L’extension des prestataires américains devant collaborer avec la NSA fait polémique

La Section 702 du Foreign Intelligence Surveillance Act (FISA), qui concernait jusque-là les seules compagnies de téléphonie et fournisseurs de services Internet, pourrait a priori désormais s'appliquer à des dizaines de milliers d'autres prestataires informatiques. Le procureur général des États-Unis évoque un « amendement technique » qui ne concernerait qu'un nombre « extrêmement faible » d'entreprises.

La Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise la NSA ou le FBI à accéder aux « communications de non-Américains à l’étranger », y compris s’ils communiquent avec des Américains. Elle est cela dit critiquée pour avoir permis au FBI d'enquêter sur les identifiants de 16 000 citoyens états-uniens.

Le président Joe Biden a signé samedi le projet de loi visant à réautoriser la section 702 de la loi sur la surveillance des renseignements étrangers après que le Sénat a adopté la législation vendredi soir, rapporte CNN.

Le Sénat US venait en effet de voter, peu après minuit, par 60 voix contre 30, la réautorisation de la Section 702, après avoir « fait échec aux efforts déployés par les défenseurs des libertés civiles de gauche et de droite pour le limiter », note NBC News.

Le vote final est en effet intervenu après que le Sénat a rejeté six amendements déposés par des sénateurs progressistes et conservateurs estimant que les pouvoirs d'espionnage étaient trop étendus, et qui demandaient donc des protections pour les libertés civiles et la vie privée des Américains.

La semaine passée, la Chambre des représentants avait, elle aussi, adopté un renouvellement du FISA, rejetant un amendement visant à exiger un mandat pour fouiller les communications des Américains, et en limitant ce renouvellement à une durée de deux ans seulement, jusqu'en 2026, et non de cinq ans comme il était initialement prévu.

• Aux USA, la surveillance des communications d'étrangers sans mandat (FISA) fait débat

Un compromis destiné à emporter les suffrages de certains élus républicains. « Une réautorisation de deux ans donnerait à l’ancien président Donald Trump une chance de réviser la loi s’il remporte la prochaine élection présidentielle », relève en effet CNN. Ce qui a permis, explique le New York Times, aux transfuges républicains de la droite dure de crier victoire, et à 19 d'entre eux de changer de position pour finalement voter en faveur du projet de loi.

FISA obligera « tout fournisseur de services ayant accès à des équipements »

Le sénateur démocrate Ron Wyden déplorait que le projet « exige que le procureur général permette des recherches sur tous les voyageurs – des dizaines de millions de personnes qui viennent aux États-Unis chaque année ». Il relevait en outre un rajout qui étendrait « considérablement » le nombre d'entreprises concernées, qui ne concernait jusque-là que les seules compagnies de téléphonie et fournisseurs de services Internet.

Un amendement au projet de loi étend en effet le champ d’application des « fournisseurs de services de communications électroniques » qui doivent coopérer à « tout autre fournisseur de services ayant accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker des communications filaires ou électroniques », ainsi que leurs « custodians » (que l'on pourrait traduire par « gardiens », ou « dépositaires »), et non plus seulement leurs « employés ».

« Nous n'avons vu le texte de cet amendement que jeudi, pour un vote prévu vendredi », a déclaré au Register Kia Hamadanchy, conseiller politique de l'American Civil Liberties Union (ACLU).

Une extension qui a également fait bondir les grandes entreprises technologiques états-uniennes, dont le Conseil de l'industrie des technologies de l'information (ITI, qui fédère la plupart des Big Tech US). John Miller, vice-président principal et avocat général de l'ITI, avait ainsi exhorté les sénateurs à s'y opposer au regard des « conséquences plus larges sur la compétitivité des entreprises technologiques américaines et, potentiellement, sur les flux de données avec les alliés des États-Unis » :

« Si les grandes entreprises américaines qui fournissent des services de base permettant la transmission ou le stockage de données – tels que les data centers, les services de sécurité en nuage ou infogérés – sont soudainement obligées de participer à la surveillance du FISA, certains de leurs clients se tourneront probablement vers des concurrents étrangers qui, selon eux, n'exposeront pas de la même manière leurs données ou celles de leurs clients aux demandes du gouvernement ».

