Le système NSA

 LE SYSTÈME NSA
Pendant presque la moitié de l’année 2013, les révélations sur la NSA ont nourri une actualité ininterrompue. Il est possible que Snowden ait encore conservé quelques diapositives de ces présentations Powerpoint avec lesquelles les agent de la National Security Agency essayaient de se représenter la complexité de leur propre système (et il n’est pas certain qu’il y aient réussi). On ne peut exclure d’autres découvertes sensationnelles en 2014 ; mais que pourraient-ils faire de plus, eux qui piratent les câbles et les ordinateurs, qui géolocalisent et pénètrent les téléphones portables, possèdent nos données et nos métadonnées, s’allient aux services amis et espionnent leurs gouvernants, ouvrent des « portes de derrière » chez les fournisseurs d’accès et les opérateurs, sont des milliers et dépensent des milliards, combinent les moyens d’une hyperpuissance et les ruses d’équipes de hackers, prospèrent sous Bush et Obama, surveillent le monde et bénéficient de l’indulgence de leurs dirigeants ?

SURVEILLER, POUR QUOI FAIRE ?

La comparaison avec Big Brother est sans cesse évoquée, mais dans le roman d’Orwell, le dictateur surveille les citoyens à travers un télécran et chacun sait que cet écran est à la fois le lieu d’apparition du chef qui ordonne et le moyen de s’assurer qu’il est obéi.
Le Panoptique de J. Bentham popularisé par Foucault est également souvent cité à propos du système de la NSA, mais là encore, l’image d’un observateur unique qui peut observer chaque sujet sans qu’il le voie (mais en le sachant parfaitement, ce qui l’incite à se contrôler en permanence). Si de telles métaphores sont littérairement ou moralement intéressantes, elles ne décrivent pas vraiment un système qui est sensé  fonctionner à notre insu et qui sert moins à savoir pour mieux réprimer ce qu’on fait ou dit des « crimepenseurs » ou des délinquants, qu’à prédire et contrôler des comportements pour gérer des risques. Le système NSA ne sert pas à terrifier par un message unilatéral ni à obtenir l’obéissance de citoyens silencieux ou transformés en perroquets ; il fonctionne dans une société où des milliards d’individus sont connectés entre eux et ne cessent de s’exprimer. Et plus il y a de milliards de données qui circulent, plus la NSA est supposée s’approcher du paradis de la « total information awareness », la connaissance totale de toutes les tendances et dangers. Ce qui est faux, bien entendu.

Car la plus grande inconnue du système NSA est son efficacité.
Officiellement, il s’agit de prévoir des actes terroristes, de détecter la prolifération d’ADM et de se préserver des cyberattaques. Si c’est le cas, le bilan (pour un budget annuel de dix milliards de dollars)  représente le pire retour sur investissement de l’Histoire de l’économie. Même les plus ardents défenseurs de la NSA parlent de « quelques » attentats qui auraient ainsi été empêchés et ne peuvent pas prouver que ce soit grâce aux interceptions seules et sans intervention du facteur humain. Dans tous les cas, le bilan de treize ans de lutte anti-terroriste par interception et traitement des données n’est pas éblouissant. Quant au reste…

Mais même les moins antiaméricains ont quand même un petit soupçon que tout ce bazar pourrait servir à autre chose. Et que, dans la continuité du système Echelon découvert dans les années 90, et qui convertissait des moyens d’interception initialement destinés à la lutte contre l’URSS en moyens d’espionnage économique, tout cela pourrait avoir un rapport avec ledit espionnage économique.
D’où l’intérêt de se pencher sur les rapports entre l’appareil d’espionnage d’État et les entreprises, en particulier celles dont l’activité détermine le fonctionnement du Net.
Les grandes entreprises du Net (les GAFA, Google, Apple, Facebook, Amazon et quelques autres) vendent des choses (appareils, terminaux), des algorithmes ou des codes pour les utiliser, et du contenu accessible grâce à ce dispositif. Surtout, elles nous vendent de l’accès : accès à des réserves où consommer du temps de spectacle ou de lecture, accès à des données et de la documentation, mais aussi accès aux espaces fréquentés par d’autres internautes avec qui partager des expériences.
Chacune de ces dimensions a de bonnes raisons d’intéresser un service de renseignement qui aimerait savoir ce que nous disons, montrons, cherchons, regardons, comme indices de ce que nous pensons (ou de ce que nous pourrions être amenés à savoir, croire ou penser). Mais ils ont aussi intérêt à savoir avec qui nous créons des liens indépendamment du contenu : qui est en contact avec qui, qui fait partie de quel réseau réuni par quelles affinités, qu’il s’agisse d’un réseau Facebook ou d’un réseau terroriste, le second pouvant du reste se manifester sur le premier.

