Les géants américains de l'Internet démentent leur collaboration avec la NSA

Florian Innocente |
Apple, Google, Microsoft et plusieurs autres géants américains de l'Internet ont démenti leur collaboration à PRISM, un vaste programme de collecte de données géré par la NSA. Le Guardian et le Washington Post ont tous deux publié cette nuit un document PowerPoint issu de la National Security Agency. Il leur a été fourni par un agent au fait du fonctionnement de PRISM et se disant écoeuré de l'étendue de ses possibilités.

Les entreprises mentionnées ont commencé une à une à offrir un démenti. Un porte-parole d'Apple a déclaré à AllThingsD « Nous n'avons jamais entendu parler de PRISM. Nous ne donnons un accès direct à nos serveurs à aucune agence gouvernementale, et toute agence qui souhaite obtenir des données sur un client doit produire un mandat légal. »



Ce document de 41 pages, classé top secret et sans diffusion prévue auprès des alliés des États-Unis, est récent, puisque daté d'avril 2013. Il décrit les possibilités et les avantages de PRISM. Ce système peut récupérer les historiques de recherches, le contenu des courriers électroniques, les transferts de fichiers, les échanges par chat, par VoIP, les photos et vidéo. Il y est affirmé qu'au fil des dernières années les principaux grands groupes Internet américains ont accepté que la NSA établisse une connexion directe avec leurs serveurs.

Il n'y a pas de détails particuliers sur la manière dont chaque entreprise travaillerait avec la NSA, leurs logos sont simplement présents et leurs noms listés à quelques reprises.

Microsoft aurait été le premier à ouvrir des serveurs en 2007, suivi par Yahoo, Google, Facebook, Paltalk, YouTube, Skype, AOL et, en octobre 2012, Apple. Dropbox est annoncé comme devant « bientôt » rejoindre cette liste qui est prévue pour s'enrichir de nouveaux protagonistes.

Une annexe précise que pour Skype, le contenu d'une conversation audio peut être surveillé si l'un des interlocuteurs utilise une liaison téléphonique classique et cela marche aussi pour toute combinaison d'audio, de vidéo, de chat et de transfert de fichiers lorsque les utilisateurs se connectent par leurs ordinateurs. Pour Google, la collecte inclut Gmail, les chats audio et vidéo, les fichiers sur Google Drive, les photos et les requêtes de recherche effectuées en temps réel.



Le Washington Post dispose d'un autre document confidentiel qui peut laisser à penser que le rédacteur de ce PowerPoint a été imprécis quant à la manière dont la NSA accèderait aux serveurs de ces entreprises. L'arrangement consisterait à permettre « aux responsables de ces collectes d'envoyer des instructions de récupération de contenus directement à des équipements installés dans les locaux contrôlés par ces sociétés » plutôt que directement aux serveurs de ces entreprises.

Les informations brutes collectées par PRISM auraient pris une importance majeure et seraient régulièrement présentes dans les rapports de renseignement fournis quotidiennement au président américain. 1 rapport sur 7 contiendrait des informations obtenues par ce programme. Il y aurait 2000 rapports PRISM chaque mois, avec une augmentation de 27% sur l'année 2012.

L'avantage de PRISM est qu'il permet à la NSA de récupérer des informations en dehors de tout cadre légal et à volonté. Il ne lui est plus nécessaire d'obtenir préalablement un mandat légalisant la démarche et ciblant la demande, par exemple, à un ou plusieurs individus en particulier. Plus besoin non plus d'obtenir l'accord de l'entreprise disposant de ces données puisque ses serveurs sont branchés en permanence. Un cadre autrement moins contraignant que la réglementation en vigueur autour des surveillances et des écoutes.

Les États-Unis disposent d'un solide avantage, explique le PowerPoint, en cela qu'une large partie des données circulant sur Internet traverse ou réside sur le sol américain. Mais ce bénéfice à jouer à domicile est rendu contraignant par le cadre législatif. Il faut fournir un mandat chaque fois que la NSA veut accéder à des données résidant aux États-Unis, mais échangées par des personnes en dehors du pays. Il faut, qui plus est, s'assurer que ces individus étaient bien en dehors du pays au moment de la récupération de leurs conversations. Cette dernière obligation a été néanmoins assouplie.



