« Il y a quelques jours nous avons appris que la NSA, l’agence nationale de sécurité américaine, avait reçu tous les enregistrements des clients de l’opérateur téléphonique américain Verizon pour une période de trois mois à compter d’avril », commence le spécialiste de la sécurité Bruce Schneier (@schneier) dans un article pour The Atlantic intitulé « Ce que nous ne savons pas sur l’espionnage des citoyens est plus effrayant que ce que nous savons », réagissant aux premières révélations du Guardian sur le programme de surveillance des écoutes de Verizon (auquel s’est ajouté celui du programme de surveillance des contenus hébergés par les Majors de l’internet via le programme Prism, révélé par le Washington Post).
Les enregistrements provenant de Verizon concernent tout sauf le contenu vocal, rappelle Schneier : qui appelle qui, la localisation des appels, leur durée… « Ces métadonnées » permettent au gouvernement de suivre les mouvements de tout le monde durant cette période et de construire une image détaillée de qui parle à qui. Ce sont exactement les mêmes données que le ministère de la Justice américain a recueillies récemment sur les journalistes d’Associated Press (voir les explications du Monde.fr et comme le rappelait Chris Soghoian de l’Union pour les libertés civiles américaines dans un article de The Verge, il y a des catégories entières d’informations pour lesquelles les métadonnées peuvent être aussi sensibles que les contenus).
L’ordre de la NSA à Verizon a commencé quelques jours après que les auteurs de l’attentat de Boston aient été capturés par la police, souligne Schneier, qui pointe le fait que nos démocraties ont besoin d’une plus grande transparence sur les activités de sa police.
« Nous ne savons pas beaucoup de choses sur la façon dont le gouvernement espionne, mais nous savons certaines choses. Nous savons que le FBI a émis des dizaines de milliers de lettres de sécurité nationale ultra secrètes (ce sont des demandes d’information demandées par le FBI aux opérateurs téléphoniques et fournisseurs d’accès, NDE) pour collecter toutes sortes de données sur les personnes – nous pensons que cela concernerait des millions de personnes – et en a abusé pour espionner les utilisateurs de services de cloud computing. Nous savons qu’il peut recueillir un large éventail de données personnelles d’internet sans mandat. Nous savons également que le FBI a intercepté les données de téléphones portables, toutes, sauf les contenus vocaux, depuis les 20 dernières années, sans mandat et peut utiliser un micro sur certains téléphones classiques – sans doute uniquement avec mandat. »
Image extraite du blog « Obama is checking your e-mail » (Obama contrôle vos e-mails), une réponse parodique aux révélations récentes.
« Nous savons que la NSA dispose de nombreux programmes nationaux de surveillance et d’extractions de données, ayant des noms de code comme Traiblazer, Stellar Wind et Ragtime – utilisant délibérément différents noms de code pour des programmes similaires pour contrecarrer la surveillance et cacher ce qui se passe réellement. Nous savons que la NSA construit une énorme installation informatique dans l’Utah pour stocker toutes ces données et dispose de réseaux informatiques plus rapides pour traiter tout cela. Nous savons que le cyber commandement américain emploie 4000 personnes.
Nous savons que le département de la sécurité intérieure américain collecte également une quantité massive de données sur les personnes et que les services de police locaux organisent des « centres de fusion » pour collecter et analyser ces données pour dissimuler les ratés de ce programme. Tout cela fait partie de la militarisation de la police.
Rappelez-vous en 2003, quand le Congrès américain a refusé les fonds pour le décidément sinistre programme Total Information Awareness ? Il n’est pas mort. Il a juste changé de nom et a été divisé en plusieurs petits programmes. Nous savons que des entreprises font une énorme quantité d’espionnage pour le compte du gouvernement : de toutes parts.
Mais si nous savons tout cela ce n’est pas parce que le gouvernement est honnête et disponible, mais principalement par le biais de trois canaux de retour : les allusions par inadvertance ou les aveux catégoriques d’officiers du gouvernement lors d’auditions ou d’enquêtes, les informations recueillies par des documents gouvernementaux dans le cadre de la législation sur la liberté d’information, et par les actions des dénonciateurs et lanceurs d’alertes.