« Bien que les effets de cet amendement puissent être involontaires, leurs impacts seraient très réels », précise John Miller sur le blog de l'ITI. Il déplore notamment que son libellé mette « sans doute en péril la libre circulation des données entre les États-Unis et leurs alliés à l'échelle mondiale » :

« Bien que l'amendement ait été présenté comme un correctif "étroit" et technique visant à mettre à jour la section 702 pour se conformer au paysage changeant de l'écosystème des télécommunications, à l'ère où presque tout est interconnecté, l'impact pratique de la définition révisée est significatif [...] toute entreprise, tout fournisseur ou tout employé qui touche à l'infrastructure physique de l'internet pourrait désormais entrer dans le champ d'application du FISA et être contraint d'aider à la surveillance du FISA. »

Un « changement radical » obligeant des dizaines de milliers d'entreprises

L'ITI souligne que cette mention de « fournisseur de services ayant accès à des équipements » constitue « un changement important » car, des routeurs et commutateurs aux serveurs et équipements de réseaux virtuels en passant par l'Internet et les communications qui en dépendent, « toutes les transmissions et stockages de communications mondiales sont alimentés par des équipements TIC physiques réels », alors qu'« il existe des dizaines de milliers d'entreprises fournissant du matériel ou d'autres équipements technologiques physiques aux États-Unis ».

De plus, l'élargissement de la définition à « tout autre fournisseur de services », en supprimant le terme « communications », a des implications « tout aussi vastes » si l'on tient compte de la multiplicité des fournisseurs de services qui jouent un rôle dans la transmission ou le stockage des communications TIC.

Par exemple, écrit l'ITI, et « à première vue », l'amendement « semblerait couvrir les centres de données, les fournisseurs de stockage en nuage, les fournisseurs de services de sécurité infogérés » et une variété d'autres sociétés qui fournissent des services sous-jacents ou liés à la transmission et au stockage des communications TIC.

L'ITI déplore en outre que, pris littéralement, cet amendement pourrait également concerner les nombreuses sociétés et personnes ayant accès à l'équipement nécessaire pour fournir ces services – « des propriétaires d'immeubles et d'installations au personnel de nettoyage et de gardiennage, en passant par les nombreux types d'entités commerciales qui fournissent une connexion WiFi à leurs clients » :

« Si cet amendement était adopté, tout fournisseur d'équipement de services de communications électroniques ou toute personne ayant accès à cet équipement, y compris leurs employés ou les employés de leurs fournisseurs de services, serait soumis à une obligation de divulgation ou d'assistance dans le cadre du FISA. Il s'agit là d'un changement radical par rapport à la portée actuelle des communautés de télécommunications et de technologies couvertes par les exigences actuelles du FISA. »

Une « poignée d'exceptions » excluant notamment hôtels et cafés

Un tournant particulièrement problématique et intervenant moins d'un an après la validation du « Data Privacy Framework », censé sécuriser le transfert de données personnelles entre l'Europe et les États-Unis après que l'ONG noyb a fait invalider par la CJUE ses prédécesseurs, « Safe Harbor » et « Privacy Shield », dans ses arrêts « Schrems I » et « Schrems II ».

• • La Commission européenne ((re)re)valide le transfert de données personnelles vers les États-Unis

• • Data Privacy Framework : Philippe Latombe nous explique son recours devant le Tribunal de l’Union européenne

« Contrairement à ce que certains ont affirmé, cet amendement exclut expressément les cafés, les bars, les restaurants, les résidences, les hôtels, les bibliothèques, les centres de loisirs et toute une série d'autres établissements similaires », a rétorqué le président (lui aussi démocrate) de la commission sénatoriale du renseignement, Mark Warner, relève NBC News :

« En outre, elle ne permettrait absolument pas, comme l'ont affirmé certains critiques, au gouvernement américain d'obliger, par exemple, un concierge travaillant dans un immeuble de bureaux en Virginie du Nord à espionner pour le compte de la communauté des services de renseignement. »

