Un diaporama illustrant le programme top secret PRISM
Par Glenn Greenwald et Ewen MacAskill
Le Guardian, vendredi 7 juin 2013
La National Security Agency [NSA] a obtenu un accès direct aux systèmes de Google, Facebook, Apple et d’autres géants de l’Internet aux Etats-Unis, selon un document top secret obtenu par le Guardian.
L’accès de la NSA fait partie d’un programme non divulgué auparavant appelé PRISM, qui permet aux agents de recueillir des données, y compris l’historique de recherche, le contenu des e-mails, les transferts de fichiers et les discussions instantanées en ligne, dit le document.
Le Guardian a vérifié l’authenticité du document, une présentation de 41 diaporamas PowerPoint — classés top secret, avec aucune distribution pour ses alliés étrangers — une présentation qui a été apparemment utilisée pour former les agents de renseignement sur les capacités du programme. Le document affirme "collecter directement à partir des serveurs" des grands fournisseurs de services américains.
Bien que la présentation affirme que le programme est exécuté avec l’aide des entreprises, tous ceux qui ont répondu aux questions du Guardian, pour commenter, jeudi, ont nié avoir eu connaissance d’un tel programme.
Dans un communiqué, Google a déclaré: "Google se soucie profondément de la sécurité des données de nos utilisateurs. Nous transmettons les données des utilisateurs au gouvernement en conformité avec la loi, et nous examinons ces demandes avec soin. De temps en temps, les gens prétendent que nous avons créé "une porte arrière" pour le gouvernement dans nos systèmes, mais Google n’a pas de porte arrière qui permet au gouvernement d’accéder aux données privées de l’utilisateur."
Plusieurs cadres supérieurs de technologie ont insisté sur le fait qu’ils n’avaient pas connaissance de PRISM ou d’un quelconque schéma similaire. Ils ont dit qu’ils n’auraient jamais été impliqués dans un tel programme. "S’ils font cela, ils le font à notre insu", dit l’un d’eux.
Un porte-parole d’Apple a déclaré qu’il n’avait "jamais entendu parler" de PRISM.
L’accès de la NSA a été activé suite aux changements sur la loi de surveillance américaine, introduite sous le président Bush et renouvelée sous Obama en décembre 2012.
Le programme facilite la surveillance étendue et approfondie des communications en direct et de l’information stockée. La loi autorise le ciblage de tous les usagers des entreprises participantes qui vivent à l’extérieur des Etats-Unis, ou les Américains dont les communications incluent des personnes vivant en dehors des Etats-Unis.
Il ouvre également la possibilité de recueillir des communications faites entièrement à l’intérieur des Etats-Unis, sans mandat d’exécution.
La divulgation du programme PRISM fait suite à une fuite transmise au Guardian mercredi sur une ordonnance top secrète de la cour obligeant le fournisseur télécom Verizon à remettre les relevés téléphoniques de millions de clients aux Etats-Unis.
La participation des sociétés Internet à PRISM va s’ajouter au débat, qui est enflammé par la révélation Verizon, au sujet de l’ampleur de la surveillance par les services de renseignement. Contrairement à la collecte de ces enregistrements d’appels, cette surveillance peut inclure le contenu des communications, et pas seulement des métadonnées.
Certaines des plus grandes marques de l’Internet mondial sont reconnues comme faisant partie du programme d’échange d’informations, depuis son introduction en 2007. Microsoft — qui mène actuellement une campagne publicitaire avec le slogan "Votre vie privée est notre priorité" — a été le premier, avec une collecte commençant en décembre 2007.
Il a été suivi par Yahoo en 2008, Google, Facebook et PalTalk en 2009, YouTube en 2010, Skype et AOL en 2011, et enfin Apple, qui a rejoint le programme en 2012. Le programme continue de se développer, avec d’autres fournisseurs qui doivent entrer en ligne.
Collectivement, les entreprises couvrent la majorité des e-mails en ligne, des recherches, des réseaux de communications et de vidéos.
L’ampleur et la nature des données recueillies à partir de chaque entreprise varie.
Les entreprises sont légalement tenues de se conformer aux demandes pour les communications des usagers, en vertu de la loi américaine, mais le programme PRISM permet aux services de renseignement d’accéder directement aux serveurs des entreprises. Le document de la NSA remarque que les opérations ont "l’assistance des fournisseurs de communications aux Etats-Unis."
