Révéler les pratiques de surveillance de masse des Cinq yeux
Organization
Révéler les pratiques de surveillance de masse des Cinq yeux 1
Les révélations de l’an dernier sur l’étendue de la surveillance de masse, divulguées par l’ancien contractant du NSA Edward Snowden, ont amené à la révision du rôle fondamental des services de renseignement lors de la coordination de surveillances transfrontalières. L’alliance des Cinq yeux – ou Five Eyes en anglais – formée par l’Agence nationale de la sécurité (NSA) des États-Unis, l’Administration centrale des communications gouvernementales (GCHQ) du Royaume-Uni, le Centre de la sécurité des télécommunications (CSTC) du Canada, la Direction des signaux (ASD) d’Australie et le Bureau pour la sécurité des communications gouvernementales (GCSB) de Nouvelle-Zélande, s’inscrit dans la continuation d’un partenariat établi entre les services de renseignement de ces pays suite à la Seconde Guerre mondiale. L’entente des Cinq yeux a permis la mise en place de programmes secrets d’espionnage et de partage de renseignements qui constituent un accord intégré de surveillance de masse pour la plupart des communications dans le monde. Les Cinq yeux, qui fonctionnent dans l’ombre en trompant le public, se targuent en secret de leur « adaptation novatrice et créative qui amène certains à parler aujourd’hui de « l’age d’or du SIGINT » [le service de renseignements des signaux] » 2.
Ce rapport présente une synthèse des connaissances actuelles en termes de domination des réseaux mondiaux de communication des Cinq yeux et explique les modes de surveillance les plus préoccupants employés par les agences de renseignement. Il offre également une analyse des implications de l’augmentation du pouvoir de surveillance sur les droits de libre expression et de respect de la vie privée, sur la libre circulation des informations et des idées dans les réseaux de communication dans le monde. Pour finir, il passe en revue le travail de Privacy International pour mettre fin à l’alliance des Cinq yeux et restaurer le respect de la vie privée et la sécurité dans les communications numériques.
Les Cinq yeux
En 1946, une alliance signée entre cinq pays (les États-Unis, le Royaume-Uni, l’Australie, le Canada et la Nouvelle Zélande) a engendré une série d’accords bilatéraux pour plus de dix ans, l’accord connu sous le nom de UKUSA. Cette alliance des « Cinq yeux » avait pour objectif le partage de renseignements, notamment de renseignements électromagnétiques (« signal intelligence » en anglais, d’où le terme « SIGINT »). Des documents récemment révélés par Snowden prouvent les relations étroites entre ces cinq pays. La plupart des documents sont classés « TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL » ou « TOP SECRET//COMINT//REL TO USA, FVEY ». Cette classification indique que ces documents top-secrets des services de renseignements (SIGINT) peuvent être révélés aux États-Unis, en Australie, au Canada, au Royaume-Uni et en Nouvelle Zélande. Malgré l’existence d’autres alliances et coalitions, comme l’Organisation pour le traité de l’Atlantique Nord, à ce jour aucun des documents rendus publics ne se réfère à l’un de ces accords, ce qui laisse penser que l’alliance des Cinq yeux serait la principale alliance pour la collecte de renseignements électromagnétiques.
Les agences des Cinq yeux ne jouent pas franc jeu. Elles ont trouvé le moyen d’infiltrer tous les réseaux modernes de communications, avec des ordres secrets pour obliger les entreprises à leur fournir les données concernant leurs clients alors qu’elle mettaient secrètement sur écoute les câbles de fibre optique reliant leurs centrales de données, ou en accédant à des informations financières confidentielles sous code SWIFT, le système mondial de messagerie financière. Elles ont également passé des années à négocier un accord international pour réglementer l’accès selon un processus démocratique et responsable avant de pirater les réseaux pour y avoir un accès direct ; elles ont tenu des politiciens sous la menace en leur faisant croire au danger imminent d’une guerre cybernétique tout en menant des opérations d’intrusion qui affaiblissaient la sécurité des réseaux dans le monde, et elles ont saboté les normes de chiffrement et les organismes responsables des normes de sécurité, empêchant les utilisateurs de l’internet de sécuriser leurs informations.
Les Cinq yeux forment un groupe soudé. L’accord UKUSA conduit à un tel niveau de coopération que « souvent il est impossible de distinguer les produits nationaux bruts » 3. D’anciens agents du renseignement ont ainsi expliqué que l’étroite coopération liée à l’accord UKUSA signifie que « les clients SIGINT des deux capitales savent rarement quel pays a généré l’accès ou même le produit » 4. Outre le partage fluide des SIGINT, il est acquis que de nombreux organismes de renseignements des pays des Cinq yeux sont gérés conjointement, et partagent même leur personnel. Chaque organisme peut donc partager les SIGINT collectées avec les autres États des Cinq yeux.
