La NSA aurait ses entrées chez les grands d’Internet

Pendant la période estivale, nous vous faisons revivre, en dessins, les grands moments qui ont rythmé l'information IT depuis septembre dernier. Bonne lecture, bonnes vacances et à la rentrée.

C’est un très gros pavé que le Washington Post a jeté dans la mare, début juin. Selon nos confrères, la NSA «pioche directement dans les serveurs centraux de neufs fournisseurs de services en ligne américains leaders, extrayant conversations audio et vidéo, photographies, courriers électroniques, documents et rapports de connexion pour permettre aux analystes de suivre des cibles étrangères ». Le tout dans le cadre d’un programme baptisé Prism et démarré en 2007.

L’agence pourrait ainsi collecter des données issues des infrastructures de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube et Apple. Mais ce n’est pas tout : selon le Washington Post, si le programme était initialement concentré sur les ressortissants étrangers, les citoyens américains sont désormais concernés. Le directeur américain du renseignement a confirmé l’existence de ce programme, mais sans s’étendre, arguant que «les informations collectées dans le cadre de ce programme sont parmi les plus importantes données de renseignement extérieur que nous collectons et sont utilisées pour protéger notre nation d’un grand nombre de menaces. La divulgation non autorisée d’informations, liées à des programmes clés et entièrement légaux, est répréhensible et met en danger la protection de la sécurité des américains.»

La confirmation d’une vieille suspicion

Une surprise ? Pas vraiment. C’était en février 2012, à l’occasion de l’édition américaine de la conférence RSA, à San Francisco. La NSA multipliait alors les initiatives pour faire passer un message simple : la nécessité d’étendre ses prérogatives sur le sol américain au nom de la sécurité nationale et au motif d’une efficacité sans pareil. Certains défenseurs des libertés individuelles ne manquaient d’ailleurs pas de s’en inquiéter ouvertement. Mais s’agissait-il simplement de chercher à légitimer une situation déjà bien réelle ?

Les toutes nouvelles révélations du Washington Post tendent à le faire penser. Elles jètent en tout cas une lumière particulière sur ces initiatives. Mais dès septembre 2010, le New York Times révélait un projet de loi de l’administration Obama visant à imposer à tout fournisseur de services de communication électronique de maintenir un moyen permettant aux autorités fédérales de procéder à des écoutes légales. Et en mai 2012, CNet affirmait que le FBI poussait discrètement ses pions pour obtenir des portes dérobées qui lui permettraient d’intercepter ou d’écouter des échanges en ligne sur des services de réseau social, de messagerie instantanée, de voix sur IP, ou encore de messagerie Web. Et deux sénateurs membres de la commission parlementaire du renseignement avaient alerté, fin décembre dernier, sur le risque d’écoute, dans le cadre d’une loi en cours de discussion, d’écoute d’innocents américains.

Le plus étonnant dans les nouvelles révélations du Washington Post est probablement l’absence de BlackBerry. D’ailleurs, celle-ci donne peut être un indice sur les raisons pour lesquelles Washington s’est immiscé dans les discussions en 2010 entre le Canadien et l’Inde, l’Arabie Saoudite et les Emirats Arabes Unis, trois pays qui souhaitaient alors disposer de capacités d’écoute légale des transmissions chiffrées du constructeur.

Les intéressés réfutent toute collaboration

Selon les documents publiés par nos confrères, Microsoft aurait été le premier intégré au programme Prism, dès novembre 2007. Yahoo aurait suivi en mars 2008, puis Google en janvier 2009, avec Facebook peu de temps après. Auraient suivi PalTalk, YouTube, Skype, AOL, et à l’automne 2012, Apple. Dropbox pourrait les rejoindre dans un avenir proche. Le programme coûterait environ 20 M$ par an.

Interrogés par le Washington Post, Google, Microsoft, Facebook, Yahoo, et Apple contestent le fait de fournir un accès direct à leurs serveurs, et ce à n’importe quelle agence gouvernementale. Mais un autre rapport confidentiel, obtenu par nos confrères, fait état de la capacité, par les «responsables de collecte», à envoyer des «instructions directement à des équipements installés sur des sites contrôlés par les entreprises» concernées. Et non pas à leurs serveurs, nuance.

Pour approfondir sur Cybersécurité

Close