Mais il y a bien plus de choses que nous ne savons pas, et souvent ce que nous savons est obsolète. Nous en savons un peu sur le programme Echelon de la NSA grâce à une enquête européenne de 2000 et sur les plans du Département de sécurité intérieure concernant le Total Information Awareness de 2002, mais beaucoup moins sur la façon dont ces programmes ont évolué. Nous pouvons tirer des déductions sur les installations de la NSA dans l’Utah sur la base du montant théorique de données provenant de diverses sources comme le coût des infrastructures de calcul et les exigences de puissance de l’installation, mais ce sont au mieux des approximations. Pour l’essentiel, nous sommes complètement dans le noir.
Et ce n’est pas ce qu’il faut.
Le gouvernement américain est dans une frénésie du secret. Il surclassifie plus d’informations que jamais. Et nous apprenons, encore et encore, que notre gouvernement qualifie régulièrement des choses, non pas parce qu’elles ont besoin d’être secrètes, mais parce que leur libération l’embarrasserait.
Savoir comment le gouvernement espionne nous est important. Non seulement parce que l’essentiel de cet espionnage est illégal – ou, pour être aussi charitable que possible, basé sur de nouvelles interprétations de la loi – mais parce que nous avons le droit de savoir. La démocratie exige des citoyens bien informés afin de fonctionner correctement, la transparence et la responsabilité sont des éléments essentiels de cela. Cela signifie savoir ce que notre gouvernement fait pour nous, en notre nom. Cela signifie savoir ce que le gouvernement fait dans les limites de la loi. Sinon, nous vivons dans un état policier. »
Protéger les dénonciateurs
« Nous avons besoin de dénonciateurs.
Faire fuiter l’information sans se faire attraper est devenu difficile. Il est presque impossible de maintenir la vie privée à l’ère d’internet » (comme le disait Schneier dans un récent article pour CNN dont nous avions rendu compte), explique-t-il en évoquant Bradley Manning et Wikileaks ou la plateforme sécurisée du New Yorker pour lui communiquer des informations compromettantes et en pointant vers les solutions existantes pour faire fuiter des informations de la manière la plus discrète possible, comme le fait le Centre national des lanceurs d’alerte américain.
« La fuite d’information est également très dangereuse. L’administration Obama a lancé une guerre contre les dénonciateurs, les poursuit – à la fois légalement et par l’intimidation – plus que ne l’a faite toute autre administration précédente. Mark Klein, Thomas Drake et William Binney ont tous été persécutés pour avoir exposé les détails techniques de notre état de surveillance. Bradley Manning a été traité cruellement et inhumainement – et peut-être torturé – pour avoir organisé la fuite des secrets du département d’État.
Les actions de l’administration Obama contre l’Associated Press, sa persécution de Julian Assange et sa poursuite sans précédent de Manning pour « intelligence avec l’ennemi » démontre dans quelle mesure il est prêt à aller pour intimider les dénonciateurs – ainsi que les journalistes qui leur parlent.
Mais la dénonciation est essentielle, et doit être d’autant plus étendue dans un gouvernement-espion. Elle est nécessaire pour le bon gouvernement et pour nous protéger contre les abus de pouvoir. »
L’enjeu que pointe très bien Schneier ici vise à la protection des lanceurs d’alertes, même si toute la difficulté consiste à les définir. On voit bien que les législations nationales et internationales s’interrogent et évoluent sur ce point, passant de la reconnaissance à l’élargissement du champ d’application de la loi. Ce que montre Schneier c’est qu’il faut activement continuer ces travaux.
Mieux surveiller les surveillants
« Nous avons besoin de plus de détails sur la pleine mesure des capacités d’espionnage du FBI. Nous ne savons pas qu’elles sont les informations qu’il recueille systématiquement sur les citoyens américains, les informations supplémentaires qu’il recueille sur ceux des diverses listes de surveillance, et les justifications juridiques qu’il invoque pour ses actions. Nous ne savons pas ses plans pour la collecte des données à l’avenir. Nous ne savons pas ce que recouvrent les scandales et les actions illégales passées ou présentes.
