Ce que peuvent faire les agents de la NSA (ou pas) 1/2

Le film d'Oliver Stone consacré à Edward Snowden et à la « surveillance de masse » était sous-titré « Nous sommes tous sur écoute ». Le texte expliquant ce que les employés de la NSA ont le droit faire, ou pas, évoque certes une « collecte en vrac », mais « très éloignée d'une approche totalement illimitée ».

Ancien sous-procureur général adjoint au ministère de la Justice américain, David Kris avait supervisé les questions de sécurité nationale à la Justice de 2000 jusqu'à son départ du département en 2003.

En 2006, il avait rendu publique une note (.pdf) de 23 pages contestant la légalité d'un programme d'espionnage permettant à la NSA d'intercepter, sans mandat, les communications internationales impliquant des citoyens et des résidents américains.

Une critique que le Washington Post avait alors qualifiée de « dissidence publique inhabituelle de la part d'un ancien fonctionnaire de l'administration ».

Kris avait par la suite été désigné membre du National Security Agency Advisory Board (NSAAB, ou NSA Emerging Technologies Panel, qui n'existe plus), composé d'experts nationaux dans divers domaines techniques chargés d'« étudier, évaluer et conseiller périodiquement le directeur de la NSA sur la recherche, le développement et l'application des progrès scientifiques et technologiques existants et émergents, les progrès du chiffrement et d'autres sujets ».

Ces dernières années, il a beaucoup écrit à ce sujet sur Lawfare, le blog juridique de référence sur les questions de sécurité nationale aux États-Unis. Le 15 janvier, il y a publié un mémo de 78 pages de décryptage d'une « Annexe SIGINT » (pour SIGnal INTelligence) de 44 pages (dont 35 de directives, et un glossaire de 7 pages), en grande partie déclassifiée, le 7 janvier dernier, et mise en ligne par la NSA le 13. 

Ce vademecum technico-juridique et très complexe, à mesure qu'il a été rédigé à l'intention des praticiens de la NSA qui ont le « droit d'en connaître » sur ses modus operandi, est destiné à mettre à jour une précédente directive qui ne l'avait pas été depuis mai 1988, alors même que la téléphonie mobile et Internet ont depuis révolutionné le SIGINT.

« L'annexe SIGINT est une réalisation très importante », écrit Kris. Elle met à jour les règles régissant le SIGINT « afin de refléter les développements constitutionnels, statutaires, technologiques et opérationnels des trois dernières décennies. Le temps qu'il a fallu pour y parvenir témoigne du défi que représente cette tâche et des efforts de ceux qui l'ont menée à bien ».

Mais pour l'appréhender, il faut d'abord revenir sur l'histoire de la NSA, et donc aussi du droit et des lois en matière de surveillance et d'interception des télécommunications. Voilà pourquoi le texte de Kris est plus long que celui de la NSA. Et pourquoi nous avons scindé notre compte-rendu en deux parties : une première sur l'histoire de la régulation de la NSA, une seconde sur la nouvelle annexe SIGINT.

Notre dossier sur les agents de la NSA :

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2

« La NSA est la seule entité du gouvernement qui écoute "vraiment" »

En exergue de son mémo, Kris rappelle « une vieille blague selon laquelle la NSA est la seule entité du gouvernement fédéral qui écoute "vraiment" ». Pour autant, précise-t-il, « l'annexe SIGINT n'est pas facile à lire, en partie parce qu'elle est conçue pour les opérateurs et analystes SIGINT professionnels. C'est l'un des principaux moyens par lesquels la NSA se parle de ce qui est et n'est pas autorisé à chaque étape du cycle de vie du SIGINT. Cela comprend la collecte, le traitement, l'interrogation, la conservation et la diffusion de renseignements SIGINT ».

Ce pourquoi, spécialiste de ces questions, Kris a décidé de l'expliquer d'une manière qui serait plus accessible aux « outsiders ». Il propose en outre un historique de l'interception des télécommunications par l'armée américaine, remontant jusqu'aux prémisses de la deuxième guerre mondiale.

On y découvre notamment qu'en 1940, le gouvernement avait résolu un différend entre les multiples branches militaires en charge du SIGINT en divisant la couverture du trafic diplomatique japonais de sorte que l'armée était responsable du décryptage, de la traduction et des rapports les jours pairs du mois, et la marine était responsable les jours impairs...

Ce genre de bisbilles shadokiennes finirent par déboucher sur la création de la NSA, en 1952, bien que son existence n'ait été officiellement reconnue qu'en 1957, et qu'elle fut encore pendant très longtemps surnommée « No Such Agency » [l'agence qui n'existait pas, ndt].

Kris revient également sur les nombreux programmes secrets de la NSA ayant violé le droit à la vie privée des citoyens américains. Il y est donc question de SHAMROCK qui, pendant 30 ans et jusqu'en 1975, lui permit de recevoir la copie de millions de télégrammes internationaux, à raison de 150 000 par mois. Ainsi que de MINARET, qui lui permit d'espionner les télécommunications de militants pacifistes et de personnalités telles que Martin Luther King ou Jane Fonda, et dont la révélation a contribué à l'adoption du FISA.

