Si vous avez lu les nouvelles récemment, vous pourriez penser que les entreprises américaines font de leur mieux pour déjouer la surveillance de la NSA.
Google vient d’annoncer qu’elle encrypte Gmail lorsque vous y accédez de votre ordinateur ou de votre téléphone, ainsi qu’entre ses centres de données. La semaine dernière, Mark Zuckerberg a personnellement appelé le président Obama pour se plaindre que la NSA utilise Facebook comme un moyen de pirater les ordinateurs et le chef de la sécurité de Facebook a expliqué à des journalistes que la technique d’attaque ne fonctionne plus depuis l’été dernier. Yahoo, Google, Microsoft et autres publient désormais régulièrement des « rapports de transparence », répertoriant approximativement combien les compagnies ont reçu de demandes gouvernementales d’information et à combien elles ont répondues.
Du côté du gouvernement, la semaine dernière le directeur juridique la NSA, Rajesh De, semblait avoir jeté de l’huile sur le feu en déclarant que, malgré leurs dénégations, ces entreprises savaient tout sur la collecte de données de la NSA tant sous le programme PRISM que d’autres programmes sans nom de collectes sur les liaisons de communications en amont.
Oui, on pourrait croire que le partenariat public/privé de surveillance s’est affaibli – mais, malheureusement, il est bel et bien vivant. L’objectif principal des entreprises de l’Internet et des organismes gouvernementaux s’accordent largement : nous garder sous surveillance constante. Quand ils se chamaillent, c’est surtout un jeu de rôle conçu pour nous garder de deviner tout ce qui est vraiment en cours.
Avec nous, la communauté américaine du renseignement joue toujours avec les mots. La NSA recueille nos données en s’appuyant sur quatre autorités juridiques différentes : la Foreign Intelligence Surveillance Act (FISA) de 1978, le décret exécutif 12333 de 1981 et modifié en 2004 et 2008, la Section 215 du Patriot Act de 2001 et l’article 702 de la Loi sur les amendements FISA (FAA) de 2008.
Soyez prudent lorsqu’une personne de la communauté du renseignement utilise la mise en garde « pas dans le cadre de ce programme » ou « pas sous cette autorité » ; presque toujours cela signifie que quoi que ce soit qu’ils nient se fait sous d’autres programmes ou d’autres autorités. Alors quand Rajesh De affirme que les compagnies étaient au courant de la collecte de données en vertu de l’article 702, cela ne signifie pas qu’elles connaissaient les autres programmes de collecte.
Les grandes entreprises de l’Internet connaissent le programme PRISM – bien que pas sous ce nom de code, parce que c’est comme cela que le programme fonctionne ; la NSA leur envoie des ordres de la FISA. Ces mêmes entreprises ne connaissaient pas l’étendue de la surveillance de leurs utilisateurs effectuée sur le bien plus permissif ordre exécutif 12333. Google et Yahoo ne connaissaient pas MUSCULAR, le programme secret de piratage des connexions réseau entre les centres de traitement de données. Facebook ne connaissait pas QUANTUMHAND, le programme secret de la NSA pour attaquer les utilisateurs de Facebook. Et aucune des sociétés visées ne savait que la NSA récoltait les carnets d’adresses et les listes de contacts de leurs utilisateurs.
Ces entreprises sont certainement énervées que la publicité entourant les actions de la NSA sape la confiance des utilisateurs dans leurs services, et elles perdent l’argent à cause de cela. Cisco, IBM, les fournisseurs de services cloud et d’autres, ont annoncé qu’ils perdent des milliards, principalement en ventes à l’étranger.
Ces sociétés font tout leur possible pour convaincre les utilisateurs que leurs données sont sécurisées. Mais elles comptent sur l’incapacité des utilisateurs à reconnaître la vraie sécurité. La lettre de la semaine dernière d’IBM à ses clients en est un excellent exemple. La lettre énumère cinq «faits simples» qu’elle espère vont calmer ses clients, mais les éléments sont alors qualifiés avec tant de réserves qu’ils font exactement le contraire pour qui comprend l’étendue de la surveillance de la NSA. Et l’investissement de 1,2 milliard de dollars d’IBM dans des centres de traitement de données hors des États-Unis, va seulement rassurer les personnes qui ne réalisent pas que la loi sur la sécurité nationale exige d’une entreprise américaine qu’elle livre les données, peu importe où elles sont stockées dans le monde.
Les actions récentes de Google et les actions similaires de nombreuses entreprises de l’Internet amélioreront vraiment la sécurité de leurs utilisateurs contre les programmes de collectes clandestines du gouvernement – tant ceux de la NSA que d’autres, mais leurs réassurances ignorent délibérément que la vulnérabilité massive de sécurité de leurs services, est intentionnellement implémentée. Google et par extension, le gouvernement américain, a toujours accès à vos communications sur les serveurs de Google.
Google pourrait changer cela. Elle pourrait encrypter votre courriel de façon que vous soyez seul à pouvoir le lire. Elle pourrait protéger les conversations audio et vidéo pour que seuls les participants puissent les écouter.
Elle ne le fait pas. Pas plus que Microsoft, Facebook, Yahoo, Apple et autres.
Pourquoi pas ? Elles ne le font pas en partie parce qu’elles veulent garder la possibilité d’espionner vos conversations. La surveillance est toujours le principal modèle d’affaire de l’Internet et chacune de ces sociétés veut avoir accès à vos communications et vos métadonnées. Vos pensées et vos conversations privées sont le produit qu’elles vendent à leurs clients. Nous avons également appris qu’elles lisent votre courriel pour leurs propres enquêtes internes.
Mais même si cela n’était pas vrai, même si – par exemple – Google était prête à renoncer à l’exploration de données de vos conversations électroniques et vidéo en échange de l’avantage marketing que cela lui donnerait sur Microsoft, elle ne vous offrirait pas de sécurité réelle. Elle ne le peut pas.
Les plus grandes entreprises de l’Internet n’offrent pas de garantie réelle parce que le gouvernement américain ne leur permet pas.
Ce n’est pas de la paranoïa. Nous savons que le gouvernement américain a ordonné au fournisseur de messagerie électronique sécurisée Lavabit de lui remettre sa clé maîtresse et de compromettre chacun de ses utilisateurs. Nous savons que le gouvernement américain a convaincu Microsoft – soit par le biais de la corruption, de la coercition, de la menace, ou de la contrainte juridique – de modifier Skype pour faciliter les écoutes.
Nous ne savons pas quelle sorte de pression le gouvernement américain a mis sur Google et les autres. Nous ne savons pas quels accords secrets ces entreprises ont conclus avec la NSA. Nous savons en revanche que le programme BULLRUN de la NSA pour subvertir la cryptographie d’Internet a réussi contre un grand nombre de protocoles communs. La NSA a-t-elle demandé à Google ses clés maîtresses comme elle l’a fait avec Lavabit ? Son groupe Tailored Access Operations a-t-il piraté les serveurs de Google et volé ses clés ?
Nous ne le savons tout simplement pas.
Au mieux nous avons des assurances pleines de mises en garde. Au SXSW plus tôt ce mois-ci, le PDG Eric Schmidt a essayé de rassurer le public en disant qu’il était:
«relativement sûr que les informations au sein de Google sont maintenant à l’abri des regards indiscrets de n’importe quel gouvernement. »
Une déclaration plus précise aurait été, « vos données sont protégées des gouvernements, sauf des programmes que nous ne connaissons pas et de ceux dont nous ne pouvons pas vous parler. Et, bien sûr, nous avons encore un accès complet à tout et pouvons le vendre à volonté à qui nous voulons. »
C’est un boniment moche, mais tant que la NSA est autorisée à opérer par des ordonnances d’un tribunal secret, issues d’interprétations secrètes de législations secrètes, il n’en sera jamais autrement.
Google, Facebook, Microsoft et les autres soutiennent déjà officiellement les modifications législatives. Il vaudrait mieux qu’elles reconnaissent ouvertement l’insécurité de leurs utilisateurs et qu’elles augmentent leur pression sur le gouvernement, plutôt que d’essayer de tromper leurs utilisateurs et leurs clients.
