6 juin 2013, Hong Kong. D’une chambre d’hôtel de Kowloon, émanait le premier article d’une série de révélations qui ébranlera les agences de renseignements les plus puissantes du monde. Ce premier article traitait de la collecte systématique des métadonnées[1] d’ appels de millions d’Américains à la National Security Agency (NSA), l’agence de renseignement responsable de la collecte de renseignement d’origine électromagnétique (SIGINT). Se sont ensuivis une série d’articles et de publications de documents secrets qui forment ensemble les « Révélations Snowden ». Aujourd’hui, 5 ans après leur genèse, nous pouvons en admirer la fresque et nous pencher sur les fruits de ces révélations ainsi que les questions qu’elles ont soulevées et soulèvent encore.

Figure 1 : Edward Snowden

Edward Snowden, l’auteur des révélations éponymes, ainsi que les journalistes, réalisateurs et activistes qui se sont efforcés à vulgariser le sujet très technique de la collecte de renseignement, poursuivaient le but de générer une discussion publique sur les effets des programmes de surveillance jusqu’alors confidentiels mis en place par la NSA depuis la fin des années 90, à l’aube d’internet.

Le débat public ainsi généré a permis de sortir de l’ombre et d’améliorer le processus d’autorisation et de contrôle judiciaire et parlementaire de ces programmes de surveillance de masse. L’exemple le plus fameux est sans conteste la section 215 du « PATRIOT Act » qui fut amendée en 2015 à la suite des révélations. Ce texte de loi, voté dans les mois suivant le 11 septembre, permettait à la NSA de forcer des entreprises opérant sur le territoire américain à systématiquement transférer les métadonnées des appels de leurs clients dans leurs serveurs afin qu’ils soient passées au peigne fin par divers programmes[2]. Aujourd’hui, la NSA doit obtenir l’autorisation au « cas par cas » afin d’accéder à ces métadonnées qui sont désormais systématiquement collectées par les opérateurs téléphoniques et non plus directement par la NSA.

 

Ainsi, la discussion lancée par les révélations a permis de garantir une meilleure protection des données en changeant les lois nationales des différents pays impliqués. On pourrait alors naïvement conclure que l’affaire est résolue puisque les lois et leur application ont changé. Cependant, la joie n’est que de courte durée. Si l’on examine de plus près la portée des amendements cités plus hauts, force est de constater que ces lois s’arrêtent à la frontière physique du pays (selon le principe de territorialité) et ne protègent ainsi que les communications nationales. Le principe de territorialité parait immédiatement absurde dès que l’on compare ce concept au fonctionnement d’internet, qui lui, ne connaît pas de frontières. Un email envoyé depuis la Suisse vers un autre destinataire Suisse peut très bien transiter par des serveurs étrangers et ainsi se faire légalement intercepter par les services de renseignement du pays concerné. Cela nous pose donc devant le premier grand défi qu’induisent les révélations Snowden : la création d’un cadre légal international qui régulerait le statut des communications électroniques au niveau mondial. Ce cadre légal peut sembler quelque peu utopiste quand on prend en considération le climat de repli national qui règne de nos jours. Bien que cette tâche puisse sembler herculéenne, la nécessité de connecter la base légale à la réalité physique demeure sur le long terme.1024px-Seal_of_the_U.S._National_Security_Agency.svg.png (1024×1024)

Figure 2 : NSA Logo

Snowden ainsi qu’une multitude d’acteurs économiques conçoivent entre temps, sur le moyen terme, un changement technologique. Ce changement technologique se matérialise avant tout au travers de la pression accrue de l’opinion publique sur les géants du secteur technologique ainsi qu’au travers de startups et de PME qui se sont confié la mission de démocratiser l’utilisation d’outils sécurisant nos communications.

Dans le premier cas, la pression publique a permis l’implémentation du cryptage « End to End » dans des produits comme What’s App, Telegram, etc. Il ne s’agit pas ici d’outils nouveaux car ces méthodes de cryptages sont disponibles depuis une vingtaine d’années. Cependant, leur utilisation était jusqu’alors relativement compliquée car peu de services de communication[3] les proposaient. Cet exemple est cependant utile car il souligne la direction que prend l’industrie technologique ; celle de la démocratisation du cryptage des communications. Bien que cette initiative soit un bon point de départ, elle ne garantit nullement l’absence de portes dérobées dans les serveurs du service en question qui permettrait à ses propriétaires de lire le contenu de toutes les communications. On peut ainsi citer l’exemple de Skype qui fut contraint par la NSA d’implémenter une telle porte dérobée afin de satisfaire la demande en renseignements électronique de cette dernière. Un second exemple est livré par What’s App et plus particulièrement sa relation avec sa maison mère, Facebook. En effet, les deux fondateurs du service ont quitté la compagnie à la suite de divergences d’opinion avec Facebook qui visait à réduire le cryptage et à collecter de plus en plus de données sur ses utilisateurs.

La deuxième voie, celle des start-ups et des PME paraît donc la plus viable. Ces entreprises peuvent se mouvoir sous le radar des acteurs institutionnels et sont plus aptes à changer leur siège de pays afin de profiter des meilleures lois sur la sphère privée. De plus, ces petites entreprises sont le berceau de nouvelles idées innovantes comme des services de messagerie décentralisés et cryptés. L’aspect qu’ils partagent avec les plus grandes entreprises est la démocratisation des services de communication cryptés comme l’explique le fondateur de ProtonMail, une start-up genevoise qui propose un service de mails cryptés.

1280px-Protonmail_logo.svg.png (1280×203)

Figure 3 : Proton Mail logo

Grâce à tous ces constats, on peut entrevoir le chemin que les services de communication devront prendre pour maintenir le degré de liberté et d’accessibilité qu’ils offrent, tout en gardant les communications des utilisateurs à l’abri des regards indiscrets. Technologique sur le court terme puis légal sur le long terme, ce changement ne peut s’opérer qu’à travers l’attention que nous lui portons. Soyons donc alertes.

 

Bernhard Bieri

 

  1. Métadonnées : données qui accompagnent une communication ou un document. Dans le cas d’un appel téléphonique ce sont des données tels que les numéros des deux interlocuteurs ainsi que le lieu de l’appel, la date, l’heure et la durée de l’appel. Idem pour les mails, les messages, etc.
  2. Via le programme de renseignement PRISM notamment.
  3. Le terme service de communication est utilisé au sens large dans ce cas. Il inclut les services de mail, les services de messagerie instantanée, etc.

 

Pour aller plus loin (sources)
https://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order https://www.gpo.gov/fdsys/pkg/PLAW-107publ56/pdf/PLAW-107publ56.pdf (Patriot Act) https://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data https://www.washingtonpost.com/business/economy/whatsapp-founder-plans-to-leave-after-broad-clashes-with-parent-facebook/2018/04/30/49448dd2-4ca9-11e8-84a0-458a1aa9ac0a_story.html?noredirect=on&utm_term=.f93bc29e4f20