Un fichier contenant les informations de 500 000 patients a fuité sur Internet et fait la une des médias ces derniers jours. S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, numéros de téléphones, adresses postales et e-mails... « en clair ».

La fuite de données de santé concernant près de 500 000 patients, révélée il y a quelques jours, n'est pas si « massive » que cela. Après l'avoir analysée, nous relevons qu'elle touche 27 laboratoires d'analyses biologiques « seulement » (si l'on ose dire), situés dans le quart nord-ouest de la France (dont environ 350 000 Bretons).

Ce fichier recèle très peu de données médicales. La base de données contient un peu plus de 150 catégories, dont une cinquantaine portant sur des données des patients. Les plus sensibles sont les noms (y compris de jeune fille voire de conjoint au besoin), prénoms, adresses postales et électroniques, numéros de sécurité sociale, de téléphones fixes et de portables, ainsi que l'identifiant et le mot de passe utilisés pour accéder aux analyses biologiques.

Les autres catégories de données concernent les médecins des patients, laboratoires où ils avaient été envoyés effectuer une analyse biologique, le « préleveur » qui s'était occupé d'eux, ainsi que leur tiers payant. On note d'ailleurs qu'une bonne partie de ces catégories ne sont tout simplement pas renseignées dans le fichier.

Nous ainsi avons comptabilisé 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ».

160 000 portables, 55 000 emails, 15 000 mots de passe

La base de données dénombre 270 569 numéros de téléphone fixe et 159 591 portables. À titre de comparaison, les 16 590 médecins fichés sont associés à 14 928 numéros de téléphones fixes et 1 971 portables. Le fichier répertorie également 55 738 adresses email uniques de patients et 337 de médecins.

Dans le « top 10 » des domaines les plus présents que nous avons reconstitués, on trouve :

• 15 385 @gmail.com
• 14 418 @orange.fr
• 6 040 @hotmail.fr
• 5 579 @wanadoo.fr
• 3 530 @yahoo.fr
• 2 082 @sfr.fr
• 1 601 @hotmail.com
• 1 576 @free.fr
• 1 074 @live.fr
• 6 489 autres domaines

Mais 11,4 % seulement des patients dont des données ont fuité ont vu leur adresse email divulguée. Le fichier contient néanmoins des mots de passe, pour 14 997 d'entre eux (3 %), associés à leur « identifiant SR » (pour serveur de résultat, le site où ils étaient invités à récupérer les résultats de leurs analyses biologiques). 

Comme on pouvait s'y attendre, nombreux sont les patients à utiliser des mots de passe similaires. Nous en avons décompté 11 443 uniques. À défaut de constituer un « échantillon représentatif » de la population, le fait qu'ils aient été utilisés par des personnes de tous âges et de toutes origines sociales dresse un aperçu instructif.

Sans surprise, on retrouve en effet le traditionnel et célèbre « azertyuiop », et 27 de ses déclinaisons (de type azerty1, AZERTY2, azerty22 ou encore azertAZERT). La base de données émanant pour la plupart de laboratoires bretons, y figurent également nombre de déclinaisons de breizh ou de Bretagne.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Abr1bu$, M0u$71qu3, P4T0uch3

Pour l'essentiel, on pourrait les diviser en cinq catégories sur-représentées (les mots de passe qui suivent ont tous été modifiés de sorte d'en refléter la structure sans risque de compromettre ceux qui figurent dans le fichier) :

• Déclinaisons de dates : 01071981, 03sept69, 02.juju.19, 11septem, 11onzonz, 1948pierre ;
• Déclinaisons de prénoms, que l'on retrouve à foison : albert1, albert2, albert3, etc. ;
• Phrases ou expressions concaténées : jesuisgent, jesuismala, Je+suis+ne, jevaisbien, Jevisarenn, jevousaime, louisdefun, monmariage, Mot2passe, motdepasse, Pluscompli, prisedesan... et sans que l'on comprenne si la limitation à 10 caractères correspond à une « fonctionnalité » du logiciel, ou pas ;
• Combinaisons alphanumériques : 16abcdef, 13juju13, 17groseill, 1807mamie, 19gin19gin, 33COUcou, 44Loulou, 4896merde, belle2jour, bebe2019, faitchier9, mes3taupes, mes4loulou, mes5CHATS, mesamours3, mesange22, MesEnfant2, moncoeur21 ;
• Mots « augmentés » ou réécrits en leet speak : 3615Ulla, 37uD!4nt3$, Abr1bu$, bibi21CM, faitBeau?!., france1998, geishadu35, chiennedu22, idylle29, loverboy69, M0u$71qu3, P4T0uch3, rep0rt4g3, Rock1Rol.

On y trouve quelques récurrences étonnantes dans les mots les plus utilisés. Nous avons ainsi dénombré :

• 2 déclinaisons de bibiche, bichon, bidule, bidouille, cacahuete, cracotte, crapaud, framboise, frimousse, frisette, lapin, lapinou, mirador, nana, petitcoeur et toutouille,
• 3 de bichette, cactus, caline, calimero, cochon, diabolo, foufoune, grenouille, Looping, mama, maman, nounours et rocky,
• 4 de bonheur, cookie, espoir, ninouche, pompier, praline, reglisse, romeo, rose et tartine,
• 5 de bonjour, boubou, chaton, choupette, snoopy et tintin,
• 6 de cachou, chocolat, lamotte et pupuce,
• 7 de biscotte, chipie, chouchou, jetaime et minouche,
• 8 de canelle et mamour,
• 10 de noisette et princesse,
• 11 de louloute et soleil,
• 12 de doudou et gribouille,
• 16 de caramel,
• et 26 de loulou.

On trouve également plus de 4 300 mots de passe de type 124578AA, 124578AB, 124578AC, etc., itération laissant supposer qu'un ou plusieurs laboratoires auraient attribué un seul et même mot de passe à plusieurs patients (les identifiants, eux, étant différents). Un même mot de passe avait ainsi été attribué à plus de 800 patients différents.

L'analyse de ces mots de passe montre à tout le moins que les recommandations, en la matière, n'ont toujours pas franchi le plafond de verre et qu'il reste encore beaucoup à faire.

Un fichier « testé » en... mai 2018

Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ». Un indice révèle qu'il s'agirait vraisemblablement du logiciel Mega-Bus, comme l'avait reconnu son éditeur, Dedalus France. On y retrouve en effet l'identifiant d'un patient intitulé « TESTMK65535 », associée à une adresse e-mail @mega-bus.com utilisée par un employé de la société, horodaté le 3 mai 2018.

La rubrique « dernière visite » (chez le médecin) montre que le fichier a probablement lui aussi commencé à être renseigné à partir de 2018. Elle dénombre en effet 2 411 rendez-vous datant de 2015, 2 686 de 2016, 60 731 de 2017, mais 200 362 pour l'année 2018, 217 896 en 2019.

Seuls 7 780 rendez-vous datent de 2020, le dernier du 10 octobre, sans que l'on puisse vérifier si cette volumétrie en recul s'expliquerait par les effets du confinement, et/ou par un abandon croissant de Mega-Bus par les laboratoires.

Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4  000 à 7 000 de janvier 2017 à mai 2018, puis de 17 000 à 28 000 de juin 2018 à fin 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 :

Cette date est importante, d'une part parce que l'on sait depuis 1999 que les mots de passe doivent non seulement être hashés et salés, mais également sécurisés au moyen d'une fonction cryptographique, avec l'objectif d'enrayer toute compromission, même si la base de données a fuité.

La CNIL a, à ce titre, publié près d'une cinquantaine de délibérations rappelant, depuis 2013, que « les mots de passe ne doivent pas être stockés en clair en base de données » et qu'elle « recommande ainsi d’appliquer la fonction de hachage HMAC à clé secrète ».

Le RGPD, adopté en avril 2016, est précisément entré en application en ce mois de mai 2018. En faisant le choix de recourir, à ce moment-là, à un logiciel ne sécurisant pas l'accès aux mots de passe, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient pas le RGPD.

Ce dernier dispose en effet que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée ». Il précise également que le montant des amendes administratives est doublé (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel ou aux données sensibles.

Un des principaux logiciels de gestion des labos privés

L'Agence nationale de la sécurité des systèmes d'informations (ANSSI) a indiqué à l'AFP avoir identifié l'« origine » de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020.

« Les recommandations nécessaires ont été données par l'ANSSI pour traiter l'incident », a-t-elle ajouté sans donner aucun détail supplémentaire. « Présent au travers de son logiciel StarLab dans 400 laboratoires, Mega-Bus compte parmi les trois principaux éditeurs de logiciels de gestion pour les laboratoires privés d′analyse médicale en France », précisait un communiqué publié à l'occasion de son rachat en 2009. « A ce titre, cette société dispose d′une connaissance approfondie des spécificités liées aux besoins du secteur privé ».

Son acquéreur, Medasys (depuis été rachetée par Dedalus France) était pour sa part présenté comme jouissant « d′une position de leader national dans les domaines du dossier médical du patient et de la production de soins ». Dans un communiqué laconique, l'entreprise vient d'expliquer que « face à la gravité des sujets évoqués, Dedalus France est pleinement mobilisé et une enquête approfondie est en cours avec le support d’une équipe d’experts indépendants ».

À Libération, l'entreprise avait émis l'hypothèse d'une fuite au moment des transferts vers les nouveaux logiciels, ou bien des problèmes de sécurisation des réseaux des laboratoires, se dédouanant au passage, sans mentionner le fait que les données n'auraient donc pas été chiffrées par son logiciel.

L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié un lanceur d'alerte pour « fautes graves ». Il avait prévenu les autorités de ces problèmes de sécurité et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

• Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave »

On devrait en apprendre plus d'ici peu. La Commission nationale Informatique et Libertés a en effet lancé mercredi des contrôles pour établir les manquements responsables de la fuite. Si l'ampleur de la fuite était vérifiée, l'affaire présenterait « une gravité particulière » au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la CNIL.

Évoquant « une violation de données d’une ampleur et d’une gravité particulièrement importante », le gardien des données personnelles rappelle qu'il incombe aux organismes concernés de procéder à une notification auprès de la CNIL, dans les 72 heures. Mais également qu'ils ont en outre l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

La section cybercriminalité du parquet de Paris a elle aussi ouvert une enquête mercredi, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). « On peut retrouver ce fichier à 7 endroits différents sur internet », explique Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.

L'analyse de la propagation de la théorie selon laquelle le coronavirus émanerait d'un laboratoire et non d'une chauve-souris, voire qu'il constituerait une arme biologique créée par des humains, révèle qu'elle a été activement propagée par les autorités chinoises, dans le contexte de leurs rivalités diplomatiques avec l'Amérique de Trump. 