La révélation rend également compte des préoccupations soulevées par plusieurs sénateurs américains lors du renouvellement des amendements de la loi FISA [Foreign Intelligence Surveillance Act] en décembre 2012, qui ont mis en garde quand à l’ampleur de la surveillance que la loi pourrait permettre, et des lacunes dans les garanties qu’elle introduit.
Lorsque la FAA [FISA Amendments Act] a été promulguée, les défenseurs de la loi ont fait valoir qu’un contrôle significatif de l’abus causerait l’incapacité de la NSA à obtenir des communications électroniques, sans le consentement des entreprises de télécommunications et d’Internet qui contrôlent les données. Mais le programme PRISM rend ce consentement facultatif, car il permet à l’agence de saisir directement et unilatéralement les communications depuis les serveurs des entreprises.
Un graphique préparé par la NSA, contenu dans le document top secret obtenu par le Guardian, souligne l’ampleur des données qu’il est en mesure d’obtenir: e-mails, chats vocaux et vidéos, photos, discussions en direct de type voix-sur-IP (Skype, par exemple), transferts de fichiers, détails de réseautage social, et plus encore.
Le document est récent, daté d’avril 2013. Une telle fuite est extrêmement rare dans l’histoire de la NSA, qui se targue de maintenir un haut niveau de secret.
Le programme PRISM permet à la NSA, la plus grande organisation de surveillance au monde, d’obtenir des communications ciblées, sans avoir à les demander aux fournisseurs de services et sans avoir à obtenir des ordonnances individuelles de la cour.
Avec ce programme, la NSA est capable d’atteindre directement les serveurs des sociétés participantes et d’obtenir à la fois les communications stockées, aussi bien que d’effectuer une collecte en temps réel sur les utilisateurs ciblés.
La présentation affirme que PRISM a été introduit pour surmonter ce que la NSA considère comme des défauts de garantie de FISA dans le pistage des terroristes étrangers présumés. Il est écrit que les Etats-Unis ont un "avantage de terrain" dû à l’hébergement d’une grande partie de l’architecture d’Internet. Mais la présentation revendique que "les contraintes de FISA ont limité notre avantage de terrain", car FISA rend nécessaires les mandats individuels et les confirmations disant que l’expéditeur et le destinataire d’une communication se trouvaient tous deux à l’extérieur des Etats-Unis.
"FISA a été abandonnée, parce qu’elle accordait des garanties de confidentialité pour les personnes qui ne se référaient pas à eux", ajoute la présentation. "Il a fallu une ordonnance FISA de la cour pour pouvoir collecter des informations sur des étrangers vivant en dehors du terriroire, qui ont été en communication avec d’autres étrangers en dehors du territoire, simplement parce que le gouvernement faisait la collecte hors d’un fil aux Etats-Unis. Il y avait trop de comptes e-mail pour que FISA puisse, de manière pratique, les chercher tous."
Les nouvelles mesures introduites dans la FAA [FISA Amendments Act] redéfinissent la "surveillance électronique" pour exclure quiconque d’être "de manière raisonnablement fiable" à l’extérieur des Etats-Unis — un changement technique qui réduit la barre pour initier la surveillance.
La loi donne aussi au directeur du renseignement national et au procureur général le pouvoir de permettre d’obtenir des informations du renseignement, et indemnise les sociétés Internet contre toute action apparue comme un résultat de demandes de coopération avec les autorités.
En bref, là où auparavant la NSA avait besoin des autorisations individuelles, et d’une confirmation que toutes les parties se trouvaient à l’extérieur des Etats-Unis, ils ont désormais seulement besoin d’un soupçon raisonnable voulant que l’une des parties se trouvait à l’extérieur des Etats-Unis au moment où les enregistrements ont été recueillis par la NSA.
Le document montre également que le FBI agit comme un intermédiaire entre les autres agences et les entreprises de haute technologie, et souligne sa dépendance vis-à-vis de la participation des entreprises Internet américaines, affirmant que "l’accès est dépendant à 100% des approvisionnements FAI [ISP: Internet Service Providers].
Dans le document, la NSA salue le programme PRISM comme "l’un des accès les plus précieux, unique et productif pour la NSA".
Il se vante de ce qu’il appelle "une forte croissance" dans son utilisation du programme PRISM pour obtenir des communications. Le document souligne que le nombre de communications obtenues ont augmenté de 248% en 2012 pour Skype — conduisant dans les notes à remarquer qu’il y avait "une croissance exponentielle dans les rapports Skype; il semble que le mot sort de notre capacité contre Skype". Il y avait aussi une augmentation de 131% des demandes de données pour Facebook, et 63% pour Google.
