Les États-Unis auraient étendu l’obligation de surveillance (FISA) aux data centers

Jusqu'alors réservée aux seules compagnies de téléphonie et aux fournisseurs de services Internet états-uniens, l'obligation de surveiller certaines « communications de non-Américains à l’étranger » à la demande du renseignement US, y compris s’ils communiquent avec des Américains, aurait été étendue aux data centers.

Pour rappel, la Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise la NSA, voire le FBI, à accéder aux « communications de non-Américains à l’étranger », y compris s’ils communiquent avec des Américains.

Jusqu'alors, seuls les compagnies de téléphonie et fournisseurs de services Internet étaient contraints de répondre aux demandes FISA, en tant qu'« electronic communication service provider » (ECSP).

Or, le périmètre des ECSP a récemment été élargi et concerne désormais « tout autre fournisseur de services ayant accès à des équipements qui sont ou peuvent être utilisés pour transmettre ou stocker des communications filaires ou électroniques », ainsi que leurs « custodians » (que l'on pourrait traduire par « gardiens », ou « dépositaires »), et non plus seulement leurs « employés ».

• L’extension des prestataires américains devant collaborer avec la NSA fait polémique
• Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Le nombre d'entreprises concernées serait « extrêmement faible »

Signe de la sensibilité du problème, le procureur général des États-Unis avait alors mis en ligne un courrier (.pdf) expliquant que cet élargissement ne serait qu'un « amendement technique visant à tenir compte des changements intervenus dans la technologie de l'Internet au cours des 15 années qui se sont écoulées depuis l'adoption de la section 702 » en 2008.

Cette redéfinition répondrait en effet à une « suggestion » de la Foreign Intelligence Surveillance Court (FISC, la cour fédérale créée pour superviser les demandes de surveillance de « présumés agents de renseignement étrangers sur le sol américain »). Celle-ci visait à « combler une lacune critique en matière de renseignements » ayant fait l'objet d'un litige devant la Cour et concernant les types de services de communication utilisés par des personnes non américaines en dehors des États-Unis.

Le ministère précisait qu'il « s'engage à appliquer cette définition de l'ECSP exclusivement pour couvrir le type de fournisseur de services en cause » dans le litige devant la FISC, c'est-à-dire les entreprises technologiques qui fournissent le service dont la FISC « a conclu qu'il ne relevait pas de la définition actuelle ».

À l'en croire, le nombre d'entreprises technologiques fournissant ce service serait « extrêmement faible », et elles seront identifiées « dans une annexe classifiée » :

« Afin de protéger les sources et les méthodes sensibles, la disposition ECSP de la H.R. 7888 a été rédigée de manière à éviter d'alerter inutilement des adversaires étrangers sur des techniques de collecte sensibles. »

En 2008, un nuage était fait de gouttelettes d’eau, pas de données

Une vingtaine d'organisations de la société civile états-unienne viennent de demander la déclassification de la nouvelle définition de « fournisseur de services de communications électroniques », estimant que cette extension porterait en fait sur les data centers, et ne serait donc pas limitée à un nombre « extrêmement faible » d'entreprises.

C'est en effet ce que le New York Times avait laissé entendre, ainsi que plusieurs sénateurs lors du débat au Sénat sur cette disposition.

Une analyse corroborée par le sénateur démocrate Mark Warner, aujourd'hui président de la Commission spéciale sur le renseignement du Sénat des États-Unis et qui connaît d'autant mieux le sujet qu'il avait fait fortune via de nombreuses compagnies de téléphonie mobile.

Il a d'ailleurs lui-même confirmé (replay, à partir de 51:35) cette information lorsqu'il a décrit au Sénat l'affaire du FISC à l'origine de la disposition :

« Permettez-moi de vous parler de ce que j'ai fait pendant 25 ans dans le secteur des télécommunications. Je sais un peu ce que l'on essaie d'accomplir ici. La loi mise en place en 2008 concernait un monde de télécommunications et de réseaux de télécommunications. Le monde dans lequel nous vivons aujourd'hui, en 2024, est radicalement différent. Je l'ai dit hier, en 2008, un nuage était quelque chose dont il fallait s'inquiéter qu'il puisse pleuvoir, pas un réseau d'opérations informatiques. La technologie a évolué, et nous devons faire de même. »

À l'en croire, l'amendement élargissant cette « assistance forcée des fournisseurs de services de communications électroniques américains », ou ECSP, « tient simplement compte des nouvelles avancées technologiques survenues depuis l'entrée en vigueur de la loi » :

« Pourquoi ce problème est-il soudainement devenu si important ? Eh bien, l'un de ces fournisseurs de communications et de centre de données "dans le nuage" [...] qui n'existaient pas en 2008 a rétorqué : Attendez, vous ne pouvez pas nous obliger à collaborer avec le gouvernement américain car nous ne correspondons pas techniquement à la définition d'un fournisseur de services de communication électronique. »

Or, l'entreprise ayant soulevé cette question a gagné au tribunal, et la Cour FISA a demandé au Congrès de « combler cette lacune et modifier cette définition », de sorte de « mettre à jour la législation sur les droits humains ».