Le Washington Post explique que la NSA est parfaitement capable de trier entre les informations provenant de l'intérieur et de l'extérieur du pays. Ses analystes sont aussi formés à présenter chaque trimestre des rapports sur la collecte accidentelle de contenus échangés sur le sol américain, mais le document sur PRISM ajoute « Il n'y a pas lieu de s'en inquiéter ».

Face à ces allégations, Google a déclaré : «Nous prenons très au sérieux la sécurité des données de nos utilisateurs. Nous communiquons des informations au gouvernement dans le respect de la loi, et nous étudions soigneusement chaque requête. De temps à autre, les gens affirment que nous avons créé une porte dérobée dans notre système pour le gouvernement, mais Google n'a pas de 'back door' permettant au gouvernement d'accéder aux données privées des utilisateurs ». Facebook et Yahoo ont aussi démenti, expliquant qu'ils ne répondaient qu'à des demandes émises par la justice. Microsoft a rejeté toute participation et toute transmission volontaire d'informations dans le cadre d'un programme de sécurité nationale.

Le directeur de la DNI (Direction of National Intelligence) a publié une réponse écrite. Il fait état d'erreurs dans les articles des deux quotidiens. Mais le responsable n'apporte de précisions que sur un pan des informations produites, il ne fait aucune mention de PRISM et de la NSA dans son propos.

Ces révélations surviennent au lendemain d'autres, venant du Guardian encore et concernant l'opérateur Verizon. Le second opérateur mobile des États-Unis a accepté de donner accès - à compter du 25 avril et jusqu'au 19 juillet - de manière illimitée à ses relevés téléphoniques. Ces métadonnées comprenant les numéros, la durée des appels, l'identifiant de l'usager. Le contenu des conversations échappe à cette analyse, mais sont englobés tous les appels extérieurs et intérieurs aux États-Unis.