Des opérations sous nom de code, révélées au grand public ces dix dernières années, illustrent d’une certaine façon la collaboration des Cinq yeux avec certains programmes d’activités en particulier et comment les informations sont partagées. Un exemple notable est le programme TEMPORA, dont l'existence a été révélée par Snowden. Ce programme permet d’intercepter une grande partie des communications qui passent par le Royaume-Uni, avec la mise sur écoute des principales stations d’atterrissage des câbles de fibre optiques sous-marins. Le Guardian a informé qu’on avait confié à 300 analystes de GCHQ et 250 de la NSA la tâche d’analyser le matériel recueilli 5. TEMPORA stocke les contenus pendant trois jours et les métadonnées sur une période de 30 jours.
Après leur collecte, les contenus et données sont filtrés. La nature exacte des filtres du GCHQ demeure secrète. Il est notamment possible de mettre en place des filtres selon le type de flux (p.ex. Skype, Facebook, les courriels), l’origine ou la destination des flux, ou selon des mots clé. Le GCHQ aurait fait des recherches et appliqué un filtrage via TEMPORA sur environ 40000 termes, 31000 pour la NSA. Le GCHQ a du personnel chargé de l’analyse du matériel collecté depuis la création du projet en 2008, et des analystes de la NSA ont réalisé des essais de la technologie au cours de l’été 2011. En automne 2011, la NSA en obtenait un accès total. Quelque 850 000 autres employés de la NSA et contractants privés états-uniens jouissant d’autorisations secrètes auraient eux aussi accès aux bases de données du GCHQ. Ce dernier a reçu 100 millions de livres sterlings (160 millions USD) de la part de fonds secrets de la NSA au cours des trois dernières années pour participer à la gestion de ce projet 6.
Il existe également un programme de filtrage connu sous le nom de XKEYSCORE. Les présentations internes de la NSA le décrivent comme un « cadre analytique » qui permet d’effectuer une unique recherche sur un « buffer circulaire de 3 jours » de « données non filtrées » stockées dans 150 sites dans le monde sur 700 serveurs de bases de données 7. Le système XKEYSCORE de la NSA, dont les sites se trouvent dans les pays des Cinq yeux 8, liste les adresses de courrier électronique, les noms des documents, les adresses IP et les numéros de port, les cookies, les noms d’utilisateur et les listes d’amis des boîtes électroniques en ligne et des sites de discussion, les numéros de téléphone et les métadonnées des sessions de navigation sur le web, notamment les recherches effectuées et de nombreux autres types de données qui passent par leurs points de collecte.
On dit souvent que l’UKUSA aurait créé un « pacte de non-espionnage » entre les pays des Cinq yeux, mais les documents originaux déclassifiés des années 1940 et 1950 ne permettent pas vraiment de corroborer cette notion. Plus important, il n’existe aucune clause allant dans le sens de la mise en place d’une telle obligation. Autant qu’on ait pu le vérifier, il semblerait qu’aucune interdiction ne pèse sur les services de renseignement des Cinq yeux en matière de collecte de données relatives aux citoyens ou résidents des autres pays des Cinq yeux. Il semblerait par contre exister un consensus sur le fait que les citoyens ne soient pas visés directement, et qu’en cas d’interception accidentelle de communications, l’État intercepteur tenterait de minimiser leur utilisation et leur analyse autant que possible. En dehors des Cinq yeux, tout est possible, malgré les accords de partage de renseignement que l’un ou plusieurs des membres des Cinq yeux aurait pu avoir signé 9.
Les implications pour les droits
Le monde actuel n’a plus rien à voir avec ce qu’il était dans les années 1940. À l’époque, les documents privés étaient stockés dans une armoire fermée à clé, et il pouvait se passer des mois avant que quelqu’un n'éprouve le besoin ou le luxe d’effectuer un appel international. De nos jours, les documents privés sont stockés dans des centres de données inconnus, un peu partout dans le monde ; les communications internationales sont devenues quotidiennes, et nous vivons nos vies en ligne, que ce soit pour échanger des idées, effectuer des transactions financières ou encore partager des moments intimes.
L’arrivée de l’internet et des nouvelles formes de communication numérique a rendu ce type de communication plus rapide et moins coûteux, mais pas forcément plus direct. Les infrastructures ne permettent pas à l’utilisateur de choisir quelle route suivront ses communications, ni de le savoir immédiatement. Cela signifie que les communications passent par beaucoup plus de pays que nécessaire, sont stockées dans de nombreux pays (surtout depuis la popularité de l’informatique en nuage), ce qui les rend d’autant plus vulnérables face à l’interception des divers services de renseignements. Dans la base de chacun des pays des Cinq yeux, les services de renseignements recueillent et analysent les communications qui traversent leur territoire et au-delà.
L'analyse des textes juridiques de chaque pays des Cinq yeux révèle que la description des activités de partage de renseignements, tant dans leur teneur que dans leur intégration et leur fluidité, effectuées dans le cadre de l'entente des Cinq yeux, manque trop de clarté et de précision pour garantir que les ressortissants de ces pays puissent en prévoir l'application exacte 10. Aucun des systèmes juridiques nationaux n'a établi dans quelles circonstances les services de renseignements sont autorisés à obtenir, stocker et transférer les communications privées de leurs ressortissants ou résidents, ou toute autre information interceptée par un autre organisme des Cinq yeux, ni non plus qui est chargé de décider des circonstances pour lesquelles un des États des Cinq yeux pourrait demander à une autre partie de l'alliance d'intercepter les communications. Même chose en termes d'obtention de renseignements d'ordre privé comme les courriels, les historiques et autres, de la part des entreprises de télécommunications. Des cadres juridiques établis minutieusement offrent des niveaux de protection qui diffèrent selon qu'il s'agit de communications internes ou externes, émanant de ressortissants du pays ou non.
Les organismes des Cinq yeux vont à l'encontre de l'esprit et de l'objectif des instruments du droit humain international, et constituent même une violation directe des obligations prévues par ces instruments. Le droit au respect de la vie privée est un droit reconnu par la communauté internationale 11, et l'infrastructure même des commununications internationales est construite de telle façon que le droit à la confidentialité des communications doit être garanti à niveau international, du fait de la possibilité de suivre les communications depuis un lieu distant. Quand une personne envoie une lettre, un courriel ou un texto, ou quand elle effectue un appel téléphonique, la communication quitte sa proximité physique pour voyager vers sa destination. Au cours de la transmission, la communication peut passer par de nombreux pays et donc de nombreuses jurisdictions. Le droit à la confidentialité des communications reste intacte en ce cas, et est sujet aux seules limitations prévues par la loi relative aux droits humains. Par conséquent, lorsque des pays des Cinq yeux s'immiscent dans les communications d'une personne et portent atteinte à son droit de confidentialité, ils invoquent un droit de juridiction sur cette personne et dès lors ils sont tenus de respecter leurs obligations en termes de droits humains.
La pratique de surveillance massive telle que décrite dans les documents Snowden est contraire à la loi internationale. Le Rapporteur spécial sur la promotion et la protection du droit à la liberté d'opinion et d'expression a décrit le caractère invasif de l'interception massive sur les câbles de fibre optique en ces termes : « S'il mettent sur écoute les câbles de fibre optique à travers lesquels s'effectue la transmission de la plupart des communications numériques, avec des techniques de reconnaissance des mots, de la voix et du discours, les États peuvent obtenir le contrôle presque total des télécommunications et des communications réalisées via Internet » 12. Le Rapporteur spécial maintient que « la technologie d'interception massive compromet toute considération de proportionnalité, et ouvre la voie à la surveillance menée sans discrimination. Un État peut ainsi copier ou suivre tout acte de communication effectué dans un pays ou une région en particulier, sans autorisation individuelle pour chaque cas d'interception » 13.
Mesures à prendre
Les services du renseignement des pays des Cinq yeux mènent des activités plus importantes, plus complexes et plus lourdes d'implications que dans n'importe quel autre pays, et ils se justifient selon une jungle de cadres juridiques et réglementaires alambiqués et nébuleux. Les lois et accords qui régissent les Cinq yeux et qui s'appliquent à leurs contextes nationaux manquent de toute la clarté et l'accessibilité pourtant nécessaires pour garantir que les personnes dont les droits et intérêts pourraient être affectés puissent en comprendre l'application. Ils justifient leurs actions en secret, sous couvert d'interprétations secrètes de la loi internationale et d'accords classés secrets. En restant dans l'ombre, nos services de renseignements – et les gouvernements qui les contrôlent – nous ont retiré toute possibilité de mettre en doute leurs actions et leurs implications en termes de droits humains. Nous ne pouvons tenir nos gouvernements comme responsables pour des actions nébuleuses qu'ils auraient prises lors d'accords secrets et sous le couvert de cadres juridiques. Dans une société démocratique gouvernée par l'état de droit, on ne peut considérer comme loi une loi secrète, alambiquée ou nébuleuse.