Et ce, alors que « 60 % des renseignements fournis dans le briefing quotidien du président pas seulement sous ce président, mais aussi sous les présidents précédents, proviennent de produits de la Section 702 ».

Un appel à déclassifier le type de fournisseur de services concernés

Les signataires de la lettre ouverte exhortent dès lors le procureur général et Avril Haines, directrice du renseignement national (DNI) dans l'administration de Joe Biden, à « exercer leur pouvoir discrétionnaire de déclassifier, ou de rendre publiques, les informations révélant le type de fournisseur de services en cause », qui « risque de rester dangereusement excessive, ce qui accroît considérablement les risques d'abus en matière de surveillance ».

Ils estiment, a contrario, que « la déclassification de ces informations ne causerait que peu, voire pas du tout, de préjudice à la sécurité nationale » :

« Il ne s'agit pas d'une situation où la confirmation officielle d'informations déjà rendues publiques pourrait nuire à la sécurité nationale. Toute cible étrangère susceptible de modifier son comportement en apprenant que les centres de données pour l'informatique en nuage peuvent faire l'objet de directives au titre de l'article 702 l'a déjà fait. Il n'y a aucune raison pour que des adversaires étrangers attendent une confirmation officielle avant d'agir sur la base d'informations divulguées par un journaliste respecté dans le domaine de la sécurité nationale et confirmées par plusieurs sénateurs, dont le président de la commission du renseignement du Sénat. »

Ils soulignent qu'il est « difficile d'imaginer un argumentaire plus solide en faveur de la déclassification discrétionnaire » :

« Nous vous demandons instamment de respecter les principes de transparence que vous avez tous deux défendus par le passé et de déclassifier ces informations largement connues, afin que le Congrès puisse adopter une législation responsable et adaptée en matière de surveillance. »

La lettre ouverte a été cosignée par de nombreuses ONG de défense des libertés numériques, dont Access Now, l'American Civil Liberties Union (ACLU), le Brennan Center for Justice de la NYU School of Law, le Center for Democracy & Technology (CDT), l'Electronic Frontier Foundation (EFF), l'Electronic Privacy Information Center (EPIC), Fight for the Future, Freedom of the Press Foundation, Government Information Watch, et le Project On Government Oversight, notamment.

La libre circulation des données entre les USA et leurs alliés

Afin de « faciliter le contrôle et la transparence » de l'engagement pris par le gouvernement d'appliquer toute définition actualisée de l'ECSP « uniquement aux fins limitées décrites ci-dessus », le ministère de la Justice avait annoncé qu'un rapport sera remis au Congrès tous les six mois « concernant toute application de la définition actualisée » :

« Ce rapport supplémentaire permettra au Congrès de s'assurer que le gouvernement respecte son engagement concernant l'application restreinte de cette définition. »

Les parlementaires états-uniens, à commencer par ceux qui, comme Ron Wyden (et d'autres), avaient combattu cette réautorisation de la section 702 du FISA, pourront donc a priori vérifier si le nombre d'entreprises technologiques concernées par cette redéfinition est réellement « extrêmement faible ».

Au-delà des considérations en matière de vie privée et de droits humains, pointées par les ONG, les enjeux sont également économiques, industriels, et géopolitiques.

Cette extension avait ainsi fait bondir le Conseil de l'industrie des technologies de l'information (ITI, qui fédère la plupart des Big Tech US).

John Miller, son vice-président principal, avait d'ailleurs exhorté les sénateurs à s'y opposer au regard des « conséquences plus larges sur la compétitivité des entreprises technologiques américaines et, potentiellement, sur les flux de données avec les alliés des États-Unis » :

« Si les grandes entreprises américaines qui fournissent des services de base permettant la transmission ou le stockage de données – tels que les data centers, les services de sécurité en nuage ou infogérés – sont soudainement obligées de participer à la surveillance du FISA, certains de leurs clients se tourneront probablement vers des concurrents étrangers qui, selon eux, n'exposeront pas de la même manière leurs données ou celles de leurs clients aux demandes du gouvernement ».

« Bien que les effets de cet amendement puissent être involontaires, leurs impacts seraient très réels », précisait John Miller. Il déplorait notamment que son libellé mette « sans doute en péril la libre circulation des données entre les États-Unis et leurs alliés à l'échelle mondiale ».