La DNI avait aussi répondu hier, en soulignant l'encadrement légal de cette collecte de relevés téléphoniques, avec une supervision tous les trois mois, et le fait qu'elle excluait ce contenu des conversations.
avatar Manueel | 
@Orus "Les naïfs et les bisounours sont ce qu'ils sont : des débiles." Bien d'accord Orus : Il faut être naïf & bisounounours, c'est à dire complétement débile pour applaudir à la surveillance de l'humanité; Mais tu ne devrais pas insulter les débiles Orus ils ne sont pas tous antipathiques ;-)
avatar patrick86 | 
"Le terrorisme est la meilleure arme politique, puisque rien ne fait réagir davantage les gens que la peur d'une mort soudaine." Adolf Hitler Un autre article sur le sujet : http://www.lemonde.fr/ameriques/article/2013/06/06/scandale-verizon-washington-defend-la-saisie-de-donnees-telephoniques-d-americains_3425664_3222.html
avatar Manueel | 
@patrick86 +1 Mais je crains que Orus, dans sa trop grande naïveté ne perçoit pas le cynisme des personnes qui "prétendent nous protéger". ;-)
avatar stéphane83 | 
Si on a rien à cacher je vois pas où est le problème
avatar Mithrandir | 
C'est assez amusant. Google et d'autres font la même chose pour leur propre intérêt, ça ne dérange personne. Mais quand c'est un gouvernement qui fait la même chose, c'est un scandale ? C'est exactement pareil.
avatar stéphane83 | 
Enfin je parle pour moi j'ai une existence ordinaire : déjà que mes voisins n'en ont rien à foutre de ma vie alors les USA! Qu'est ce qu'ils se feraient chier la NSA ! Avec une simple carte de retrait on est pisté bref... De plus, les méthodes de dissuasions et de défense ont littéralement changées : pour se protéger les États sont forcés d'utiliser d'autres techniques pour prévenir de différents attentats ou autres. Donc nos petites vies ordinaires ne risquent pas grand chose sur le cloud (juridiquement parlant) : le risque est plutôt la perte des données tributaires des serveurs extérieures et de leurs sécurités niveau hacking.
avatar DrFatalis | 
" 1 rapport sur 7 contiendrait des informations obtenues par ce programme. Il y aurait 2000 rapports PRISM chaque mois," Autrement dit je ne sais pas pour qui vous vous prenez, mis pour un programme mondial d'écoute c'est plus que peu, et vos "chances" que vos photos de vacances, vos discussions sur Roland Garros ou vos géguerres IOS/skeumorphique vs IOS aplat n'atterrissent sur le bureau ovale sont des plus limitées... On parle de traitement informatique de données: aucun humain ne lit vos mails! Cela n'arrive qui s'ils sont "sélectionnés" en fonction d'un contenu plus que douteux...
avatar poco | 
@ stephane83 : Ta "vie ordinaire" comme tu dis n'est pas sans intérêt pour certains. Je ne sais pas quel âge tu as, mais le jour où tu voudras faire un emprunt ou concocter une assurance maladie et que ta banque ou ton assureur "verra" que tu avais fais des examens pour dépister une maladie, ou un problème au poumon (tu fumes?) ou que tu te vantais avec des potes sur Facebook de vos samedi soirs arrosés et accompagnés de joints. à tu trouvera que quelqu'un trouve de l'intérêt à ta "vie ordinaire". Ton crédit sera plus cher ou bien même refusé (individu à risque). Ce n'est qu'une xemple simple. Cerains DRH demandent déjà aux postulants à des postes un accès à leur compte Facebook. Tu refuse t'es pas pris, tu accepte et il sais tout de ta "vie orfianire" diffusée entre amis. Et là, t'es pas pris non plus;-)))))
avatar Manueel | 
@stéphane83 "Si on a rien à cacher je vois pas où est le problème" Dis ça aux Tibétains, aux Iraniens, etc. Et même sans allez si loin, pourquoi tu ne me donnes pas tes secrets ou à des personnes encore + malintentionnées que moi. Non, nous ne sommes pas dans un pays des bisounounours et c'est faire preuve de coupable naïveté que de prétendre livrer les secrets de sa vie à tous les prédateurs
avatar Manueel | 
@DrFatalis Pas totalement faux... Pour l'instant Fais-tu le pari que cela ne changera pas dans le futur ? Et que ces immenses bases de données seront utilisées d'une manière contraire aux intérêts des citoyens? Je pense raisonnable de construire des gardes fous sans attendre
avatar debione | 
@mithrandir Exactement pareil? Petit exemple "à la con": Des gens se sont vu interdire de sol américain parce que dans des emails ils avaient fait des gags certes vaseux du genre: "Ouais il n'y a qu'a mettre une bombe dans un avion"... Google peut le savoir, c'est pas bien important, mais que le gouvernement américain le sache et, sous couvert du patriot act, peut tout à fait faire un mandat pour "suspicion de terrorisme". Du coup, tu te retrouves en danger d'extradition dans la plupart des pays que tu iras visiter... Ce qui est grave, c'est l'absence complète de culture historique des gens qui "Ne voient pas ou est le problème" ou disent "Mes photos de vacances, ils peuvent les regarder pas de prob..." Ouvrez les yeux au-delà de votre personne, c'est pas au niveau individuel le problème c'est au niveau sociétal... (un peu exactement comme pour la voiture, TA voiture n'est pas un problème, ni pour la sécurité, ni pour l'environnement rien... Par contre l'ensemble du parc automobile oui c'est un énorme problème au niveau sécuritaire et environnemental.)
