Lutter contre la surveillance : armer les contre-pouvoirs

Lutter contre la surveillance : armer les contre-pouvoirs

Hubert GUILLAUD

"Il y a quelques jours nous avons appris que la NSA, l’agence nationale de sécurité américaine, avait reçu tous les enregistrements des clients de l’opérateur téléphonique américain Verizon pour une période de trois mois à compter d’avril", commence le spécialiste de la sécurité Bruce Schnier ( LoZ schneier) dans un article pour The Atlantic intitulé "Ce que nous ne savons pas sur l’espionnage des citoyens est plus effrayant que ce que nous savons", réagissant aux premières révélations du Guardian sur le programme de surveillance des écoutes de Verizon (auquel s’est ajouté celui du programme de surveillance des contenus hébergés par les Majors de l’internet via le programme Prism, révélé par le Washington Post).

Les enregistrements provenant de Verizon concernent tout sauf le contenu vocal, rappelle Schneier : qui appelle qui, la localisation des appels, leur durée... "Ces métadonnées" permettent au gouvernement de suivre les mouvements de tout le monde durant cette période et de construire une image détaillée de qui parle à qui. Ce sont exactement les mêmes données que le ministère de la Justice américain a recueillies récemment sur les journalistes d’Associated Press (voir les explications du Monde.fr et comme le rappelait Chris Soghoian de l’Union pour les libertés civiles américaines dans un article de The Verge, il y a des catégories entières d’informations pour lesquelles les métadonnées peuvent être aussi sensibles que les contenus).

L’ordre de la NSA à Verizon a commencé quelques jours après que les auteurs de l’attentat de Boston aient été capturés par la police, souligne Schneier, qui pointe le fait que nos démocraties ont besoin d’une plus grande transparence sur les activités de sa police.

"Nous ne savons pas beaucoup de choses sur la façon dont le gouvernement espionne, mais nous savons certaines choses. Nous savons que le FBI a émis des dizaines de milliers de lettres de sécurité nationale ultra secrètes (ce sont des demandes d’information demandées par le FBI aux opérateurs téléphoniques et fournisseurs d’accès, NDE) pour collecter toutes sortes de données sur les personnes - nous pensons que cela concernerait des millions de personnes - et en a abusé pour espionner les utilisateurs de services de cloud computing. Nous savons qu’il peut recueillir un large éventail de données personnelles d’internet sans mandat. Nous savons également que le FBI a intercepté les données de téléphones portables, toutes, sauf les contenus vocaux, depuis les 20 dernières années, sans mandat et peut utiliser un micro sur certains téléphones classiques - sans doute uniquement avec mandat."

JPEG - 73.2 ko
Image extraite du blog “Obama is checking your e-mail” (Obama contrôle vos e-mails), une réponse parodique aux révélations récentes.
"Nous savons que la NSA dispose de nombreux programmes nationaux de surveillance et d’extractions de données, ayant des noms de code comme Traiblazer, Stellar Wind et Ragtime - utilisant délibérément différents noms de code pour des programmes similaires pour contrecarrer la surveillance et cacher ce qui se passe réellement. Nous savons que la NSA construit une énorme installation informatique dans l’Utah pour stocker toutes ces données et dispose de réseaux informatiques plus rapides pour traiter tout cela. Nous savons que le cyber commandement américain emploie 4000 personnes.

Nous savons que le département de la sécurité intérieure américain collecte également une quantité massive de données sur les personnes et que les services de police locaux organisent des "centres de fusion" pour collecter et analyser ces données pour dissimuler les ratés de ce programme. Tout cela fait partie de la militarisation de la police.

Rappelez-vous en 2003, quand le Congrès américain a refusé les fonds pour le décidément sinistre programme Total Information Awareness ? Il n’est pas mort. Il a juste changé de nom et a été divisé en plusieurs petits programmes. Nous savons que des entreprises font une énorme quantité d’espionnage pour le compte du gouvernement : de toutes parts.

