ProtonBlog

Note : les liens dans cet article renvoient à des contenus en anglais.

La section 702 du Foreign Intelligence Surveillance Act est devenue tristement célèbre comme justification juridique permettant à des agences fédérales telles que la NSA, la CIA et le FBI de réaliser des écoutes téléphoniques sans mandat, qui collectent les données de centaines de milliers de citoyens américains chaque année.

En avril 2024, le Congrès américain a adopté la (new window)loi Reforming Intelligence and Securing America(new window), prolongeant la section 702(new window) jusqu’en 2026 et élargissant considérablement la définition des fournisseurs de services de communication(new window) qui peuvent être contraints de faciliter la surveillance. Un amendement qui aurait exigé un mandat avant de réaliser une surveillance sur les Américains a échoué lors d’un vote à égalité 212-212(new window) à la Chambre des représentants et d’un vote de 58-34(new window) au Sénat.

La section 702 n’est qu’une des manières dont le gouvernement américain peut espionner les gens sans mandat. Il est important de comprendre le fonctionnement des lois de surveillance américaines puisque de nombreux géants de la tech (et les données qu’ils collectent) sont soumis à la législation américaine. Leurs exigences façonnent les politiques des entreprises de la tech comme Google, Apple, Meta et Microsoft, et ont donc un impact considérable sur Internet.

Cet article examine certaines des législations et politiques d’application de la loi les plus importantes aux États-Unis et leur impact sur le respect de la vie privée en ligne.

La cour FISA
La faille de la section 702
Les lettres de sécurité nationale
L’espionnage du gouvernement américain via les géants de la tech
L’achat d’informations personnelles
Cela a-t-il un impact sur Proton ?

La cour FISA

Avant de pouvoir parler de la section 702, nous devons expliquer ce que sont le FISA et la cour FISA.

En 1978, le Congrès a adopté le Foreign Intelligence Surveillance Act(new window) (FISA), interdisant à la CIA et à la NSA d’opérer aux États-Unis. Il a également créé une cour spéciale et secrète, connue sous le nom de cour FISA(new window) (ou Foreign Intelligence Surveillance Court ou FISC), qui examine les demandes du gouvernement fédéral pour mener une surveillance électronique sur des terroristes et espions présumés aux États-Unis.

Il y a plusieurs problèmes avec la cour FISA. D’abord, cela fonctionne dans un secret quasi total(new window), émettant des ordres judiciaires scellés aux entreprises qui les poussent à divulguer secrètement les informations de leurs utilisateurs, telles que le contenu et les métadonnées de leurs messages et e-mails, sous peine de conséquences légales. Les entreprises qui reçoivent une telle ordonnance ne peuvent pas reconnaître publiquement l’avoir reçue avant que six mois se soient écoulés. Et les entreprises ne peuvent même pas partager des versions expurgées des ordonnances(new window) qu’elles reçoivent. Tout ce secret rend un contrôle efficace difficile, voire impossible.

Ce secret exacerbe également le second problème, qui est que des critiques affirment que la cour FISA n’est guère plus qu’un instrument d’approbation(new window) pour le programme de surveillance du gouvernement. Étant donné que son rôle est de prévenir les abus gouvernementaux, on s’attendrait à ce que la cour aborde chaque demande avec scepticisme. Et pourtant, en 2022, elle n’a rejeté que sept des 354 demandes. En 2021, elle a rejeté quatre des 456 demandes. Vous pouvez voir les statistiques complètes dans le tableau ci-dessous.

AnnéeApplicationsOrdres accordésOrdres modifiésOrdres refusés en partieApplications refusées
202235424987167
2021456318113204

La bonne nouvelle, en quelque sorte, est que même si cela semble être principalement une formalité, les demandes FISA ont tendance à diminuer au cours des dernières années. Malheureusement, cela pourrait être dû au fait que les agences gouvernementales américaines, telles que le FBI, peuvent beaucoup plus facilement exploiter la Section 702 pour espionner les Américains.

La faille de la surveillance sans mandat de la Section 702

En 2008, le Congrès a adopté la Loi sur les Amendements FISA(new window), qui comprend la Section 702. Bien que le tribunal FISA ait ses problèmes, la plupart des demandes FISA sont au moins examinées individuellement par un juge. Cependant, les demandes de la Section 702, qui sont un type de demande FISA, sont simplement approuvées par lots, ce qui signifie que les agences fédérales n’ont pas besoin de présenter le dossier pour des demandes spécifiques(new window).

La Section 702 donne au gouvernement américain la capacité de surveiller les ressortissants étrangers situés à l’extérieur des États-Unis sans mandat ; cependant, une « porte dérobée » permet d’étendre la surveillance sans mandat aux personnes aux États-Unis également. La NSA (ou une autre agence de trois lettres) peut simplement désigner un ressortissant étranger à l’extérieur des États-Unis comme la cible nominale. Si cette personne communique avec un citoyen américain ou quelqu’un aux États-Unis, ces communications sont également collectées, même si une telle collecte nécessiterait normalement une approbation spécifique du tribunal FISA.

La Section 702 permet à des agences comme la NSA d’effectuer des écoutes sans mandat sur des centaines de milliers d’individus chaque année. Ces données sont ensuite compilées dans une base de données massive et consultable. Contrairement aux demandes du tribunal FISA, le nombre de demandes de la Section 702 est énorme, comme on peut le voir ci-dessous (tous les tableaux ci-dessous sont basés sur le Rapport annuel de transparence statistique 2023 du Directeur du renseignement national(new window)).

Cibles de la Section 702

20152016201720182019202020212022
94 368106 469129 080164 770204 968202 723232 432246 073

Étant donné la prévalence de la surveillance de la Section 702, cela finit par capturer illégalement les communications de milliers de citoyens américains chaque année. L’utilisation de cette base de données par le FBI montre une agence utilisant cette base de données pour mener une surveillance de masse sans mandat. Le FBI a accédé à des millions de dossiers de communication de citoyens américains et de personnes vivant aux États-Unis, incluant des manifestants(new window), des donateurs politiques(new window) et même un membre du Congrès américain(new window).

Nombre de termes de requête de personnes américaines (numéros de téléphone, adresses e-mail, etc.) que le FBI a utilisés sur les données de la Section 702, y compris les données de contenu et les métadonnées

Déc. 2019 – Nov. 2020Déc. 2020 – Nov. 2021Déc. 2021 – Nov. 2022
852 8942 964 643119 383

Comme cela montre, la Section 702 a essentiellement donné au gouvernement américain la capacité légale d’accéder à toutes les communications qu’il souhaite. Le gouvernement a utilisé l’article 702 pour établir PRISM(new window), l’un des programmes de surveillance de masse révélés par Snowden, et contraindre des entreprises comme Yahoo! à participer(new window). Il continue d’utiliser la Section 702 pour envoyer des demandes légales aux entreprises technologiques basées aux États-Unis (Google, Meta, Apple, etc.) pour récolter les données de leurs utilisateurs.

Malheureusement, malgré les abus, le Congrès américain non seulement a réautorisé à plusieurs reprises la Section 702, mais il a maintenant accordé encore plus de pouvoir aux agences d’espionnage. Avec la dernière ré-autorisation, les fournisseurs de communications traditionnels comme les FAI et les entreprises de messagerie électronique pourraient toujours être contraints de participer, en plus de toute personne ayant un accès physique à l’infrastructure de communication d’une cible. Cette liste pourrait inclure les propriétaires, les restaurants offrant du wifi, les hôtels et plus encore. Chaque routeur public que vous avez utilisé pourrait être transformé en point d’écoute de la NSA.

Les lettres de sécurité nationale sont un autre outil d’écoute sans mandat

Les lettres de sécurité nationale (NSL) permettent au FBI de demander des données sans jamais obtenir de mandat ni soumettre cette demande à un contrôle judiciaire. Pour répondre aux critères internes du FBI pour émettre une NSL, un agent du FBI doit simplement attester que les informations recherchées sont pertinentes pour la sécurité nationale.

Les NSL incluent également des ordres de non-divulgation, empêchant les entreprises qui les reçoivent de divulguer la demande. Encore une fois, le secret entourant les NSL rend la supervision difficile et garantit presque un abus. Le FBI n’autorise que 7 % des NSL examinées à être rendues publiques, maintenant ainsi un voile de secret inutile qui garantit leur utilisation abusive. Un audit interne du FBI(new window) a trouvé plus de 1 000 violations où des agents du FBI ont reçu plus d’informations qu’ils n’étaient légalement autorisés à obtenir. Le FBI utilise un langage ambigu(new window) dans ses demandes dans le but d’obtenir des entreprises qu’elles partagent plus d’informations plutôt que de risquer un combat prolongé.

Bien que moins courantes que les demandes de la Section 702, des milliers de NSL sont envoyées chaque année aux entreprises des géants de la tech.

Le gouvernement américain mène l’espionnage via les géants de la tech

À bien des égards, le gouvernement américain a effectivement externalisé sa surveillance aux entreprises des géants de la tech et aux courtiers de données. Du fait que les grandes entreprises technologiques sont toutes américaines, elles sont soumises à toutes les lois américaines mentionnées ci-dessus. Si l’on ajoute à cela le fait que tous les géants de la tech font de la récolte de données à grande échelle un élément essentiel de leur modèle économique, le gouvernement américain a facilement accès au plus grand système de surveillance de masse jamais conçu. Vous pouvez voir combien de données le gouvernement américain demande aux grandes entreprises technologiques et les outils qu’il utilise en consultant les rapports de transparence des géants de la tech.

Google(new window), Meta(new window) et Apple(new window) ont tous détaillé les demandes FISA et les NSL dans leurs rapports de transparence. En raison du secret entourant ces outils, ils ne peuvent donner que des plages approximatives du nombre de chaque demande que l’entreprise a reçue (ils ne peuvent fournir qu’une plage du nombre de comptes affectés et ne peuvent divulguer ces informations qu’au moins six mois après avoir reçu la demande). Pour simplifier, le tableau ci-dessous montre le nombre minimum absolu de comptes qui ont été affectés par la surveillance. Bien qu’il s’agisse probablement d’un sous-compte, cela représente toujours une invasion massive de la vie privée.

