Le scénario qui plait tant dans un film ou un roman d'espionnage prend soudainement une toute autre saveur lorsque des éléments tangibles donnent à penser qu'il correspond à des pratiques réelles. Jeudi, le Washington Post et le Guardian ont mis en ligne des extraits d'un programme classé confidentiel baptisé PRISM, qui révèlent que les autorités américains ont un accès aux directs aux données utilisateurs stockées par des acteurs incontournables du Web : Apple, Facebook, Microsoft, Google et AOL sont du nombre. Ces informations seraient exploitées par la NSA, l'agence de sécurité nationale américaine, sur requête du FBI.
Ces révélations, accablantes pour qui se soucie de respect de la vie privée, s'accompagnent d'un autre scandale en puissance : mercredi, un ordre de justice en fuite a révélé que l'opérateur américain Verizon laissait la NSA accéder aux données relatives aux appels passés par ses clients. Jeudi, d'autres documents ont montré que les deux autres grands opérateurs mobiles américains, AT&T et Sprint, étaient soumis à la même requête sous la contrainte du Patriot Act, le texte de loi américain qui dote les Etats-Unis d'un arsenal d'outils et de mesures de surveillance censés permettre de lutter contre le terrorisme.
Apple, Facebook et Skype sur écoute ?
L'essentiel des révélations est porté par une présentation à usage interne classée top secret datée d'avril 2013, qui aurait été transmises à la presse par un ex-NSA « horrifé » par la teneur des informations qu'elle contient. Les deux quotidiens affirment avoir pu attester l'authenticité du document. Il décrit la nature des données accessibles par la NSA : contenu des emails, logs de connexion, photos, vidéos, activité sur les réseaux sociaux, appels voix sur IP ou transferts de fichier ; et fournit le calendrier des accès établis vers les neuf sociétés ou services en ligne incriminés. Les portes vers Microsoft seraient ouvertes depuis 2007. Apple aurait été le dernier ajout en date, fin 2012.
D'après l'analyse faite par le Washington Post, il ne s'agirait pas d'une collecte totale des gigantesques bases de données concernées, mais plutôt d'un accès ouvert sur requête dans le cadre d'une enquête, via un portail Web permettant de lancer des recherches. Les documents évoquent tout de même un accès direct aux serveurs des sociétés concernées.
Dès lors qu'un individu est considéré comme suspect dans une affaire touchant à la sécurité de l'Etat (terrorisme, espionnage), les analystes de la NSA auraient la possibilité via ces outils de chercher ses traces, et l'historique de son activité sur l'ensemble des services connectés, décrit le Post.
Les intéressés ont tous réagi quelques heures après ses révélations. D'une même voix, ils nient en bloc leur participation à un tel programme. « Quand une demande de données ou d'informations à propos d'un utilisateur spécifique est envoyée à Facebook, nous analysons avec attention chacune de ces requêtes de façon à vérifier sa conformité avec les lois applicables, et nous ne fournissons d'informations que dans le périmètre défini par la loi », déclare par exemple le responsable de la sécurité du réseau social. Des porte-paroles de Google, Yahoo ou Microsoft ont rapidement tenu des propos similaires.
Cet accès aurait-il pu être ouvert et maintenu au fil du temps à leur insu via des backdoors ? Difficile à croire lorsqu'on parle de services en ligne régulièrement audités et très souvent mis à jour. Des sources proches du dossier laissent entendre au Post que ces accès auraient plutôt été « négociés » via différents moyens de pression, sur la base d'un ordre émis par le département de la Justice.
À plusieurs reprises, les documents publiés soulignent qu'il est d'une importance primordiale de conserver le secret quant à l'identité des acteurs collaborant avec la NSA au travers de ce programme.
Les opérateurs mobiles également concernés
Le dispositif de surveillance élaboré par la NSA dépasserait largement le simple cadre du Web. Mercredi, le Guardian a mis à jour ce qui serait une injonction visant à contraindre la branche Business Services de l'opérateur Verizon à livrer chaque jour un rapport quotidien sur les appels passés depuis les Etats-Unis. Il ne s'agirait pas des communications proprement dites, mais plutôt de toutes les informations connexes : heure d'appel, durée, numéro appelé, numéro IMEI (l'identifiant unique du téléphone mobile utilisé) et même localisation.
Réaction en chaîne jeudi : le Wall Street Journal indique que d'après des personnes proches de la NSA, les opérateurs Sprint et AT&T seraient soumis aux mêmes pratiques et ce depuis sept ans : de quoi ficher les appels passés depuis plus de 250 millions de cartes SIM américaines. Sans entrer dans les détails, le quotidien économique évoque également des liens entre la NSA et les fournisseurs d'accès à Internet, les prestataires de paiement et les spécialistes de la carte de crédit.
Les capacités de surveillance et d'espionnage des Etats-Unis ont été très officiellement renforcées à plusieurs reprises par le Congrès ces dernières années au nom de la lutte contre le terrorisme. Le point d'inflexion est bien sûr le 11 septembre 2001, qui a donné naissance au Patriot Act la même année sous la présidence de George Bush. Le Foreign Intelligence Surveillance Act de 1978 a quant à lui été largement amendé en 2008, une fois Obama passé à la Maison Blanche. Parmi les dispositions prises à l'époque figurait la possibilité d'accorder l'immunité à un acteur des télécommunications en échange de sa collaboration avec les services de renseignement.
Au final, rien de bien neuf sous le soleil ? D'aucuns rappellent que la NSA, qui reste toujours très discrète sur ses méthodes de fonctionnement, n'a pas attendu ces outils pour se doter de capacités de surveillance massive (rappelez-vous la controverse liée à la NSAKEY dans Windows...).
Le renseignement national réagit mollement
James R. Clapper, directeur du DNI, le renseignement national américain, a livré vendredi matin un communiqué dans lequel il défend les mesures de surveillance élaborées par la NSA.
Il commence par y souligner la menace que représente la divulgation de ces documents top secrets pour la force de renseignement américaine, avant d'en pondérer les principaux éléments. Sur la partie téléphonie mobile, il confirme l'existence d'un programme de surveillance, qui n'autorise pas à écouter les appels ou intercepter le contenu des communications, mais permet effectivement d'obtenir certaines métadonnées comme les numéros appelés ou la longueur des appels. Il s'engage à faire de son mieux pour qu'une partie de ces informations seront déclassifiées, de façon à éclaircir le fonctionnement du dispositif.
Pour ce qui est des informations relatives à l'accès aux données des géants du Web, le DNI répond de façon beaucoup plus vague, en affirmant tout de même que les rapports faits par le Post et le Guardian comportent de nombreuses erreurs, relatives notamment à la fameuse section 702 du Foreign Intelligence Surveillance Act de 2008, qui définit les modalités de mise en oeuvre de la surveillance électronique dans le cadre du renseignement.
Jamais James R. Clapper ne récuse l'existence d'un tel programme. Bien au contraire : il en justifie l'existence, en évoquant un outil essentiel au maintien de la sécurité des Etats-Unis. « Les informations collectées dans le cadre de ce programme (il parle ici des activités autorisées par la section 702 plus que de PRISM, jamais mentionné dans le communiqué, ndr) font partie des renseignements extérieurs les plus importants et les plus critiques que nous collectons, et elles sont utilisées pour protéger notre nation d'une grande variété de menaces », écrit-il.
Face au scandale naissant, le renseignement national tient à rassurer. Les pouvoirs conférés par le texte de la section 702 « ne peuvent pas être utilisés intentionnellement à l'encontre d'un quelconque citoyen américain, personne américaine ou quiconque se trouve aux Etats-Unis », assure-t-il encore. Pour le reste du monde, c'est une autre histoire.
(article mis à jour, 5h30, avec les déclarations du DNI)