Yahoo! impliqué dans un scandale ; un épisode qui commence à se répéter de plus en plus souvent. Déjà en 2000-2001 avec l’affaire LICRA (affaire s’étendant jusqu’en 2006), en 2014, avec le piratage de plusieurs centaines de millions de comptes d’utilisateurs, puis en octobre-novembre 2016, où l’entreprise, en difficulté depuis deux ans, est accusée de surveiller massivement l’activité de ses utilisateurs. Éclairci sur l’« affaire Yahoo! », un dossier encore un peu flou..
Quels sont les faits ?
4 octobre 2016, Reuters révèle le scandale Yahoo! : 2 témoignages de 2 anciens employés accuseraient l’entreprise d’avoir mis en place en 2015 un programme informatique de surveillance de masse pour espionner l’activité de ses utilisateurs (essentiellement les boîtes mails). L’entreprise elle-même serait impliquée, mais aussi le gouvernement américain, qui aurait demandé à Yahoo! d’« espionner » ses utilisateurs.
5 octobre 2016, Le New York Times s’empare de l’affaire et délivre plus d’indications sur le système employé : l’entreprise Yahoo! aurait modifié son service de filtre « antispam » pour que le programme en question puisse détecter certains mots-clés, pour ensuite les transmettre aux services de renseignements.
Sujet de controverses depuis l’affaire du piratage du compte de quelques centaines de millions d’utilisateurs, Yahoo! ne semble plus pouvoir sortir la tête de l’eau, et cette affaire ressemble à ce qui pourrait être le coup fatal affligé à la réputation de l’entreprise, voire à son existence.
Un flou planant sur cette affaire
Devant les accusations de la part de l’agence Reuters, Yahoo! reste très vague sur leurs éléments de réponses. La défense se cantonne au seul « respect des lois américaines » :
«Yahoo! est une société respectueuse des lois et respecte les lois des Etats-Unis »
Des réponses qui resteront très limitées, sûrement dues à la demande du FBI et accompagnée d’une interdiction pour Yahoo! de révéler l’existence de ce mode opératoire.
La société aurait donc respecté une demande du gouvernement des Etats-Unis, ou plus précisément des services de renseignements. Seulement un nombre minime de personnes auraient été au courant de ces évènements. Egalement, les témoignages (toujours sous couvert d’anonymat) sont souvent très maigres en information.
Le programme, quant à lui, reste également très flou. Identifier un individu ? Certes, mais dans quel but ? Le New York Times affirme que le FBI et la NSA auraient fait cette demande pour déceler des membres d’une organisation terroriste, (parrainé par l’Etat) après avoir découvert que ces membres utilisaient les services de Yahoo! pour communiquer et avec une méthode impliquant un identifiant et une signature « très précise » (les services de renseignement ne savaient cependant pas quels comptes précis utilisaient les cibles). Néanmoins, et selon certaines sources, ce programme aurait originellement pour but de déceler la pornographie infantile. Des informations à prendre donc au conditionnel.
En clair, personne n’a réellement su déterminer les données collectées par l’entreprise Yahoo!.
Autre zone d’ombre à noter : la vague de licenciement de nombreux cadres durant la période « de surveillance » (durant l’année 2015), notamment Alex Stamos, responsable de la sécurité de l’information de l’entreprise. Ce dernier aurait refusé toute demande d’entrevue.
Néanmoins, la transmission des données entre l’entreprise et les services de renseignements restent très probables.
Mais avant d’être transmise, l’information doit être collectée. Et cette collecte-web en temps réel est « monstrueuse », via seulement des « sélecteurs » (des mots-clés, dans le vocabulaire des services de renseignements). L’ordre donné est également « original » car il implique le balayage systématique du trafic entier d’emails, et non plus une recherche sur l’activité d’un utilisateur spécifique. La création d’un tel logiciel a donc été faite sur commande du gouvernement.
Mais ce mode opératoire reste surréaliste, dans tout les cas « très difficile à réaliser », c’est ce qu’aurait affirmé Albert Gidari, avocat spécialiste sur les questions de surveillance des compagnies de téléphone et Internet, qui n’avait jamais vu cela (dans un entretien accordé à Reuters).
D’autres entreprises sont impliquées ? C’est la question à laquelle se sont attelés des experts et des journalistes. Ces derniers se sont penchés sur d’autres fournisseurs de services de messagerie électronique des Etats-Unis, car il est très probable que les services de renseignements ne savent pas quel moyen de communication est utilisé par « la cible ».