« Attention aux Américains ! », écrivait un utilisateur du réseau social chinois Weibo le 31 décembre 2019, laissant entendre que le virus, qui ne s'appelait pas encore SARS-CoV-2, serait une arme biologique. Une enquête de neuf mois de l'agence Associated Press, menée en partenariat avec le laboratoire de recherche médico-légale numérique (DFRLab) du Conseil de l'Atlantique, a examiné comment la rumeur s'est propagée dans quatre pays (Chine, Russie, Iran et États-Unis) dans les six premiers mois de la pandémie, mais également comment les trois premiers s'en sont servis dans leur guerre informationnelle avec l'Amérique de Trump.

De nombreuses rumeurs se sont largement répandues dans le monde au début de 2020, rappelle DFRLab. Reprises en chœur par les anti-vaxx et complotistes du monde entier, certains de ces récits étaient carrément faux, tandis que d'autres constituaient des préoccupations légitimes mais non vérifiées, concernant la possibilité que le virus soit accidentellement libéré d'un laboratoire chinois.

Certaines laissaient ainsi entendre que le virus avait été conçu comme une arme biologique potentielle, voire qu'il aurait été intentionnellement diffusé pour contaminer la population. L'examen de millions de publications et d'articles sur les réseaux sociaux (Twitter, Facebook, VK, Weibo, WeChat, YouTube, Telegram et d'autres plateformes) indique que c'est la Chine – et non la Russie – qui a pris les devants dans la diffusion de cette désinformation sur les origines de la Covid-19.

Pourquoi ? Car elle était attaquée pour sa gestion précoce de l'épidémie, au point d'amplifier voire de « militariser » la rumeur et d'enclencher une « course aux armements narratifs », pour reprendre le titre du rapport de DFRLab (« Weaponized : how rumors about Covid-19's origins led to a narrative arms race »).

Les responsables chinois réagissaient en cela à un autre récit puissant, nourri aux États-Unis par les groupes QAnon, Fox News, l'ancien président Donald Trump et les principaux républicains, qui le qualifiaient de « virus chinois ».

Le Pew Research Center a ainsi découvert qu'un Américain sur trois pensait que le nouveau coronavirus avait été créé dans un laboratoire, et qu'un sur quatre pensait qu'il avait été conçu intentionnellement. En Iran, de hauts dirigeants ont cité la conspiration des armes biologiques pour justifier leur refus de l'aide médicale étrangère. Des groupes anti-confinement et anti-masque ont qualifié, dans le monde entier, la Covid-19 de canular et d'arme, compliquant les efforts de santé publique pour ralentir la propagation.

Une double pandémie : le virus et la peur 

En janvier, bien avant que la Chine ne commence à propager ouvertement des désinformations, des médias d'État russes s'étaient mobilisés pour légitimer la théorie selon laquelle les États-Unis avaient conçu le virus comme une arme biologique pour saper la Chine, une théorie reprise par la suite par des médias iraniens.

Au cours des deux mois suivants, plus de 70 articles étaient parus dans des médias pro-Kremlin faisant des déclarations similaires en russe, espagnol, arménien, arabe, anglais et allemand, d'après la base de données d'EUvsDisinfo, qui documente la désinformation pour les Européens.

• Covid-19 : le conspirationnisme a aussi été alimenté par la Russie

« Nous avons une double pandémie - le vrai virus pathologique et la pandémie de peur. La peur est ce qui est vraiment en jeu », explique Kang Liu, professeur à l'Université Duke qui étudie la politique culturelle et les médias en Chine, comparant la propagation de la désinformation sur le virus à la propagation du virus lui-même.

Le 2 février 2020, rappelle DFRLab, l'Organisation mondiale de la santé (OMS) publiait un rapport de situation sur la Covid-19 décrivant la pandémie comme présentant une « infodémie » parallèle : « une surabondance d'informations - certaines exactes et d'autres non - qui rend difficile pour les gens de trouver des sources fiables et des conseils fiables quand ils en ont besoin ». L'utilisation du terme était particulièrement appropriée, étant donné la nature virale de l'information elle-même.

Début février, le Quotidien du Peuple, porte-voix du Parti communiste chinois, rapportait qu'un homme ayant diffusé une vidéo affirmant que le nouveau virus serait une arme biologique conçue par les États-Unis avait été arrêté, détenu pendant 10 jours et condamné à une amende pour diffusion de rumeurs.

Mais à peine six semaines plus tard, le même complot était relayé par le Quotidien du Peuple lui-même, ainsi que le ministère chinois des Affaires étrangères, repris par au moins 30 diplomates et missions chinoises, amplifié par le vaste réseau mondial de médias d'État chinois.

Alors que les deux plateformes sont bannies en Chine, le nombre de comptes ouverts par des diplomates chinois a triplé sur Twitter et doublé sur Facebook depuis la mi-2019.

Tout en amplifiant la désinformation, la Chine s'appuyait aussi sur la stratégie et l'infrastructure de désinformation russe, ainsi que les réseaux internationaux qui, eux-mêmes, amplifient leurs mésinformations et théories du complot.

Des infos blanchies

« L'un amplifiait l'autre… À quel point c'était contrôlé par le commandement ou bien opportuniste, c'était difficile à dire », explique Janis Sarts, directeur du Centre d'excellence en communications stratégiques (StratCom) de l'OTAN, basé à Riga, en Lettonie. À long terme, ajoute-t-il, la Chine est « le concurrent et l'adversaire le plus redoutable en raison de ses capacités technologiques ».

« Il y a eu un certain nombre d'histoires dont l'origine se trouve dans un espace contrôlé par la Russie, mais qui est reprise par le site conspirationniste canadien Global Research et ensuite présentée comme sa propre histoire. Ensuite, les médias russes disent que les analystes occidentaux du Canada disent cela. Nous appelons cela du blanchiment d'informations », explique Sarts. « Ils ont été utiles pendant longtemps aux opérations d'information russes et récemment aux Chinois également .»

En mars, Zhao Lijian, un porte-parole du ministère chinois des Affaires étrangères, partageait ainsi une série de tweets relayant un article de Global Research affirmant que l'armée américaine avait créé le SRAS-CoV-2 dans un laboratoire de Fort Detrick, dans le Maryland, avant de l'importer en Chine pendant les Jeux mondiaux militaires, une compétition internationale qui s'était tenue à Wuhan en octobre 2019.

Rien que sur Twitter, la série de 11 tweets de Zhao a été citée plus de 99 000 fois au cours des six semaines suivantes, dans au moins 54 langues, selon l'analyse du DFRLab. Les comptes qui l'ont relayé comptaient près de 275 millions d'abonnés sur Twitter - un nombre qui inclut presque certainement des abonnés en double et ne distingue pas les faux comptes, précise AP.

Le Global Times chinois et au moins 30 comptes diplomatiques chinois, de la France au Panama, le ministre vénézuélien des Affaires étrangères et le correspondant de RT à Caracas, ainsi que des comptes saoudiens proches de la famille royale ont également considérablement étendu la portée des tweets de Zhao, aidant à relayer ses idées en espagnol, en arabe, et dans le monde entier.

Bien que Twitter y soit interdit, les hashtags au sujet de son tweetstorm ont aussi été visionnés 314 millions de fois sur la plate-forme de médias sociaux chinoise Weibo, et le guide suprême iranien Ali Khamenei a lui aussi annoncé que la Covid-19 pourrait être le résultat d'une attaque biologique.

« Le gouvernement américain a-t-il intentionnellement caché la réalité du COVID-19 avec la grippe ? » interrogeait 10 jours plus tard China Radio International. « Pourquoi l'Institut de recherche médicale de l'armée américaine sur les maladies infectieuses à Ft. Detrick dans le Maryland, la plus grande base de tests biochimiques, a fermé ses portes en juillet 2019 ? »

En quelques jours, la théorie est reprise plus de 350 fois dans les médias chinois, principalement en mandarin, mais aussi dans le monde entier en anglais, français, italien, portugais, espagnol et arabe, a découvert AP.

Un « virus politique »

L'histoire a traversé la Chine, via des comptes de médias sociaux gérés par la police, des procureurs, services de propagande, associations anti-sectes et ligues de la jeunesse communiste. Sept prisons de la province du Sichuan, cinq stations de radio routières provinciales et municipales et une douzaine de comptes gérés par le géant des médias d'État CCTV l'ont également relayée.

AP a constaté que l'histoire avait été vue plus de 7 millions de fois en ligne, avec plus de 1,8 million de commentaires, partages ou réactions. Ces chiffres sont sous-dénombrés car de nombreuses plates-formes n'ont pas publié de mesures et ne tiennent pas compte de l'audience de la télévision ou de la diffusion dans des groupes fermés. Les comptes faisant la promotion du contenu comptaient au total plus de 817 millions d'abonnés, bien que beaucoup soient probablement des doublons ou des contrefaçons.

La désinformation Covid-19 a été bénéfique pour le ministère chinois des Affaires étrangères. Le compte Twitter de Zhao compte désormais plus de 880 000 abonnés.

« Toutes les parties devraient fermement dire "non" à la diffusion de la désinformation », a déclaré le ministère chinois des Affaires étrangères dans un communiqué à l'AP, et d'ajouter : « Face à des accusations forgées de toutes pièces, il est justifié et approprié d'écarter les mensonges et de clarifier les rumeurs en exposant les faits. »

« La diffusion de la désinformation sur l'épidémie est en effet en train de propager un "virus politique" », explique le ministère. « Les fausses informations sont l'ennemi commun de l'humanité, et la Chine s'est toujours opposée à la création et à la diffusion de fausses informations. »

Qu'il s'agisse d'une tentative de renforcer la réputation internationale, de rallier le soutien interne en détournant le blâme, de mettre les adversaires sur la défensive ou simplement de semer le chaos informationnel, les récits alambiqués qui ont émergé sur les origines de la Covid-19 n'ont finalement servi les intérêts de personne lorsqu'il s'agissait de lutter contre la pandémie, conclut DFRLab. Un virus ne respecte ni les intérêts nationaux ni les frontières.

Des certitudes, mais aussi des questions 

À défaut d'avoir réussi à identifier l'origine du virus, les responsables de l'OMS ont rappelé lors de la conférence de presse consacrée à leur mission d'enquête en Chine, le 9 février, que l'hypothèse d'un virus conçu par des humains « a déjà été réfutée par toute la communauté scientifique du monde entier ».

De plus, « les résultats suggèrent que l'hypothèse d'un incident de laboratoire est extrêmement peu susceptible d'expliquer l'introduction du virus dans la population humaine ». D'une part parce qu'« il n'existe pas de virus du SRAS-CoV-2 » dans les laboratoires de Wuhan, d'autre part parce qu'« ils ont maintenu un système de gestion très strict et de haute qualité », ce qui rendrait l'hypothèse de fuite émanant d'un laboratoire d'« extrêmement improbable ».