Mais si nous savons tout cela ce n’est pas parce que le gouvernement est honnête et disponible, mais principalement par le biais de trois canaux de retour : les allusions par inadvertance ou les aveux catégoriques d’officiers du gouvernement lors d’auditions ou d’enquêtes, les informations recueillies par des documents gouvernementaux dans le cadre de la législation sur la liberté d’information, et par les actions des dénonciateurs et lanceurs d’alertes.

Mais il y a bien plus de choses que nous ne savons pas, et souvent ce que nous savons est obsolète. Nous en savons un peu sur le programme Echelon de la NSA grâce à une enquête européenne de 2000 et sur les plans du Département de sécurité intérieure concernant le Total Information Awareness de 2002, mais beaucoup moins sur la façon dont ces programmes ont évolué. Nous pouvons tirer des déductions sur les installations de la NSA dans l’Utah sur la base du montant théorique de données provenant de diverses sources comme le coût des infrastructures de calcul et les exigences de puissance de l’installation, mais ce sont au mieux des approximations. Pour l’essentiel, nous sommes complètement dans le noir.

Et ce n’est pas ce qu’il faut.

Le gouvernement américain est dans une frénésie du secret. Il surclassifie plus d’informations que jamais. Et nous apprenons, encore et encore, que notre gouvernement qualifie régulièrement des choses, non pas parce qu’elles ont besoin d’être secrètes, mais parce que leur libération l’embarrasserait.

Savoir comment le gouvernement espionne nous est important. Non seulement parce que l’essentiel de cet espionnage est illégal - ou, pour être aussi charitable que possible, basé sur de nouvelles interprétations de la loi - mais parce que nous avons le droit de savoir. La démocratie exige des citoyens bien informés afin de fonctionner correctement, la transparence et la responsabilité sont des éléments essentiels de cela. Cela signifie savoir ce que notre gouvernement fait pour nous, en notre nom. Cela signifie savoir ce que le gouvernement fait dans les limites de la loi. Sinon, nous vivons dans un état policier."

Protéger les dénonciateurs

"Nous avons besoin de dénonciateurs.

Faire fuiter l’information sans se faire attraper est devenu difficile. Il est presque impossible de maintenir la vie privée à l’ère d’internet" (comme le disait Schneier dans un récent article pour CNN dont nous avions rendu compte), explique-t-il en évoquant Bradley Manning et Wikileaks ou la plateforme sécurisée du New Yorker pour lui communiquer des informations compromettantes et en pointant vers les solutions existantes pour faire fuiter des informations de la manière la plus discrète possible, comme le fait le Centre national des lanceurs d’alerte américain.

"La fuite d’information est également très dangereuse. L’administration Obama a lancé une guerre contre les dénonciateurs, les poursuit - à la fois légalement et par l’intimidation - plus que ne l’a faite toute autre administration précédente. Mark Klein, Thomas Drake et William Binney ont tous été persécutés pour avoir exposé les détails techniques de notre état de surveillance. Bradley Manning a été traité cruellement et inhumainement - et peut-être torturé - pour avoir organisé la fuite des secrets du département d’État.

Les actions de l’administration Obama contre l’Associated Press, sa persécution de Julian Assange et sa poursuite sans précédent de Manning pour "intelligence avec l’ennemi" démontre dans quelle mesure il est prêt à aller pour intimider les dénonciateurs - ainsi que les journalistes qui leur parlent.

Mais la dénonciation est essentielle, et doit être d’autant plus étendue dans un gouvernement-espion. Elle est nécessaire pour le bon gouvernement et pour nous protéger contre les abus de pouvoir."

L’enjeu que pointe très bien Schneier ici vise à la protection des lanceurs d’alertes, même si toute la difficulté consiste à les définir. On voit bien que les législations nationales et internationales s’interrogent et évoluent sur ce point, passant de la reconnaissance à l’élargissement du champ d’application de la loi. Ce que montre Schneier c’est qu’il faut activement continuer ces travaux.

Mieux surveiller les surveillants

"Nous avons besoin de plus de détails sur la pleine mesure des capacités d’espionnage du FBI. Nous ne savons pas qu’elles sont les informations qu’il recueille systématiquement sur les citoyens américains, les informations supplémentaires qu’il recueille sur ceux des diverses listes de surveillance, et les justifications juridiques qu’il invoque pour ses actions. Nous ne savons pas ses plans pour la collecte des données à l’avenir. Nous ne savons pas ce que recouvrent les scandales et les actions illégales passées ou présentes.