Après Yahoo!, pourquoi pas Google ou Microsoft ?
«Nous n’avons jamais reçu une telle demande, mais si nous le faisions, notre réponse serait simple : Pas question !», a déclaré un porte parole de Google. Microsoft s’est exprimé, via un communiqué : « Nous n’avons jamais été engagé dans la numérisation secrète du trafic de messagerie comme ce qui a été rapporté aujourd’hui sur Yahoo! ».
À qui la faute ?
Pourquoi Yahoo! n’a pas refusé de coopérer ?
Une demande gouvernementale ne se refuse-t-elle pas ? Et surtout si elle concerne la vie privée de centaines de millions de personnes ?
Il est vrai que depuis 2008, la Loi sur la surveillance des renseignements étrangers (ou FISA) stipule clairement que les services de renseignements peuvent demander aux entreprises américaines de téléphonie et d’Internet de fournir des données sur les clients pour faciliter les efforts de collecte de renseignements étrangers pour de nombreuses raisons (principalement la lutte/prévention contre tout acte terroriste).
Mais les experts de la FISA (loi du Congrès des Etats-Unis décrivant les procédures physiques ou électroniques de surveillance, de collecte et d’échange d’information) sont clairs : Yahoo! aurait très bien pu refuser, ou, quand bien même, essayer de lutter face à cette demande inhabituel du gouvernement. Ces experts ont même mentionné 2 raisons de refus de cette demande :
– L’ampleur de la demande
– La nécessité d’écrire un programme spécial pour rechercher les courriels échangés de tous les clients
« Il est profondément décevant que Yahoo! ait refusé de contester cette ordonnance de surveillance […] », a déclaré Patrick Toomey (avocat à l’American Civil Liberties Union)
Pour comparaison, Apple, dans une affaire similaire et qui avait fait beaucoup de bruit la même année, avait refusé de créer un programme spécial pour permettre aux renseignements d’« utiliser » un iPhone utilisé dans la fusillade de San Bernardino (une trentaine de victimes). Le FBI avait donc, par la suite, abandonné l’affaire (à noter que le FBI avait tout de même utilisé ce téléphone en le déverrouillant avec l’aide d’un tiers). Preuve qu’une demande gouvernemental peut être discuté.
Une partie déjà perdue
Mais Yahoo! est « rentré dans les rangs », a préféré se taire plutôt que combattre. Certains experts de la FISA se sont exprimés sur le sujet et ont même défendu la décision de Yahoo! de se résigner en avançant l’argument que « faire appel » serait inutile : la collecte « en vrac » est jugée légale pour les opérateurs téléphoniques, la même logique devrait donc être appliqué aux sociétés Web. C’est ce que s’est dit en tout cas l’entreprise.
Une partie donc abandonnée car le personnel de Yahoo! (ou plutôt les membres de la société au courant de la question) était persuadé que “les dés étaient déjà jetés”.
Pourtant, en 2007, le combat avait été entrepris contre la FISA : une demande de recherches de courriels spécifiques. Les détails de cette affaire sont restés secrets mais nous savons que cet appel n’a donné aucun résultat. Le New York Times a rappelé que Yahoo! avait abandonné cette affaire après avoir été menacé d’une amende énorme, et a donc finalement coopéré.
La décision de 2015 a donc été largement contestée du fait de cette résignation naturelle, mais aussi car l’équipe de sécurité de l’entreprise n’a ni été intégré dans le processus, ni, tout du moins, prévenu. Ce sont donc les ingénieurs-email de Yahoo! qui ont été chargés de créer le programme de récupération, stockage puis transmission d’informations.
Le programme en question aurait été découvert en mai 2015 par l’équipe de sécurité. Pensant tout d’abord à des « pirates » informatiques, peu à peu, ils ont découvert que c’est Marissa Mayer (PDG de Yahoo!) et Ron Bell (Conseiller général de l’entreprise) qui ont, en personne, autorisé le programme. Cela a entraîné une vague de démissions au sein de l’entreprise : notamment celle d’Alex Stamos (responsable de la sécurité de l’information, et travaillant aujourd’hui chez Facebook), qui s’est considéré mis à l’écart d’une décision qui concernait la sécurité des utilisateurs. A noter qu’il a également mentionné que ce logiciel comportait des défauts de programmation et que « des pirates avaient pu accéder aux courriels stockés ».