Surveillance assistée par les entreprises en 2022

 Demandes FISA (non relatives au contenu) Demandes de contenu FISANSL
Google50 000200 0003 000
MetaNA290 000500
Apple74 00068 0001 004
Les demandes non relatives au contenu se réfèrent aux métadonnées. Les demandes relatives au contenu concernent l’accès aux messages réels, e-mails et autres communications.

Dans certains cas, ces entreprises s’opposent à l’abus de pouvoir gouvernemental, mais malheureusement, le système juridique américain ne leur laisse pas beaucoup d’options.

Les agences américaines achètent des données pour éviter de demander des mandats

La prolifération du capitalisme de surveillance, initiée par Google et Facebook, a également conduit à l’émergence de courtiers en données, qui stockent et vendent toutes sortes d’informations personnelles sensibles, y compris des données de localisation. Cette énorme quantité de données disponibles à la vente signifie que les agences gouvernementales américaines n’ont plus besoin d’obtenir des mandats pour les données, puisqu’elles peuvent tout simplement les acheter. Les départements qui ont été surpris à acheter ces informations incluent le Trésor américain(new window), la NSA(new window), le FBI(new window), le Département de la Sécurité intérieure(new window), les Services de l’immigration et des douanes(new window) et bien d’autres.

Une grande partie de ces données nécessiterait normalement un mandat pour y accéder en vertu du quatrième amendement, mais l’achat de données est devenu une industrie milliardaire à laquelle le gouvernement fédéral participe activement. Et comme ces courtiers en données compilent leurs informations à partir de dizaines de sources, il peut être impossible de les éviter.

Cela impacte-t-il Proton ?

Proton est basé en Suisse(new window), qui a une longue histoire de neutralité et est en dehors des juridictions des États-Unis, de l’Union européenne et de l’OTAN. La Suisse n’est pas membre d’accords de partage de renseignements contraignants, tels que les accords Five Eyes, Nine Eyes ou Fourteen Eyes(new window) ou les programmes de renseignement de l’OTAN(new window). Le fait que Proton soit domicilié en Suisse signifie que nous ne sommes pas soumis aux lois américaines mentionnées ci-dessus dans cet article.

Nous croyons que cette neutralité est importante pour garantir que tous les utilisateurs de Proton soient protégés, indépendamment de toute considération géopolitique. L’utilisation par Proton du chiffrement de bout en bout(new window) assure également que Proton ne peut pas être utilisé pour espionner au nom des gouvernements, car nous n’avons pas accès à vos données.

Nous avons également activement renforcé les protections de la vie privée des lois suisses auxquelles nous sommes soumis. Par exemple, en 2021, nous avons gagné une affaire judiciaire importante(new window) qui a statué que les services d’e-mails ne sont pas des fournisseurs de télécommunications et ne sont donc pas soumis à leurs exigences de conservation des données. Proton VPN(new window) est également protégé contre les obligations de journalisation et ne peut pas être contraint à logger.

Dans l’environnement juridique actuel, il est impossible pour un fournisseur de services américain d’offrir des garanties significatives de protection de la vie privée. Les entreprises situées dans des juridictions neutres comme la Suisse pourront toujours offrir un plus grand respect de la vie privée qu’une entreprise technologique américaine.

Mais cela ne signifie pas qu’il ne faut pas lutter pour le droit au respect de la vie privée. Si vous vivez aux États-Unis, vous devriez interpeller vos représentants et sénateurs pour qu’ils bloquent le renouvellement de la section 702. Comme l’a montré la dernière bataille pour la réapprobation, les gens exigent maintenant la fin de la surveillance de masse. Proton continuera à se joindre à leurs voix.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

en
From the very beginning, Proton has always been a different type of organization. This was probably evident from the way in which we got started via a public crowdfunding campaign that saw 10,000 people donate over $500,000 to launch development. As
en
Your online data is valuable. While it might feel like you’re browsing the web for free, you’re actually paying marketing companies with your personal information. Often, even when you pay for services, these companies still collect and profit from y
en
Password spraying attacks pose a major risk to individuals and organizations as a method to breach network security by trying commonly used passwords across numerous accounts. This article explores password spraying attacks, explaining their methods
en
A secure password is your first defense against unauthorized access to your personal information. While there are tools that generate strong passwords, remembering these complex combinations can become a challenge. Even if you use mnemonic devices,
en
Choosing the best email hosting provider for your small business is crucial for maintaining security, control, and compliance with data protection laws.  For one, many popular providers, such as Gmail and Outlook, don’t apply end-to-end encryption b
en
Today, we’re excited to announce new enhancements to Proton Drive’s sharing functionality, giving you greater control over who you share with and how you share your files and folders. This feature builds on how sharing currently works in Drive by le