Alors que Yahoo est aujourd'hui soupçonné d'avoir espionné les boîtes mails de ses utilisateurs sur demande des autorités américaines, il y a fort à parier que ce n'est pas la dernière fois qu'une affaire de ce genre éclate au grand jour.
Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Franck Decloquement : Le piratage massif de données que Yahoo a subi très récemment a plongé dans l’émoi des millions d’utilisateurs à travers le monde. Les révélations ne cessent de se succéder à un rythme soutenu, et ne cessent d’attirer par la même occasion, l’attention des médias en matière de risques d’intrusions informatiques. Dans un premier temps, Yahoo avait relayé ses soupçons dans cette affaire, désignant très vite un acteur extérieur possiblement "parrainé par un État" concurrent d’être à l’origine de cette attaque massive. "Ecran de fumée" de la part de l’entreprise ? Nul ne le sait à cette heure. L’information est très sérieusement remise en cause au moment où nous rédigeons cette tribune. Par ailleurs, d’anciens employés interrogés par Reuters - mais aussi des salariés actuellement en poste chez le géant américain du web et particulièrement au fait des pratiques internes en matière de sécurité informatique de la multinationale - mettent très sérieusement en doute la version officielle. Leurs témoignages tendent à attester que l’opérateur serait en définitive le premier responsable de cette brèche de sécurité, historique par son ampleur.
Le laxisme de la dirigeante Marissa Mayer en matière de sécurité des données est en effet pointé du doigt par ces professionnels au fait des réalités cyber. D’après leurs multiples témoignages, la sécurité était bien loin d’être une priorité absolue pour la dirigeante du groupe, pourtant propriétaire d’une immense banque de données personnelles, régnant en maitre sur plus d’un milliard de comptes utilisateurs.
Par ailleurs, quatre sources distinctes – trois anciens employés et une quatrième source ayant connaissance de l’affaire – ont confié à l’agence Reuters que l’année passée, la multinationale aurait développé un logiciel permettant la recherche d’un ensemble de données spécifiques dans les emails de ses clients. Ce programme de "ciblage" aurait été conçu, selon ces témoins, à la demande expresse des services de renseignements américains.
L’élément anodin qui me semble pourtant essentiel dans le barnum actuel, fait autour de cette affaire hors du commun, est peut-être celui-ci : contacté par l’agence Reuters en rapport à cette succession de révélations potentiellement explosives, un porte-parole de la multinationale américaine aurait argué que "Yahoo est une société respectueuse des lois, et se conforme aux lois des États-Unis"… Il a toutefois refusé d’en dire plus... Alex Stamos, le "Chief Information Security Officer" de Yahoo a également refusé de commenter la situation actuelle. Mauvais présage ?
D’après les sources internes du groupe recueillies par les enquêteurs de Reuters, la société se serait en réalité conformée à une requête pressante de l’administration américaine, visant à leur permettre d’analyser des centaines de millions de comptes personnels, à la demande de l’Agence nationale de sécurité (NSA) et du Bureau fédéral d’investigation, le très fameux FBI. Ceci n’a pas fini d’inquiéter des millions d’internautes aux quatre coins de la planète, sur le fait que certains fournisseurs de services en ligne joueraient le rôle de "supplétifs" des autorités américaines, en matière de ciblage de leurs clients. La grande nouveauté avec cette "affaire Yahoo" reste cependant le fait que ce fournisseur – et géant du net – serait très profondément impliqué dans cette coopération secrète, digne des dernières aventures cinématographiques du dernier "Jason Bourne". Au point de concevoir un outil informatique dédié, selon ces mêmes témoignages, pour permettre aux agences du renseignement américain de surveiller massivement les internautes ciblés, et utilisateurs de ces services. Du jamais vu depuis l’affaire révélée par Edward Snowden sur la surveillance globale. Entre autres choses, scandale ayant à l’époque impliquée l’opérateur américain Verizon, qui se trouve être aujourd’hui le nouvel acquéreur de Yahoo… La paranoïa est à son comble dans les chaumières !
La demande initiale aurait été transmise à l’équipe juridique de la multinationale du web. Dans la foulée, Marissa Mayer ainsi que d’autres dirigeants de la société sous pression auraient décidé de se plier à cette "injonction", jugeant in fine, que le combat était perdu d’avance, s’ils ne se soumettaient pas d’emblée à cette requête gouvernementale. Sans en informer son équipe de sécurité, la dirigeante du groupe Marissa Mayer aurait demandé aux ingénieurs de sa société de déployer ce programme de surveillance au bénéfice des agences de renseignements américaines. Un "logiciel d’espionnage" que ses équipes de sécurité auraient découvert par la suite en mai 2015, quelques semaines après son installation… Les spécialistes de Yahoo ont d’abord pensé à une opération de piratage classique, avant de découvrir – estomaquées – que le programme avait été en fait développé à la demande expresse du FBI ou de la NSA… Avec l’autorisation tacite de leur dirigeante Marissa Mayer…
D’après les sources internes révélées par Reuters, quand Alex Stamos – qui a depuis rejoint Facebook en juin 2015 où il occupe le même poste que son précédent job – a découvert que sa dirigeante avait autorisé sans l’en avertir, l’implémentation de ce programme d’espionnage gouvernementale dans les installations informatiques du groupe, il aurait alors démissionné de son poste de chef de la sécurité de l'information de Yahoo, en expliquant à ses subordonnés qu'il avait été écarté dans une prise de décision majeure, affectant directement la sécurité de tous les utilisateurs de la plateforme Yahoo...
Il s’agit d’une problématique liée aux références culturelles manifestes, et aux fondements institutionnels et juridiques du pays. L’un de mes amis avocat - et grand connaisseur des arcanes constitutionnelles américaines - m’expliquait malicieusement la chose suivante : "le régime d'exception, à l'inverse de nos régimes parlementaires, est inclu au cœur même de la constitution américaine. Et cela porte un nom : la 'Suspension Clause'". Dans l’affaire que nous commentons ici, il est clairement indiqué dans l'enquête menée par Reuters que la dirigeante du géant Yahoo Marissa Mayer, s’est "conformée" à la loi américaine. Ce qui veut en soi tout dire. À partir du moment où une demande de nature "sécuritaire" est faite en direction de certaines entreprises du secteur privé pour des raisons relevant de la sécurité nationale, de nombreux dirigeants ne peuvent évidemment s'y soustraire. Au risque de voir s’abattre sur eux de lourdes sanctions en cas de refus. Prenons un exemple plus parlant. Des spécialistes m’ont ainsi rapporté que si vous êtes de nationalité anglaise et par ailleurs titulaire d'une carte de presse professionnelle, dès lors que les services de sécurité britanniques sollicitent votre collaboration dans le cadre de la sauvegarde des intérêts supérieurs de la nation, vous avez l'obligation de vous y soumettre (cela reste toutefois à vérifier). La détention de votre carte de presse vous "oblige" en quelque sorte. Si cela avait cours en France, nous assisterions immédiatement à une levée de boucliers chez tous les professionnels de la presse. Cette notion est impensable chez nous et la défiance vis-à-vis des autorités serait alors immense si de telles pratiques devaient s’imposer. Au Royaume-Uni, le droit n'est pas le même qu’en France, tout comme la constitution américaine diffère de la nôtre. Le contexte, l’histoire de nos pays et les référents culturels nous sont spécifiques, et divergent parfois. Il n’y a pas à l’heure actuelle d’homogénéité en la matière.
Dans un contexte institutionnel plus musclé, si les services de sécurité peuvent se permettre d'obtenir des infos "par la bande", et en ligne directe avec les données des opérateurs du privé, pourquoi s'en priveraient-ils ? La sécurité nationale n'est pas un vain mot aux Etats-Unis. Et en assurer coûte que coûte la défense du pays passe aussi par des procédures et des requêtes pouvant nous apparaitre ici-bas comme "exceptionnelles", si j’ose la métaphore.
Les cas Snowden et Assange ont porté sur la place publique ce différentiel de pratiques institutionnelles et culturelles sur ce qui est "souhaitable", "admissible" ou "interdit" dans un Etat de droit, en contexte "démocratique", dès lors que l’on souhaite garantir dans les faits la sécurité de ses concitoyens, et celle de son pays. Et dans certains cas de figure, les impératifs politiques sont tels que l'aspect "vie privée" très usité chez nous, n’est pas retenu par les autorités locales comme étant une valeur prioritaire à laquelle tout doit être subordonné. C’est un véritable choix de société en somme. Cela ne me choque pas à titre personnel si des vies sont en jeu. On peut donc extrapoler une réponse plutôt positive à votre question initiale, car le tropisme d'action sur certains domaines d’intérêts jugés "vitaux" pour le pays (géopolitiques, économiques, judiciaires, sécuritaires, etc.), peut apparaitre comme particulièrement musclé pour notre point de vue très "français". Quoi qu'il advienne, si les autorités américaines peuvent avoir accès au dispositif technologique pouvant les aider à remplir leurs missions prioritaires, ils le feront, comme ils l'ont déjà fait par le passé. Il en va de même sur le terrain économique : dès qu'une technologie leur est indispensable, ils la prennent "en charge" pour s'en rendre maîtres (soit par des opérations de nature capitalistique, soit par des actions de soutien régalien par la mise en œuvre d’actions de renseignement offensives). Le couple Clinton avait d’ailleurs initié après l’époque qui suivit la fin de l’Union soviétique, la réaffectation des 10 à 12 000 spécialistes du renseignement américain, sur des problématiques "anglées" économiques. D'ailleurs, les meilleurs spécialistes nous expliquent que la NSA oriente son action de veille principalement sur le terrain géoéconomique. Les actions de lutte contre le terrorisme international, ne représentant en définitive qu’une partie congrue de ses activités prioritaires. Je pense qu’il n’est pas totalement stupide de le croire en effet.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !