Apple, Google, Microsoft et plusieurs autres géants américains de l'Internet ont démenti leur collaboration à PRISM, un vaste programme de collecte de données géré par la NSA. Le Guardian et le Washington Post ont tous deux publié cette nuit un document PowerPoint issu de la National Security Agency. Il leur a été fourni par un agent au fait du fonctionnement de PRISM et se disant écoeuré de l'étendue de ses possibilités.
Les entreprises mentionnées ont commencé une à une à offrir un démenti. Un porte-parole d'Apple a déclaré à AllThingsD « Nous n'avons jamais entendu parler de PRISM. Nous ne donnons un accès direct à nos serveurs à aucune agence gouvernementale, et toute agence qui souhaite obtenir des données sur un client doit produire un mandat légal. »
Ce document de 41 pages, classé top secret et sans diffusion prévue auprès des alliés des États-Unis, est récent, puisque daté d'avril 2013. Il décrit les possibilités et les avantages de PRISM. Ce système peut récupérer les historiques de recherches, le contenu des courriers électroniques, les transferts de fichiers, les échanges par chat, par VoIP, les photos et vidéo. Il y est affirmé qu'au fil des dernières années les principaux grands groupes Internet américains ont accepté que la NSA établisse une connexion directe avec leurs serveurs.
Il n'y a pas de détails particuliers sur la manière dont chaque entreprise travaillerait avec la NSA, leurs logos sont simplement présents et leurs noms listés à quelques reprises.
Microsoft aurait été le premier à ouvrir des serveurs en 2007, suivi par Yahoo, Google, Facebook, Paltalk, YouTube, Skype, AOL et, en octobre 2012, Apple. Dropbox est annoncé comme devant « bientôt » rejoindre cette liste qui est prévue pour s'enrichir de nouveaux protagonistes.
Une annexe précise que pour Skype, le contenu d'une conversation audio peut être surveillé si l'un des interlocuteurs utilise une liaison téléphonique classique et cela marche aussi pour toute combinaison d'audio, de vidéo, de chat et de transfert de fichiers lorsque les utilisateurs se connectent par leurs ordinateurs. Pour Google, la collecte inclut Gmail, les chats audio et vidéo, les fichiers sur Google Drive, les photos et les requêtes de recherche effectuées en temps réel.
Le Washington Post dispose d'un autre document confidentiel qui peut laisser à penser que le rédacteur de ce PowerPoint a été imprécis quant à la manière dont la NSA accèderait aux serveurs de ces entreprises. L'arrangement consisterait à permettre « aux responsables de ces collectes d'envoyer des instructions de récupération de contenus directement à des équipements installés dans les locaux contrôlés par ces sociétés » plutôt que directement aux serveurs de ces entreprises.
Les informations brutes collectées par PRISM auraient pris une importance majeure et seraient régulièrement présentes dans les rapports de renseignement fournis quotidiennement au président américain. 1 rapport sur 7 contiendrait des informations obtenues par ce programme. Il y aurait 2000 rapports PRISM chaque mois, avec une augmentation de 27% sur l'année 2012.
L'avantage de PRISM est qu'il permet à la NSA de récupérer des informations en dehors de tout cadre légal et à volonté. Il ne lui est plus nécessaire d'obtenir préalablement un mandat légalisant la démarche et ciblant la demande, par exemple, à un ou plusieurs individus en particulier. Plus besoin non plus d'obtenir l'accord de l'entreprise disposant de ces données puisque ses serveurs sont branchés en permanence. Un cadre autrement moins contraignant que la réglementation en vigueur autour des surveillances et des écoutes.
Les États-Unis disposent d'un solide avantage, explique le PowerPoint, en cela qu'une large partie des données circulant sur Internet traverse ou réside sur le sol américain. Mais ce bénéfice à jouer à domicile est rendu contraignant par le cadre législatif. Il faut fournir un mandat chaque fois que la NSA veut accéder à des données résidant aux États-Unis, mais échangées par des personnes en dehors du pays. Il faut, qui plus est, s'assurer que ces individus étaient bien en dehors du pays au moment de la récupération de leurs conversations. Cette dernière obligation a été néanmoins assouplie.
Le Washington Post explique que la NSA est parfaitement capable de trier entre les informations provenant de l'intérieur et de l'extérieur du pays. Ses analystes sont aussi formés à présenter chaque trimestre des rapports sur la collecte accidentelle de contenus échangés sur le sol américain, mais le document sur PRISM ajoute « Il n'y a pas lieu de s'en inquiéter ».
Face à ces allégations, Google a déclaré : «Nous prenons très au sérieux la sécurité des données de nos utilisateurs. Nous communiquons des informations au gouvernement dans le respect de la loi, et nous étudions soigneusement chaque requête. De temps à autre, les gens affirment que nous avons créé une porte dérobée dans notre système pour le gouvernement, mais Google n'a pas de 'back door' permettant au gouvernement d'accéder aux données privées des utilisateurs ». Facebook et Yahoo ont aussi démenti, expliquant qu'ils ne répondaient qu'à des demandes émises par la justice. Microsoft a rejeté toute participation et toute transmission volontaire d'informations dans le cadre d'un programme de sécurité nationale.
Le directeur de la DNI (Direction of National Intelligence) a publié une réponse écrite. Il fait état d'erreurs dans les articles des deux quotidiens. Mais le responsable n'apporte de précisions que sur un pan des informations produites, il ne fait aucune mention de PRISM et de la NSA dans son propos.
Ces révélations surviennent au lendemain d'autres, venant du Guardian encore et concernant l'opérateur Verizon. Le second opérateur mobile des États-Unis a accepté de donner accès - à compter du 25 avril et jusqu'au 19 juillet - de manière illimitée à ses relevés téléphoniques. Ces métadonnées comprenant les numéros, la durée des appels, l'identifiant de l'usager. Le contenu des conversations échappe à cette analyse, mais sont englobés tous les appels extérieurs et intérieurs aux États-Unis.
La DNI avait aussi répondu hier, en soulignant l'encadrement légal de cette collecte de relevés téléphoniques, avec une supervision tous les trois mois, et le fait qu'elle excluait ce contenu des conversations.
Les entreprises mentionnées ont commencé une à une à offrir un démenti. Un porte-parole d'Apple a déclaré à AllThingsD « Nous n'avons jamais entendu parler de PRISM. Nous ne donnons un accès direct à nos serveurs à aucune agence gouvernementale, et toute agence qui souhaite obtenir des données sur un client doit produire un mandat légal. »
Ce document de 41 pages, classé top secret et sans diffusion prévue auprès des alliés des États-Unis, est récent, puisque daté d'avril 2013. Il décrit les possibilités et les avantages de PRISM. Ce système peut récupérer les historiques de recherches, le contenu des courriers électroniques, les transferts de fichiers, les échanges par chat, par VoIP, les photos et vidéo. Il y est affirmé qu'au fil des dernières années les principaux grands groupes Internet américains ont accepté que la NSA établisse une connexion directe avec leurs serveurs.
Il n'y a pas de détails particuliers sur la manière dont chaque entreprise travaillerait avec la NSA, leurs logos sont simplement présents et leurs noms listés à quelques reprises.
Microsoft aurait été le premier à ouvrir des serveurs en 2007, suivi par Yahoo, Google, Facebook, Paltalk, YouTube, Skype, AOL et, en octobre 2012, Apple. Dropbox est annoncé comme devant « bientôt » rejoindre cette liste qui est prévue pour s'enrichir de nouveaux protagonistes.
Une annexe précise que pour Skype, le contenu d'une conversation audio peut être surveillé si l'un des interlocuteurs utilise une liaison téléphonique classique et cela marche aussi pour toute combinaison d'audio, de vidéo, de chat et de transfert de fichiers lorsque les utilisateurs se connectent par leurs ordinateurs. Pour Google, la collecte inclut Gmail, les chats audio et vidéo, les fichiers sur Google Drive, les photos et les requêtes de recherche effectuées en temps réel.
Le Washington Post dispose d'un autre document confidentiel qui peut laisser à penser que le rédacteur de ce PowerPoint a été imprécis quant à la manière dont la NSA accèderait aux serveurs de ces entreprises. L'arrangement consisterait à permettre « aux responsables de ces collectes d'envoyer des instructions de récupération de contenus directement à des équipements installés dans les locaux contrôlés par ces sociétés » plutôt que directement aux serveurs de ces entreprises.
Les informations brutes collectées par PRISM auraient pris une importance majeure et seraient régulièrement présentes dans les rapports de renseignement fournis quotidiennement au président américain. 1 rapport sur 7 contiendrait des informations obtenues par ce programme. Il y aurait 2000 rapports PRISM chaque mois, avec une augmentation de 27% sur l'année 2012.
L'avantage de PRISM est qu'il permet à la NSA de récupérer des informations en dehors de tout cadre légal et à volonté. Il ne lui est plus nécessaire d'obtenir préalablement un mandat légalisant la démarche et ciblant la demande, par exemple, à un ou plusieurs individus en particulier. Plus besoin non plus d'obtenir l'accord de l'entreprise disposant de ces données puisque ses serveurs sont branchés en permanence. Un cadre autrement moins contraignant que la réglementation en vigueur autour des surveillances et des écoutes.
Les États-Unis disposent d'un solide avantage, explique le PowerPoint, en cela qu'une large partie des données circulant sur Internet traverse ou réside sur le sol américain. Mais ce bénéfice à jouer à domicile est rendu contraignant par le cadre législatif. Il faut fournir un mandat chaque fois que la NSA veut accéder à des données résidant aux États-Unis, mais échangées par des personnes en dehors du pays. Il faut, qui plus est, s'assurer que ces individus étaient bien en dehors du pays au moment de la récupération de leurs conversations. Cette dernière obligation a été néanmoins assouplie.
Le Washington Post explique que la NSA est parfaitement capable de trier entre les informations provenant de l'intérieur et de l'extérieur du pays. Ses analystes sont aussi formés à présenter chaque trimestre des rapports sur la collecte accidentelle de contenus échangés sur le sol américain, mais le document sur PRISM ajoute « Il n'y a pas lieu de s'en inquiéter ».
Face à ces allégations, Google a déclaré : «Nous prenons très au sérieux la sécurité des données de nos utilisateurs. Nous communiquons des informations au gouvernement dans le respect de la loi, et nous étudions soigneusement chaque requête. De temps à autre, les gens affirment que nous avons créé une porte dérobée dans notre système pour le gouvernement, mais Google n'a pas de 'back door' permettant au gouvernement d'accéder aux données privées des utilisateurs ». Facebook et Yahoo ont aussi démenti, expliquant qu'ils ne répondaient qu'à des demandes émises par la justice. Microsoft a rejeté toute participation et toute transmission volontaire d'informations dans le cadre d'un programme de sécurité nationale.
Le directeur de la DNI (Direction of National Intelligence) a publié une réponse écrite. Il fait état d'erreurs dans les articles des deux quotidiens. Mais le responsable n'apporte de précisions que sur un pan des informations produites, il ne fait aucune mention de PRISM et de la NSA dans son propos.
Ces révélations surviennent au lendemain d'autres, venant du Guardian encore et concernant l'opérateur Verizon. Le second opérateur mobile des États-Unis a accepté de donner accès - à compter du 25 avril et jusqu'au 19 juillet - de manière illimitée à ses relevés téléphoniques. Ces métadonnées comprenant les numéros, la durée des appels, l'identifiant de l'usager. Le contenu des conversations échappe à cette analyse, mais sont englobés tous les appels extérieurs et intérieurs aux États-Unis.
La DNI avait aussi répondu hier, en soulignant l'encadrement légal de cette collecte de relevés téléphoniques, avec une supervision tous les trois mois, et le fait qu'elle excluait ce contenu des conversations.