Et comme par ailleurs, les mêmes entreprises ont aussi un intérêt commercial à en savoir le plus possible en ce domaine, ne serait-ce que pour revendre nos données ou notre temps de cerveau disponible…, il y a de bonnes raisons de consacrer budgets et énergie à la collecte et interprétation de toutes ces données.

Quant à nous, simples usagers, nous sommes tiraillés entre la peur pour notre intimité et nos petits secrets,
la séduction par la commodité de tous ces dispositifs (qui nous évitent, par exemple, de répéter les mêmes informations ou d’avoir à les stocker physiquement quelque part) et par une certain besoin de socialité, qui nous pousse à nous exhiber pour obtenir le suffrage de nos pairs, ceux qui nous suivront, nous « likeront », nous signaleront, etc. À la fois victimes et complices, indignés et consentants, schizophrènes, en somme.

ALLIANCES ET TRAHISONS

La première configuration possible est celle où l’État demande aux entreprises un accès à des données et métadonnées qui transitent forcément par leurs ordinateurs. Un opérateur de téléphone a enregistré qui s’est connecté à qui, quand et d’où. Un fournisseur d’accès sait quels sites vous avez visités. Une plate-forme de réseaux sociaux peut retrouver qui a posté quoi, etc. Plus toutes les informations que nous avons données volontairement au-delà de celles qui sont strictement nécessaires pour nous connecter, informations qui permettent de mieux nous connaître, nous et nos intérêts.

Dans un pays autoritaire avoir laissé traîner de telles informations peut vous valoir une invitation à visiter le poste de police ou des sanctions pour avoir utilisé des termes interdits (en Chine, par exemple). Personne ne pense que Baidu équivalent local de Google ait beaucoup de secrets pour les autorités. Mais dans un pays démocratique ?
Par exemple aux États-Unis où le quatrième amendement est sensé protéger les citoyens contre les perquisitions et saisies sans contrôle d’un juge ?

La loi FISA (Federal Intelligence Security Act), même révisée après le onze septembre, est sensée limiter l’accès de la police ou des services de renseignements aux données et données de connexion des citoyens américains.

On peut discuter de la légalité de mandats plus ou moins secrets émanant de cours qui ne le sont pas moins et concernant des personnes qui pourraient avoir des rapports avec des gens qui pourraient avoir des rapports…, sur fond de présumée conspiration internationale. Ou de la manière dont le système discrimine entre d’une part des citoyens américains qui doivent bénéficier de protections légales (due warrant & co.) et étrangers à qui ne s’appliquent pas les mêmes restrictions. Ces règles régissent la façon dont les autorités peuvent consulter des informations que les usagers ont, après tout, confiées à des plates-formes Internet dans le cadre d’un contrat garantissant leur vie privée.