Nous avons également besoin d’informations sur les données que la NSA rassemble, que ce soit au niveau national ou international. Nous ne savons pas combien il en recueille subrepticement, ni combien en s’appuyant sur des arrangements passés avec diverses sociétés. Nous ne savons pas combien de fois il utilise des outils pour craquer des mots de passe ou des données cryptées ni combien de fois il exploite les vulnérabilités de systèmes existants. Nous ne savons pas si délibérément il insère des portes dérobées sur les systèmes qu’il veut tracer, que ce soit avec ou sans la permission des éditeurs de systèmes de communication.
Et nous avons besoin d’informations sur les types d’analyses que ces organisations réalisent. Nous ne savons pas ce qu’ils éliminent rapidement au point de collecte, ni ce qu’ils stockent pour une analyse ultérieure – ni combien de temps ils stockent. Nous ne savons pas le genre de profilage de base de données qu’ils réalisent, ni la réalité de l’étendue de l’analyse des réseaux de caméras de surveillance ou de drones, combien de fois ils effectuent une analyse comportementale, ou comment tracent-ils massivement les relations des personnes qui sont sur leurs listes de surveillance.
Nous ne savons pas quel est l’ampleur de l’appareil de surveillance américain aujourd’hui, que ce soit en terme d’argent, d’employés, ni du nombre de personnes surveillées ou la quantité de données recueillies. La technologie moderne permet de contrôler largement plus de personnes qu’il ne pourrait jamais être fait manuellement – les révélations récentes sur la NSA démontrent qu’elle pourrait facilement surveiller tout le monde. »
Schneier, ici, pointe très bien du doigt que la surveillance organisée par nos gouvernants doit être plus transparente. Cela ne signifie pas que nous devions tout savoir, mais que celle-ci doit être mieux encadrée qu’elle ne l’est. L’enjeu n’est pas de savoir ce qu’ils font, mais jusqu’où ils vont, ou pour le dire autrement, que la classification des actions ne doit pas signifier la classification des bilans ou des méthodes. On pourrait dire que l’action de la police devrait être plus transparente, mais en fait il faudrait plutôt dire qu’elle ne peut pas être totalement obscure.
Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens
« La dénonciation est la réponse morale à une activité immorale accomplie par ceux qui sont au pouvoir. Ce qui est important ici, ce sont les programmes et les méthodes, plus que les données concernant le public. Je comprends que je demande aux gens de s’engager dans un comportement illégal et dangereux. Faites-le avec soin et faites avec le plus de sécurité possible, mais – et je parle directement à vous, personne travaillant sur un de ces secrets ou de ces programmes illégaux – faites-le.
Si vous voyez quelque chose, dites quelque chose. Il ya beaucoup de gens aux États-Unis qui apprécieront et vous admireront.
Pour le reste d’entre nous, nous pouvons vous aider en protestant contre cette guerre contre les dénonciateurs. Nous devons forcer nos politiciens à ne pas les punir – enquêter sur les violations et non sur les messagers – et veiller à ce que des personnes injustement persécutées puissent obtenir réparation.
Notre gouvernement met son propre intérêt avant les intérêts du pays. Cela doit changer. »
Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens. Cela signifie donc que nous devons l’armer légalement.
Le juriste américain Daniel Solove, spécialiste de la vie privée (voir La valeur sociale de la vie privée), auteur de Rien à cacher : le faux compromis entre vie privée et sécurité est allé dans le même sens que Bruce Schneier en réagissant à ces affaires dans un article pour Linked-in. Dans cet article, il répond à la défense que le président Obama a fait de ces programmes.