Les responsables de l'OMS n'ont pas, cela dit, mentionné la piste du virus de type SARS qui avait contaminé 6 mineurs en 2012, et tué trois d'entre-eux. Ils l'auraient contracté dans une mine du comté de Mojiang, dans le Yunnan, à plus de 1 000 kilomètres de Wuhan. Émanant de chauves-souris, il ressemblerait au SARS-CoV-2, et aurait été analysé dans plusieurs laboratoires chinois. Mais les journalistes ayant cherché à en savoir plus en ont été empêchés par les autorités.

En attendant une éventuelle future identification de l'origine du coronavirus, on notera que l'OMS propose plusieurs ressources destinées à enrayer l'infodémie. Elle est loin d'être la seule. Citons, notamment, ce rapport de la Fondation pour la recherche stratégique, ce reportage d'Arte, cette enquête co-réalisée par l'AFP, les billets d'EUvsDisinfo ou encore le dossier de DFRLab.

Comme prévu, l'application va être mise à jour avec un nouveau traitement des QR Codes des lieux visités par ses utilisateurs. Plusieurs des recommandations de la CNIL n'ont pas été suivies d'effet, certaines modalités restent floues. Un patch iOS via des notifications push devrait par ailleurs tenter de réveiller les iPhone en veille.

Saisie en urgence par le ministre des Solidarités et de la Santé, la CNIL avait délibéré le 17 décembre dernier sur un projet de décret modifiant le traitement de données dénommé « StopCovid ».

Les évolutions visent principalement, « notamment dans la perspective d'un nouveau déconfinement et de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) », à alerter les utilisateurs de l’application « TousAntiCovid ». Du moins, ceux ayant « fréquenté un lieu dans lequel s'est trouvée, au même moment, une personne diagnostiquée ou dépistée positive au Covid-19 ».

Son avis, ainsi que le décret, viennent d'être publiés au Journal officiel.

Conformément aux recommandations de Santé Publique France, précise la CNIL dans son avis, ces lieux sont en effet susceptibles de présenter un risque élevé d'exposition au virus, lorsque les personnes qui les fréquentent ne sont pas en mesure de s'assurer du respect des gestes barrières (salles de sport, restaurants, bars, etc.), ou un risque modéré lorsque ces mesures barrières doivent être mises en œuvre mais qu'une rupture de cette protection y est possible (transports publics, lieux culturels, lieux de culte, etc.).

Ce nouveau dispositif disponible dans l'application « TousAntiCovid » repose sur un protocole dénommé TAC- WARNING (TAC-W), distinct du protocole ROBERT et de la fonctionnalité de suivi des contacts, sans lien avec un quelconque identifiant d'utilisateur, minimisant ainsi le risque de rattacher l'ensemble des lieux fréquentés à l'utilisateur et de pouvoir ainsi reconstituer un historique de certains de ses déplacements.

• « Contact tracing » : on vous explique les différents protocoles et initiatives

En pratique, il repose sur la mise à disposition, par les responsables des ERP, de codes-QR que les personnes sont invitées à scanner, à l'entrée ou à l'intérieur de ces locaux, avec l'application « TousAntiCovid ». Ces codes-QR et la plage d'horaire concernée sont enregistrés dans l'application.

Lorsqu'un utilisateur se signale comme positif au virus, l'application adresse au serveur central TAC-W la liste des codes-QR scannés, qui représente donc la liste des ERP qu'il a fréquentés. Cette liste de lieux contacts est enregistrée sur le serveur.

Par ailleurs, l'application de chaque utilisateur interroge régulièrement ce serveur central en lui envoyant la liste des codes-QR scannés par celui-ci et, lorsque le serveur TAC-W identifie une concordance entre un des lieux remontés et un lieu contact déjà enregistré, il notifie l'utilisateur qu'il a pu être exposé dans un des lieux qu'il a fréquentés.

La nature de la notification reçue pourra varier en fonction du risque de contamination encouru, calculé par le serveur TAC-W sur la base de préconisations à venir des autorités sanitaires.

Ainsi, les personnes ayant fréquenté un lieu « pendant la même plage horaire » – non précisée – qu'une ou plusieurs personnes déclarées positives seront notifiées en tant que « contact à risque modéré ». Au-delà d'un certain seuil – lui aussi non précisé – permettant d'identifier la présence d'un cluster, les utilisateurs pourront être notifiés comme « contact à risque élevé », comme dans le protocole ROBERT. Le décret précise que dans les deux cas, les personnes exposées à ce risque seront désignées comme « contacts à risque de contamination ».

Le Comité de contrôle et de liaison Covid-19 (CCL Covid), dans son avis du 15 décembre 2020, précise de son côté que si une seule personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, les utilisateurs qui auraient pu la croiser recevront une notification de contact warning, dit à « risque modéré » (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors elles recevront une notification classique de contact tracing à « risque élevé ».

La CNIL manque de visibilité sur certains choix

En outre, si l'interrogation du serveur central nécessite que l'application d'un utilisateur lui transmette la liste des lieux qu'il a fréquentés associés à un horodatage, cette interrogation ne fait pas intervenir, d'après les éléments fournis par le ministère à la CNIL, d'identifiant de l'application, de la personne ou de son terminal.

La Commission relève également que les modalités de stockage et de comparaison des lieux fréquentés font l'objet de mesures visant à limiter les risques d'identification de ces lieux par des tiers.

Enfin, relève la CNIL, la collecte et le traitement de données opérés pour cette fonctionnalité revêtent un caractère temporaire et ces données sont strictement séparées de celles traitées dans le cadre du protocole ROBERT (aucun identifiant commun et des serveurs centraux distincts pour les deux fonctions).

Le ministère a ainsi fait le choix d'une architecture dans laquelle l'application interroge le serveur en envoyant régulièrement l'historique des lieux fréquentés et enregistrés par l'application, et non celui d'une architecture dans laquelle les codes-QR des lieux contacts seraient diffusés par le serveur à tous les utilisateurs, permettant la comparaison, en local, des lieux contacts sur chaque application.

Néanmoins, au regard de l'ensemble des éléments, la Commission estime que le dispositif projeté est de nature à réduire les risques que fait peser le traitement de données sur les droits et libertés fondamentaux des personnes concernées et rend l'atteinte proportionnée à l'utilité estimée du dispositif dans le contexte de la crise sanitaire actuelle.

Elle relève en revanche que l'étendue de la collecte et du traitement de données dont les utilisateurs de l'application feront l'objet est conditionnée à certains choix qui n'ont pas pu être portés à sa connaissance, évoquant notamment :

• la liste précise des ERP concernés,
• le caractère obligatoire ou non, pour ces établissements, de mettre à disposition un code-QR,
• l'obligation faite aux personnes concernées d'enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination

Le CCL Covid assure de son côté que ces données « ne permettent pas davantage de fournir à l'utilisateur des informations à caractère personnel relatives aux autres personnes ayant fréquenté le même lieu et lors de la même plage horaire ». Pour autant, la CNIL n'est donc pas « pleinement en mesure d'apprécier la proportionnalité de la collecte envisagée ».

« La proportionnalité de la collecte envisagée devrait être affinée »

Dans un communiqué, la CNIL souligne dès lors que « l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues ». Elle n'en explique pas moins « avoir considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination était suffisamment démontrée ».

Elle a en outre relevé que l’architecture technique et fonctionnelle du dispositif apportait « plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation) » :

• le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
• aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la Covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
• les données de TAC-W sont séparées de celles traitées dans le cadre du protocole ROBERT.

Elle note toutefois que le serveur collecte les identifiants uniques et aléatoires contenus dans les codes QR remontés lorsqu'un utilisateur se déclare positif dans l'application. Bien que la table de correspondance entre cet identifiant aléatoire et le nom ou la localisation de l'établissement ne semble pas être connue par le serveur, cette information « existe par ailleurs et pourrait donc être reliée aux données stockées sur le serveur, ce qui serait susceptible d'affaiblir le niveau de sécurité global du traitement ».

À cet égard, la Commission relève que lors de la remontée des historiques de lieux fréquentés d'un utilisateur qui se déclare positif, le serveur applique une fonction de hachage à l'identifiant du lieu contact, en utilisant l'algorithme SHA256 et en l'associant à différentes valeurs d'un paramètre, de façon semblable à un sel, sans que cette mise en œuvre corresponde à l'état de l'art en la matière pour éviter les rapprochements.

Si la Commission comprend de cette pratique qu'elle vise à limiter les possibilités pour des tiers de réidentifier les lieux fréquentés par les utilisateurs, elle invite le ministère à « mettre en place, sans tarder, des mesures encore plus efficaces, telles que le recours à des codes-QR dynamiques, dont l'usage est d'ores et déjà prévu par le ministère et qui pourrait améliorer substantiellement la sécurité des données traitées ».

Vers un dispositif obligatoire « d’enregistrement des visites »

La CNIL prend acte, au surplus, de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », « y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées », sans plus de précision, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel), seraient mis à leur disposition par les responsables des établissements visés.

Par ailleurs, la CNIL recommande, « d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes, lieux de réunion syndicale, etc.) ».

La CNIL rappelle également que la publication de la documentation technique et du code informatique des nouvelles fonctionnalités du dispositif ainsi que la prise en compte des commentaires de la communauté scientifique « permettront l'amélioration continue du dispositif et la correction d'éventuelles vulnérabilités, visant à garantir la sécurité des données ». Elle invite donc le ministère à « poursuivre et amplifier la démarche d'ouverture encadrant la mise en œuvre initiale de StopCovid ».

Priorisation des cas contacts pour les tests de dépistage ?

Contrairement à ce que recommandait la Commission, le décret précise par ailleurs que l'application a également pour vocation de « permettre aux personnes utilisatrices, sur présentation du statut “contact à risque de contamination” dans l'application, de bénéficier d'un examen ou test de dépistage dans des conditions de réalisation prioritaire, au même titre que les autres personnes à risque d'infection ».

La Commission avait en effet rappelé au ministère que « le fait de télécharger et d'utiliser l'application "TousAntiCovid" n'emporte pas, de facto, la possibilité de bénéficier d'un accès prioritaire à ces examens, seuls les utilisateurs notifiés comme contacts à risques étant concernés par ce caractère prioritaire ».

Elle estime dès lors que ce dispositif « ne saurait remettre en cause le caractère volontaire de l'utilisation de l'application », et qu'il serait « néanmoins nécessaire que l'information fournie, notamment dans l'application elle-même, soit sans ambiguïté sur le fait que la priorité est attachée à la qualité de "cas-contact" et non à l'utilisation de l'application par elle-même ».