Références
Cet article a été précedemment publié dans The Atlantic.
http://www.theatlantic.com/technology/archive/2014/03/don-t-listen-to-google-and-facebook-the-public-private-surveillance-partnership-is-still-going-strong/284612/ ou
http://tinyurl.com/knrtk7u
Annonce de Google:
http://www.theverge.com/2014/3/20/5530072/google-encrypts-gmail-between-data-centers-to-keep-out-nsa ou
http://tinyurl.com/l9ajp62
Facebook:
http://www.wired.com/wiredenterprise/2014/03/zuck-gets-nsa-love-bff-obama/
ou http://tinyurl.com/ku89hkk
http://www.wired.com/wiredenterprise/2014/03/facebook-security/
Transparency reports:
http://www.theguardian.com/world/2014/feb/03/microsoft-facebook-google-yahoo-fisa-surveillance-requests ou
http://tinyurl.com/p9nul7p
Commentaires de Rajesh De:
http://www.theguardian.com/world/2014/mar/19/us-tech-giants-knew-nsa-data-collection-rajesh-de ou
http://tinyurl.com/pbs3elm
Partenariat public/privé de surveillance:
https://www.schneier.com/blog/archives/2013/08/the_publicpriva_1.html ou
http://tinyurl.com/lew37no
Les jeux de mots de la NSA:
https://www.eff.org/nsa-spying/wordgames
La permissiveté d’ EO 12333:
https://www.eff.org/deeplinks/2013/10/three-leaks-three-weeks-and-what-weve-learned-about-governments-other-spying ou
http://tinyurl.com/p2alaxw
MUSCULAR:
http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html ou
http://tinyurl.com/jwzxh77
QUANTUMHAND:
http://www.fastcompany.com/3027612/nsa-and-british-intelligence-impersonating-facebook-hijacking-adbots-to-infect-millions-of-c ou
http://tinyurl.com/no9ooqq
NSA collectant les carnets d’adresses et les listes d’amis:
http://www.washingtonpost.com/world/national-security/nsa-collects-millions-of-e-mail-address-books-globally/2013/10/14/8e58b5be-34f9-11e3-80c6-7e6dd8d22d8f_story.html ou
http://tinyurl.com/kn8ld96
Les entreprises perdent de l’argent à cause de la NSA:
http://www.nytimes.com/2014/03/22/business/fallout-from-snowden-hurting-bottom-line-of-tech-companies.html ou
http://tinyurl.com/o2775xf
http://www.businessweek.com/articles/2014-02-13/nsa-snooping-backlash-could-cost-u-dot-s-dot-tech-companies-billions ou
http://tinyurl.com/nx6ltnm
http://qz.com/147313/ciscos-disastrous-quarter-shows-how-nsa-spying-could-freeze-us-companies-out-of-a-trillion-dollar-opportunity/ ou
http://tinyurl.com/on2hmft
http://www.businessweek.com/articles/2013-12-13/ibm-shareholder-sues-company-over-nsa-cooperation ou
http://tinyurl.com/o2d8fxm
http://blogs.wsj.com/cio/2013/08/06/the-morning-download-cloud-industry-could-lose-billions-on-nsa-disclosures/ ou
http://tinyurl.com/q4zdn62
IBM:
http://asmarterplanet.com/blog/2014/03/open-letter-data.html
https://www.schneier.com/blog/archives/2014/03/an_open_letter_.html
http://www.networkcomputing.com/next-generation-data-center/news/servers/ibm-spends-12-billion-on-new-cloud-dat/240165593 ou
http://tinyurl.com/obqr4n9
Entreprises sécurisant leurs utilisateurs:
https://www.eff.org/deeplinks/2013/11/encrypt-web-report-whos-doing-what ou
http://tinyurl.com/l35z8tg
La surveillance est le modèle d’affaires de l’Internet:
https://www.schneier.com/blog/archives/2013/11/surveillance_as_1.html ou
http://tinyurl.com/odm425e
La valeur des métadonnées:
https://www.schneier.com/blog/archives/2014/03/metadata_survei.html
NSA et Lavabit:
https://www.schneier.com/blog/archives/2013/08/more_on_the_nsa.html
NSA et Microsoft Skype:
https://www.schneier.com/blog/archives/2013/06/new_details_on.html
BULLRUN:
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security ou
http://tinyurl.com/m47p5dc
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security ou
http://tinyurl.com/m47p5dc
Tailored Access Operations:
https://www.schneier.com/blog/archives/2013/12/more_about_the.html
Commentaires d’Eric Schmidt:
http://thenextweb.com/google/2014/03/07/google-pretty-sure-protected-government-spying-eric-schmidt-says/ ou
http://tinyurl.com/klqs4ru
Companies qui s’opposent à la surveillance de la NSA:
https://www.reformgovernmentsurveillance.com
Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf
(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)