« Certes, le président a déclaré qu’on ne pouvait pas avoir 100 % de sécurité et 100 % de vie privée et aucun inconvénient et que le gouvernement devait faire des choix. C’est certainement vrai, mais, s’il y a des compromis à faire, le débat reste toujours jeté comme un choix entre tout ou rien. En fait, le problème de ces programmes n’est pas qu’ils réduisent la vie privée, mais de savoir si ces programmes sont soumis à une surveillance appropriée, à une responsabilisation et une transparence suffisante. »
Solove répond ensuite aux arguments d’Obama qui a rappelé que le Congrès et les juges avaient voté des lois autorisant ces programmes. « Le fait que le Congrès et le pouvoir judiciaire aient été impliqués ne signifie pas automatiquement qu’il y ait une surveillance adéquate », répond Solove. Dans les années 70, le Congrès américain avait mené une enquête sur la surveillance faite par le gouvernement et avait publié un rapport qui faisait la chronique des violations du droit par les agences du gouvernement, pointant du doigt notamment la surveillance injustifiée du FBI sur Martin Luther King. Mais depuis, le Congrès n’a pas réitéré pareille enquête. Or, pour s’engager dans une surveillance adaptée, il devrait mener une enquête de ce type au moins tous les 10 ans, estime le juriste.
Ensuite, rappelle Solove, « le contrôle judiciaire de ces programmes de surveillance est souvent minime et fait en secret. Il n’existe aucun moyen pour le public d’évaluer les programmes si tout est clandestin. Enfin, nous ne devrions pas faire confiance au gouvernement. Ce devrait être l’inverse : le gouvernement devrait nous faire confiance. Dans une démocratie, le gouvernement sert la volonté du peuple, et le gouvernement doit toujours avoir à justifier ce qu’il fait. Les gens sont le patron ultime, or nous ne pouvons pas évaluer ce que le gouvernement fait sans transparence.
Bien sûr, parfois le secret est nécessaire pour une période de temps, mais il devrait être utilisé avec plus de parcimonie. Comme je le décris dans mon livre, d’innombrables gouvernements ont eu recours au secret par le passé, mais la plupart du temps pour des raisons inutiles ou pour couvrir des erreurs ou des abus. »
Selon la loi, les numéros de téléphone et les durées d’appels reçoivent beaucoup moins de protection que leurs contenus. Mais c’est là une grave lacune de la loi estime le juriste. Les numéros que l’on appelle révèlent beaucoup sur nos activités privées, il permet de connaître l’identité de vos relations et de supposer certaines choses en se basant sur la fréquence des appels, rappelle encore Solove.
Enfin, Barack Obama a justifié le fait que certaines informations soient classées secret défense, afin que les terroristes ne soient pas au courant et n’adaptent pas leurs mesures en fonction. Pour Solove, ce sempiternel argument selon lequel la transparence aide les terroristes n’est pas clair. « Révéler les paramètres de base, les méthodes, les principes des diverses formes de surveillance ne rendrait pas la surveillance inefficace », avance le juriste. Ce n’est pas parce qu’on dispose de la liste des techniques de sécurité utilisées par une banque qu’on va trouver la solution pour la cambrioler. Si on en possède les plans détaillés et toutes les informations relatives, peut-être. Mais peut-être y a-t-il une différence entre la transparence totale et l’information exacte et nécessaire ?
« Au minimum, les affirmations selon lesquelles les programmes de surveillance doivent être gardés secrets doivent être remis en cause », conclut Solove. « Et même plus, le public a besoin de savoir ce que fait le gouvernement. Sans cette transparence, il n’existe aucun moyen pour le public d’évaluer le gouvernement. La démocratie ne fonctionne pas sur la confiance aveugle. »
Ce que nous disent en tout cas ces deux éditorialistes, c’est que la surveillance des gouvernants est primordiale et que celle-ci doit être organisée, encadrée et régulièrement revisitée. Et ce d’autant plus que les moyens de surveillance se démultiplient et sont plus accessibles. Les citoyens doivent avoir accès aux méthodes, aux techniques, aux bilans… Pas aux actions peut-être, mais celles-ci doivent être mesurées et évaluées. La technologie donne au renseignement une puissance sans précédent. En retour nous devons exiger que le bilan qui nous en est livré soit lui aussi plus puissant, afin que nous puissions mieux armer la régulation et nos contre-pouvoirs.
