Etat policier, mode d’emploi (merci Bush et Obama) : ce qu’un tyran pourrait faire du système d’écoutes et d’espionnage numériques mis en place par les Etats-Unis<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Une part importante de la surveillance des données serait sous-traitée par des entreprises de renseignement privées, comme Google ou Apple.
Une part importante de la surveillance des données serait sous-traitée par des entreprises de renseignement privées, comme Google ou Apple.
©Reuters

Démocratie qu'ils disaient

Etat policier, mode d’emploi (merci Bush et Obama) : ce qu’un tyran pourrait faire du système d’écoutes et d’espionnage numériques mis en place par les Etats-Unis

L'implication de "private contractors", des entreprises privées comme Booz Allen, dans la surveillance des données privées donne une dimension nouvelle, et plus effrayante, aux révélations sur les méthodes utilisées par le renseignement américain sur internet. Sous prétexte de lutte contre le terrorisme, les Etats-Unis ont-ils franchi une nouvelle étape dans la violation des libertés individuelles ?

François-Bernard Huyghe,Jean-Christophe Le Toquin et Bernard Lamon
François-Bernard Huyghe,Jean-Christophe Le Toquin et Bernard Lamon

François-Bernard Huyghe,Jean-Christophe Le Toquin et Bernard Lamon

François-Bernard Huyghe est Docteur d'État en Sciences Politiques et habilité à diriger des recherches. Il enseigne sur le campus virtuel de l’Université de Limoges, au Celsa Paris IV à l’IRIS et à l’Institut des Hautes Études Internationales. Son dernier ouvrage : Terrorismes, Violence et Propagande (Gallimard).

Jean-Christophe Le Toquin est P-DG et fondateur de Signal Spam, plateforme de contrôle, de sécurité et de lutte anti-spam. Ancien de Microsoft, il a travaillé dans le secteur du renseignement privé. 

Bernard Lamon est avocat spécialiste en droit de l’informatique et des télécommunications, animateur du cabinet Lamon & Associés, fondé en 2010. Il assiste ses clients (prestataires informatiques ou entreprises utilisatrices) dans le domaine du conseil et du contentieux. Il anime un blog dans lequel il commente les lois et les décisions essentielles en droit de l’innovation.
 

Voir la bio »

Atlantico : PRISM, Boundless Informant, les affaires se succèdent pour les services de renseignements américains suspectés de mettre en place un système de surveillance digne de Big Brother. Autre fait inquiétant, une part importante de cette surveillance serait sous-traitée par des entreprises de renseignement privées, non tenues par les engagements moraux qui incombent à un état. Peut-on dire, à la lumière de ces révélations, que l'on est en train de saper le principe de vigilance démocratique ? 

François-Bernard Huyghe :Oui et ce n’est d'ailleurs pas nouveau puisque cela nous rappelle l'affaire Echelon (système d’interception des données par satellite qui avait fait polémique à la fin des années 1990…) déjà géré en son temps par la National Security Agency. Initialement destiné à intercepter des communications de l'autre camp pendant la Guerre Froide, Echelon avait été reconverti sous Clinton en "grandes oreilles" surveillant des millions de communication (dont celles d'entreprises européennes). Pour ce qui est des récentes révélations sur les pratiques de la NSA et consorts, il y a deux raisons principales de s'inquiéter :

Le volume concerné d'abord. Il s'agit ici de l’analyse de millions de données « parallèles » collectées en masse (comme chez l'opérateur de téléphone Verizon). Si elles ne donnent pas le contenu des conversations (qui est "perdu" s'il n'est pas enregistré), elles disent qui a téléphoné à qui, d'où à où, à quelle heure, combien de temps. Croisées à d'autres "big data" ces informations deviennent des instruments de profilage et de prédiction du comportement de populations entières.Pour le cas de PRISM, c'est, en outre, une affaire d’espionnage de contenus (messages, conversations enregistrées, NDLR) récupérés avec la complicité d’entreprises telles que Google ou Apple. On pourra nous répondre que PRISM est en principe sous la juridiction d’une Cour de justice mais les justifications, l'étendue et la nature de ces opérations sont entièrement secrètes, ce qui pose un problème de contrôle. Toutes ces données enregistrées dans les ordinateurs des fournisseurs d'accès ou de plates-formes type Facebook sont analysées par des logiciels en quête de mots clefs : d'où un incroyable dispositif qui se réclame de l'espoir utopique d'éliminer tous les dangers en les détectant par la technologie.

Deuxièmement, si nous parlons de données par millions, il est matériellement impossible que chaque interception soit soumises à l’analyse d’un juge qui délivre un mandat pour un objet et une durée précise. De fait, l’accès aux données est presque illimité car incontrôlable, la seule borne théorique étant qu'en droit, aucun citoyen américain (contrairement à un étranger) ou personne résidant sur le territoire américain ne peut être écouté sans mandat précis. Cet argument est assez comique car, sur Internet, réseau sans frontière comment savoir qui est américain ou qui réside où ?