Reste donc à voir ce que l'application proposera comme information à ce sujet. Ce 15 février, elle affichait plus de 13 millions d'« enregistrements nets » (à savoir de personnes ayant téléchargé et activé l'application) depuis le 2 juin 2020, et 140 150 personnes s'étant déclarées positives dans l'application (soit 1,07 % de ses utilisateurs). TousAntiCovid ne recense par ailleurs que 78 772 potentiels « cas contacts » notifiés par l'application (soit 0,6 % du total). Les utilisateurs ayant déclaré leur positivité dans l'application n'auraient donc, en moyenne, permis de notifier que 1,78 autres personnes qu'elles pourraient potentiellement être des « cas contact ».

Des remontées statistiques pour améliorer les performances

Le décret prévoit en outre la réalisation d'« analyses statistiques à partir des données anonymes issues de l'application afin d'adapter les mesures de gestion nécessaires pour faire face à l'épidémie et d'améliorer les performances de l'application ».

D'après les éléments transmis par le ministère à la CNIL, ces analyses statistiques ne constituent « ni des traitements à des fins de recherche, d'études et d'évaluation dans le domaine de la santé, ni des traitements visant à adapter les mesures de gestion nécessaires à la lutte contre l'épidémie ».

Le ministère a précisé au CCL qu’il s’agissait de mettre en place des paramètres dans l’application permettant d’évaluer la manière dont les personnes l’utilisent : données de navigation de l’utilisateur, temps d’activation moyen du Bluetooth dans la journée, temps d’ouverture moyen de l’application, nombre de contacts « scorés », nombre de contacts croisés.

Il s’agirait d’identifier ce qui fonctionne ou non dans l’application, afin de pouvoir évaluer certaines dimensions de son efficacité. Le but serait également de disposer de données statistiques pouvant être mis en regard des indicateurs employés par Santé Publique France (SPF), ceci afin de mieux guider l’utilisateur grâce à différentes recommandations et conduites à tenir.

« Concernant la dimension confidentielle », relevait d'ailleurs le CCL, « quand une personne choisit de se déclarer positive dans TAC, elle autorise la remontée de ses contacts sans jamais faire remonter son identifiant. C’est dans cette remontée que les données statistiques se retrouvent, sans lien donc avec des données nominatives ou pseudonymisées ».

« Il s’agit d’une analyse d’usage et ceci pourrait être indiqué plus précisément », soulignait le CCL, pour qui « les objectifs de ces analyses, le type de données traitées et les destinataires des analyses doivent être explicités ». La CNIL demandait elle aussi que le projet de décret « soit précisé sur ce point et sur les données effectivement traitées à cette fin ». Ces deux demandes de précisions concernant les données n'ont pas été suivies d'effet dans le décret.

Des « transferts de données vers les États-Unis »

La Commission relève en outre que l'analyse d'impact relative à la protection des données (AIPD) transmise par le ministère mentionne que les dispositifs fonctionnant sous le système d'exploitation iOS ont désormais recours à un système de « notifications push ».

Le ministère indique en effet que le bon fonctionnement de l'application sur ces appareils « nécessite, en raison des limitations techniques imposées par Apple, qu'elle soit réactivée périodiquement, faute de quoi les interrogations régulières du serveur central pour vérifier le statut d'exposition au virus de l'utilisateur ne pourraient intervenir ».

Techniquement, explique la CNIL, ce système se traduit par l'envoi d'une « notification » qui « implique l'envoi de données supplémentaires au serveur central ainsi qu'au serveur de notification d'Apple, et notamment un identifiant unique spécifique au terminal et à l'application ».

La Commission reconnaît l'intérêt de recourir à cette fonctionnalité, « par ailleurs commune à la plupart des applications développées sur iOS (notamment pour avertir l'utilisateur d'une mise à jour), dans le cadre de la crise sanitaire, dès lors qu'elle permet de "réveiller" l'application aux fins d'interroger le serveur central ».

Elle attirait néanmoins l'attention du ministère sur le fait que cette fonctionnalité « pourrait entraîner des transferts de données vers les États-Unis nécessaires au bon fonctionnement technique de l'application ». Elle invitait à ce titre le ministère à « se rapprocher de la société Apple pour avoir confirmation que cette fonctionnalité n'implique pas de transfert ou pour essayer, le cas échéant et dans la mesure du possible, de les éviter. En tout état de cause, l'information des utilisateurs de l'application devra être clarifiée en conséquence ».

Dès lors, elle suggérait au ministère de compléter le projet de décret afin de mentionner, au titre des données traitées, les données techniques nécessaires à ces « notifications push ». Là encore, elle n'a pas été entendue. La Commission regrettait au surplus que l'AIPD dédiée au dispositif relatif aux codes-QR mis à disposition dans certains lieux, en cours de réalisation, ne lui ai pas été transmise en appui de la saisine.

Elle demande donc que celle-ci lui soit transmise et rappelle « en tout état de cause que les risques résiduels devront être ramenés à un niveau acceptable. Elle réitère enfin son appel à la transparence sur ce point et recommande que cette AIPD soit rendue publique ».

Un traitement autorisé « jusqu'au 31 décembre 2021 »

Au-delà des modifications commentées par la CNIL, le décret autorise le traitement « jusqu'au 31 décembre 2021 », alors qu'il l'était jusqu'alors « pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire ».

Initialement prorogé jusqu'en juillet 2020, il l'avait depuis une nouvelle fois été jusqu'en février, et a récemment été de nouveau prorogé jusqu'au 1er juin 2021. L'article 5 du décret disposait à ce titre que « le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021 ». Les mots « et au plus tard le 30 janvier 2021 » sont supprimés.

Le précédent décret disposait par ailleurs qu'« un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du Covid-19, à une proximité suffisante l'un de l'autre ».

Le nouveau remplace cet alinéa pour préciser que « les critères de contact entre deux téléphones permettant de considérer que leurs utilisateurs se trouvent dans une situation présentant un risque de contamination par le virus du Covid-19 sont définis par l'Agence nationale de santé publique et sont rendus publics. » La FAQ de TousAntiCovid n'a, elle, pas été mise à jour depuis le 21 octobre 2020.

L'avis de la CNIL se bornant au volet juridique de la mise à jour, restent, au demeurant, les questions et problèmes d'usage et de faisabilité : comment seront générés et distribués les QR Codes, seront-ils scannés par les utilisateurs de l'application, quel sens cela aurait-il d'être alerté parce que l'on se serait trouvé dans un même établissement « au même moment », mais pas dans la même salle (nonobstant le respect des mesures barrières), et donc quels seront les « seuils » permettant de définir la notion de visite d'un établissement « en même temps » ?...

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 à 2003, avant de contester (.pdf), en 2006, la légalité d'un programme d'espionnage de la NSA, sans mandat. Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Le 15 janvier, il a publié un nouveau mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13.

Après un premier compte-rendu de son volet historique, nous détaillons le contenu de ce nouveau document, destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2

Avant d'entrer dans les détails, David Kris explique que la nouvelle annexe SIGINT semble refléter au moins trois changements significatifs par rapport au texte précédent.

Premièrement, la nouvelle est généralement plus prescriptive, et rend certaines exigences et autorisations « explicites » alors qu'elles étaient auparavant « implicites ». Elle précise notamment comment certaines dispositions interagissent pour permettre ou restreindre certaines possibilités opérationnelles qui se présentent régulièrement.

L'accent mis sur l'interrogation [querying, ndt] des données peut également refléter les progrès technologiques réalisés depuis la dernière mise à jour importante de l'annexe précédente en 1988. Alors qu'autrefois, l'interrogation consistait bien plus à faire en sorte qu'un être humain cherche l'information souhaitée dans un ensemble de données stockées sur du papier, des bandes magnétiques, microfilms et d'autres ensembles de données analogiques, aujourd'hui, il s'agit plutôt d'interrogations automatisées et d'autres exploitations de données numériques. 

L'annexe comporte en outre une série de FAQ intégrées dans le corps du document, et simplifie la recherche dans les règles applicables. Cet effort se manifeste d'ailleurs dans la longueur du document : alors que l'Annexe précédente comprenait une douzaine de pages de fond, la nouvelle Annexe SIGINT en compte environ 35, soit presque trois fois plus, sur 44 pages.

Des contrôles « beaucoup plus développés qu'à l'époque »

Un deuxième changement important par rapport à l'annexe précédente est lié au premier changement : la nouvelle annexe SIGINT tient compte des extensions statutairement requises de l'infrastructure de conformité et de libertés civiles de la NSA. Depuis 2010, l'agence dispose en effet d'un directeur de la conformité, chargé de la conseiller au sujet des questions de protection de la vie privée et des libertés civiles.

De plus, la NSA dispose aujourd'hui de procédures et d'un ensemble de personnels chargés de superviser la r��glementation du SIGINT « beaucoup plus développé qu'à l'époque où l'annexe précédente était en vigueur pour traiter de ces questions ».

« La NSA est une entité hautement réglementée », souligne Kris, et l'annexe SIGINT « est subordonnée, et dérivée, de l'Executive Order 12333 », qui dispose que « [les] éléments de la communauté du renseignement ne sont autorisés à collecter, conserver ou diffuser des informations concernant des ressortissants américains que conformément aux procédures » établies par le chef de l'agence compétente avec l'approbation du procureur général (AG) après consultation du directeur du renseignement national (DNI).

Plus précisément, elle « régit la collecte SIGINT par l'USSS sous E.O. 12333 » à trois fins : « pour satisfaire aux exigences étrangères de renseignement ou de contre-espionnage, pour apporter un soutien aux opérations militaires » ou, dans certaines circonstances, « pour protéger la sécurité ou permettre la récupération d'une personne américaine captive ». Pour autant, l'annexe ne s'applique pas aux activités SIGINT « menées conformément à la FISA », à l'exception des « activités de collecte qui ciblent des personnes américaines en dehors des États-Unis ».

Troisièmement, l'annexe SIGINT semble être plus neutre sur le plan technologique que la précédente, qui comportait par exemple des règles spéciales pour les communications vocales et par fax, qui ne sont plus présentes dans la nouvelle. Alors que la précédente distinguait souvent les règles en fonction du type de signal collecté – par exemple, en traitant les radiofréquences (RF) différemment des communications filaires –, la nouvelle semble mettre l'accent sur les phases du cycle de vie du SIGINT, telles que la collecte, le traitement et l'interrogation.

Ce changement s'expliquerait en partie, explique David Kris, « parce que l'environnement SIGINT lui-même a évolué de telle sorte qu'il serait moins utile pour les opérateurs de trop se concentrer sur le type de signal, les réseaux et systèmes de communication plus complexes, divers et hybrides devenant de plus en plus la norme ».

Il recoupe également et dans une certaine mesure le premier changement, précise l'auteur : « l'annexe SIGINT fournit des orientations conçues pour les opérateurs et adaptées en tenant compte du fait que la protection de la vie privée et les risques connexes peuvent être différents à chaque phase du cycle de vie du SIGINT ».