Il est impératif d'entamer un mouvement pour considérer les pratiques de surveillance massive comme fondamentalement opposées à l'état de droit et au droit humain international relatif au respect de la vie privée, un droit largement établi. Pour ce faire, il faut rompre tout cadre juridique autorisant les activités des services de renseignement à rester dans l'ombre ou octroyant une place préférentielle aux ressortissants ou résidents des pays des Cinq yeux par rapport au reste de la population internationale de l'internet. La confiance doit être rétablie, et nos services de renseignements doivent revenir sous l'égide de l'état de droit. Obtenir transparence et redevabilité en matière d'accords secrets serait un premier pas important.
Privacy International tente depuis un an de défaire l'alliance des Cinq yeux. Nous avons envoyé des demandes relatives à la liberté d'information aux services de renseignements de chacun des cinq pays, dans le but d'obtenir l'accès aux accords secrets qui régissent les Cinq yeux. Nous avons porté plainte contre le GCHQ de Grande-Bretagne pour surveillance massive et activités de piratage, et avons cherché comment porter plainte dans d'autres juridictions. Nous avons déposé une plainte en vertu des Principes directeurs de l'OCDE à l'intention des entreprises multinationales contre les sept entreprises de télécommunications qui ont facilité l'interception des câbles de fibre optique au Royaume-Uni. Nous avons écrit à l'inspecteur en chef du renseignement et de la sécurité d'Australie pour lui demander d'entamer une enquête sur l'ASD ; nous avons également contacté le département du trésor des États-Unis et toutes les autorités chargées de la protection des données en Europe pour demander d'enquêter sur le piratage du SWIFT.
Nous appelons maintenant l'ONU à nommer un Rapporteur spécial sur le droit à la confidentialité afin de s'assurer que ces questions de confidentialité et de surveillance soient considérées comme des questions prioritaires au Conseil des droits de l'homme. Pour nous donner votre soutien, allez ici : www.privacyinternational.org.
1 Ce document s’appuie essentiellement sur le rapport “Eyes Wide Open”, publié par Privacy International en novembre 2013, disponible à: https://www.privacyinternational.org/reports/eyes-wide-open
2 NSA SIGINT Strategy, 23 février 2012, disponible à: www.nytimes.com/interactive/2013/11/23/us/politics/23nsa-sigint-strategy-document.html?ref=politics&gwh=5E154810A5FB56B3E9AF98DF667AE3C8
3 Aldrich, R. (2004). Transatlantic intelligence and security cooperation. International Affairs, 80(4), 731-753. www2.warwick.ac.uk/fac/soc/pais/people/aldrich/publications/inta80_4_08_aldrich.pdf
4 Lander, S. (2007). International intelligence cooperation: An inside perspective. Cambridge Review of International Affairs, 17(3), p. 487.
5 Le Guardian cite un rapport interne du GCHQ qui indique que « le GCHQ et la NSA évitent de traiter deux fois les mêmes données et cherchent à faire converger leurs solutions techniques et leurs architectures de traitement des données ». Il a également été signalé que la NSA fournissait au GCHQ le matériel nécessaire pour passer au crible les informations recueillies.
6 MacAskill, E. (2013, 2 novembre). Portrait of the NSA: no detail too small in quest for total surveillance. The Guardian. www.theguardian.com/world/2013/nov/02/nsa-portrait-total-surveillance
7 The Guardian (2013, 31 juillet). XKeyscore presentation from 2008. www.theguardian.com/world/interactive/2013/jul/31/nsa-xkeyscore-program-full-presentation
8 Ibid., p. 5.
9 Poitras, L. et al. (2013, July 1). How the NSA targets German and Europe. Spiegel Online. www.spiegel.de/international/world/secret-documents-nsa-targeted-germany-and-eu-buildings-a-908609.html
10 Privacy International. (2013). Eyes Wide Open. https://www.privacyinternational.org/reports/eyes-wide-open
11 L'article 17 (1) du Pacte international relatif aux droits civils et politiqus stipule que : « Nul ne sera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation ».
12 Rapport du Rapporteur spécial sur la promotion et la protection de la liberté d'expression et d'opinion, Frank La Rue, 17 avril 2013, A/HRC/23/40, para. 38. www.ohchr.org/Documents/HRBodies/HRCouncil/RegularSession/Session23/A.HRC.23.40_EN.pdf
13 Ibid., para. 62.