Depuis les premières révélations sur le programme Prism par Edward Snowden, de nombreuses informations ont continué à fuiter. La NSA, tout comme les grandes sociétés américaines censées participer directement à cette surveillance, doivent s’expliquer et justifier de son efficacité. Mais tandis que les responsables défilent devant le Congrès américain, de nouvelles données font surface sur le contrôle direct exercé sur les infrastructures.

Crédits : AALISHAN MATRIX, licence Creative Commons

Prism : les métadonnées issues des « fournisseurs » 

Le programme de surveillance Prism n’en finit plus d’être détaillé depuis plusieurs semaines. Collecte des données chez de grandes entreprises américaines telles que Microsoft, Yahoo, Google ou Apple, analyse au sein de mécanismes pointus, stockage pratiquement illimité ou encore croisement des informations, le monde s’est étonné plusieurs fois de l’ampleur de cette machinerie. Ces révélations ont été faites par Edward Snowden, alors réfugié dans un hôtel de Hong-Kong et ayant quitté les États-Unis avec plusieurs milliers de documents sensibles.

L’un des points les plus importants de Prism est la participation plus ou moins directe des entreprises. Les premières diapositives révélées par le Washington Post soulignaient la faculté de la NSA à puiser directement dans des réserves énormes constituées par les offres hébergées (et donc tout ce qui touche au cloud) de ces grands acteurs du web. La seule mention de Facebook permet d’imaginer l’efficacité potentielle d’un tel mécanisme. Cependant, ce point reste aussi l’un des plus débattus car les sociétés impliquées se battent férocement sur deux points. D’une part, elles insistent sur l’absence de liaison directe avec les agences de renseignement. D’autre part, elles communiquent intensément sur l’absence de choix face à la loi qui les oblige à transmettre des données quand elles en reçoivent l’ordre, sous peine de basculer elles-mêmes dans l’illégalité.

Upstream : la collecte directe sur les infrastructures réseau 

Jusqu’à présent, le Washington Post a révélé 8 diapositives sur un document dont on sait qu’il comporte 41 pages. On pouvait se douter que le Post était en possession de la présentation PowerPoint complète, et le journal vient d’ailleurs d’en publier un nouvel extrait. Il s’agit d’une diapositive mettant en avant un autre aspect de la collecte de données, centré cette fois sur la manière dont les analystes du renseignement peuvent puiser directement dans les backbones, autrement dit les grands axes de communication.

Cet extrait du document conseille aux analystes de chercher leurs informations à la fois via Prism et à travers un autre mécanisme baptisé « Upstream ». Le document fait un distinguo très clair entre les deux : Prism collecte ses données depuis les entreprises américaines, appelées d’ailleurs « fournisseurs » (Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube et Apple), tandis qu’Upstream permet de puiser dans les flux de données, en temps réel, via des équipements spécifiques permettant d’écouter à même la fibre optique et les infrastructures réseau. Le programme Upstream semble d’ailleurs constitué lui-même de quatre mécanismes : Fairview, Stormbrew, Blarney et Oakstar. Des noms qui viennent s'ajouter à ceux que l’on savait être en relation avec Prism, à savoir Mainway et Marina pour la collecte des métadonnées, ainsi que Nucleon pour l’analyse des données téléphoniques.

Les deux versants d'une même pièce 

En outre, l'on savait déjà que Prism permettait d’obtenir des données en temps réel via les « fournisseurs ». Il pouvait s’agir de l’identification sur un service de Microsoft ou Google, une messagerie instantanée sur Facebook ou l’envoi d’un email via iCloud : dès lors que l’action correspond à une entreprise « participante », la NSA peut recueillir (selon le document) n’importe quelle information. De fait, Upstream correspondrait à la surveillance sur le « reste », autrement dit tout ce qui peut circuler sur Internet et qui ne provient pas d’un de ces acteurs majeurs. Le document indique « Vous devriez utiliser les deux », le tout sur une diapositive estampillée « FAA 702 Operations », autrement dit les opérations réalisées sous couvert de la section 702 de la loi FAA (Foreign Intelligence Surveillance Amendments Act).

Cette dernière permet la collecte des informations étrangères depuis le sol américain sans nécessiter d’autorisation préalable d’un tribunal. Une surveillance institutionnalisée et autorisée par cette loi de 2008 qui élargit le périmètre des recherches à tout ce qui touche au terrorisme, à la cyber-sécurité ou encore à l’industrie nucléaire et à la prolifération des armes de destruction massive. 

Cette diapositive semble donc s’attacher à un autre aspect de la surveillance, qui pourrait d’ailleurs très bien être l’autre face d’une même pièce. De fait, les quatre nouveaux noms (Fairview, Stormbrew, Blarney et Oakstar) pourraient être les équivalents de ceux que l’on connaissait, mais appliqués cette fois à tout ce qui transite par Internet. L’efficacité d’Upstream tiendrait du coup au rôle déterminant des États-Unis dans le trafic mondial, notamment parce qu’un grand nombre d’entreprises, de serveurs et de routeurs y sont présents.