ? Il y a quand même quelques cerveaux dans ses boîtes : soit certains employés sont des espions, soit les espions sont plus forts que les ingénieurs de la Silicon Valley. Maintenant, quand on sait que la NSA audite les serveurs de Google pour des questions de sécurité (successifs à l’opération Aurora), on peut bien se douter qu’ils y laissent quelques mouchards au passage. Quand on se souvient en plus que c’est Google qui en avait fait la demande, on se dit qu’on est vraiment entouré par des crétins…
Plus sérieusement, les firmes incriminées ne peuvent que nier leur partenariat (forcé) avec PRISM : comme le signale Eric Dénécé, c’est parce qu’elles sont pieds et poings liés : on voit Snowden, et donc finalement le gouvernement des Etats-Unis, reconnaître qu’ils ont forcé la main, d’une certaine manière, à toutes ces entreprises pour qu’elles coopèrent. Mais vu qu’il y avait des accords secret-défense avec ces entreprises, si celles-ci reconnaissent qu’elles ont coopéré avec le gouvernement américain, elles transgressent les accords contractuels signés, et sont donc passibles de poursuites en justice. On ne verra donc pas, à mon sens, l’une des entreprises incriminées par Snowden reconnaître objectivement qu’elle a participé à ce programme d’écoute nationale. Non pas parce qu’elles ne veulent pas le faire, mais tout simplement parce qu’elles prennent un risque juridique si elles le font.

En attendant d’en savoir plus, on peut toujours imaginer le joli blockbuster qu’on va nous sortir pour l’été 2014 !!

Edward Snowden and PRISM

Edward Snowden and PRISM

Rappel des épisodes précédents

Episode 1 : Verizon

Jeudi 6 Juin 2013 : The Guardian dévoile que l’opérateur de téléphonie US a reçu l’ordre, par un juge fédéral, de fournir ses données de télécommunication à la NSA (article du Guardianinjonction du juge). Les données concernent aussi bien les échanges entre citoyens américains (121 millions d’abonnés) et à destination/en provenance de l’étranger : n° de tél., n°IMEI, localisation, heure et durée de l’appel (mais pas le contenu verbal). Cette autorisation a été délivrée par la Foreign Intelligence Surveillance Court, (FISA) pour une durée de 3 mois (jusqu’au 19 juillet), et dans le cadre de l’USA PATRIOT Act (FISA a été amendé récemment, avec une capacité de collecte étendue : toutes les instances étaient informées, y compris en Europe. Caspar Bowden en avait parlé en janvier 2013).

Les journalistes ne savent pas si d’autres opérateurs ont été sommés de la même manière. Ils signalent toutefois que deux élus démocrates (membres de la commission sénatoriale sur le renseignement) ont tenté de dévoiler publiquement cette affaire, en reliant ce programme de data-mining à ce qu’avait initié Bush Jr. à son époque.

Diane Feinstein, la présidente de la commission sénatoriale déclare d’ailleurs que ce programme – avec Verizon – dure depuis 7 ans.

Feinstein said she believed the order had been in place for some time. She said: « As far as I know this is the exact three-month renewal of what has been the case for the past seven years. This renewal is carried out by the [foreign intelligence surveillance] court under the business records section of the Patriot Act. Therefore it is lawful. It has been briefed to Congress. »

Un porte-parole de la Maison-Blanche signale la même chose mais, rajoute-t-il, il n’y a pas lieu de s’offenser : le programme ne collecte que les métadonnées ! Pour les juristes du cabinet Hogan&Lowell, la FISA ne s’intéresse d’ailleurs qu’aux terroristes et aux espions.

Episode 2 : PRISM

Pour le reste, il y a PRISM. Il s’agit d’un programme (de la NSA) chargé de collecter les données produites dans les services de communication en ligne. Plus exactement, il s’agit d’un espion aspirant les données des services suivants : Microsoft (depuis 2007), puis Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL, et Apple depuis octobre 2012. Ce sont donc les emails, les pièces jointes, les chats, les vidéos, les photos qui seraient engrangés par la NSA. Bref, tout ce qu’on met dans le cloud va dans le super-méga datawarehouse que la NSA a planqué dans le désert de l’Utah !

Diapositive du projet PRISM

Diapositive du projet PRISM

Tout ces opérateurs déclarent ignorer un tel partenariat, ou l’existence d’un backdoor qui permettrait à la NSA de sniffer les données.

Sur les slides fournies par un agent du renseignement (et vérifiées par les journalistes du Guardian, en ligne sur le WashingtonPost), il est montré comme un avantage le fait que l’essentiel de l’architecture du web soit basée aux USA. Il suffit alors que l’agent de surveillance estime à 51% les probabilités qu’un interlocuteur soit étranger pour qu’il ait l’autorisation de collecter les données : comme remarqué dans les diapos, on peut voir se former vos idées en même temps que vous les écrivez. Le programme serait tellement efficace (27% de signalements en plus en 2012) qu’il alimenterait toute la chaine de décision du renseignement américain, jusqu’au security brief remis à Obama chaque matin. Le tout pour $20 millions par an !!!

[PS : PRISM bénéficie également aux Anglais : l’Intelligence Service déclare recevoir les données du programme, depuis 3 ans – source : The Guardian]

European Commission should revoke US Safe Harbour status immediately - http://t.co/73B4jw3FbH absolutely right #NSA #PRISM #EU
@glynmoody
Glyn Moody

Du coup, c’est un coup dur pour l’administration Obama, déjà empêtrée dans d’autres scandales. Gageons qu’elle aura moins de poids à faire porter dans les négociations avec l’Union européenne, à propos du futur réglement, et de l’acceptation du FISA Amendment. Gageons aussi que cette dernière en profitera peut-être pour renégocier les accords PNR ou Safe harbor. Gageons enfin que les usagers vont, un peu plus, migrer depuis des solutions mainstream vers des applications opensource. Mais là, on peut rêver…

(sources : The Guardian, Rue89, Washington Post, USA Today, Bruce Schneier, hashtag #PRISM)

Laisser un commentaire