Un degré de plus est franchi lorsque nous apprenons par les diapositives publiées par le Guardian que la National Security Agency traite avec les grandes compagnies du Net pour avoir un accès direct aux données. La première partie de l’affaire Snowden, c’est cela, ce qu’il sera convenu d’appeler Prism et qui représente la partie émergée de l’iceberg, par ailleurs la première partie à avoir été mise en lumière (dès juin 2012).
En gros, des sociétés soumises à la législation américaine acceptent d’accorder des privilèges ou des outils techniques aux services de renseignement de leur pays, non pas au coup par coup et mandat par mandat, mais globalement, sans doute indistinctement et sans contrôle. C’est ce que l’on appelle des interceptions « upstream », là où vont les données. La Nsa et son cousin britannique le GCHQ se serviraient donc à leur guise en transférant directement des données de AOL, Google, Apple, Facebook, Yahoo, You Tube, Skype, PalTalk et Microsoft (que ceux qui n’ont aucune donnée confidentielles chez aucune de ces sociétés lèvent le doigt). Sans oublier Verizon At & T et autres opérateurs téléphonique pour ceux qui ont un téléphone américain. Il suffit que la NSA ait des raisons, naturellement non communiquées, de penser que ces données pourraient avoir quelques chose à voir avec des sujets qui l’intéressent ou avec l’étranger, ce qui est, on en conviendra, un critère assez large. Même si les sociétés en question répondent qu’elles n’ont donné  d’information que sur requête de la Federal Intelligence Security Commission.

Le fait serait confirmé par le fait que la NSA aurait remboursé des frais « techniques » aux neuf grandes compagnies, un budget publié par le Washington Post.
Mieux, Microsoft aurait fourni à l’agence les moyens de décrypter les messages envoyés par Hotmail et Outlook, ce qui concerne quand même quelques millions d’entre nous. Skype dont on vantait la clef de chiffrement hyper résistante aurait également, après son rachat par Microsoft, laissé à la NSA déchiffrer ses messages…
Enfin quitte à nous répéter, rappelons que ces accès qui semblent « tolérés » concernent aussi des métadonnées (qui s’est connecté à qui, à quel moment, etc.) et que ces informations en révèlent énormément : la somme, la nature et la densité de nos contacts sont d’excellents indicateurs de nos activités, mais si l’on additionne les données de plusieurs comptes, non seulement l’anonymat apparaît comme une illusion totale, mais le croisement de ces informations en apprend énormément sur nos orientations politiques ou sexuelles, nos transactions, …

Qu’il y ait une alliance objective entre les grandes compagnies (le « corporate partners« ) et l’administration d’Obama (ces sociétés ayant largement soutenu ses campagnes et relayé la politique du département d’État lors du printemps arabe, ce n’est une surprise pour personne. Que ces relations soient institutionnalisées au point de leur faire trahir leur contrat de confiance avec leurs usagers et courir un terrible risque de réputation, est déjà plus étonnant.
Mais le plus étrange, comme nous le verrons dans la suite, est que les services américains puissent traiter simultanément ces sociétés comme des alliées et comme des cibles pour des opérations d’espionnage qui relèveraient de la cybercriminalité si elles étaient pratiquées par des individus.
Non contente de bénéficier d’un droit d’accès aux données conservées par les grandes compagnies du Net, la NSA peut aussi les pirater. Comme avec les services des gouvernements amis, un coup on partage les données avec les alliés, un coup on les espionne. Ou quand l’État pratique la cyberdélinquance qu’il est sensé combattre…
Si les révélations de Snowden sur la collecte dans les ordinateurs des fournisseurs d’accès et autres grands du Net ont déclenché le scandale, elles n’étaient rien par rapport à celle qui portent sur le côté encore plus obscur de la force.

