Révélations sur la NSA : il y a pire que PRISM

Oubliez Prism, le système de la NSA permettant d'extraire des données à partir de Google, Facebook et consorts. Le programme secret le plus effrayant révélé par les récentes fuites concerne la collecte et le stockage de millions de relevés et de géolocalisations téléphoniques de citoyens américains. 

Si on en croit des employés de l'agence de renseignement, passés comme présents et qui ont tous utilisé l'énorme base de métadonnées obtenue auprès des principaux opérateurs télécoms du pays, ces informations sont tout ce qu'il y a de plus accessible pour la communauté du renseignement, et ce depuis de simples ordinateurs.

Les données servent à relier des terroristes connus ou présumés à des individus situés sur le territoire américain et à faciliter leur localisation. Elles ont aussi été utilisées dans le cadre d'enquêtes criminelles se déroulant à l'étranger et pour assister les forces armées postées à l'extérieur des Etats-Unis. 

Mais les législations régentant la collecte et l'usage de ces informations n'ont rien de limpide. Et elles ne sont pas non plus aussi solides que celles associées à Prism, le système que la NSA utilise pour extirper des informations des serveurs des mastodontes technologiques américains. 

Les métadonnées ne sont pas protégées par le Quatrième Amendement. Les contenus des mails et des messages instantanés (ce que Prism permet de récolter), si. 

Une ordonnance émise par le tribunal FISA à l'intention de Verizon demande que l'entreprise fournisse les relevés de toutes ses métadonnées téléphoniques, et ce «dans le cadre d'un suivi quotidien». 

Des experts juridiques ont beau estimer probable la légalité de ce type de collecte, pour Paul Rosenzweig, un ancien responsable du Département de la Sécurité Intérieure des Etats-Unis sous l'administration Bush, elle est «remarquablement invasive et sans doute très peu judicieuse». «Difficile d'imaginer des faits susceptibles de justifier la collecte de l'intégralité des métadonnées américaines. Certes, le monde dans lequel nous vivons a changé depuis le 11-Septembre, mais il n'a pas non plus tant changé que ça», poursuit-il. 

En comparaison, les limitations de Prism semblent plus sérieuses et son assise juridique plus solide. Plusieurs officiels, passés et présents et ayant vu passer les énormes bases de données dont se servent les analystes du renseignement, affirment que le champ d'application de Prism est précisément celui qu'ont défini le Congrès et le gouvernement en 2008, au moment de la modification du Foreign Intelligence Surveillance Act. Le but, c'était de permettre aux agences de renseignement de cibler et d'intercepter les communications d'étrangers lors de leur passage dans des réseaux présents aux États-Unis. 

Cette loi interdit de viser un citoyen ou un résident officiel américain sans mandat, un document qui doit préciser sur quelles bases rationnelles l'individu concerné se voit suspecté de liens avec le terrorisme ou d'être un agent à la solde d'une puissance étrangère. 

Ces derniers jours, dans leur défense de Prism, des officiels n'ont pas cessé de mettre en avant le fait que le tribunal FISA supervisait le programme de collecte, afin de s'assurer qu'il ne ciblait que des entités étrangères et que toute donnée américaine collectée accidentellement était expurgée. Et selon eux, tous les articles mentionnant un «accès direct» du système aux serveurs des entreprises se trompent. Par ailleurs, un responsable du renseignement américain a aussi précisé que le système ne pouvait pas interroger directement les données d'une entreprise Internet. 

Mais l'administration n'a pas expliqué pourquoi la collecte des métadonnées de millions de citoyens et de résidents officiels américains, de manière aussi étendue et avec aussi peu de discernement, relève d'une loi conçue pour éviter à des innocents de voir leurs informations personnelles révélées à des analystes du renseignement. 

De même, personne n'a indiqué pourquoi la NSA avait besoin d'un accès continu et quotidien à toutes ces informations et pendant tant d'années, surtout que n'importe quelle information spécifique peut être ponctuellement obtenue par voie d'assignation. 

Voici pourquoi les métadonnées téléphoniques peuvent se révéler bien plus invasives et relever d'un danger bien plus important pour la vie privée et les libertés civiles que le système Prism: 

1. Les métadonnées en révèlent souvent davantage que le contenu d'une communication, ce que collecte Prism. Une étude publiée par la revue Nature a montré qu'il suffit de quatre «repères spatio-temporels», comme le lieu et l'heure d'un appel téléphonique, pour déterminer l'identité de l'appelant dans 95% des cas. 

2. Selon le Wall Street Journal, en plus des métadonnées téléphoniques, la NSA collecte aussi des métadonnées sur les emails, les recherches Internet et les transactions de carte bancaire (même s'il n'est pas évident que cela soit toujours d'actualité). En combinant ces informations à celles des métadonnées téléphoniques, on peut non seulement accéder à l'identité d'un individu, mais aussi à toute l'étendue de son réseau social, de ses transactions financières et de ses déplacements. 

3. Selon les représentants du gouvernement, les analystes du renseignement ne compulsent pas ces métadonnées téléphoniques sans garde-fou. Deux employés ayant utilisé ces données dans le cadre de la lutte contre le terrorisme affirment qu'elles ne contiennent aucun nom et que lorsqu'un numéro national apparaît, il est bloqué et rayé d'un «X». 

Mais de tels systèmes de contrôle, selon un ancien employé du renseignement, sont des règlements internes aux agences et rien ne dit que le tribunal FISA ait quelque chose à en dire. Selon cet employé, s'il voulait voir le numéro bloqué, il devait demander la permission à sa direction juridique. Cette permission lui était souvent accordée, mais sans qu'il ait connaissance du processus juridique à l’œuvre, ni la certitude que cette demande repassait par le tribunal FISA. 

4. Toute la communauté du renseignement peut largement accéder à cette base de métadonnées et ce via de simples ordinateurs, ce qui augmente les risques d'utilisation dévoyée. 

5. Les métadonnées ont le potentiel de faire déraper des missions. Elles ne sont pas uniquement utilisées pour déjouer des complots terroristes sur le territoire américain, comme l'ont assuré certains législateurs. Elles permettent aussi aux forces militaires postées à l'étranger de pister des réseaux de terroristes et d'insurgés. Et elles sont aussi utilisées dans le cadre d'enquêtes internationales, dont certaines concernant des trafiquants d'armes présumés. 

Pour toutes ces raisons, et pour d'autres qui émergeront sans doute dans les jours qui viennent, c'est de ces métadonnées qu'il faut davantage avoir peur. En comparaison, Prism n'est qu'un nom plutôt cool, une présentation PowerPoint pourrie –et rien de vraiment nouveau sous le soleil.