Nous avons également besoin d’informations sur les données que la NSA rassemble, que ce soit au niveau national ou international. Nous ne savons pas combien il en recueille subrepticement, ni combien en s’appuyant sur des arrangements passés avec diverses sociétés. Nous ne savons pas combien de fois il utilise des outils pour craquer des mots de passe ou des données cryptées ni combien de fois il exploite les vulnérabilités de systèmes existants. Nous ne savons pas si délibérément il insère des portes dérobées sur les systèmes qu’il veut tracer, que ce soit avec ou sans la permission des éditeurs de systèmes de communication.

Et nous avons besoin d’informations sur les types d’analyses que ces organisations réalisent. Nous ne savons pas ce qu’ils éliminent rapidement au point de collecte, ni ce qu’ils stockent pour une analyse ultérieure - ni combien de temps ils stockent. Nous ne savons pas le genre de profilage de base de données qu’ils réalisent, ni la réalité de l’étendue de l’analyse des réseaux de caméras de surveillance ou de drones, combien de fois ils effectuent une analyse comportementale, ou comment tracent-ils massivement les relations des personnes qui sont sur leurs listes de surveillance.

Nous ne savons pas quel est l’ampleur de l’appareil de surveillance américain aujourd’hui, que ce soit en terme d’argent, d’employés, ni du nombre de personnes surveillées ou la quantité de données recueillies. La technologie moderne permet de contrôler largement plus de personnes qu’il ne pourrait jamais être fait manuellement - les révélations récentes sur la NSA démontrent qu’elle pourrait facilement surveiller tout le monde."

Schneier, ici, pointe très bien du doigt que la surveillance organisée par nos gouvernants doit être plus transparente. Cela ne signifie pas que nous devions tout savoir, mais que celle-ci doit être mieux encadrée qu’elle ne l’est. L’enjeu n’est pas de savoir ce qu’ils font, mais jusqu’où ils vont, ou pour le dire autrement, que la classification des actions ne doit pas signifier la classification des bilans ou des méthodes. On pourrait dire que l’action de la police devrait être plus transparente, mais en fait il faudrait plutôt dire qu’elle ne peut pas être totalement obscure.

Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens

"La dénonciation est la réponse morale à une activité immorale accomplie par ceux qui sont au pouvoir. Ce qui est important ici, ce sont les programmes et les méthodes, plus que les données concernant le public. Je comprends que je demande aux gens de s’engager dans un comportement illégal et dangereux. Faites-le avec soin et faites avec le plus de sécurité possible, mais - et je parle directement à vous, personne travaillant sur un de ces secrets ou de ces programmes illégaux - faites-le.

Si vous voyez quelque chose, dites quelque chose. Il ya beaucoup de gens aux États-Unis qui apprécieront et vous admireront.

Pour le reste d’entre nous, nous pouvons vous aider en protestant contre cette guerre contre les dénonciateurs. Nous devons forcer nos politiciens à ne pas les punir - enquêter sur les violations et non sur les messagers - et veiller à ce que des personnes injustement persécutées puissent obtenir réparation.

Notre gouvernement met son propre intérêt avant les intérêts du pays. Cela doit changer."

Face à la montée de la surveillance, la dénonciation est la seule arme des citoyens. Cela signifie donc que nous devons l’armer légalement.

Le juriste américain Daniel Solove, spécialiste de la vie privée (voir La valeur sociale de la vie privée), auteur de Rien à cacher : le faux compromis entre vie privée et sécurité est allé dans le même sens que Bruce Schneier en réagissant à ces affaires dans un article pour Linked-in. Dans cet article, il répond à la défense que le président Obama a fait de ces programmes.

"Certes, le président a déclaré qu’on ne pouvait pas avoir 100% de sécurité et 100% de vie privée et aucun inconvénient et que le gouvernement devait faire des choix. C’est certainement vrai, mais, s’il y a des compromis à faire, le débat reste toujours jeté comme un choix entre tout ou rien. En fait, le problème de ces programmes n’est pas qu’ils réduisent la vie privée, mais de savoir si ces programmes sont soumis à une surveillance appropriée, à une responsabilisation et une transparence suffisante."

Solove répond ensuite aux arguments d’Obama qui a rappelé que le Congrès et les juges avaient voté des lois autorisant ces programmes. "Le fait que le Congrès et le pouvoir judiciaire aient été impliqués ne signifie pas automatiquement qu’il y ait une surveillance adéquate", répond Solove. Dans les années 70, le Congrès américain avait mené une enquête sur la surveillance faite par le gouvernement et avait publié un rapport qui faisait la chronique des violations du droit par les agences du gouvernement, pointant du doigt notamment la surveillance injustifiée du FBI sur Martin Luther King. Mais depuis, le Congrès n’a pas réitéré pareille enquête. Or, pour s’engager dans une surveillance adaptée, il devrait mener une enquête de ce type au moins tous les 10 ans, estime le juriste.

Ensuite, rappelle Solove, "le contrôle judiciaire de ces programmes de surveillance est souvent minime et fait en secret. Il n’existe aucun moyen pour le public d’évaluer les programmes si tout est clandestin. Enfin, nous ne devrions pas faire confiance au gouvernement. Ce devrait être l’inverse : le gouvernement devrait nous faire confiance. Dans une démocratie, le gouvernement sert la volonté du peuple, et le gouvernement doit toujours avoir à justifier ce qu’il fait. Les gens sont le patron ultime, or nous ne pouvons pas évaluer ce que le gouvernement fait sans transparence.

Bien sûr, parfois le secret est nécessaire pour une période de temps, mais il devrait être utilisé avec plus de parcimonie. Comme je le décris dans mon livre, d’innombrables gouvernements ont eu recours au secret par le passé, mais la plupart du temps pour des raisons inutiles ou pour couvrir des erreurs ou des abus."

Selon la loi, les numéros de téléphone et les durées d’appels reçoivent beaucoup moins de protection que leurs contenus. Mais c’est là une grave lacune de la loi estime le juriste. Les numéros que l’on appelle révèlent beaucoup sur nos activités privées, il permet de connaître l’identité de vos relations et de supposer certaines choses en se basant sur la fréquence des appels, rappelle encore Solove.

Enfin, Barack Obama a justifié le fait que certaines informations soient classées secret défense, afin que les terroristes ne soient pas au courant et n’adaptent pas leurs mesures en fonction. Pour Solove, ce sempiternel argument selon lequel la transparence aide les terroristes n’est pas clair. "Révéler les paramètres de base, les méthodes, les principes des diverses formes de surveillance ne rendrait pas la surveillance inefficace", avance le juriste. Ce n’est pas parce qu’on dispose de la liste des techniques de sécurité utilisées par une banque qu’on va trouver la solution pour la cambrioler. Si on en possède les plans détaillés et toutes les informations relatives, peut-être. Mais peut-être y a-t-il une différence entre la transparence totale et l’information exacte et nécessaire ?

"Au minimum, les affirmations selon lesquelles les programmes de surveillance doivent être gardés secrets doivent être remis en cause", conclut Solove. "Et même plus, le public a besoin de savoir ce que fait le gouvernement. Sans cette transparence, il n’existe aucun moyen pour le public d’évaluer le gouvernement. La démocratie ne fonctionne pas sur la confiance aveugle."

Ce que nous disent en tout cas ces deux éditorialistes, c’est que la surveillance des gouvernants est primordiale et que celle-ci doit être organisée, encadrée et régulièrement revisitée. Et ce d’autant plus que les moyens de surveillance se démultiplient et sont plus accessibles. Les citoyens doivent avoir accès aux méthodes, aux techniques, aux bilans... Pas aux actions peut-être, mais celles-ci doivent être mesurées et évaluées. La technologie donne au renseignement une puissance sans précédent. En retour nous devons exiger que le bilan qui nous en est livré soit lui aussi plus puissant, afin que nous puissions mieux armer la régulation et nos contre-pouvoirs.

Hubert Guillaud

* http://www.internetactu.net/2013/06/13/lutter-contre-la-surveillance-a...