De nouveaux documents révélés par le Washington Post exposent la capacité de la NSA à avaler littéralement des centaines de milliers de listes de contacts chaque jour. Comme d’autres informations auparavant, celle-ci met une fois de plus en avant la capacité de l’agence américaine à traiter d’énormes quantités de données. Toutefois, certaines limites techniques apparaissent.

Crédits : frederic.jacobs, licence Creative Commons

250 millions de carnets d'adresses par an 

Dans un nouvel article du Washington Post, basé sur plusieurs documents du lanceur d’alertes Edward Snowden, on apprend que la NSA (National Security Agency) « rassemble des centaines de millions de listes de contacts depuis les emails personnels et les comptes de messagerie instantanée, beaucoup d’entre elles appartenant à des Américains ». Ce qui crée un problème double supplémentaire pour la NSA : non seulement les listes de contacts sont des données personnelles encore une fois concernées par la surveillance, mais cette dernière concerne les citoyens des États-Unis, normalement protégés par les lois en vigueur.

Les données fournies par les documents de Snowden sont particulièrement précises. La section Special Source Operations, le plus souvent en charge de ce type de récupération, peut ainsi récupérer sur une journée :

• 444 743 carnets d’adresses de Yahoo
• 105 068 carnets d’adresses de Microsoft
• 82 857 carnets d’adresses de Facebook
• 33 697 carnets d’adresses de Gmail
• 22 851 carnets d’adresses d’autres sources

Des scores relativement impressionnants quand on sait qu’un seul carnet peut contenir des centaines, voire des milliers de contacts. En outre, ils représentent un exemple d’une « journée typique » à la NSA et peuvent donc varier dans les deux sens.

Selon une présentation préparée par la NSA elle-même, comme pour les révélations initiales sur le programme de surveillance Prism, une moyenne de 500 000 carnets d’adresses sont avalés chaque jour par l’infrastructure réseau. Sur une année, le même document indique que la moyenne est de 250 millions de carnets.

Les citoyens américains concernés une fois de plus 

Cette collecte recouvre plusieurs aspects. D’une part, la manière dont elle est réalisée. Toujours selon la documentation d’Edward Snowden, la NSA verrait son travail largement simplifié par des accords secrets avec les opérateurs et fournisseurs d’accès d’autres pays, ainsi qu’avec les agences équivalentes de sécurité et du renseignement. Un aspect que l’on retrouve une fois de plus, cette coopération ayant été plusieurs fois mise en avant, notamment pour les « Five Eyes » : États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande.

D’autre part, cette avalanche de données contient en bonne partie des informations de citoyens américains. Cet aspect a également été déjà pointé du doigt : Prism et les autres programmes de surveillance reposent sur la loi FISA (Foreign Intelligence Surveillance Act) dont la Section 702 stipule que seules les données étrangères peuvent être aspirées, dès lors qu’elles sont stockées sur des serveurs américains. Les données des citoyens, quant à elles, ne sont pas censées être concernées à moins d’une autorisation spéciale. Or, on parle bien d’une aspiration automatique. Selon le Washington Post, deux responsables du renseignement n’ont pas nié que cette collecte pourrait toucher des millions, voire des dizaines de millions d’Américains.

Une véritable mine d'or pour établir des relations 

Pour la NSA, les carnets d’adresses représentent évidemment une mine d’or d’informations. Premièrement, on reste dans une optique de mise en relation des données. L’agence de sécurité travaille essentiellement sur le maillage des informations et la manière dont les personnes sont liées pour débusquer les réseaux et les éventuels membres impliqués dans les groupes terroristes. Deuxièmement, une fiche contact peut contenir bien davantage qu’une simple adresse email : le nom, le prénom, l’adresse postale, le numéro de téléphone, la date de naissance et ainsi de suite. Certains enregistrements, toujours selon le Washington Post, peuvent contenir les listings des emails, ces derniers pouvant également présenter les premières lignes de contenu de chaque courrier.

Autre aspect intéressant de cette collecte : la base légale. Aucune loi n’autorise la NSA à procéder à des collectes brutes par lots sur des informations de citoyens américains. Selon l’un des responsables interrogés par le Washington Post, l’agence contourne les limitations en s’appuyant sur des partenaires étrangers. Or, l’agence a déjà affirmé devant le Congrès américain qu’elle n’utilisait pas ce genre de méthode pour obtenir des données.

Toujours selon le responsable anonyme, la NSA applique cependant un ensemble de mesures pour protéger la vie privée des Américains concernés par la collecte, cette dernière n’étant pas intentionnelle. Ce n’est pas la première fois que ce mécanisme est abordé : l’agrégation des données provoque des effets de bord, et l’agence n’a actuellement pas les moyens techniques de trier automatiquement les informations des citoyens américains. En théorie, les analystes de la NSA doivent obtenir une permission spéciale de la FISC (Foreign Intelligence Surveillance Court) pour exploiter de telles données.

Des limitations techniques régulièrement atteintes 

Les entreprises concernées par les collectes ont en outre été interrogées. Chez Microsoft, on rappelle ainsi qu’aucun accès direct n’est donné aux informations : « Nous aurions de sérieuses inquiétudes si ces allégations sur les actions du gouvernement étaient réelles ». Une manière pour la firme de Redmond de rappeler qu’elle se bat (conjointement avec Google) pour obtenir le droit d’en dire davantage sur les informations qui leur sont demandées. Chez Facebook, la réponse est simple : « Nous ne savions pas et nous n’avons pas aidé ». Enfin, du côté de Yahoo, on précise que les connexions sécurisées sont en train d’être activées. Cela étant, le HTTPS a beau être disponible chez Microsoft, Google ou encore Facebook, rien n’empêche la NSA de procéder à sa collecte. Cela étant, la différence dans les chiffres pourrait effectivement s’expliquer par l’absence de chiffrement.

Enfin, dernier aspect de la collecte : les limitations techniques. Les méthodes d’aspiration des données menacent régulièrement la capacité des infrastructures de l’agence selon les responsables. Le spam en particulier est un problème crucial tant certaines boîtes en sont pleines. Selon les documents internes, la grande majorité des courriers sont des spams provenant de fausses adresses. Il arrive même parfois que la NSA doive stopper d’urgence sa collecte pour procéder à des opérations de « purge » tant les systèmes d’enregistrements se retrouvent saturés.

Des limitations techniques qui engendrent évidemment de nouveaux besoins de financement pour agrandir les installations existantes. Comme le prouve le contrat remporté récemment par Amazon pour le compte de la CIA, d'une valeur de 600 millions de dollars, les agences américaines de sécurité et du renseignement ont des nécessités croissantes de capacité de stockage et de puissance de calcul.