Une déclaration qui nous rappelle un incident antérieur : une vague massive de piratage des comptes d’utilisateurs (à hauteur de 500 millions de comptes) affectait alors Yahoo! en 2014. Des hackers « parrainés par l’Etat » qui remettent en question la sécurité de la société américaine.
Le problème vient d’en haut
La faute à la justice ? Il est vrai que rien n’interdisait au tribunal de surveillance concerné d’approfondir le dossier, de commander des recherches. Mais cette fois, le cas a été jugé spécifiquement. Pourquoi ? La loi a-t-elle réellement été respectée ? Pourquoi le fonctionnement et les jugements de la Cour de Surveillance du renseignement étranger nous paraissent si étrangers ?
Le problème vient alors de là-haut ?
Le gouvernement, via le FBI et la CIA ? Très certainement. Mais le doute règne encore. Le gouvernement aurait fait pression sur la société comme en 2007 ? Pourquoi cet accord si sombre indiquant l’interdiction à la société de s’exprimer ?
Beaucoup trop de questions sans réponses. Mais ce nouveau scandale rappelle fortement l’« affaire Snowden » et le logiciel PRISM qui avait, en effet, révélé en 2013 la surveillance massive des américains par le gouvernement. Cela avait certes entraîné des réformes positives (réduction de certains programmes pour protéger les droits à la vie privée), mais cela n’a jamais arrêté entièrement l’action du gouvernement. Cette nouvelle affaire en est la preuve matérielle.
La FISA, une histoire d’interprétation
Nous retrouvons donc les bases de ce même mode opératoire, mais cette fois, le gouvernement utiliserait une façon indirecte du surveiller les américains : le gouvernement utiliserait donc Yahoo! pour mener à bien ces surveillances. Sont-elles justifiées avec l’excuse des cibles précises, ou n’est-ce finalement qu’une parade pour surveiller massivement la population ? La FISA ne serait finalement qu’un « nouveau Patriot Act » (sous l’administration Bush) ?
Richard Kolko, porte-parole du Bureau du directeur du renseignement national, s’est exprimé succinctement, en faisant référence à la Loi sur la surveillance des renseignements étrangers, la FISA :
« Dans le cadre de la FISA, l’activité est étroitement axée sur des cibles spécifiques de renseignement étranger n’implique pas la collecte en vrac ou l’utilisation de mots-clés génériques ou phrases. […] Les Etats-Unis n’utilisent que les signaux de renseignement pour des raisons de sécurité nationale, et non pas dans le but d’examiner sans discernement les courriels ou appels téléphoniques des gens ordinaires ».
D’un point de vue purement technique, il est certain que la plupart des entreprises technologiques comme Google, Microsoft ou encore Yahoo! cherchent automatiquement toutes traces de pornographie infantile (pour le Centre national des enfants disparus et exploités), logiciels malveillants et « spam ». Toutefois, il n’existe aucune limite “technique” pour rechercher toutes autres sortes de signatures numériques (déclaration d’Hany Farid, cadre chez Microsoft).
Le seul “barrage” serait donc la loi. Cette fameuse réforme sur la surveillance créée en 2008, ne serait en réalité qu’illusion. Mais le problème est que cette FISA n’est qu’une histoire d’interprétation. Pour Jennifer Granick, directeur des libertés civiles au Centre pour l’Internet et la Société à la Faculté de droit de Stanford, ce serait la manière pour le gouvernement d’élargir ce public « cible ».
Le juge a donc autorisé une telle surveillance car il était persuadé qu’il y avait des rasions de croire à une activité terroriste ou un lien avec le domaine international. Mais là encore, ce ne sont que des suppositions car aucun communiqué n’a été dévoilé par le gouvernement pour expliquer comment le juge a interprété la FISA.
Nous attendons toujours des explications de la part de la société américaine qui n’a pas encore su clarifier face aux nombreuses accusations qui l’accablent. Mais là encore, la situation ne risque en aucun cas d’évoluer car Yahoo! est tenu par le secret (accord qui a été décidé par la Cour de surveillance du renseignement étranger). Nous restons donc aujourd’hui dans le domaine de l’hypothèse et de la supposition, même si l’enquête se dénoue peu à peu.
Mais ce qu’on pourrait désormais appeler l’« affaire Yahoo! » a en tout cas eu le mérite de relancer le débat sur les compromis entre les besoins de sécurité et les droits à la vie privée, en même temps que la remise en question des relations également douteuses entre les sociétés de la Silicon Valley et le gouvernement des Etats-Unis.