Quand Google, Microsoft et Yahoo espionnent nos boîtes mail pour protéger leurs intérêts

Atlantico : Le géant Microsoft a du gérer récemment une importante crise d'image alors que l'on venait de prouver que ses employés avaient piraté le mail d'un utilisateur pour obtenir des informations dans le cadre d'une enquête interne. Jusqu'à quel point les mastodontes du Web comme Apple, Microsoft ou Google peuvent avoir accès à nos courriels ?

Fabrice Epelboin : Les conditions d'utilisation des principaux webmails - ces longues diatribes juridiques auxquelles tout le monde consent sans jamais les lire - leur donne effectivement la possibilité de lires nos emails à leur guise. C'est ce que souligne un récent article de The Verge, mais tous ceux - ils ne sont pas nombreux - qui s'étaient donnés la peine de les lire le savaient déjà. Il ne s'agit nullement de piratage, ce qu'ils font est parfaitement légal, aussi surprenant que cela puisse paraître. Tous les grands fournisseurs de webmails, Microsoft, Google, Yahoo et consort se donnent en effet le droit d'aller lire vos mails, soit pour y placer des publicités contextuelles, soit pour des raisons aussi vagues que variées, mais parfaitement prévues dans le contrat juridique que vous avez "signé" lors de l'ouverture de votre compte.

En France, la Loi de programmation militaire a donné la possibilité à une multitude de services français, comme Bercy, l'Intérieur ou Matignon, d'obtenir le contenu de la correspondance de tous les citoyens français, sans la moindre autorisation judiciaire préalable. Les fournisseurs de solution webmail français ne sont pas en reste : comme l'a montré le récent scandale impliquant Orange, le principal fournisseur d'accès internet Français travaille depuis toujours avec les services de renseignement. Il y a peu de chance qu'il en soit autrement des autres grands fournisseurs d'accès à internet.

Il faut bien réaliser qu'envoyer un mail, pour un ressortissant français utilisant un service de webmail américain, revient à gérer ses correspondances privées en utilisant des cartes postales qui n'auraient pas été mises sous enveloppe, et dont la poste, les services de renseignements français et américains, garderaient tous une photocopie.

Comment ces services opèrent-ils concrètement pour observer nos communications ?

C'est là que la métaphore de la photocopie que garderaient différents services de renseignement et différents services commerciaux trouve sa limite. Ici, on est dans le domaine du numérique, et il existe des outils pour gérer de telles quantités d'information et en faire sens, qu'il s'agisse de cibler une publicité, de lutter contre la fraude fiscale ou de détecter des menaces terroristes. C'est le coté obscur de la Big Data. Ces technologies sont de plus en plus puissantes, et ce n'est pas un hasard si un acteur comme la France a récemment décidé d'en faire une priorité. L'efficacité de la surveillance passe par la Big Data, c'est ainsi qu'on "observe" de telles quantité d'information.

Que penser en conséquence de compagnies qui proposent un service mail "anti-NSA" ? Ces offres sont-elles bidons ?

Si ces offres émanent de services américain, la réponse est oui, elles en peuvent être que bidons. Ces entreprises sont contraintes par le Patriot Act, et le service Lavabit, qui s'est sabordé l'an dernier, montre bien qu'aucune entreprise américaine n'est en mesure de dire non à la NSA.

Pour des offres émanant de la France, il convient de réaliser que depuis la signature des accords Lustre en 2010, il n'y a pas vraiment de différence entre la NSA et les services Français, au sens où des informations obtenues par l'un de ces services sera transmise sans état d'âmes à l'autre. La France a voté l'an dernier la loi de Programmation Militaire, qui donne à l'Etat français les mêmes prérogatives que celles que le Patriot Act a offert à l'Etat américain. La situation est en tout point similaire, elle est même pire pour les français dans la mesure où, théoriquement, un service comme la NSA n'est pas censé surveiller les citoyens américains, alors que la loi de programmation militaire offre la possibilité à l'Etat français de surveiller la population française sans la moindre supervision judiciaire.

Il reste à inventer un véritable webmail 'nsa proof', ce qui ne pourra se faire que si le fournisseur de mail n'a lui même pas accès aux contenus. Il faudra pour cela que l'ensemble de la chaîne de traitement de l'information soit systématiquement chiffrée, et idéalement, que l'ensemble soit hébergé dans un pays bénéficiant d'une législation protégeant la vie privée, comme la Suisse ou l'Islande. Ce type de service reste à inventer. Son modèle économique est loin d'être évident - typiquement, celui de Google dont la base consiste à analyser vos email pour y placer de la publicité contextuelle n'est pas envisageable. Soit il s'agira d'un service payant, soit son fournisseur devra expliquer comment il envisage de le rentabiliser.

Faut-il donc abandonner le mail et passer sur des systèmes de messageries comme Snapchat ou Cryptocat ?

C'est plus facile à dire qu'à faire, car pour de nombreuses personnes, le mail est l'aboutissement d'un ensemble de méthodologies de travail, souvent extrapolées à partir de pratiques mise en place bien avant internet. Snapchat ne remplace en rien le mail, vous imaginez travailler à partir d'information éphémères que l'on ne peut stocker ? C'est impossible.

L'avenir passe par un chiffrage systématique, c'est certain, notamment en entreprise, car personne n'a envie de prendre en compte la contrainte qui consiste à anticiper le fait que l'Etat et votre fournisseur de technologie peut lire vos emails. Vous imaginez les conséquences sur les échanges au sein d'un service financier ou RH d'une grande entreprise ? Cela aurait des conséquences proches de la paralysie. Heureusement, ces services ont une compréhension très limité des technologies et n'ont pas pour l'instant changé leurs habitude, mais il va leur falloir faire évoluer très rapidement leurs habitude, et changer l'outil email est invraisemblable. Le chiffrage et la confiance envers le fournisseur de technologies est désormais indispensable.