Hubert Guillaud
0 commentaires
Quand on touche à ce problème, on a malheureusement toujours recours à des phrases qui commencent par “bien sûr“ et qui s’articulent autour de “mais tout de même“ et qui signale que cette pratique du pouvoir bénéficie d’une légitimité partielle. La légitimité du dénonciateur ne sera que partielle, elle aussi… et n’aura pas le pouvoir pour elle. C’est perdu d’avance.
La seconde dimension c’est qu’en entrant dans le domaine de l’espionnage, on entre dans le domaine de la manipulation. Quel crédit faudra-t-il accorder au dénonciateur ? Sera -t-il obligatoirement indépendant et honnête ? Il peut même être lié au surveillant lui-même, ne serait-ce que pour éloigner l’opinion de l’essentiel ou mettre en avant des arguments faciles à détruire ?
Je crois que le Big Data ne peut mourir que de sa propre incohérence théorique, méthodologique et économique. Le surveillant est obligé de dépenser beaucoup d’argent pour obtenir des données dont il ne sait, finalement, pas quoi faire.
Ce n’est probablement, au bout du compte, que le produit d’une “idéologie de la surveillance“.
Je suis émerveillé par ces cris de vierge effarouchée.
Ça fait combien d’années qu’une multitude de gens informés (et pas nécessairement des complotistes) crie la même chose dans le désert: « Big Brother is watching you »?
Régulation: tu parles! Qui peut y croire? Les intérêts économiques et stratégiques sont tels qu’il n’y a rien, strictement rien, à attendre des gouvernements et encore moins des entreprises.
La réponse est uniquement citoyenne. C’est à nous et à nous seuls qu’il appartient d’organiser les contre-pouvoirs. D’abord en cessant d’être de simples consommateurs passifs « qui n’ont rien à cacher », meilleur argument de la soumission, de la paresse intellectuelle et souvent de la bêtise. Ensuite – et là il y a pas mal de choses à faire – en démocratisant sans relâche la compréhension en profondeur du monde numérique et de ses enjeux, et l’usage des outils de protection. Justement, je commence: Dunod vient de sortir un bon petit bouquin (pub gratuite) qui est truffé de rappels utiles, d’outils gratuits et de trucs bons à savoir: Martin Untersinger & Benjamin Bayart, « Anonymat sur internet ».
Citation finale de Julian Assange dans son dernier opus: en gros, « seuls survivront les rebelles high-tech ». C’est bien le fond du problème. Merci encore, Julian.
@Pierre. Nul cri de vierge effarouchée ici, voici longtemps que ces questions là nous préoccupent également. L’affaire NSA cristallise bien des dangers que nous avons pointé depuis longtemps, tant en observant le phénomène des Big Data qu’en nous intéressant à la vie privée à l’heure du numérique (relisez la « Lettre ouverte à ceux qui n’ont rien à cacher » de Jean-Marc Manach, par exemple).
Ce que nous disent Solove et Schneier, c’est bien que la réponse ne peut-être uniquement citoyenne. Elle l’est bien sûr, mais elle ne suffira si elle ne parvient pas à peser sur la régulation également.
@gv Oui, le Big Data est certainement le produit d’une idéologie de la surveillance. Mais je ne suis pas sûr que sa propre incohérence théorique, méthodologique et économique le feront disparaître de lui-même, hélas, son but étant toujours de s’améliorer, de tenter d’améliorer les corrélations qu’il génère, de réduire toujours et encore le taux d’erreur, ce qui est un programme sans fin.
@Hubert: Bien sûr, vous avez raison. Dans mon allusion aux vierges effarouchées je pensais à l’ensemble de la presse, non évidemment à « Internet Actu » et encore moins à PdlT, qui font justement partie de ceux qui font avancer ce débat. Et quant aux écrits de JM Manach, j’en ai lu, relu et rerelu une bonne partie… Merci à lui d’ailleurs.
Mais je reste convaincu que l’impulsion motrice ne peut être que citoyenne, même si bien sûr elle n’est pas suffisante. Si nous laissons faire les entreprises et les Etats, rien ne pourra jamais avancer. TOR, TrueCrypt, GPG… sont nés d’une telle volonté citoyenne. Inutile de demander l’opinion des divers Big Brothers sur ces outils!
TOR recoit des fonds du Gouvernement US , parait il .