Les services américains affirment qu’ils utilisent des moteurs de recherche pour repérer par mots clés (et avec un probabilité de 51%) si tel utilisateur est étranger ou pas. C'est absurde puisqu'il faut déjà intercepter la conversation pour analyser son contenu et le dit contenu en question peut être trompeur. Si un citoyen américain parle d'un voyage en Thaïlande pour ses vacances, cela pourrait être interprété par le logiciel comme émanant d’un ressortissant thaïlandais ou comme un lien avec ce pays, ce qui rendrait légale la surveillance de "l'étranger".

Bernard Lamon : Ce qui est certain, c'est qu'après le 11 septembre et avec en parallèle l'avènement du numérique, tous les Etats du monde ont fait voter des lois permettant à la police et à la justice de fouiller dans nos données. C'était le cas aux Etats-Unis juste après le 11 septembre, mais aussi en France avec notamment la loi Loppsi. Ces lois-là supposent en général l'autorisation d'un juge. En tant qu'avocats, nous utilisons également cela dans certains cas très précis : chaque année, on parle de quelques milliers de demandes de poursuites qui passent systématiquement par un juge. Aux Etats-Unis, on parle de quelques dizaines de milliers de cas. 

Il y a un grand système qui va bien plus loin que les deux lois bien connues aux Etats-Unis : celle du Patriot Act et la loi FISA qui concerne la surveillance aux Etats-Unis des espions étrangers

Il semble que, au moyen d'une loi dont le contenu est gardé sous silence (Secret Acts, NDLR), des portes dérobées (accès discret à la base de données d’une entreprise, NDLR) et des échanges automatiques ont été organisées entre les grands opérateurs ( téléphonie, Internet...) et l'administration américaine qui a chargé une cinquantaine d'agences de surveiller les activités liées au terrorisme. 

Le respect des libertés individuelles avait déjà été "écorché" au début des années 2000 avec l'instauration outre-Atlantique du Patriot Act visant à lutter contre le terrorisme. Est-on en train de passer un échelon supérieur aujourd'hui ?

François-Bernard Huyghe : Cette affaire est effectivement inquiétante, surtout après celles qui ont déjà assombri le deuxième mandat Obama (notamment l’affaire des écoutes de journalistes d’Associated Press ). Il s'agit d'une violation évidente des libertés individuelles totalement contraire aux valeurs américaines (et françaises). Sans compter que sa supposée efficacité du système s’est révélée assez limitée (les récents attentats à Boston et en Irak n’ont ainsi visiblement pas pu être empêchés).

Les différents géants du numérique impliqués dans l'affaire, que sont Google, Apple, Microsoft et d'autres, affirment qu'ils ont toujours coopéré avec Washington dans un cadre juridique strictement délimité. Qu'en est-il dans les faits ?

François-Bernard Huyghes :C’est formellement exact puisque ces actions sont inscrites dans le cadre général du « Foreign Intelligence Surveillance Act » (FISA), mais je ne qualifierais pas cela de vrai cadre juridique  : il n’y a pas ici de tribunaux qui définissent clairement qui doit être écouté, à partir de quels soupçons, pour quelle durée, ni quel usage précis doit être fait de ces informations, pour quel dossier, ni comment retracer qui y a eu accès et ce qu'il en a fait. En fait, c'est un mandat en blanc donné à on ne sait qui. Un permis de violer les secrets des citoyens de manière occulte.

Bernard Lamon :Bien malin qui sait. Aujourd'hui, aux Etats-Unis comme en France, on a des règles qui permettent à la justice, aux services de police d'aller récupérer des données qui permettraient de mettre en accusation. Ces géants de l'Internet ont fait et font régulièrement des "privacy reports", comme Google par exemple. Nous, en tant qu'utilisateurs, n'avons même pas le droit de dire si cela est vrai ou faux : c'est un réel problème. 

Jean-Christophe Le Toquin :A ce stade, il est impossible de répondre sur ce qui s'est réellement passé dans le cadre du programme PRISM, mais il est tout de même utile de remettre cette question de l'accès aux données en perspective avec la réalité quotidienne des entreprises. Dans toutes les sociétés américaines - comme européennes - les équipes en charge de la sécurité et du traitement des réquisitions judiciaires sont des centres de coût. A partir de là, la réaction viscérale de toute entreprise est de limiter au maximum la réponse aux réquisitions, pour une simple raison d'efficacité économique. Dès lors une initiative comme PRISM est foncièrement perçue par les entreprises comme une menace à leur liberté d'action économique et à la bonne gestion de leurs infrastructures.

Parmi les sociétés visées, à savoir AOL, Apple, Facebook, Google (et Youtube), Microsoft (et Skype), Paltank et Yahoo!, aucune n'a été gérée directement par les pouvoirs publics américains, tout au plus certaines sont ou ont été proches des cercles de la Maison Blanche. Imposer PRISM à ces entreprises exigerait des autorités américaines un pouvoir coercitif absolu, qui n'est pas prouvé, ou alors une pression forte accompagnée d'un accompagnement budgétaire qui permette de faire tomber l'obstacle économique. Les flux d'argent nécessaires pour une implémentation efficace de PRISM chez tous les opérateurs se chiffrent vraisemblablement en centaines de millions de dollars, ce qui est difficile à imaginer en pleine crise budgétaire américaine. Enfin, rappelons-nous le programme Carnivore du FBI, qui suscitait au début des années 2000 au moins autant d'inquiétude que PRISM, mais qui s'était avéré finalement inefficace à traiter les flux massifs d'information circulant sur internet.