LA MACHINE FOLLE

Outre l’intervention « upstream », la NSA pratique, rappelons-le, le « downstream », comprenez le prélèvement de données circulantes, en prenant « au filet » tout ce qui passe pour le classer et conserver ce qui présente de l’intérêt. Ceci se ferait sur les câbles sous-marins, qui constituent une bonne partie des « backbones », les « tuyaux » par lesquels passe l’essentiel du trafic Internet. La tâche est sous-traitée au GHCQ, le service britannique, particulièrement bien placé, du fait que quelques uns (49 sur 265 exactement et ceux qui transportent une bonne partie du trafic intercontinental) des principaux câbles passent par les eaux du Royaume-Uni. C’est le fameux programme Tempora qui donnerait accès à près du quart du trafic mondial et qui fonctionne par partenariat forcé avec sept compagnies, British Telecom, Vodafone Cable, Verizon Business, Global Crossing, Level 3, Viatel et Interoute qui sont sensées laisser les autorités britanniques vérifier tout ce qui passe par là. Tempora est déjà un cas intermédiaire entre la coopération plus ou moins volontaire des grandes sociétés (Prism) et la piraterie pure. Mais du coup, d’autres grandes compagnies, comme Orange, ainsi piraté et décrédibilisé peuvent
Car si l’on en vient à ce chapitre et sans même parler du fameux ordinateur quantique capable de tout décrypter et qu’elle ferait construire, les panoplies employées par la NSA, ont de quoi faire rêver tous les hackers du monde.
Citons, dans le plus grand désordre :
– Le système CNE (Computer Network Exploitation) qui implante des logiciels malicieux sur des réseaux informatiques
– Gopherset et Monkeyclandar qui s’installent sur les cartes SIM de vos smartphones et exfiltrent des informations par SMS à votre insu
– Candyman, Cylcone Hx9 et quelques autres qui, eux, captent des ondes radios au passage
– Nightstand qui fait le même travail pour le Wifi
– Ragemaster qui s’installe sur vos câbles
– Des prises USB trafiquées
– Feedthrough qui sert à franchir certains pare-feux
– Deitybounce qui installe des logiciels sur des systèmes Dell
-Jetplow qui s’en prend aux pare-feux de Cisco
-Headwater qui place une « porte de derrière » sur des routeurs
-Picasso pour pirater les téléphones portables
– Candygram qui simule une tour de téléphonie pour tromper les appareils GSM
– Dropoutjeep pour installer des logiciels espions sur des Iphone et le système Ios d’Apple
– Des outils de géolocalisation qui permettraient de connaître la position de centaines de millions de portables…
– Muscular qui pirate les serveurs de Google et Yahoo sur le lien entre leurs propres ordinateurs de stockage (au cas très improbable où ce que donnent ces compagnies légalement ou dans le cadre de Prism ne suffirait pas).
– Quantum Insert qui permet d’intercepter des requêtes adressées à un site Web et de se faire passer pour lui
– des entrées dans les Blackberry et smartphones de nombreux dirigeants du monde
– et probablement des dizaines d’outils que nous avons négligés ou que nous ignorons et qui font partie des panoplies des hackers d’élite de l’unité TAO Tailored Access Operations.

Ce catalogue suggère au moins trois pistes :
– Même un enfant de huit ans ne pourrait croire que tout cela sert uniquement à chasser des jihadistes et que le piratage de l’Élysée, du portable de Merckel ou des adresses mail d’Alcatel aient eu pour but de débusquer des taupes islamistes au sommet des États européens. Il est évident qu’il s’agit d’espionnage économique
– Les sociétés qui coopèrent avec la NSA ne sont pas mieux traitées que les autres, ni ne sont à l’abri de failles de sécurité qui, révélées, pourraient leur coûter très cher auprès de leurs clients.
– Un des aspects les plus étonnants de la lutte sur Internet est que les forts peuvent aussi utiliser les armes du faible (qui demandent surtout des technologies et du jus de cerveau). C’est un cruel démenti à la vision du Net comme favorisant intrinsèquement les foules innovantes contre les hiérarchies.

LES CONSÉQUENCES

Ce qu’il est convenu d’appeler « affaire Snowden » recouvre, au final,  la révélation par un individu, simple rouage de la machine, mais ayant accès à des documents internes qui semblent authentiques, de la monstrueuse complexité du système de la NSA :  ce dernier vise à collecter des milliards de données et métadonnées par toutes les méthodes connues, du prélèvement sur des câbles sous-marins à l’espionnage hyper ciblé des téléphone de chefs d’État. C’est une entreprise sans aucune mesure avec l’alibi officiel.

Or la logique du projet est moins de surveiller pour punir que de collecter pour prédire. Sans doute inspirée par l’idée que celui qui sait tout ne craint rien, cette mystique de la « Total Information Awareness » traduit à la fois une confiance irraisonnée dans le calcul (en corrélant un nombre suffisant d’indices et de déterminants avec des algorithmes assez puissants, on en saurait plus sur vous que vous-même) et la crainte que quoi que ce soit échappe à la capacité d’anticiper ou de contrôler de la bureaucratie US. Plus, il faut bien le dire, le désir de conserver une supériorité ou une avance par ce qui ressemble furieusement à de l’espionnage industriel.

Un tel système peut-il être productif ? Hors son intérêt économique, nous n’en sommes pas persuadés. Vu les performances de l’administration Obama dans la lutte contre le Jihad ou dans des affaires comme le conflit syrien, on peut douter que ce soit l’arme absolue en géopolitique. Et à quoi sert de connaître secrets de tous les autres, s’il suffit d’un employé saisi d’un scrupule pour que les vos propres secrets soient mis sur la place publique ?

Se pourrait-il au contraire que ces milliards de dollars dépensés et ces milliers de cerveaux mobilisés aient produit un dommage en termes de perte de confiance ou de légitimité que ne compensera jamais aucun gain stratégique ? Les conséquences pourraient varier suivant les domaines.

Les gouvernements – certains participant au système d’échange du renseignement, d’autres espionnés par lui, plusieurs les deux à la fois – ont eu des réactions  qui vont de la tension diplomatique comme le Brésil aux vagues remarques, vite enfouies sous les protestations d’amitié. Une fois passé ce stade des silences gênés, les conséquences technologiques qu’en tireront lesdits États seront cruciales : voir le projet évoqué par Angela Merkel d’un réseau européen pour le transit des données personnelles.  L’affaire Snowden vient aussi de fournir un redoutable argument aux pays réputés « ennemis d’Internet », comme la Russie et la Chine : dans les organisations internationales, où ils défendent la souveraineté numérique versus la gouvernance à l’occidentale, il leur sera trop facile de rappeler la poutre qui est dans l’œil des défenseurs supposés de la liberté.

Le même schéma vaut probablement pour les grandes compagnies du Net ; elles sont décrédibilisées auprès de leurs clients pour leur complaisance envers la NSA, mais se trouvent aussi victimes d’opérations menées par la même NSA et qui relèvent plutôt du hacking. À quel niveau de pertes financières la fuite des consommateurs et de leurs données personnelles deviendra-t-elle insupportable ? Et à quel moment la création de solutions alternatives garantissant la confidentialité des données deviendra-t-elle une vraie tentation ? Il faut se souvenir qu’il est plus facile est moins coûteux d’abandonner un réseau social ou une  application que sa voiture et que tout le système repose sur deux ressources que nous répartissons relativement librement : notre attention et notre confiance.

Au final, ce sont les réactions des citoyens qui seront déterminantes, donc le choix qu’ils feront ou de conserver des facilités souvent gratuites (mais qui se paient du fait que nos données sont une marchandise économique et une source de pouvoir politique) ou, au contraire, d’accepter les efforts, temps et apprentissage, qu’implique la conversion à un web sécurisé.

Difficile, pourtant, de ne pas être frappé par l’incroyable passivité des opinions publiques devant ces révélations. Nous est-il vraiment indifférent que quelqu’un dans le Mayland sache où nous étions hier, quel services médicaux nous consultons et quelles sont nos orientations sexuelles ? Nous y sommes nous résignés parce qu’après tout Facebook en sait presque autant sur nous et que la police ne va pas nous interpeller à l’heure du laitier ?

Comment convaincre chacun qu’il ne s’agit pas d’un « simple » viol de son intimité, mais de l’avénement d’une société de contrôle et de prévision d’un type inédit ? De la réponse à cette question  dépendra l’avenir du système de surveillance planétaire. Attendre qu’il disparaisse, miné par son absurdité et sa démesure comme une machine de Tinguely dont la fonction est de s’auto-détruire, ne nous semble pas une perspective rassurante. Et s’il faut espérer quelque chose, c’est bien que le citoyen se préoccupe d’un pouvoir invisible dont il est à la fois la victime et la source.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 28 février 2014, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :