Les rapports de force entre les five eyes et des sociétés du numérique

Depuis les années 2000, le développement de la société de l’information et du monde immatériel facilite les échanges internationaux. Les géants du numérique ont su exploiter la vague de l’Internet et de l’informatique pour accroître leur influence et la dépendance des usagers. Toutefois, ce développement exponentiel comporte un volet transgressif, largement exploité par les services de renseignement dans les opérations cyber, à des fins d’espionnage en masse. Malgré de nouvelles législations depuis les révélations de l’affaire Snowden, les choses ont-elles réellement changé ? Dans le bras de fer entre géants du numérique et services de renseignement, lesquels sortiront finalement vainqueurs de l’affrontement ?

Le droit, bras armé des Five-Eyes

Signé en 1946 dans le contexte de la guerre froide, le UKUSA Agreement[1] est un accord passé entre les services de renseignement britanniques et américains en matière de coopération autour du renseignement électromagnétique, dit SIGINT (Signals intelligence). En 1955 cet accord a été étendu[2] au Canada, à l’Australie et à la Nouvelle-Zélande. Cette organisation anglo-saxonne du renseignement est plus connue sous le terme Five-Eyes (FVEY).

À la suite du traumatisme du 11 septembre 2001, l’administration de Georges W. Bush déclare la guerre au terrorisme en signant l’USA Patriot Act moins de deux mois après les attentats[3]. Premièrement, cette loi autorise l’usage des nouvelles technologies pour effectuer une surveillance itinérante et une interception des communications électroniques, orales et filaires relatives au terrorisme, à l’immigration, aux infractions de fraude et d'abus informatiques (Sections 201 et 202). Deuxièmement, la loi impose le partage d'informations et la coopération entre les agences gouvernementales en matière de renseignement, de renseignement extérieur et de contre-espionnage (Section 203).

Sont concernés les 17 agences de la communauté du renseignement (dont la CIA, la NSA et le FBI), les départements de la défense (DOD), de la sécurité intérieure (DHS) et de la justice (DOJ). Initialement, la section 203 devait être valable pour une durée de 4 ans mais a été reconduite pendant près de 15 ans par l’application du USA Patriot Improvement and Reauthorization Act of 2006[4]. Le partage d’informations a été élargi aux agences fédérales, aux États, aux collectivités territoriales, aux entités locales et tribales, et au secteur privé (dont les sociétés du numérique) par deux autres textes (Homeland Security Act of 2002 et l’Intelligence Reform and Terrorism Prevention Act of 2004). Enfin, la loi prévoit l’accès aux « dossiers et autres éléments » (Section 215), sans autorisation d’un juge, en vertu de la loi sur la surveillance des services de renseignement étrangers, la FISA (Foreign Intelligence Surveillance Act).

De son côté, le Royaume-Uni n’est pas en reste. Également conçue pour lutter contre le terrorisme, la loi RIPA 2000 (Regulation of Investigatory Powers Act 2000) autorise les services de renseignement (GCHQ, MI5, SIS), la défense (MoD), les services de la sécurité intérieure et les douanes à intercepter toute information ou communication relative à la sauvegarde du « well-being » de l’économie du Royaume-Uni contre les intérêts des puissances étrangères[5].

En matière de coopération, Américains et Britanniques sont sur la même longueur d’ondes.

Dans le rapport du faible au fort, un lanceur d'alerte peut inverser la tendance

Entre 2010 et 2013, l’ancien agent de la CIA et contractuel de la NSA Edward Snowden, révèle au monde entier l’abus et la déviance de la section 215 du Patriot Act par la méthode SIGINT, sous l’administration de Barack Obama. À ce titre, les services de renseignement américains via la NSA ont mis en place un outil central redoutable du nom de XKEYSCORE[6] utilisant le programme PRISM[7] qui a pour objectif de surveiller massivement la population, les gouvernements ennemis mais aussi alliés, les dirigeants de grandes entreprises ; et d’exploiter les métadonnées collectées (géolocalisation, historique de navigation, historiques d’appels …). Les services de renseignement américains ont obtenu la coopération (contrainte ou consentie) des opérateurs téléphoniques, des géants du numérique et de la Silicon Valley, sous couvert de l’immunité de la FISA offerte par la section 225 du Patriot Act. Par géants du numérique, sont concernés les sociétés de télécommunication comme Verizon, les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et autres entreprises de la Tech californienne, Snap Inc (Snapchat), Twitter ou encore Reddit.

Dans ses révélations, Edward Snowden n’épargne pas le Royaume-Uni, agissant dans le cadre de l’organisation FVEY, de la loi RIPA 2000 et de XKEYSCORE. Au travers du programme TEMPORA, le GCHQ a installé un système d’interceptions électroniques sur les câbles sous-marins et réseaux de fibres optiques entrants et sortants de Grande-Bretagne. Sachant que 99% des communications mondiales affluent au travers des câbles sous-marins et que la Grande-Bretagne est le principal point d’entrée pour le continent eurasiatique, les Britanniques sont capables de capter près d’un quart des communications mondiales. Tout comme PRISM, TEMPORA collectait et stockait de grandes quantités d’informations (emails, réseaux sociaux, historiques et appels sur Internet …).[8]

La médiatisation des révélations du lanceur d’alerte a un retentissement mondial, l’opinion publique est scandalisée, les sociétés du numérique sont décrédibilisées et les services de renseignement des FVEY sont humiliés.