Le président Obama a récemment déclaré "Vous ne pouvez pas avoir 100% de sécurité et 100% de vie privée et aucune contrainte, nous devons faire des choix de société". Peut-on dire, ou non, que cette surveillance poussée des données personnelles est un mal nécessaire au XXIe siècle ?

François Bernard Huyghes : Un mal, oui, nécessaire certainement pas. Et pas seulement pour des raisons morales : les dispositifs de ce genre ne donnent souvent les informations vitales qu'après coup ; elles ne peuvent servir utilement que complétées par une analyse humaine de qualité. Sans compter toutes les possibilités de dérive dont l'espionnage économique de pays étrangers.

Bernard Lamon : Le principe selon lequel l'être humain a accepté le contrat social et accepte en échange de ne pas avoir 100 % de libertés ne date pas du monde numérique. Ainsi, sous l'Ancien Régime, les lettres étaient susceptibles d'être lues par les autorités royales sans que les intéressés ne s’en rendent compte. La royauté avait le privilège de la Poste car cela lui permettait de savoir ce que les sujets pensaient. Il faut un équilibre délicat entre sécurité et liberté. Mais les attentats du 11 septembre ont coïncidé avec le développement large du numérique. On a poussé le bouchon très loin dans la sécurité au détriment des libertés. Cette affaire pourrait avoir comme conséquence un rééquilibrage, et encore, ce n'est pas certain. 

Jean-Christophe Le Toquin : L’ambiguïté de la phrase d'Obama est qu'elle laisse à entendre que le choix de société entre sécurité et vie privée serait encore à faire. En cela, c'est très inquiétant car jusqu'à présent il était acquis que nos sociétés démocratiques avaient déjà fait leur choix, par lequel l'Etat dispose de capacités d'enquête et d'intelligence dans des limites définies juridiquement pour protéger le citoyen. Des 9 sociétés visées par PRISM, aucune n'assure 100% de sécurité et aucune ne souhaite 100% de vie privée pour ses clients. Quant aux contraintes, certaines comme Microsoft et Facebook s'en sont imposées d'elles-mêmes en 2012 pour détecter automatiquement, supprimer et signaler les contenus d'abus sexuels présents sur leur plateforme au FBI, une mesure de surveillance qu'elles appliquent pour leurs clients du monde entier. Ce programme, appelé PhotoDNA, est tout à fait officiel et n'a suscité aucune polémique à ce jour. Donc cette troisième affirmation est également erronée.

Ce qui est sûr, c'est que la capacité d'échange d'informations dépasse les moyens d'analyse par les autorités, et que la protection de notre société contre ses dérives, comme par exemple les contenus d'abus sexuels d'enfants, exigera effectivement des outils plus poussés d'analyse et de surveillance automatisés. Ces outils deviendront à leur tour une menace pire encore que le mal qu'il traite, si les Etats sont incapables de remettre la règle de droit au cœur du fonctionnement de leurs institutions.
L'affaire PRISM semble attester que les Etats n'ont pas encore les outils de surveillance dont ils rêvent, et à coup sûr qu'ils n'ont pas la maturité juridique et de protection des libertés publiques qu'on est en droit d'exiger d'eux.

Quelle attitude doivent adopter les Etats face à l'espionnage massif de leur ressortissants ?

Jean-Christophe le Toquin : Si vous entendez l'espionnage massif des citoyens européens par les autorités des Etats-Unis, la meilleure réponse serait non pas que les Etats européens se coalisent pour tancer les Etats-Unis, leur demander des comptes ou je ne sais quel rapport qui ne prouverait rien et ne rassurerait pas grand monde. La réaction la plus courageuse et la plus utile serait que les Etats européens s'engagent eux-mêmes dans une saine émulation pour rassurer leurs propres citoyens sur leur cadre juridique national de protection des libertés. L'Etat européen qui serait le mieux capable d'expliquer ses propres mécanismes de traitement de réquisition judiciaire et de surveillance gagnerait non seulement la confiance de ses administrés, mais il donnerait aux opérateurs de services cloud placés sous sa juridiction un cadre juridique de confiance pour l'ensemble de leurs clients. Cela serait bon non seulement pour nos libertés à tous, mais cela permettrait de développer ces services clouds, et par là cela donnerait un coup de fouet à l'emploi… et aux rentrées fiscales dont l'Europe a tant besoin. Et si PRISM était une chance historique pour la vieille Europe de mettre en valeur ses différences juridiques et devenir la nouvelle plateforme mondiale des services clouds?

Propos recueillis par Théophile Sourdille

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !