Prism : Microsoft et Google n’ont pas l’autorisation d’en dévoiler davantage

Depuis l’éclatement du scandale Prism, les firmes américaines sont sur le devant de la scène. Plusieurs documents du lanceur d’alertes Edward Snowden pointent vers leur participation active. Désormais, Microsoft et Google sont prises entre les révélations sur Prism et l’interdiction par le gouvernement américain de communiquer davantage. Elles ne jettent pourtant pas l’éponge.

Crédits : Mark Turnauckas, licence Creative Commons

Une fine pellicule de glace 

Lorsque les premiers documents au sujet du programme américain de surveillance Prism ont été dévoilés par le Washington Post, certaines multinationales étaient en première ligne. Microsoft, Google, Apple, Facebook ou encore Yahoo étaient ainsi embarquées dans un vaste réseau servant les objectifs anti-terroristes de la NSA (National Security Agency). La communication s’est alors fait très ardue pour ces entreprises : elles niaient la communication directe avec la NSA et indiquaient ne devoir obéir qu’aux demandes ponctuelles validées par des mandats de la FISC (Foreign Intelligence Surveillance Court).

Depuis, les sociétés américaines concernées se déplacent avec prudence sur une mince pellicule de glace. Comme l’a souligné la commissaire européenne Viviane Reding, le scandale Prism est à même de chambouler la confiance des entreprises dans les offres de type cloud. Or, les États-Unis brillant particulièrement dans ce domaine, il s’agit pour les firmes de ne pas voir partir un trop grand nombre de clients. Voilà pourquoi elles clament désormais que tout est fait pour ouvrir les vannes sur la communication et pour jouer la carte de la transparence.

Un front commun 

Cela se traduit par des demandes répétées des firmes au Department of Justice (DOJ) pour en dire davantage sur les fameuses requêtes. Ces dernières concernent des informations précises sur des comptes et sont examinées de près par les équipes juridiques. Tous les communiqués des entreprises ont donné cette même explication. La raison en est qu’elles publient régulièrement des rapports de transparence particulièrement flous : la FISC n’autorise pas les entreprises à donner le compte exact des demandes. Par exemple, dans le dernier rapport de Google, on apprend qu’il y a eu entre « 0 et 9 999 » requêtes.

Désormais, Microsoft et Google font front commun sur ce terrain. Dans un billet posté vendredi, le responsable juridique de Microsoft, Brad Smith, explique : « Pour ceux qui suivent de près les différends technologiques, Microsoft et Google se démarquent la plupart du temps. Mais aujourd’hui, nos deux entreprises se tiennent côte à côte. Nous sommes inquiets de la réticence continue du gouvernement à nous permettre de publier des données adéquates en relation avec les ordres FISA ». Pour rappel, la loi FISA (Foreign Intelligence Surveillance Act) permet la collecte par le renseignement américain de données étrangères circulant sur le sol américain.

Des informations plus précises pour prouver la bonne foi 

Brad Smith indique en outre que les deux entreprises ont déposé conjointement une plainte devant le Department of Justice pour faire débloquer la communication. À la clé, Microsoft comme Google espèrent prouver leur bonne foi en montrant plus clairement le genre de requête qui leur est envoyé, tout en insistant sur l’aspect obligatoire des demandes de la NSA. « Nous estimons que nous avons le droit très clair en vertu de la Constitution américaine de partager davantage d’informations avec le public » insiste ainsi le responsable.

Seulement voilà, le vent ne semble pas favorable aux deux entreprises : « En six occasions dans les récentes semaines, nous nous sommes mis d’accord avec le DoJ pour permettre au gouvernement un report de la date butoir pour répondre à ces plaintes. Nous espérions que ces discussions mèneraient à un accord acceptable par tous. Bien que nous apprécions la bonne foi et les sérieux efforts des avocats du gouvernement avec qui nous avons négocié, nous sommes déçus que ces négociations aient fini par rencontrer l’échec. »

Avec l'échec des négociations, Google et Microsoft se dirigent vers les tribunaux 

Brad Smith indique que le gouvernement américain a décidé jeudi dernier qu’il publierait « le nombre total de requêtes de sécurité nationale sur des données personnelles pour les douze derniers mois », et qu’il le ferait une fois par an. Mais ni Microsoft ni Google n’estiment qu’il s’agisse là d’un effort suffisant. Smith explique en effet que les demandes s’orientent vers des chiffres beaucoup plus précis, notamment le nombre exact de requêtes formulées pour des données personnelles - notamment le contenu d’un email. Et non seulement ces données devraient être publiques, mais elles devraient être clairement séparées des métadonnées.

Microsoft et Google estiment désormais qu’il est possible de publier de telles informations sans menacer la sécurité nationale, ce qui a toujours été jusqu’à présent la ligne de défense du Département de la Justice. Brad Smith ajoute dans son billet que l’échec des négociations conduit maintenant les deux entreprises vers le système judiciaire et il espère qu’une cour fédérale débloquera la situation. Un espoir alimenté d’un autre côté par l’insistance actuelle du Congrès américain pour analyser l’activité de la NSA, qui doit justifier ses résultats et son efficacité en regard de la lourde machinerie de surveillance mise en place.

Un avis partagé par Google, dont un porte-parole indiquait vendredi au Wall Street Journal : « Bien que la décision du gouvernement de publier des informations agrégées au sujet de certaines requêtes de sécurité nationale soit un pas dans la bonne direction, nous pensons qu’il existe encore trop de confidentialité à leur sujet et qu’une plus grande ouverture est nécessaire. »

On rappellera que Google insiste régulièrement sur l’absence d’accès direct à ses données par les autorités américaines. Ainsi, suite à un article sur l’indemnisation des géants du web pour avoir adapté leurs infrastructures et ainsi facilité l’accès à ces données, un porte-parole de Google France nous avait contacté pour nous indiquer que la firme de Mountain View n’avait « pas participé à PRISM ni à aucun autre programme de surveillance américain. »