Une nouvelle législation impulsée par la société civile

Il aura fallu attendre 2015 après d’âpres débats entre la société civile et l’appareil législatif pour que soit signé l’USA Freedom Act[9] en remplacement du Patriot Act. Cette nouvelle loi met fin à la controversée et abusive section 215 concernant la collecte d’informations en masse. La collecte doit désormais être justifiée, interdisant le ciblage par zone géographique, par service de communication électronique ou par service informatique (Section 201). La loi impose à la FISA la désignation de personnes indépendantes, les « amicus curiae », pour examiner les demandes d’ordonnance présentant une interprétation nouvelle ou significative du droit (Section 401). De plus, le Freedom Act impose plus de transparence de la part de la FISA, qui doit fournir certaines informations au gouvernement au travers d’un reporting régulier, telles que le nombre total d’ordonnances de la FISA rendues pour la surveillance électronique, le ciblage de personnes à l'extérieur des États-Unis, les dispositifs de traçage ou les registres des détails des appels (Section 602). Enfin, la loi donne au secteur privé, les possibilités de communiquer publiquement le nombre d’ordonnances reçues de la part de la FISA (Section 603).

Cependant, les organisations de la société civile, à l’image de l’ACLU (American Civil Liberties Union)[10] estiment que cette nouvelle législation n’est pas suffisamment aboutie, dénonçant des failles à propos des fouilles clandestines et des méthodes de déchiffrement des services de renseignement autorisés par la FISA (Section 702). Alors qu’une révision du Freedom Act[11] a été engagée en octobre 2020, l’EFF (Electronic Frontier Foundation)[12] craint que les dispositions expirées (comme la section 215) ou arrivant à expiration, ne soient ré-autorisées ou prolongées par le Congrès, comme cela a déjà pu être le cas par le passé.

L’impact du Freedom Act est davantage retentissant médiatiquement que révolutionnaire dans la réforme du renseignement. En outre, étant donné que cette réforme concerne uniquement la collecte d’informations sur le territoire américain, les FVEY peuvent ainsi poursuivre leur surveillance dans le reste du monde.

Les sociétés du numérique sur la défensive et les FVEY en stratégie de contournement

Alors que les géants du numérique ont activement participé à la fourniture massive de données, ces derniers tentent de redorer leur blason face à la défiance des utilisateurs. Les sociétés du numérique recourent désormais au chiffrement des communications via les applications (telle que WhatsApp de Facebook) et les systèmes d’exploitation des smartphones (comme l’Android de Google ou l’iOS d’Apple). Depuis le scandale, de nouvelles sociétés se sont insérées sur le marché des messageries et des applications chiffrées, à l’image de Telegram, Signal ou encore Wiebo.

Toutefois, malgré l’adoption du Freedom Act, les services de renseignement s’adaptent et contournent le système de chiffrement des géants du numérique. En 2017, un ancien employé du gouvernement américain transmet à Wikileaks[13] (dossier Vault 7) une série de documents confidentiels révélant l’étendue des capacités de piratage et d’écoutes clandestines opérées par la CIA, en collaboration avec le MI5/BTSS (British Security Service) et le GCHQ. En effet, les FVEY ont développé des logiciels malveillants (backdoors, vers, virus, chevaux de Troie) capables de s’introduire dans les smartphones du monde entier en interceptant le trafic de données avant que le chiffrement ne soit appliqué. Principales cibles : Apple, Android et Samsung. Les smartphones infectés transmettent directement à la CIA les données de géolocalisation, les données texte, vidéo et audio.

 En adaptant les logiciels malveillants aux appareils ciblés, la collecte de données en masse n’est finalement pas réellement abolie. En effet, en ciblant Apple et donc une certaine élite de la société mondiale mais aussi Android, plus accessible et plus populaire, les FVEY continuent d’espionner une part massive de la population mondiale. Enfin, les FVEY ont mené une opération clandestine d’attaques sur des téléviseurs intelligents Samsung. Cette intrusion permettait d’utiliser les appareils comme des mouchards transmettant les écoutes des conversations enregistrées à l’insu des propriétaires.

Ainsi, les services de renseignement contournent non seulement le Freedom Act et son système d’ordonnances FISA à destination des géants du numérique, mais aussi les solutions de chiffrement mises en œuvre par ces derniers. De plus, le développement des technologies connectées, souvent plus vulnérables en matière de cybersécurité, ouvre de nouvelles perspectives et de nouvelles opportunités aux FVEY dans leur stratégie de contournement. Dans ce bras de fer, le rapport de force semble perdu d’avance pour les géants du numérique, puisqu’en l’absence de législation contraignante pour les services de renseignement, ces derniers ne cesseront de développer de nouveaux systèmes de contournement, des « cyber armes », pour arriver à leurs fins. L’enjeu sous-jacent de ces opérations est de mettre à disposition des acteurs économiques américains, les données utiles leur procurant des avantages concurrentiels dans la guerre économique qui se joue au niveau mondial.

 

Marion Rey
24ème promotion d'excellence SIE

 

[3] USA Patriot Act, 2001. Uniting and strengthening America by providing appropriate tools required to intercept and obstruct terrorism.

[6] Le Monde, Plongée dans la "pieuvre" de la cybersurveillance de la NSA 2013, 2019, publié le 27 août 2013 et mis à jour le 04 juillet 2019.

[8] The Guardian, 2013. E. MacAskill, J. Borger, N. Hopkins, N. Davies et J. Ball, GCHQ taps fibre-optic cables for secret access to world's communications, 21 juin 2013.

[9] USA Freedom Act, 2015. Uniting and strengthening America by fulfilling rights and ensuring effective discipline over monitoring Act of 2015.

[10] ACLU Analysis and Recommended Improvements for USA Freedom Act of 2015, Lettre au Washington Legislative Office, 29 avril 2015.

[13] Wikileaks, Vault 7: CIA Hacking Tools Revealed, 7 mars 2017.