avatar debione | 
@Manueel: Moi ce que je crains pour le futur, c'est des questions de survie d'entreprise... Actuellement Je ne pense pas qu'un Google (ou autre) aie un intérêt autre que vendre de la pub avec ces produits... Mais si demain un concurrent arrive et rafle toutes les parts de Google (la survie d'une entreprise n'est pas éternelle), que Google perdra son coeur de métier, que feront-ils? Laisseront-ils couler la boîte? Ou alors valoriseront-ils et essayeront-ils de vendre ce qu'ils ont pour faire survivre l'entreprise? Et au travers d'une filliale établie dans un pays complaisant vendre des profils complet de personne? La est le gros danger...
avatar stéphane83 | 
@poco comme quoi tu es légèrement hors sujet : il est question ici de données d'importance "gouvernementales" ou du moins qu'un état puisse accéder à des serveurs. Je suis d'accord avec ce que tu expliques et d'ailleurs pas besoin de passer par une instance gouvernementale : ton patron accède à Facebook, les assurances ont leurs fichiers, la pub, etc...comme tu dis. Donc, pas besoin de s'affoler davantage puisque du moment où tu "exposes" ta vie sur des réseaux sociaux et que tes données sont stockées sur un serveurs distants tu n'as quasiment plus le contrôle de tout cela. Il faut savoir être pondéré : je n'utilise pas Facebook (j'aime pas exposer ma famille mes enfants sur internet), je n'utilise pas des services sur le cloud pour les données personnelles (mots de passe, carte bancaire, etc...).
avatar marenostrum | 
google apple ou autres ne feront plus faillite, dans les pires des cas ils seront achetés mais pas disparaitre. parce que faire mieux n'est pas facile et à portée de tous.
avatar stéphane83 | 
@Manueel tu as parfaitement raison et je pense que je me suis mal exprimé. Quand je dis "ma vie ordinaire" c'est justement que je ne trouve aucun intérêt à l'exposer. Les utilisateurs sont les premiers responsables et lorsque l'on confie sa vie et ses données sur le net je pense qu'il faut savoir limiter ce que l'on partage. Quand on voit certains adolescents se suicider après avoir subi des humiliations ou du chantage suite à des photos compromettantes diffusées sur Facebook et bien le danger est déjà présent : et ce n'est pas la NSA qui est allé chercher ça...
avatar Manueel | 
@stéphane83 C'est ce que j'aime lors des débats, quand on dépasse les contradictions apparentes, on s'aperçoit que les points de vue s'enrichissent et se complètent au lieu de se contredire :-) Un bémol tout de même "l'incompétent crasse" qui ne comprend rien des pièges d'internet et de la manière de les éviter, il est majoritaire. Faut-il leur interdire Internet ? les laisser pigeonner par les prédateurs en embuscade ou créer un cadre légale qui empêchent les grandes entreprises internationales de profiter de l'incompétence généralisée ?
avatar stéphane83 | 
@manueel il y a encore beaucoup de choses à encadrer et un cadre légal international à construire afin de maîtriser ces données. En attendant, soyons pondérés et réfléchis : personnellement je n'utilise pas dropbox pour mes mots de passe, je ne partage pas des photos de famille sur Facebook et je préfère que mes enfants apprennent à communiquer à l'école en centre aéré ou dans la rue, j'utilise iCloud pour mes contacts, mes mails, et certains de mes documents car la synchronisation est tout de même un luxe. Mes factures, mes documents administratifs ou autres sont sur DD ou classés normalement dans un classeur. Voilà je pense qu'il y a davantage de danger concernant notre vie privée au niveau des réseaux sociaux que d'une instance gouvernementale qui n'est aucunement préoccupée par ce que contient nos email, nos photos ou autres...
avatar JLG47 | 
Depuis ÉCHELON chacun sait que les services de surveillance des "grandes puissances" sont en mesure de savoir ce qui se passe sur les réseaux. Nul besoins d'obtenir l'autorisation de quiconque. Les systèmes les plus fragiles ont été piégés les premiers, les autre suivent.
avatar Yip | 
Le document date d'avril... Du 1er ?
avatar JLG47 | 
@hartgers Vu que presque toute les société se "cloutent" ça vas devenir compliqué de travailler. À ce sujet, ma crainte n'est pas tant de savoir que l'on sait ce que je fait que de ne pas pouvoir faire pour cause de coupure de liaison.
avatar Stardustxxx | 
