Alors que nous abordions ce matin les liens qui peuvent exister entre la NSA et les agences de renseignement dans les pays alliés, plusieurs articles de la presse internationale se penchent désormais sur la manière dont les États-Unis sécurisent cette surveillance. De l’utilisation de certaines firmes à l’examen de certains rachats d’infrastructures, tout est fait pour que rien n’entrave la bonne marche de la surveillance.

Crédits : Mark Kaletka, licence Creative Commons

Une entreprise comme porte d'entrée 

Nous évoquions ce matin dans nos colonnes certaines des dernières révélations faites sur Prism. On apprenait notamment, via le journal Globo, comment les États-Unis examinaient de très près les télécommunications brésiliennes depuis une dizaine d’années. Ce chapitre particulier de l’affaire Prism permet un éclairage sur l’une des techniques employées par la NSA pour se fournir des données : passer par une société américaine disposant d’accords dans le pays visé.

Selon un article de The Guardian, publié hier et écrit par Glenn Greenwald (en relation privilégiée avec le lanceur d’alerte Edward Snowden), cette technique est utilisée depuis longtemps. Elle fait écho à un autre article publié par Der Spiegel dans lequel on apprenait le 30 juin que la NSA avait procédé au même type de surveillance en Allemagne. Dans le cas du Brésil, la NSA se serait essentiellement appuyée sur une grande entreprise, dont le nom n’a pas été cité, capable de négocier des partenariats avec des sociétés locales dans le domaine des télécommunications. De là, l’entreprise mystérieuse peut alors servir de porte d’entrée à la surveillance.

Cette technique est complétée par une autre, détaillée cette fois dans le Washington Post. Plus question cette fois de se fournir en nouvelles données, mais de préserver les accès existants. Les États-Unis cherchent notamment à sauvegarder leurs accès dans les infrastructures mondiales d’échanges d’informations, et plus particulièrement les fameux backbones, ces énormes câbles parcourant des milliers de kilomètres pour relier les continents.

Surveiller qui rachète les infrastructures 

Le Post aborde ainsi le cas de la société Global Crossing, rachetée il y a environ dix ans par une entreprise asiatique (Singapore Technologies Telemedia). Lors de son rachat, quatre intervenants se sont manifestés : le FBI ainsi que les départements de la Justice, de la Défense et de la Sécurité intérieure. La crainte était alors qu’en perdant les infrastructures matérielles, le pays perdrait dans la foulée une partie de sa capacité à se renseigner sur les autres pays. Des avocats avaient donc été dépêchés et le rachat de l’entreprise avait été retardé de plusieurs mois.

Pour autant, ce retard n’avait pas été en vain puisqu’en septembre 2003, Global Crossing était rachetée sous couvert d’un Network Security Agreement (NSA). Cet accord est décrit sur le site officiel de Global Crossing et indique dans les grandes lignes qu’il protège les clients et met en place un « niveau sans précédent de sécurité » pour les agences locales, d’état et gouvernementales, les entreprises, les services financiers et globalement toutes les personnes utilisant ces infrastructures.

Toujours préserver les accès aux données 

Selon le Post, cet accord de sécurité a servi de base pour un modèle qui s’est répété chaque fois qu’une entreprise étrangère a souhaité racheté une infrastructure précédemment gérée par une société américaine. C’est la Federal Communications Commission (FCC) qui s’assure que les règles mises en place sont respectées et elle dispose pour ce faire de sa propre équipe d’avocats, appelée la « Team Telecom ».

Parmi les conditions imposées et citées par le Post, on peut ainsi voir par exemple qu’une firme étrangère devra posséder obligatoirement un « Network Operations Center » sur le sol américain, capable de répondre en un maximum de 30 minutes aux requêtes émanant des agences. Ces requêtes devront être gérées par des citoyens américains disposant du bon niveau d’autorisation. Selon le Washington Post, ces accords n’autorisent pas expressément la surveillance, mais permettent d’assurer un accès aux agences quand elles en ont besoin.