Des collectes ciblées « chaque fois que possible »

L'annexe rappelle premièrement que l'U.S. Signals Intelligence System (USSS) ne peut « cibler intentionnellement des personnes américaines ou des personnes aux États-Unis à moins qu'une autorisation n'ait été obtenue conformément à la présente section ou à la FISA ».

Deuxièmement, en ce qui concerne les personnes américaines ou les personnes aux États-Unis, l'USSS doit « limiter la collecte SIGINT » à « ne pas collecter plus d'informations que ce qui est raisonnablement nécessaire », et si possible utiliser les moyens les moins intrusifs.

Troisièmement, l'USSS doit effectuer une collecte ciblée (par opposition à une collecte en vrac) « chaque fois que possible », en utilisant des termes de sélection ou d'autres éléments discriminants afin d'« identifier une cible, un sujet ou une caractéristique de la communication ou une combinaison de ces éléments, conformément à l'objectif de la collecte ou de la requête ».

Pour autant, il n'y a pas d'exigence dans l'annexe, comme le prévoit le FISA, de terme de sélection « identifiant spécifiquement une personne, un compte, une adresse ou un appareil personnel ». Un terme de sélection n'est donc pas le même qu'un « sélecteur » fort, un mot utilisé dans d'autres contextes pour désigner une installation comme une adresse e-mail ou un numéro de téléphone spécifique.

Kris explique que l'annexe autoriserait par exemple « l'utilisation d'une combinaison de termes de sélection comme celui-ci: tout message qui (1) contient le mot "pourquoi" utilisé dans les trois mots de l'expression "es-tu"; (2) est écrit à plus de 85% en pentamètre iambique [un type de vers utilisé notamment dans les poésies grecques, anglaises et allemandes, ndt]; et (3) est transmis entre 9h00 et 17h00 GMT ».

De plus, lorsque les termes de sélection « sont raisonnablement susceptibles d'entraîner ou ont abouti [lorsqu'ils ont déjà été utilisés dans le passé] à la collecte de communications à destination, en provenance ou à propos de citoyens américains (où qu'elles se trouvent) », l'annexe impose des exigences supplémentaires. À commencer par le fait de prendre des mesures pour s'assurer que les communications « non pertinentes » soient exclues.

La « collecte en vrac » est limitée à six catégories bien définies

En outre, la collecte SIGINT en vrac (« bulk SIGINT collection », souvent – incorrectement – traduite comme « surveillance de masse ») est quant à elle limitée à six catégories bien définies par la Presidential Policy Directive (PPD-28) approuvée par l'administration Obama en 2014 :

• l'espionnage et autres menaces et activités dirigées par des puissances étrangères ou leurs services de renseignement contre les États-Unis et leurs intérêts;
• les menaces contre les États-Unis et leurs intérêts par le terrorisme;
• les menaces pesant sur les États-Unis et leurs intérêts du fait de la mise au point, de la possession, de la prolifération ou de l'utilisation d'armes de destruction massive;
• les menaces de cybersécurité;
• les menaces contre les forces armées américaines ou alliées ou tout autre personnel américain ou allié; et
• les menaces criminelles transnationales, y compris le financement illicite et la fraude aux sanctions liées aux autres fins mentionnées dans la présente section.

La directive qui l'encadre rappelle en outre qu'« en aucun cas, les renseignements électromagnétiques recueillis en vrac ne peuvent être utilisés dans le but de supprimer ou d'alourdir la critique ou la dissidence; désavantager les personnes en raison de leur appartenance ethnique, de leur race, de leur sexe, de leur orientation sexuelle ou de leur religion; offrir un avantage concurrentiel aux entreprises américaines et aux secteurs commerciaux américains sur le plan commercial; ou atteindre un objectif autre que ceux identifiés dans cette section ».

Quatrièmement, l'USSS doit prendre des « mesures raisonnables » pour déterminer la nationalité et l'emplacement des cibles (pour l'application des règles appropriées, qui dépendent souvent de la nationalité et de l'emplacement).

Cinquièmement, l'USSS doit essayer de réduire la quantité de collecte accidentelle de communications nationales ou de communications concernant des citoyens américains.

La NSA peut examiner un spectre, mais pas n'importe comment

Kris recense au surplus quatre autres limitations pour ce qui est de l'examen de « l'environnement des signaux » afin d'identifier les « signaux ou communications » pertinents. La NSA compare cela au fait de tourner le cadran d'un autoradio pour trouver les stations locales qui diffusent un type particulier de musique ou d'autres programmes.

Un tel examen ne peut être mené que pour identifier les communications ou autres signaux qui satisfont à au moins l'une des quatre exigences suivantes :

1. « Peuvent contenir des informations relatives à la production de renseignement ou de contre-espionnage », comme les messages entre une unité militaire déployée à l'avant ou un actif de renseignement et son quartier général.
2. « Sont chiffrés ou semblent contenir une signification secrète et sont nécessaires pour développer des capacités techniques ». Par exemple, l'analyse cryptographique d'un chiffrement militaire particulier utilisé par un adversaire peut bénéficier d'un large échantillon de données chiffrées.
3. « Sont nécessaires pour assurer une collecte SIGINT efficace ou pour éviter la collecte de signaux indésirables », ce qui s'explique du fait des nombreux canaux de communication existants comparés aux ressources SIGINT limitées. Ils permettent à la NSA et à d'autres éléments de l'USSS d'étudier l'environnement plus large dans le but de diriger la collecte contre les canaux les plus précieux, et peuvent également permettre l'identification des canaux contenant un grand nombre ou un pourcentage de communications qui ne sont pas appropriés pour la collecte, éclairant les décisions pour éviter de diriger SIGINT contre ces canaux.
4. « Révéler les vulnérabilités de sécurité des communications aux États-Unis ». Par exemple, la NSA peut examiner un canal avec un terminal dans une installation de renseignement américaine pour vérifier si de grandes quantités de données sensibles sont exfiltrées.

Dès lors, le but et la fonction d'un tel examen n'est pas de collecter des renseignements étrangers en premier lieu (bien que cela puisse aboutir à une telle collecte), mais de vérifier des informations sur l'environnement SIGINT afin de faciliter, guider et documenter la future collecte SIGINT.

En conséquence, une enquête n'est pas et « ne doit pas être utilisée comme » un « substitut à une collecte continue », et doit être « raisonnable et suffisamment limitée en termes de portée, de résultats et de durée ».

Les enquêtes peuvent utiliser des termes de sélection pour aider à déterminer si un canal étudié (par exemple, une radiofréquence) contient des informations pertinentes, mais des enquêtes sur les canaux de communication avec un terminal (c'est-à-dire un point d'accès ou un point final) aux États-Unis ne peuvent être menées que pour « déterminer si la chaîne contient des "renseignements", doit être d'une durée aussi limitée que possible conformément à cet objectif et, si l'enquête n'implique pas de conditions de sélection, ne doit pas dépasser deux heures sans approbation spéciale ».

De la « minimisation » des données

Kris relève au surplus que « la section 2.5 de l'annexe SIGINT, qui traite des "limitations" à la collecte de SIGINT est la disposition la plus longue et la plus complexe de l'annexe, s'étendant sur plus de cinq pages ».

Lorsque les termes sélectionnés « sont raisonnablement susceptibles d'entraîner ou ont abouti à la collecte de » communications concernant des citoyens américains – même si elles ne sont pas conçues pour le faire – l'USSS doit entreprendre certains efforts de « minimisation » visant à réduire ou à annuler de telles communications (ainsi que les données liées à ces communications) qui ne sont pas pertinentes pour un objectif de collecte autorisé.

Kris note cela dit que la section 3.5 de l'annexe SIGINT prévoit que les limitations sur les requêtes évoquées ci-dessus ne s'appliquent pas à « l'analyse des métadonnées des communications, y compris le "contact chaining" », à savoir l'identification des contacts de la cible, voire des contacts de ses contacts.

Dans de tels cas, l'analyse des métadonnées et le « contact chaining » peuvent se dérouler « sans égard à l'emplacement physique ou à la nationalité de l'un des communicants ou à l'emplacement ou à l'enregistrement de tout appareil ».

Acheter des données plutôt que les intercepter !

Le New York Times vient de révéler que la Defense Intelligence Agency (DIA) avait reconnu avoir acheté des données de géolocalisation « en vrac » provenant de smartphones et obtenues auprès de brokers, mais également que ces derniers ne séparaient pas les données des étrangers de celles concernant les Américains.

Le NYT révèle également si la DIA filtrait les données de sorte de les minimiser, « l'autorisation d'interroger les données de localisation aux États-Unis a été accordée cinq fois au cours des deux dernières années et demie à des fins autorisées », et visant des citoyens américains.

Kris relève à ce titre que l'annexe « ne semble pas règlementer la collecte de données via l'achat d'informations auprès d'un courtier de données », au motif qu'il s'agit d'informations « accessibles au public par abonnement ou par achat » et « fournies volontairement » au gouvernement par une entreprise privée, et non interceptées secrètement par un service de renseignement. Dès lors, leur acquisition ne nécessiterait pas d'approbation spéciale.

Le département de la défense semblerait même « encourager la collecte sur le marché libre à la collecte utilisant le SIGINT, considérant que la première est moins intrusive que la seconde », note David Kris.

Un encouragement qu'il qualifie d'« important car l'un des principaux développements technologiques de l'ère post-11 septembre a été l'amélioration relative du secteur privé, par rapport au gouvernement, dans sa capacité à générer, accéder, collecter, traiter, analyser et exploiter les données, y compris les données de localisation et autres données sur les utilisateurs finaux d'appareils ou de services » :

« De vastes quantités de données, y compris des données de localisation, sont collectées et disponibles à la vente par diverses entités privées. Toute réglementation future possible dans ce domaine devrait vraisemblablement trouver un équilibre entre les préoccupations concernant l'accès du gouvernement américain à ces informations et les préoccupations concurrentes selon lesquelles, si l'accès du gouvernement américain est limité par la loi, l'accès continu resterait disponible pour les gouvernements étrangers adverses, les entités commerciales et non organisations gouvernementales.

En examinant la question dans l'autre sens, j'ai écrit sur les préoccupations de contre-espionnage liées à la disponibilité de ces données - y compris, "à mesure que la gamme des médias sociaux et d'autres informations accessibles au public s'élargit", des difficultés possibles "à établir des personnalités numériques pour l'infiltration agents et officiers" – et le Congrès semble également avoir récemment exprimé des préoccupations similaires. »

Des données conservées 5, 20, 25 ans voire indéfiniment, ou détruites rapidement

En dehors du champ d'application de la FISA, en vertu de la section 4.2 de l'annexe, l'USSS « peut généralement conserver un SIGINT non évalué jusqu'à 5 ans à compter du moment où il est collecté ».