@Marc Duchesne Renseignes toi. Ce n'est peut-etre pas precise dans cet article, mais c'est sur ordre du congres americain que la NSA a l'autorisation d'aller chercher ces donnees. Les compagnies suivent la loi. De plus il ne s'agit pas d'un acces direct au server, mais plutot de demandes legale faites aux compagnies, qui legalement doivent repondre. Et pour ceux qui critiquent la collecte des donnees. Ok, mais dans ce cas la Siri et Google Now a la poubelle car ils ne seront jamais pertinent sans acces a nos donnees personnelles. Le probleme ce n'est pas tant que nos donnees personnelles soient recuperes, mais plutot de controler qui a acces a nos donnees. A long terme, on s'en va vers une encryption totale de tout.
avatar Manueel | 
@Stardustxxx "Le probleme ce n'est pas tant que nos donnees personnelles soient récupérés," exacte :-) Le problème n'est pas qu'elles soient récupérées, c'est qu'elles soient stockées avec un identifiant permettant de les croiser et ainsi d'utiliser ces informations avec un objectif contraire à celui du sujet espionné. C'est pour cela que l'utilisation d'un identifiant unique (sécurité sociale) est interdit en France
avatar Stardustxxx | 
@Manueel Le problème c'est qui a accès a ces données, pas qu'elles soient stockées. Sinon comment tu fais pour avoir un service comme gmail ou calendar, etc... sans stocker les données ? Et elles ont forcement un identifiant, sinon on peut pas savoir que ce sont tes données... C'est de savoir qui a accès a ces données qui est important. Et de pouvoir restreindre l’accès. A l'avenir l’idéal est que chacun est sont propre cloud, avec ses données stockées en local sur un serveur chez soi (un NAS par ex). Mais sans connexion fibre optique avec un débit montant conséquent, c'est pas possible ou plutôt pas pratique.
avatar Manueel | 
@Stardustxxx Bahhhh Si je te lis bien, nous sommes d'accord, bien que... ca ne me viendrait même pas à l'idée d'utiliser gmail C'est du masochisme ? ;-)
avatar Manueel | 
@Stardustxxx Dans les années 90,j 'ai créée un des premiers site "sociale" ou l'on signait de sa véritable identité. Mais très vite je me suis aperçu que les personnes pouvaient signer des billets personnels qui, un jour leur porterait préjudice. Dans les cas les plus "graves", j'ai contacté les intervenants en leur conseillant d'utiliser "exceptionnellement" un pseudo. Puis d'Altavista, est arrivé Google, et là j'ai demandé aux informaticiens de bloquer la signatures aux moteurs de recherche, ou tout au moins de laisser le choix aux intervenants d'apparaître aux moteurs de recherche ou de rester masquer.
avatar Trollolol | 
stéphane83 [08/06/2013 16:48] "que d'une instance gouvernementale qui n'est aucunement préoccupée par ce que contient nos email, nos photos ou autres... " D'où la participation financière de la CIA à facebook, google earth et co ? Comme ils en ont ràf de tes photos ils mettent des sous dedans, via leur fond d'investissement In-Q-tel, juste pour mettre des sous? L'avantage d'avoir plein d'informations sur pleins de personnes différentes c'est que ça fait des couvertures très réaliste pour les agents, tu rajoutes un peu de photoshop sur les photos du "faux" profile sur facebook ou autre et l'illusion est quasi parfaite. Plutôt que d'inventer une vie en entier t'as juste à en dupliquer une, c'plus simple, plus rapide et ya moins de risque d'incohérences. Mieux encore, quand tu veux obtenir des infos de mr X, si tu sais tout de sa vie tu peux plus facilement l'amener à te réveler les infos voulu quand tu peux créer un climat de confiance via des infos bien choisis que lorsque t'y va un peux au hasard parce qu't'avais peu d'info fiable à la base. Si ça se trouve t'es le comptable d'un mafieu et bêtement une fois t'as évoquer son nom ou un de ses pseudo dans un email voir fait des photos dans la piscine d'une de ses villas. La brune aux yeux vert d'1m85, qui fait du 95D et qui aime justin biberon, la moto, les tartes aux pommes et les chevaux en plus d'avoir une résidence dans l'Aude tout comme toi, c'pas forcement anodin si elle t'abordes et te dragues. Surtout si ce genre de fille est ton pêcher mignon. :) Julien Assange en est un bon exemple, accuser d'un crime dans le seul pays qui le punit, qui est aussi l'un des pays avec le plus bas taux d'utilisation de capote au monde et un copain des USA, et avec une agent de la CIA qui est aussi la personne qui s'est occuper d'organiser le voyage d'Assange en Suède. Que de coïncidences, n'est-ce-pas ? Pour le moment t'es ptête personne mais qui sais dans 4 ou 5ans, tu seras ptête un géneur qu'il est bon de connaitre.
avatar damiendu83600 | 
@showmehowtolive : Tu le fais trop rigoler à chaque fois à parler à la place de steve ... C'est tellement pitoyable ...

Pages

CONNEXION UTILISATEUR