« Quiconque lit le texte constatera que ces dispositions ne sont manifestement pas conçues pour fonctionner », déplorait cela dit Ron Wyden au sujet de la « poignée d'exceptions » excluant notamment les hôtels et les cafés :

« Même l'exception concernant les cafés n'a pas de sens, car elle ne couvrirait pas une entreprise qui entretient le wifi du café. Et le fait qu'il y ait quelques exceptions aléatoires prouve encore une fois mon point de vue : cette disposition forcera un grand nombre d'entreprises et d'individus à espionner pour le compte du gouvernement. »

La nouvelle rédaction précise en effet que seront exclues de cette obligation de collaboration les entités servant « principalement » d'établissement d'hébergement public, de logement, d'équipement collectif ou d'établissement de restauration.

Le nombre d'entreprises concernées serait « extrêmement faible »

Signe de la sensibilité du problème, le procureur général des États-Unis a mis en ligne un courrier (.pdf) expliquant que cet élargissement de la notion de fournisseur de services de communications électroniques (« electronic communication service provider » – ECSP) ne serait qu'un « amendement technique visant à tenir compte des changements intervenus dans la technologie de l'Internet au cours des 15 années qui se sont écoulées depuis l'adoption de la section 702 » en 2008.

Cette redéfinition répondrait à une « suggestion » de la Foreign Intelligence Surveillance Court (FISC, la cour fédérale créée pour superviser les demandes de surveillance de « présumés agents de renseignement étrangers sur le sol américain ») visant à « combler une lacune critique en matière de renseignements » ayant fait l'objet d'un litige devant la Cour et concernant les types de services de communication utilisés par des personnes non américaines en dehors des États-Unis.

Le ministère précise qu'il « s'engage à appliquer cette définition de l'ECSP exclusivement pour couvrir le type de fournisseur de services en cause » dans le litige devant la FISC, c'est-à-dire les entreprises technologiques qui fournissent le service dont la FISC « a conclu qu'il ne relevait pas de la définition actuelle ».

À l'en croire, le nombre d'entreprises technologiques fournissant ce service serait « extrêmement faible », et elles seront identifiées « dans une annexe classifiée » :

« Afin de protéger les sources et les méthodes sensibles, la disposition ECSP de la H.R. 7888 a été rédigée de manière à éviter d'alerter inutilement des adversaires étrangers sur des techniques de collecte sensibles. »

Afin de « faciliter le contrôle et la transparence » de l'engagement pris par le gouvernement d'appliquer toute définition actualisée de l'ECSP « uniquement aux fins limitées décrites ci-dessus », le ministère fera également rapport au Congrès tous les six mois « concernant toute application de la définition actualisée » :

« Ce rapport supplémentaire permettra au Congrès de s'assurer que le gouvernement respecte son engagement concernant l'application restreinte de cette définition. »

Les parlementaires états-uniens, à commencer par ceux qui, comme Ron Wyden (et d'autres), ont combattu cette réautorisation de la section 702 du FISA, pourront donc vérifier que le nombre d'entreprises technologiques concernées par cette redéfinition serait donc a priori « extrêmement faible ». Les « non-Américains » seront par contre réduits à espérer que Wyden et les autres parlementaires états-uniens sauront s'en assurer.

59 % du President's Daily Brief relève de la section 702

Une « fact sheet » (.pdf) publiée par la communauté du renseignement en soutien à la Section 702 du FISA avance qu'elle constitue « une source inestimable de renseignements sur les étrangers situés en dehors des États-Unis, qui a produit à plusieurs reprises des informations vitales pour la protection de la vie des Américains et de la nation américaine », et que « 59 % des articles du President's Daily Brief (PDB) contenaient des informations relevant de l'article 702 communiquées par la NSA ».

Elle aurait ainsi fourni des renseignements « vitaux » sur « les origines chinoises d'un produit chimique utilisé pour synthétiser le fentanyl [et] les plans illicites d'acteurs étrangers pour faire passer de la méthamphétamine aux États-Unis », de « mettre au jour des atrocités effroyables commises par la Russie en Ukraine, notamment le meurtre de non-combattants et la réinstallation forcée » d'enfants ukrainiens en Russie, ou encore d'identifier de « nombreuses attaques étrangères par ransomware contre les États-Unis », et « d'interrompre des attaques terroristes planifiées sur le territoire national et à l'étranger ».