« Les réseaux numériques ont réduit à la fois la vie privée et la sécurité »

Pour Kris, « la seule question importante est peut-être de savoir si l’annexe SIGINT donne au gouvernement plus ou moins d’autorité qu’il n’en jouissait auparavant » :

« Ceux qui cherchent une réponse simple ou singulière à cette question seront déçus. D'une part, si l'annexe SIGINT est en grande partie non classifiée, il reste quelques règles SIGINT qui le sont. En outre, la version antérieure de l'annexe SIGINT a été révisée pour la dernière fois en substance dans les années 80 – un fait étonnant – et les environnements juridiques et technologiques du SIGINT ont beaucoup évolué depuis.

En 1988, lors de la dernière révision importante de l'annexe précédente, l'Internet ne faisait pas encore partie de la vie quotidienne. Certains éléments du gouvernement américain prétendent qu'ils "vont dans le noir" ["going dark", en VO, ndt] en raison des changements technologiques, tandis que les défenseurs des libertés civiles et d'autres affirment que la technologie a créé un "âge d'or de la surveillance" ["golden age of surveillance", ndt].

Mon propre point de vue est que la technologie des réseaux numériques a réduit à la fois la vie privée et la sécurité, mais en tout cas il ne fait aucun doute que la technologie a eu un impact majeur sur le SIGINT. Les changements constitutionnels, législatifs et technologiques compliquent tout effort de comparaison de l'autorité relative du SIGINT en 1988 et aujourd'hui .»

Il estime en outre que « la conclusion du document pourra intéresser un groupe différent de professionnels : ceux qui sont impliqués dans le débat en cours Schrems-RGPD concernant les transferts de données transfrontaliers entre les États-Unis et l'Europe ». Elle résume en effet certaines des principales protections pour les personnes américaines (et les personnes aux États-Unis), ainsi que certaines des protections pour les personnes non américaines situées à l'étranger.

Du Watergate à la commission Church

Kris y rappelle tout d'abord que le SIGINT « consiste à collecter des renseignements étrangers à partir des systèmes de communication et d'information et de les fournir à des clients du gouvernement américain, tels que de hauts responsables civils et militaires ». 

Suite du scandale du Watergate, et à la révélation de plusieurs programmes secrets permettant aux services de renseignement américain d'espionner des citoyens américains opposés à la guerre du Vietnam notamment, le Sénat instaura en 1975 une commission dite Church, du nom de son président, afin de déterminer si et « dans quelle mesure, le cas échéant, des activités illégales, irrégulières ou contraires à l'éthique étaient menées par un organisme du gouvernement fédéral ».

Elle entraîna notamment l'adoption du Foreign Intelligence Surveillance Act (FISA) de 1978, destiné à réglementer la surveillance physique et électronique ainsi que la collecte d'informations de « renseignements étrangers » entre « puissances étrangères » et « agents de puissances étrangères » soupçonnés d'espionnage ou de terrorisme.

Il permet au ministère de la justice d'obtenir des mandats du Foreign Intelligence Surveillance Court (FISC) avant ou jusqu'à 72 heures après le début de la surveillance. La FISA autorise un juge du FISC à délivrer un mandat s'« il y a une raison probable de croire que la cible de la surveillance électronique est une puissance étrangère ou un agent d'une puissance étrangère ».

Le FISA permet en outre au président ou à son délégué d'autoriser une surveillance sans mandat pour la collecte de renseignements étrangers s'« il n'y a pas de probabilité substantielle que la surveillance acquière le contenu de toute communication à laquelle un ressortissant des États-Unis est partie ».

D'Al Quaida à Stellar Wind

Suite aux attentats du 11 septembre 2001, Georges Bush valida un programme, Stellar Wind, qui autorisait des interceptions sans mandat lorsque le gouvernement avait « une base raisonnable pour conclure qu'une partie à la communication est membre d'Al-Qaida, affiliée à Al-Qaida, ou membre d'une organisation affiliée à Al-Qaida, ou travaillant pour soutenir Al-Qaida et que l'une des parties à la conversation était "en dehors des États-Unis" ».

Dans les fait, Stellar Wind permettait le data mining d'une vaste base de données de communications des citoyens américains, y compris les communications par courrier électronique, les conversations téléphoniques, les transactions financières et les activités sur Internet.

La révélation de son existence dans la presse fit scandale, et contribua l'adoption du FISA Amendments Act de 2008 (FAA). Cette loi rendit illégal le fait de se livrer intentionnellement à une surveillance électronique sous l'apparence d'un acte officiel ou de divulguer ou utiliser des informations obtenues par surveillance électronique sous l'apparence d'un acte officiel, en sachant que cela n'a pas été autorisé par la loi.

Son article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d'autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l'extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données (SIGINT) peuvent durer pendant des périodes allant jusqu'à un an.

