Aux États-Unis, deux textes s’affrontent pour renouveler des capacités de surveillance

Deux textes très différents s'affrontent outre-Atlantique pour le renouvellement des capacités de surveillance définies actuellement par la Section 702 de la loi FISA. En lice, la potentielle extension des pouvoirs du renseignement américain à l’ensemble des équipements communicants produits par le pays.

Depuis 1978, la loi FISA (Foreign Intelligence Surveillance Act) fixe le cadre dans lequel les agences de renseignement peuvent surveiller les communications, physiques ou électroniques, émanant des puissances étrangères.

Au sein de cette loi, la Section 702 est la plus connue, notamment parce que l’affaire Edward Snowden a braqué les projecteurs sur plusieurs programmes de surveillance, dont PRISM. Cette Section, créée en 2008, permet au ministre de la Justice (procureur général des États-Unis) ainsi qu’au directeur du renseignement, tous deux membres du cabinet présidentiel, d’autoriser la surveillance d’un groupe de personnes. Il y a toutefois deux grandes conditions : elles ne doivent pas être américaines ni se situer physiquement aux États-Unis.

Contrairement aux informations révélées à l’époque sur certains programmes, la Section 702 n’autorise normalement pas de collecte de masse. En théorie, chaque décision de ciblage est individuelle, documentée, approuvée et contrôlée par une équipe indépendante. La Section 702 doit également respecter le Quatrième amendement, qui protège les Américains contre les perquisitions et saisies non motivées. Il rend également obligatoire le mandat délivré par un juge pour toute perquisition.

Le ministre de la Justice doit par ailleurs contrôler toutes les procédures, qu’il s’agisse de ciblage, de minimisation et d’interrogation, en lien avec la Foreign Intelligence Surveillance Court (FISC). Ces examens doivent en théorie assurer la conformité avec la loi FISA dans son ensemble, ainsi qu’avec le Quatrième amendement. En cas d’erreur, la FISC et le Congrès sont avertis.

La Section 702 est surtout connue pour son impact sur le cloud : en l’état, elle permet au gouvernement d’obliger les « fournisseurs de communications électroniques » (ECSP) à collecter des informations. En outre, ses insuffisances sur les contrôles ont été pointées de nombreuses fois, notamment car des communications de citoyens américains se sont retrouvées prises dans les filets, lors de leurs échanges avec des personnes à l’étranger.

Les capacités octroyées par la Section 702 ne sont cependant ni définitives ni gravées dans le marbre. Elles doivent être renouvelées régulièrement, et la version actuelle expire le 31 décembre.

Au Congrès, deux visions très différentes

Une situation particulière a lieu également au Congrès américain : deux textes s’affrontent pour renouveler les capacités de la Section 702. Le premier, nommé PLEWSA (Protect Liberty and End Warrantless Surveillance Act), émane du Comité judiciaire de la Chambre des représentants. L’autre, intitulé FRRA (FISA Reform and Reauthorization Act), a été écrit par le Comité du renseignement par la même Chambre.

Comme on s’en doute, ces deux textes ne peuvent pas être tous deux adoptés. Il s’agit d’un affrontement de type « Queen of the Hill » : le projet qui aura recueilli le plus de suffrages à la Chambre des représentants sera présenté officiellement au Congrès pour approbation. Et au vu du calendrier très serré, le vote aura lieu dès la semaine prochaine.

Les deux textes, comme on s’en doute, ont une approche très différente du renouvellement. Le projet PLEWSA cherche notamment à colmater une brèche permettant actuellement aux agences de renseignement de contourner le Quatrième amendement pour obtenir des informations, via les entreprises américaines et sans mandat. Le projet FRRA, en revanche, ne revient pas sur ce point, tout en étendant fortement les capacités de surveillance.

Un texte dans le collimateur

Le projet du Comité du renseignement est l’objet de nombreuses craintes. L’EFF (Electronic Frontier Foundation) est vent debout contre ce texte, qui généraliserait la collecte d’informations à n’importe quel produit américain en mesure de le faire, dont tous les équipements réseau. Un tournant ironique quand on sait avec quelle véhémence le gouvernement américain a rejeté Huawei pour les mêmes raisons et usé de son influence en Europe et dans le reste du monde pour obtenir le même résultat.

• • L’étau se resserre pour Huawei, sur fond de tensions géopolitiques

• • 5G : la Commission européenne exhorte à « adopter d’urgence des mesures » contre Huawei et ZTE

« Les agents du FBI ont utilisé les bases de données de la section 702 pour effectuer des millions de recherches invasives dans les communications d'Américains, notamment celles de manifestants, de militants pour la justice raciale, de 19 000 donateurs à une campagne du Congrès, de journalistes et même de membres du Congrès », accuse ainsi la fondation.

Avec la FRRA, l’EFF craint que le programme de surveillance ne soit étendu aux « demandeurs d'asile en passant au crible leurs communications numériques ». Elle cite un avis de la FISC, largement expurgé, selon lequel le gouvernement américain chercherait à obtenir cette autorisation, qui lui a été refusée plusieurs fois. La fondation pointe également le nouveau lien qui serait créé avec les services d’immigration, puisque la loi donnerait la « possibilité de vérifier l'ensemble de l'historique des communications avant de décider si un immigrant peut entrer dans le pays ».

Même son de cloche pour l’avocat Marc Zwillinger, qui pointe dans un billet ses craintes sur cet élargissement des capacités de surveillance dans sa Section 504. Non seulement tout produit communicant pourrait être utilisé pour du renseignement, mais tout dirigeant, employé ou même « dépositaire » d’une entreprise serait tenu d’y participer.

« Même un réparateur qui vient réparer le Wi-Fi »

« Ces changements élargiraient considérablement le champ des entreprises, des entités et de leurs affiliés qui peuvent être contraints de participer à la surveillance 702 », critique Zwillinger :

« La nouvelle définition de l'ECSP de la FRRA annulerait les décisions récentes de la Foreign Intelligence Surveillance Court (FISC) et de la Foreign Intelligence Surveillance Court of Review (FISCR) qui ont interprété la définition actuelle de manière beaucoup plus restrictive, apparemment pour exclure les fournisseurs de services de communication qui ont simplement accès à l'équipement sur lequel les communications sont transmises ou stockées. La nouvelle définition, combinée à la capacité de la NSA de procéder à une "collecte en amont", pourrait permettre au gouvernement d'accéder sans mandat à n'importe quel système de communication en Amérique par lequel une communication unilatérale avec l'étranger pourrait être trouvée ».

Même avis chez Elizabeth Goithen, codirectrice du Liberty and National Security Program au Brennan Center for Justice. Dans un fil sur Twitter, elle pointe, elle aussi, le changement de définition de « fournisseurs de communications électroniques » :

« Qu’est-ce que cela signifie en pratique ? C’est simple. Les hôtels, bibliothèques, cafés et autres lieux offrant le wifi à leurs clients pourraient être contraints de servir d'espions de substitution. Ils pourraient être obligés de configurer leurs systèmes de manière à permettre au gouvernement d'accéder à des flux entiers de communications ».

« Même un réparateur qui vient réparer le Wi-Fi de votre maison répondrait à la définition révisée : cette personne est un "employé" d'un "fournisseur de services" qui a "accès" à un "équipement" (votre routeur) sur lequel des communications sont transmises », a-t-elle ajouté.