La section 702 aurait aussi « permis d'identifier et de perturber les tentatives d'acteurs étrangers hostiles de recruter des espions aux États-Unis ou d'envoyer leurs agents aux États-Unis », ainsi que « les principaux risques en matière de sécurité économique, notamment les investissements stratégiques malveillants d'acteurs étrangers dans certaines entreprises américaines ».

Des partisans de la refonte de la Section 702 du FISA font valoir dans le New York Times qu'elle « ajoute des dizaines de garanties juridiques concernant la surveillance en question, ce qui constitue la réforme la plus importante de l'histoire de la législation en matière de protection de la vie privée ».

Un document (.pdf) répertorie en effet « 56 réformes clefs » : 21 portent sur les conditions d'interrogations, par le FBI, des données concernant des citoyens états-uniens, 11 le fait de « garantir un examen approfondi des demandes de mandat », 4 le fait d'exiger des agences qu'elles « respectent des normes plus strictes et renforcent l'obligation de rendre des comptes », 14 le renforcement du contrôle du Congrès, l'amélioration de la transparence et l'avancement des réformes, et 6 de nouvelles sanctions pénales et civiles en cas de non-conformité.

Aucune ne mentionne explicitement le « Data Privacy Framework », non plus que les transferts de données hors des États-Unis. L'une d'entre elles précise cela dit que la personne qui soumet une demande à la FISC « doit fournir une déclaration sous serment sur le fondement de la demande et des affirmations factuelles, telles que la question de savoir si la cible est une puissance étrangère ou un agent d'une puissance étrangère ».

Il y est aussi question d'interdire l'utilisation d'articles de presse dans les demandes FISC, « à moins que les informations ne soient entièrement et indépendamment corroborées de manière indépendante ».

Plus de 50 % des datacenters européens concernés ?

« À première lecture, tout Datacenter en Europe, détenu par une société nord américaine (y compris canadienne), est dans le scope du risque. C’est assez affolant », a réagi Sami Slim, CEO de TeleHouse, ce qui pourrait potentiellement représenter « plus de 50 % » des datacenters européens, estime Tariq Krim, pionnier du web et ancien vice-président écosystème et innovation du Conseil national du numérique (CNN). Tous deux se basent sur une interprétation maximaliste de la redéfinition des fournisseurs de services de communications électroniques, et non sur celle du procureur général.

Que va faire l'Europe ? Et que va faire la France ? Le nombre de datacenters qui tombent sous le coup du FISA semble important (possiblement plus de 50%)https://t.co/LfdokTJmd2

— Tariq KRIM (@tariqkrim) April 21, 2024

« Les États-Unis disposent, avec trois opérateurs cloud américains qui préemptent plus de 70% du marché européen, d'une capacité sans équivalent dans l'histoire de renseignement pour accéder aux données sensibles et stratégiques des entreprises et administrations européennes », souligne de son côté Henri d'Agrain, délégué général du Club informatique des grandes entreprises françaises (Cigref).

Ah ben ça n'a pas trainé. Biden vient de signer la loi, désormais en vigueur, qui va interdire l'usage de Microsoft et autres clouds US en Europe.

Coucou les DSI ! Vous allez devoir affronter une sacrée gueule de bois dès lundi ! https://t.co/Do578r6PIo

— Jérôme Nicolle (@chiwawa_42) April 20, 2024

Cette extension de la section 702 du FISA intervient en outre alors que le projet de certification EUCS (pour European Union Cybersecurity Scheme for Cloud Services) propose d'abandonner l’exigence de souveraineté.

• • EUCS : la certification cloud européenne sous le feu des critiques en France

La France, qui s'oppose à cet abandon, car il n’y aurait plus aucune mesure contre l’extraterritorialité, était jusqu'alors minoritaire, face à l'Allemagne et à l'ENISA (l'ANSSI européenne) notamment, qui militent pour des règles plus souples.

Signe d’une absence de consensus, le vote, qui devait intervenir cette semaine, a été reporté au mois prochain. Cette redéfinition du FISA relance le débat.