Si l'information est chiffrée ou raisonnablement considérée comme ayant une signification secrète, elle peut être conservée « pendant une durée suffisante pour permettre l'exploitation », et que la durée de rétention de 5 ans ne commence qu'à partir du moment où elles « sont traitées sous une forme intelligible ».

Le FISA prévoit de même que « lorsque les communications sont codées ou ne sont pas traitées d'une autre manière, de sorte que le contenu de la communication est inconnu, il n'est pas nécessaire de minimiser ... jusqu'à ce que leur contenu soit connu ».

La section 4.3 de l'annexe autorise le directeur de la NSA (avec une certification des commissions du renseignement du Congrès) à approuver « la conservation des SIGINT non évalués pendant une période allant jusqu'à 20 ans au-delà de la période de conservation par défaut ».

Les informations collectées en ciblant des personnes non américaines en dehors des États-Unis, y compris des données concernant des Américains (USPI) mais collectées accidentellement, peuvent de leur côté être conservées pendant 25 ans.

La section 4.4 de l'annexe SIGINT permet cela dit la conservation « potentiellement indéfinie » de plusieurs catégories de SIGINT.

La première concerne des informations qui ne représentent pas une menace réelle pour les intérêts de la vie privée des citoyens américains. Il s'agit de « communications étrangères [c'est-à-dire des communications avec au moins une extrémité en dehors des États-Unis] qui sont déterminées comme constituant, en tout ou en partie, du renseignement ou du contre-espionnage étranger, ou des informations nécessaires pour comprendre ou évaluer le renseignement ou le contre-espionnage étranger, et dont toutes les parties sont raisonnablement considérées comme étant des personnes non américaines et dont toute USPI a été supprimé. » La rétention peut dès lors être permanente.

La section 4.6.b. prévoit en outre que l'USSS « détruira généralement rapidement après reconnaissance » toute communication recueillie à la suite d'un « ciblage par inadvertance d'un ressortissant américain non consentant », lorsque la collecte est à la fois inattendue et indésirable, mais se produit par accident, involontairement.

« Quelque chose de très éloigné d'une approche totalement illimitée »

En conclusion, David Kris relève que « l'Annexe SIGINT est flexible à bien des égards, mais elle fournit également des limites importantes à l'activité SIGINT qui n'est pas directement réglementée par la loi ».

De plus, si elle « protège principalement les personnes et les personnes américaines aux États-Unis », l'annexe SIGINT « fournit également des protections importantes qui s'étendent à toutes les personnes, y compris les personnes non américaines situées en dehors des États-Unis, au-delà de celles énoncées dans le PPD-28 ».

Kris résume les limites et les protections applicables concernant les Américains :

• Limites sur « le ciblage intentionnel de personnes ou de personnes américaines aux États-Unis »;
• Limites de la collecte intentionnelle de communications nationales;
• Obligation d'utiliser les « moyens les moins intrusifs » pour la collecte d'USPI effectuée aux États-Unis ou dirigée contre une personne américaine à l'étranger, de ne pas collecter plus d'USPI qu'il n'est « raisonnablement nécessaire », et d'envisager des méthodes pour limiter la collecte d'USPI non pertinentes;
• Obligations de « faire tous les efforts raisonnables » pour « réduire, dans toute la mesure du possible », la collecte accidentelle de communications nationales et de communications concernant des ressortissants américains, et de prendre en compte « certains facteurs pour limiter la collecte de l'USPI [non pertinent] »;
• Interdictions de « ciblage inversé », où la personne ou l'entité auprès de laquelle ou au sujet de laquelle le gouvernement cherche des informations n'est pas la cible identifiée (nominale) de la collecte;
• Obligation d'utiliser des termes de sélection pour la collecte chaque fois que possible et, lorsqu'il existe un risque de collecte accidentelle de communications non pertinentes concernant des personnes américaines, de prendre des mesures pour annuler cette collecte, y compris la collecte des communications elles-mêmes et des données connexes;
• Obligation, lors de collecte SIGINT sur les chaînes de radio étrangères avec un terminal aux États-Unis, de cibler les personnes non américaines à l'étranger (et utiliser des termes de sélection sauf si la chaîne est utilisée exclusivement par des puissances étrangères);
• Obligation de ne recourir à des requêtes destinées à récupérer des communications concernant des personnes américaines et des personnes aux États-Unis que dans certaines circonstances (« quoique l'éventail de circonstances soit assez large », remarque Kris);
• Obligation de destruction des communications nationales, des communications obtenues par ciblage inadvertant de personnes américaines non consentantes, et des communications de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis;
• Obligation de minimisation des USPI lors de la dissémination du SIGINT.

Concernant les non Américains, « les protections incluent » :

• Interdictions d'utiliser des partenaires étrangers pour accomplir indirectement quelque chose que l'USSS ne peut pas accomplir directement, en vertu de l'Executive Order 12333. « Il s'agit d'une limite importante car de nombreux gouvernements étrangers ne réglementent pas l'activité SIGINT de manière aussi rigoureuse ou de manière transparente comme le font les États-Unis », précise Kris.
• Limites quant aux finalités pour lesquelles la collecte SIGINT et l'interrogation de requêtes peuvent être effectuées, et obligations de « mener une collecte ciblée en utilisant une sélection de termes chaque fois que cela est possible ».
• Exigences concernant les moyens de limiter la collecte aux informations pertinentes et les moyens de filtrer « les informations non pertinentes dès que possible après la collecte ».
• Obligations de se conformer aux directives émises par le procureur général destinées à protéger les communications avocat-client.
• Limites de conservation des SIGINT non évalués. Le but de cette limite est principalement de protéger les personnes américaines et les personnes aux États-Unis, mais les limites ont pour effet de restreindre la conservation en général en raison du mélange indifférencié d'informations USPI ou non dans un SIGINT non évalué.
• Obligations générales de détruire les communications nationales de certaines personnes non américaines non consentantes ciblées par inadvertance aux États-Unis.
• Exigences relatives aux politiques internes, aux programmes de conformité, à la formation, à l'audit et aux contrôles internes, à la documentation et aux rapports aux superviseurs externes qui aident à garantir la conformité réelle avec les lois et politiques énoncées –« un autre facteur qui peut différencier les États-Unis de certains autres Gouvernements », précise Kris.

« Les esprits raisonnables peuvent certainement différer sur le point de savoir si l'Annexe SIGINT fournit des protections suffisantes pour les personnes américaines, les personnes aux États-Unis et les personnes non américaines à l'étranger », conclut Kris. « Mais ces 35 pages de détails prescrivent quelque chose de très éloigné d'une approche totalement illimitée » [« something very far removed from a wholly unrestricted approach », ndt] :

« En fournissant ces protections et limites, ainsi qu'en autorisant l'activité SIGINT, l'annexe SIGINT apporte plus de clarté et de prescription que son prédécesseur. Cela reflète en partie le nouvel environnement dans lequel il fonctionne et la tendance à une réglementation et à une transparence accrues en matière de SIGINT. »

La CJUE fustige la « collecte "en vrac" [...] d’un volume relativement important d’informations »

La publication de l'annexe SIGINT devrait donc intéresser juristes et autres afficionados de renseignement technique ou de protection de la vie privée, au vu de l'arrêt dit « Schrems 2 ».

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait alors invalidé le « bouclier de vie privée » (ou Privacy Shield), en juillet 2020, au motif que l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’executive ordrer 12333 « ne correspondent [pas] aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire ».

Outre-Atlantique, les textes prévoient bien l’intervention du tribunal de la surveillance du renseignement extérieur (ou FISC, pour Foreign Intelligence Surveillance Court), toutefois elle se limite à « vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur », pas à savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

Ces dispositifs concoctés par le procureur général et le directeur du renseignement national ne ciblent en effet pas une personne déterminée, mais orchestrent bien un programme de surveillance extérieure.

Pas de limitations ciselées, pas de garanties pour les personnes non américaines potentiellement visées, ni même de droits opposables devant les tribunaux. Le Privacy Shield, si chèrement défendu par la Commission européenne, n’est donc « pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte », contrairement à ce qu’exige le RGPD.

Les documents annexés au Privacy Schield indiquent en effet que la directive stratégique présidentielle n°28 (Presidential Policy directive 28, ou PPD-28), sur laquelle se fondent les programmes de surveillance, permet de procéder à une « collecte “en vrac” [...] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [...] pour orienter la collecte ».

Pour la Cour, « cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel ».

« Une critique possible de la nouvelle annexe »

Un petit détail intrigue, cependant. Le mémo de David Kris, dont les méta-données indiquent qu'il a été enregistré le 15 janvier, fait 78 pages, est extrêmement fouillé et particulièrement documenté. Il renvoie en outre à rien de moins que 362 liens pointant vers des articles, directives, règlements et autres textes officiels particulièrement techniques, eux-mêmes très denses, et a priori impossibles à identifier sauf à être un « professionnel de la profession » des experts en droit du renseignement technique américain.

Or, le tampon de déclassification de l'annexe SIGINT est daté du 7 janvier, et le fichier n'a été mis en ligne que le 13 sur le site web de la NSA. De plus, dans un louable effort de transparence, et pour s'assurer qu'il ne risquait pas de compromettre la sécurité nationale, David Kris précise avoir consulté des représentants de la NSA et d'autres agences gouvernementales, et même « obtenu l'aide du GCHQ », l'homologue britannique de la NSA, afin de s'assurer de l'exactitude de son article.

Il détaille au surplus que son document a « été examiné par le gouvernement pour s'assurer qu'il ne contient pas d'informations classifiées ». De fait, le fichier .pdf est intitulé « nsa-sigint-annex-paper-cleared-by-usg-1-13-2021.pdf », mais sans que l'on comprenne si la référence au 13 janvier correspond à la mise en ligne de l'annexe sur le site de la NSA, ou bien la date à laquelle le document aurait été reçu, envoyé ou bien encore « cleared » et donc validé par le gouvernement US.

Intrigué, je lui ai donc demandé comment il avait pu produire une telle analyse, et l'avoir faite valider par plusieurs représentants de plusieurs agences, même et y compris en Grande-Bretagne, puis de la faire examiner et approuver « par le gouvernement », en moins de 48 heures. Il ne m'a pas répondu.

Reste qu'il est peu probable que David Kris ait pu produire untel travail de décryptage, et encore moins obtenir des réponses de plusieurs représentants de la NSA et du GCHQ, puis faire valider son mémo, en moins de 48 heures.

L'explication pourrait se trouver dans le paragraphe de conclusion. Kris y explique que « l’annexe SIGINT conserve le point de vue d’un opérateur et se concentre sur la satisfaction des besoins de la mission », sans pour autant contribuer à éclairer le débat pour les non-spécialistes, ni donc être en mesure de contribuer au débat public, que les révélations dites Snowden ont contribué à polariser :

« En effet, une critique possible de la nouvelle annexe est qu'elle reste trop ancrée dans les opérations héritées et s'appuie trop fortement sur des catégories, des conventions et d'autres approches traditionnelles qui peuvent être utiles à ceux qui font du SIGINT pour gagner leur vie mais qui peuvent nuire à la clarté pour ceux-ci.

L'équilibre entre l'utilité opérationnelle et la clarté théorique est cependant un équilibre extrêmement difficile à trouver, car le public concerné pour l'annexe SIGINT comprend à la fois des initiés et des étrangers. J'ai essayé, dans ce document, de combler le fossé entre eux, en fournissant une explication de l'annexe SIGINT qui, je l'espère, sera utile à quiconque s'intéresse sérieusement à ce domaine. »

Bien qu'il précise que « les opinions exprimées sont uniquement les miennes et les erreurs de ma seule responsabilité », il ne s'agirait donc pas tant de l'initiative individuelle de celui qui, il y a 15 ans, avait critiqué la NSA. Mais, et probablement, d'une alliance objective entre la NSA et le contributeur du blog de référence pour ce qui est des questions de droit américain en termes de sécurité nationale, afin de vulgariser ce qu'elle autorise ses employés à surveiller, et comment, ou pas.

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 jusqu'à son départ du département en 2003.

En 2006, il avait rendu publique une note (.pdf) de 23 pages contestant la légalité d'un programme d'espionnage permettant à la NSA d'intercepter, sans mandat, les communications internationales impliquant des citoyens et des résidents américains.

Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Kris avait par la suite été désigné membre du National Security Agency Advisory Board (NSAAB, ou NSA Emerging Technologies Panel, qui n'existe plus), composé d'experts nationaux dans divers domaines techniques chargés d'« étudier, évaluer et conseiller périodiquement le directeur de la NSA sur la recherche, le développement et l'application des progrès scientifiques et technologiques existants et émergents, les progrès du chiffrement et d'autres sujets ».

Ces dernières années, il a beaucoup écrit à ce sujet sur Lawfare, le blog juridique de référence sur les questions de sécurité nationale aux États-Unis. Le 15 janvier, il y a publié un mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13. 

Ce vademecum technico-juridique et très complexe, à mesure qu'il a été rédigé à l'intention des praticiens de la NSA qui ont le « droit d'en connaître » sur ses modus operandi, est destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

« L'annexe SIGINT est une réalisation très importante », écrit Kris. Elle met à jour les règles régissant le SIGINT « afin de refléter les développements constitutionnels, statutaires, technologiques et opérationnels des trois dernières décennies. Le temps qu'il a fallu pour y parvenir témoigne du défi que représente cette tâche et des efforts de ceux qui l'ont menée à bien ».

Mais pour l'appréhender, il faut d'abord revenir sur l'histoire de la NSA, et donc aussi du droit et des lois en matière de surveillance et d'interception des télécommunications. Voilà pourquoi le texte de Kris est plus long que celui de la NSA. Et pourquoi nous avons scindé notre compte-rendu en deux parties : une première sur l'histoire de la régulation de la NSA, une seconde sur la nouvelle annexe SIGINT.

Notre dossier sur les agents de la NSA :

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2 (à venir)

« La NSA est la seule entité du gouvernement qui écoute "vraiment" »

En exergue de son mémo, Kris rappelle « une vieille blague selon laquelle la NSA est la seule entité du gouvernement fédéral qui écoute "vraiment" ». Pour autant, précise-t-il, « l'annexe SIGINT n'est pas facile à lire, en partie parce qu'elle est conçue pour les opérateurs et analystes SIGINT professionnels. C'est l'un des principaux moyens par lesquels la NSA se parle de ce qui est et n'est pas autorisé à chaque étape du cycle de vie du SIGINT. Cela comprend la collecte, le traitement, l'interrogation, la conservation et la diffusion de renseignements SIGINT ».

Ce pourquoi, spécialiste de ces questions, Kris a décidé de l'expliquer d'une manière qui serait plus accessible aux « outsiders ». Il propose en outre un historique de l'interception des télécommunications par l'armée américaine, remontant jusqu'aux prémisses de la deuxième guerre mondiale.

On y découvre notamment qu'en 1940, le gouvernement avait résolu un différend entre les multiples branches militaires en charge du SIGINT en divisant la couverture du trafic diplomatique japonais de sorte que l'armée était responsable du décryptage, de la traduction et des rapports les jours pairs du mois, et la marine était responsable les jours impairs...

Ce genre de bisbilles shadokiennes finirent par déboucher sur la création de la NSA, en 1952, bien que son existence n'ait été officiellement reconnue qu'en 1957, et qu'elle fut encore pendant très longtemps surnommée « No Such Agency » [l'agence qui n'existait pas, ndt].

Kris revient également sur les nombreux programmes secrets de la NSA ayant violé le droit à la vie privée des citoyens américains. Il y est donc question de SHAMROCK qui, pendant 30 ans et jusqu'en 1975, lui permit de recevoir la copie de millions de télégrammes internationaux, à raison de 150 000 par mois. Ainsi que de MINARET, qui lui permit d'espionner les télécommunications de militants pacifistes et de personnalités telles que Martin Luther King ou Jane Fonda, et dont la révélation a contribué à l'adoption du FISA.

« Les réseaux numériques ont réduit à la fois la vie privée et la sécurité »

Pour Kris, « la seule question importante est peut-être de savoir si l’annexe SIGINT donne au gouvernement plus ou moins d’autorité qu’il n’en jouissait auparavant » :

« Ceux qui cherchent une réponse simple ou singulière à cette question seront déçus. D'une part, si l'annexe SIGINT est en grande partie non classifiée, il reste quelques règles SIGINT qui le sont. En outre, la version antérieure de l'annexe SIGINT a été révisée pour la dernière fois en substance dans les années 80 – un fait étonnant – et les environnements juridiques et technologiques du SIGINT ont beaucoup évolué depuis.

En 1988, lors de la dernière révision importante de l'annexe précédente, l'Internet ne faisait pas encore partie de la vie quotidienne. Certains éléments du gouvernement américain prétendent qu'ils "vont dans le noir" ["going dark", en VO, ndt] en raison des changements technologiques, tandis que les défenseurs des libertés civiles et d'autres affirment que la technologie a créé un "âge d'or de la surveillance" ["golden age of surveillance", ndt].

Mon propre point de vue est que la technologie des réseaux numériques a réduit à la fois la vie privée et la sécurité, mais en tout cas il ne fait aucun doute que la technologie a eu un impact majeur sur le SIGINT. Les changements constitutionnels, législatifs et technologiques compliquent tout effort de comparaison de l'autorité relative du SIGINT en 1988 et aujourd'hui .»

Il estime en outre que « la conclusion du document pourra intéresser un groupe différent de professionnels : ceux qui sont impliqués dans le débat en cours Schrems-RGPD concernant les transferts de données transfrontaliers entre les États-Unis et l'Europe ». Elle résume en effet certaines des principales protections pour les personnes américaines (et les personnes aux États-Unis), ainsi que certaines des protections pour les personnes non américaines situées à l'étranger.

Du Watergate à la commission Church

Kris y rappelle tout d'abord que le SIGINT « consiste à collecter des renseignements étrangers à partir des systèmes de communication et d'information et de les fournir à des clients du gouvernement américain, tels que de hauts responsables civils et militaires ». 

Suite du scandale du Watergate, et à la révélation de plusieurs programmes secrets permettant aux services de renseignement américain d'espionner des citoyens américains opposés à la guerre du Vietnam notamment, le Sénat instaura en 1975 une commission dite Church, du nom de son président, afin de déterminer si et « dans quelle mesure, le cas échéant, des activités illégales, irrégulières ou contraires à l'éthique étaient menées par un organisme du gouvernement fédéral ».

Elle entraîna notamment l'adoption du Foreign Intelligence Surveillance Act (FISA) de 1978, destiné à réglementer la surveillance physique et électronique ainsi que la collecte d'informations de « renseignements étrangers » entre « puissances étrangères » et « agents de puissances étrangères » soupçonnés d'espionnage ou de terrorisme.

Il permet au ministère de la justice d'obtenir des mandats du Foreign Intelligence Surveillance Court (FISC) avant ou jusqu'à 72 heures après le début de la surveillance. La FISA autorise un juge du FISC à délivrer un mandat s'« il y a une raison probable de croire que la cible de la surveillance électronique est une puissance étrangère ou un agent d'une puissance étrangère ».

Le FISA permet en outre au président ou à son délégué d'autoriser une surveillance sans mandat pour la collecte de renseignements étrangers s'« il n'y a pas de probabilité substantielle que la surveillance acquière le contenu de toute communication à laquelle un ressortissant des États-Unis est partie ».

D'Al Quaida à Stellar Wind

Suite aux attentats du 11 septembre 2001, Georges Bush valida un programme, Stellar Wind, qui autorisait des interceptions sans mandat lorsque le gouvernement avait « une base raisonnable pour conclure qu'une partie à la communication est membre d'Al-Qaida, affiliée à Al-Qaida, ou membre d'une organisation affiliée à Al-Qaida, ou travaillant pour soutenir Al-Qaida et que l'une des parties à la conversation était "en dehors des États-Unis" ».

Dans les fait, Stellar Wind permettait le data mining d'une vaste base de données de communications des citoyens américains, y compris les communications par courrier électronique, les conversations téléphoniques, les transactions financières et les activités sur Internet.

La révélation de son existence dans la presse fit scandale, et contribua l'adoption du FISA Amendments Act de 2008 (FAA). Cette loi rendit illégal le fait de se livrer intentionnellement à une surveillance électronique sous l'apparence d'un acte officiel ou de divulguer ou utiliser des informations obtenues par surveillance électronique sous l'apparence d'un acte officiel, en sachant que cela n'a pas été autorisé par la loi.

Son article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d'autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l'extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données (SIGINT) peuvent durer pendant des périodes allant jusqu'à un an.

En vertu du paragraphe 702 (b) de cette loi, une telle acquisition de données est cela dit soumise à plusieurs limitations. Plus précisément, une telle surveillance :

• ne doit pas viser intentionnellement une personne située aux États-Unis lors de l'acquisition;
• ne doit pas viser intentionnellement une personne identifiée comme étant localisée à l'étranger si cette personne en particulier est généralement située aux États-Unis;
• ne doit pas viser un citoyen américain qui serait localisé en dehors des États-Unis;
• ne doit pas viser à acquérir toute communication à laquelle l'expéditeur et tous les destinataires sont connus au moment de l'acquisition comme étant localisés aux États-Unis;
• doit être menée d'une manière compatible avec le Quatrième amendement de la Constitution des États-Unis.

« Il est étonnant que la dernière modification significative remonte à 1988 »

Pour autant, souligne David Kris, « il reste beaucoup de SIGINT que le Congrès a, tout à fait intentionnellement, laissé non réglementé par la loi et non soumis à la juridiction de la Cour FISA », à commencer par les interceptions de télécommunications effectuées par des étrangers à l'étranger et ne transitant pas par le territoire américain.

Dans son rapport sur le projet de loi qui deviendrait la FISA, par exemple, la commission du renseignement de la Chambre reconnut que « les normes et procédures de surveillance à l'étranger peuvent devoir être différentes de celles prévues » par le FISA. Et le comité nota « avec approbation » l'existence d'un décret et de règlements pour régir cette surveillance.

L'« annexe SIGINT » publiée le 13 janvier et qui régit la collecte de renseignements par tous les éléments du ministère de la Défense, dont la NSA fait partie, est le descendant de ces règlements mentionnés par le Congrès, encadrant le SIGINT qui n'est pas soumis au FISA.

Pour autant, David Kris trouve tout de même « étonnant que la dernière modification significative de l'annexe précédente remonte à 1988, sous l'administration Reagan, une décennie après la FISA et seulement deux ans après la promulgation de Electronic Communications Privacy Act (ECPA) ».

Contrairement à ce que son nom laisse entendre, l'ECPA ne visait pas tant à protéger la vie privée des Américains, mais à faire du détournement de satellite un crime. La loi avait cela dit profité de l'occasion pour étendre les restrictions gouvernementales sur les écoutes téléphoniques afin d'y inclure les transmissions de données électroniques par ordinateur, et protéger les communications filaires, orales et électroniques pendant le transit.

Le piratage d'HBO, et des communications satellites de la CIA

L'ECPA avait en effet été adopté après qu'un hacker utilisant le pseudonyme « Captain Midnight » ait brouillé le signal satellite de la chaîne HBO pour y diffuser un message d'une durée de quatre minutes et demie. Vu par plus de la moitié des 14,6 millions d'abonnés, il protestait contre les tarifs de HBO pour les propriétaires d'antennes paraboliques, qu'il jugeait trop chers.

Ironie de l'histoire, le film d'espionnage dont il avait interrompu la diffusion, Le Jeu du faucon, raconte l'histoire vraie de deux jeunes Américains qui avait vendu des secrets concernant le chiffrement des communications et les satellites d'espionnage américains à l'Union soviétique dans les années 70.

En 1974, Christopher John Boyce avait en effet été promu à un poste très sensible, avec une habilitation de sécurité top secret, dans le « Black Vault » (centre de communications classifiées) de TRW, une entreprise aérospatiale qui travaillait pour les services de renseignement américain.

Lors de son procès, il expliqua avoir commencé à recevoir des câbles mal acheminés de la CIA discutant du désir de l'agence de déposer le gouvernement australien, parce que ce dernier voulait fermer les bases militaires américaines en Australie, y compris la station d'écoute de Pine Gap, et retirer les troupes australiennes du Vietnam.

Choqué, il aurait d'abord envisagé d'en parler à la presse, mais la divulgation antérieure par les médias de l'implication de la CIA dans le coup d'État chilien de 1973 n'ayant rien changé, Boyce préféra contacter l'URSS.

Il rassembla nombre de documents classifiés détaillant comment décrypter le trafic sécurisé des messages du gouvernement américain et les spécifications détaillées de ses derniers satellites d'espionnage, et demanda à son ami d'enfance Andrew Daulton Lee, un revendeur de cocaïne et d'héroïne, d'aller les revendre aux Soviétiques.

Mais Lee fut arrêté par la police mexicaine devant l'ambassade soviétique, le 6 janvier 1977, « presque par accident » : un policier qui l'avait vu jeter des documents sur le sol de l'ambassade soviétique l'arrêta pour jet de détritus, avant de le torturer, puis de découvrir qu'il avait un microfilm top secret en sa possession.

Condamné en 1977 à 40 ans de prison, Boyce s'échappa en 1980, braqua 17 banques dans l'espoir de s'enfuir en URSS, étudia l'aviation pour tenter de faire évader son comparse, avant d'être arrêté en 1981, et d'être de nouveau condamné à trois ans de prison pour évasion, et 25 ans pour ses braquages. Libéré sur parole en 2002, il a depuis plusieurs fois exprimé son soutien aux actions d'Edward Snowden.

PricewaterhouseCoopers (PwC), l'un des quatre grands cabinets d'audit et de conseil, a identifié une liste de 7 « mégatendances » en matière de protection de la vie privée à l'horizon 2030. Cette « feuille de route pour les PDG » serait susceptible de leur faire gagner « des avantages concurrentiels durables » par rapport à ceux qui n'en ont cure.

PwC explique que son équipe de « plus de 600 professionnels de la protection de la vie privée dans plus de 40 pays » a identifié ces 7 « mégatendances » aux termes d'une analyse effectuée en trois étapes  :

• Nous avons effectué une méta-analyse des rapports sur les mégatendances publiés par huit maisons de stratégie pour identifier les tendances potentielles;
• Nous avons construit un modèle de lien de cause à effet des tendances candidates pour identifier les relations entre elles; et
• Nous avons classé leur probabilité et leur impact sur les indicateurs du marché local à l'échelle mondiale.

Chacune d'entre elles est suivie de conseils destinés à aider les PDG à identifier les vecteurs et déclencheurs susceptibles de les déployer, mais qui concernent également l'ensemble des salariés, clients et consommateurs.

PwC estime au premier chef que « convertir les données en valeur de manière sûre et éthique est l'impératif commercial de la prochaine décennie. Celui qui contrôle le cycle de vie de ses données dirigera le plus son destin (...) à mesure que la valeur perçue des données augmente, elles deviendront une cible accrue de l'espionnage des entreprises et de cyberattaques étatiques », intensifiant le besoin d'intégrité et d'authentification des données.

D'autant que « dans le même temps, le déploiement croissant de l'intelligence artificielle, de la robotique et d'autres technologies ayant un impact sur la vie privée créera de nouveaux risques en matière d'éthique des données ».

Ce pourquoi les entreprises qui se positionneront « sur une éthique des données et des technologies alignées » auront des avantages par rapport à la concurrence.

Vers une « application automatisée de la confidentialité »

Il table, en second lieu, sur un régime « tripolaire » de réglementation de la protection de la vie privée autour des modèles européens, américains ou chinois.

Partant du constat que « les pays continueront à voir des avantages au cours de la prochaine décennie en adoptant de nouvelles réglementations sur la protection de la vie privée », les différentes exigences et l'application des trois pôles pousseront les multinationales à repenser la migration vers le cloud, et à « modifier l'équilibre du modèle opérationnel mondial entre ce qui est centralisé et ce qui est régionalisé ».

Troisième mégatendance : « l'application automatisée de la confidentialité ». PwC estime en effet que les entreprises seront confrontées à une exposition accrue sur ces questions : « les régulateurs sont à court de ressources et sous pression pour produire des résultats, et plusieurs d'entre eux obtiennent de plus grandes autorités d'application ainsi que des niveaux maximums d'amendes et de pénalités plus élevés ».

Dès lors, « les approches traditionnelles de la conformité à la vie privée qui se concentrent sur la documentation papier des politiques et des procédures se révéleront inadéquates à cet examen numérique continu ».

Les entreprises de la Big Tech seront au surplus �� au centre des préoccupations des régulateurs et des militants et se trouveront exposées à des amendes, des sanctions, des poursuites et un examen public croissants ».

PwC anticipe, en quatrième lieu, le fait qu'« une part croissante des consommateurs sera prête à quitter les entreprises auxquelles ils sont fidèles s'ils trouvent un concurrent capable de leur offrir les mêmes ou de meilleures commodités, mais avec un contrôle et une valeur plus fiables de leurs données ».

Les entreprises qui ont le plus à gagner seront dès lors « celles qui peuvent dépasser leurs concurrents en offrant une meilleure combinaison de prix, de qualité de produit, de service et de flexibilité des contrôles de confidentialité, d'accès aux données, de portabilité, de correction, de restriction d'utilisation et d'effacement ».

Vers une « pénurie de talents en ingénierie de la confidentialité »

PwC estime par ailleurs que « la pandémie COVID-19 a accéléré le suivi technologique des entreprises du statut et de la productivité des employés », et que « les technologies telles que la reconnaissance faciale et l'intelligence artificielle pourraient être utilisées pour accroître les disparités raciales et socio-économiques ».

Une cinquième mégatendance consisterait dès lors à déployer « un programme de protection de la vie privée des employés, une culture de confidentialité positive endémique, de performance et d'impact éthique des nouvelles technologies et des utilisations des données sur le lieu de travail ». Il s'agirait d'offrir aux employés « les moyens de gérer leur vie privée au travail et à la maison, y compris des moyens pour sécuriser le travail à domicile ».

Pour survivre et prospérer à travers les tendances susmentionnées, les entreprises les plus touchées « appliqueront de nouvelles normes plus strictes dans leur entreprise et à travers leurs chaînes d'approvisionnement et leurs chaînes de valeur des données ».

La sixième mégatendance viserait à « établir des normes technologiques de confiance, codes de conduite et programmes de certification » dans tous les aspects de l'entreprise afin de bénéficier d'« avantages concurrentiels auprès des entreprises clientes, des consommateurs finaux et des employés ».

PwC estime à ce titre que « la demande de personnes capables d'appliquer des exigences de confidentialité complexes à des problèmes commerciaux dépassera l'offre » et entraînera, septième mégatendance, une « pénurie de talents en ingénierie de la confidentialité ».

Les six autres mégatendances de la protection de la vie privée vont en effet « toutes dans cette direction : un besoin mondial et soutenu de concevoir de nouvelles technologies de confiance et de normes d'éthique des données ».

Dès lors, les besoins vont aussi augmenter en personnels formés en science, technologie, ingénierie et mathématiques, « déjà très demandés, ainsi que pour ceux formés en philosophie et en éthique ». De plus, les ingénieurs devront acquérir une expertise en matière de confidentialité, « tandis que les avocats devront acquérir une connaissance approfondie de la technologie et de l'éthique ».

Les multinationales qui « adoptent l'approche traditionnelle consistant à compter sur une ou deux personnes dans leur service juridique pour répondre à tous leurs besoins en matière de confidentialité ne répondront pas à leurs objectifs commerciaux 2030 liés à la technologie ou aux données ».

Ils seront même « surclassés par la concurrence, connaîtront des taux plus élevés d'attrition des consommateurs et des employés, et des cycles de vente plus lents », tout en absorbant « de plus en plus de risques ».

« Les entreprises qui naviguent le mieux dans ces sept mégatendances de la vie privée de la prochaine décennie obtiendront des avantages concurrentiels durables par rapport à celles qui poursuivent les approches de sprint qu'elles avaint suivies pour, par exemple, la préparation au RGPD », conclut PwC.