Le document de la NSA indique qu’il prévoit d’ajouter Dropbox comme fournisseur de PRISM. L’agence cherche également, selon ses mots, à "étendre les services de collecte des fournisseurs existants".
Les révélations font l’écho des craintes soulevées sur le parquet du Sénat, l’année dernière, lors du débat accéléré sur les pouvoirs de la FAA [FISA Amendments Act], qui sous-tendent le programme PRISM, débat apparu quelques jours avant que l’acte ait expiré.
Le sénateur Christopher Coons du Delaware a spécifiquement averti que le secret qui entoure les différents programmes de surveillance signifiait qu’il n’y avait aucun moyen de savoir si des garanties étaient efficaces dans la loi.
Le problème est que: "nous ici au Sénat et les citoyens que nous représentons, nous ne savons pas dans quelle mesure fonctionnent réellement chacune des garanties", a-t-il dit.
"La loi n’interdit pas la collecte d’information purement intérieure. Nous savons qu’au moins un tribunal de la FISA [Foreign Intelligence Surveillance Act] a jugé que le programme de surveillance a violé la loi. Pourquoi? Ceux qui savent ne peuvent pas le dire et les Américains moyens ne peuvent pas le savoir."
D’autres sénateurs ont également soulevé des préoccupations. Le sénateur Ron Wyden de l’Oregon a tenté, sans succès, de trouver toute information sur le nombre d’appels téléphoniques ou de courriels qui avaient été interceptés dans le cadre du programme.
Lorsque la loi a été promulguée, les défenseurs de la FAA [FISA Amendments Act] ont fait valoir qu’un contrôle significatif de l’abus conduirait à l’incapacité de la NSA d’obtenir des communications électroniques sans le consentement des entreprises de télécommunications et d’Internet qui contrôlent les données. Mais le programme PRISM rend ce consentement inutile, car il permet à l’organisme de saisir directement et unilatéralement les communications depuis les serveurs des entreprises.
Lorsque la NSA examine une communication qui mérite, selon elle, une enquête plus approfondie, elle émet ce qu’elle appelle un "rapport". Selon la NSA, "plus de 2000 rapports PRISM" sont désormais publiés chaque mois. Il y en avait 24 005 en 2012, soit une augmentation de 27% par rapport à l’année précédente.
Au total, plus de 77 000 rapports de renseignement ont cité le programme PRISM.
Jameel Jaffer, directeur du Centre pour la démocratie de l’ACLU, a trouvé qu’il était étonnant que la NSA pouvait même demander aux entreprises de haute-technologie d’accorder un accès direct aux données des utilisateurs.
"Le simple fait que la NSA demande aux entreprises de le faire est assez choquant", a-t-il dit. "La NSA est une partie de l’armée. L’armée a obtenu un accès sans précédent aux communications civiles.
C’est une militarisation sans précédent d’une infrastructure de communications domestiques. C’est profondément troublant pour quiconque est préoccupé par cette séparation."
Un responsable senior de l’administration a déclaré dans un communiqué: "Les articles du Guardian et du Washington Post se rapportent à la collecte des communications en vertu de la section 702 de la loi FISA [Foreign Intelligence Surveillance Act]. Cette loi n’autorise le ciblage d’aucun citoyen américain ni d’aucune personne se trouvant à l’intérieur des Etats-Unis.
Le programme est soumis à un contrôle par la Cour de Surveillance du Renseignement Etranger [Foreign Intelligence Surveillance Court], la branche exécutive et le Congrès. Il implique des procédures étendues, spécifiquement approuvées par le tribunal, afin de s’assurer que seules les personnes non-américaines en dehors des Etats-Unis sont ciblées, et qui minimise l’acquisition, la conservation et la diffusion d’informations accidentellement acquises sur des personnes aux Etats-Unis.
Ce programme a été récemment reconduit par le Congrès après de longues auditions et des débats.
L’information recueillie en vertu de ce programme est parmi l’une des informations du renseignement les plus importantes et précieuses que nous recueillons, et elle est utilisée pour protéger notre nation d’une grande variété de menaces.
Le gouvernement ne peut utiliser que la section 702 pour obtenir des informations du renseignement étranger, ce qui est précisément, et de justesse, défini dans la loi FISA [Foreign Intelligence Surveillance Act]. Cette exigence s’applique à tous les niveaux, indépendamment de la nationalité de la cible."
Reportage additionnel par James Ball et Dominic Rushe
Source:
http://www.guardian.co.uk/world/2013/jun/06/us-tech-giants-nsa-data