En vertu du paragraphe 702 (b) de cette loi, une telle acquisition de données est cela dit soumise à plusieurs limitations. Plus précisément, une telle surveillance :

• ne doit pas viser intentionnellement une personne située aux États-Unis lors de l'acquisition;
• ne doit pas viser intentionnellement une personne identifiée comme étant localisée à l'étranger si cette personne en particulier est généralement située aux États-Unis;
• ne doit pas viser un citoyen américain qui serait localisé en dehors des États-Unis;
• ne doit pas viser à acquérir toute communication à laquelle l'expéditeur et tous les destinataires sont connus au moment de l'acquisition comme étant localisés aux États-Unis;
• doit être menée d'une manière compatible avec le Quatrième amendement de la Constitution des États-Unis.

« Il est étonnant que la dernière modification significative remonte à 1988 »

Pour autant, souligne David Kris, « il reste beaucoup de SIGINT que le Congrès a, tout à fait intentionnellement, laissé non réglementé par la loi et non soumis à la juridiction de la Cour FISA », à commencer par les interceptions de télécommunications effectuées par des étrangers à l'étranger et ne transitant pas par le territoire américain.

Dans son rapport sur le projet de loi qui deviendrait la FISA, par exemple, la commission du renseignement de la Chambre reconnut que « les normes et procédures de surveillance à l'étranger peuvent devoir être différentes de celles prévues » par le FISA. Et le comité nota « avec approbation » l'existence d'un décret et de règlements pour régir cette surveillance.

L'« annexe SIGINT » publiée le 13 janvier et qui régit la collecte de renseignements par tous les éléments du ministère de la Défense, dont la NSA fait partie, est le descendant de ces règlements mentionnés par le Congrès, encadrant le SIGINT qui n'est pas soumis au FISA.

Pour autant, David Kris trouve tout de même « étonnant que la dernière modification significative de l'annexe précédente remonte à 1988, sous l'administration Reagan, une décennie après la FISA et seulement deux ans après la promulgation de Electronic Communications Privacy Act (ECPA) ».

Contrairement à ce que son nom laisse entendre, l'ECPA ne visait pas tant à protéger la vie privée des Américains, mais à faire du détournement de satellite un crime. La loi avait cela dit profité de l'occasion pour étendre les restrictions gouvernementales sur les écoutes téléphoniques afin d'y inclure les transmissions de données électroniques par ordinateur, et protéger les communications filaires, orales et électroniques pendant le transit.

Le piratage d'HBO, et des communications satellites de la CIA

L'ECPA avait en effet été adopté après qu'un hacker utilisant le pseudonyme « Captain Midnight » ait brouillé le signal satellite de la chaîne HBO pour y diffuser un message d'une durée de quatre minutes et demie. Vu par plus de la moitié des 14,6 millions d'abonnés, il protestait contre les tarifs de HBO pour les propriétaires d'antennes paraboliques, qu'il jugeait trop chers.

Ironie de l'histoire, le film d'espionnage dont il avait interrompu la diffusion, Le Jeu du faucon, raconte l'histoire vraie de deux jeunes Américains qui avait vendu des secrets concernant le chiffrement des communications et les satellites d'espionnage américains à l'Union soviétique dans les années 70.

En 1974, Christopher John Boyce avait en effet été promu à un poste très sensible, avec une habilitation de sécurité top secret, dans le « Black Vault » (centre de communications classifiées) de TRW, une entreprise aérospatiale qui travaillait pour les services de renseignement américain.

Lors de son procès, il expliqua avoir commencé à recevoir des câbles mal acheminés de la CIA discutant du désir de l'agence de déposer le gouvernement australien, parce que ce dernier voulait fermer les bases militaires américaines en Australie, y compris la station d'écoute de Pine Gap, et retirer les troupes australiennes du Vietnam.

Choqué, il aurait d'abord envisagé d'en parler à la presse, mais la divulgation antérieure par les médias de l'implication de la CIA dans le coup d'État chilien de 1973 n'ayant rien changé, Boyce préféra contacter l'URSS.

Il rassembla nombre de documents classifiés détaillant comment décrypter le trafic sécurisé des messages du gouvernement américain et les spécifications détaillées de ses derniers satellites d'espionnage, et demanda à son ami d'enfance Andrew Daulton Lee, un revendeur de cocaïne et d'héroïne, d'aller les revendre aux Soviétiques.

Mais Lee fut arrêté par la police mexicaine devant l'ambassade soviétique, le 6 janvier 1977, « presque par accident » : un policier qui l'avait vu jeter des documents sur le sol de l'ambassade soviétique l'arrêta pour jet de détritus, avant de le torturer, puis de découvrir qu'il avait un microfilm top secret en sa possession.

Condamné en 1977 à 40 ans de prison, Boyce s'échappa en 1980, braqua 17 banques dans l'espoir de s'enfuir en URSS, étudia l'aviation pour tenter de faire évader son comparse, avant d'être arrêté en 1981, et d'être de nouveau condamné à trois ans de prison pour évasion, et 25 ans pour ses braquages. Libéré sur parole en 2002, il a depuis plusieurs fois exprimé son soutien aux actions d'Edward Snowden.

• Ce que peuvent faire les agents de la NSA (ou pas) 2/2