Proton

Note : les liens dans cet article renvoient à des contenus en anglais.

La section 702 du Foreign Intelligence Surveillance Act est devenue tristement célèbre comme justification juridique permettant à des agences fédérales telles que la NSA, la CIA et le FBI de réaliser des écoutes téléphoniques sans mandat, qui collectent les données de centaines de milliers de citoyens américains chaque année.

En avril 2024, le Congrès américain a adopté la (nouvelle fenêtre)loi Reforming Intelligence and Securing America(nouvelle fenêtre), prolongeant la section 702(nouvelle fenêtre) jusqu’en 2026 et élargissant considérablement la définition des fournisseurs de services de communication(nouvelle fenêtre) qui peuvent être contraints de faciliter la surveillance. Un amendement qui aurait exigé un mandat avant de réaliser une surveillance sur les Américains a échoué lors d’un vote à égalité 212-212(nouvelle fenêtre) à la Chambre des représentants et d’un vote de 58-34(nouvelle fenêtre) au Sénat.

La section 702 n’est qu’une des manières dont le gouvernement américain peut espionner les gens sans mandat. Il est important de comprendre le fonctionnement des lois de surveillance américaines puisque de nombreux géants de la tech (et les données qu’ils collectent) sont soumis à la législation américaine. Leurs exigences façonnent les politiques des entreprises de la tech comme Google, Apple, Meta et Microsoft, et ont donc un impact considérable sur Internet.

Cet article examine certaines des législations et politiques d’application de la loi les plus importantes aux États-Unis et leur impact sur le respect de la vie privée en ligne.

La cour FISA
La faille de la section 702
Les lettres de sécurité nationale
L’espionnage du gouvernement américain via les géants de la tech
L’achat d’informations personnelles
Cela a-t-il un impact sur Proton ?

La cour FISA

Avant de pouvoir parler de la section 702, nous devons expliquer ce que sont le FISA et la cour FISA.

En 1978, le Congrès a adopté le Foreign Intelligence Surveillance Act(nouvelle fenêtre) (FISA), interdisant à la CIA et à la NSA d’opérer aux États-Unis. Il a également créé une cour spéciale et secrète, connue sous le nom de cour FISA(nouvelle fenêtre) (ou Foreign Intelligence Surveillance Court ou FISC), qui examine les demandes du gouvernement fédéral pour mener une surveillance électronique sur des terroristes et espions présumés aux États-Unis.

Il y a plusieurs problèmes avec la cour FISA. D’abord, cela fonctionne dans un secret quasi total(nouvelle fenêtre), émettant des ordres judiciaires scellés aux entreprises qui les poussent à divulguer secrètement les informations de leurs utilisateurs, telles que le contenu et les métadonnées de leurs messages et e-mails, sous peine de conséquences légales. Les entreprises qui reçoivent une telle ordonnance ne peuvent pas reconnaître publiquement l’avoir reçue avant que six mois se soient écoulés. Et les entreprises ne peuvent même pas partager des versions expurgées des ordonnances(nouvelle fenêtre) qu’elles reçoivent. Tout ce secret rend un contrôle efficace difficile, voire impossible.

Ce secret exacerbe également le second problème, qui est que des critiques affirment que la cour FISA n’est guère plus qu’un instrument d’approbation(nouvelle fenêtre) pour le programme de surveillance du gouvernement. Étant donné que son rôle est de prévenir les abus gouvernementaux, on s’attendrait à ce que la cour aborde chaque demande avec scepticisme. Et pourtant, en 2022, elle n’a rejeté que sept des 354 demandes. En 2021, elle a rejeté quatre des 456 demandes. Vous pouvez voir les statistiques complètes dans le tableau ci-dessous.

AnnéeApplicationsOrdres accordésOrdres modifiésOrdres refusés en partieApplications refusées
202235424987167
2021456318113204

La bonne nouvelle, en quelque sorte, est que même si cela semble être principalement une formalité, les demandes FISA ont tendance à diminuer au cours des dernières années. Malheureusement, cela pourrait être dû au fait que les agences gouvernementales américaines, telles que le FBI, peuvent beaucoup plus facilement exploiter la Section 702 pour espionner les Américains.

La faille de la surveillance sans mandat de la Section 702

En 2008, le Congrès a adopté la Loi sur les Amendements FISA(nouvelle fenêtre), qui comprend la Section 702. Bien que le tribunal FISA ait ses problèmes, la plupart des demandes FISA sont au moins examinées individuellement par un juge. Cependant, les demandes de la Section 702, qui sont un type de demande FISA, sont simplement approuvées par lots, ce qui signifie que les agences fédérales n’ont pas besoin de présenter le dossier pour des demandes spécifiques(nouvelle fenêtre).

La Section 702 donne au gouvernement américain la capacité de surveiller les ressortissants étrangers situés à l’extérieur des États-Unis sans mandat ; cependant, une « porte dérobée » permet d’étendre la surveillance sans mandat aux personnes aux États-Unis également. La NSA (ou une autre agence de trois lettres) peut simplement désigner un ressortissant étranger à l’extérieur des États-Unis comme la cible nominale. Si cette personne communique avec un citoyen américain ou quelqu’un aux États-Unis, ces communications sont également collectées, même si une telle collecte nécessiterait normalement une approbation spécifique du tribunal FISA.

La Section 702 permet à des agences comme la NSA d’effectuer des écoutes sans mandat sur des centaines de milliers d’individus chaque année. Ces données sont ensuite compilées dans une base de données massive et consultable. Contrairement aux demandes du tribunal FISA, le nombre de demandes de la Section 702 est énorme, comme on peut le voir ci-dessous (tous les tableaux ci-dessous sont basés sur le Rapport annuel de transparence statistique 2023 du Directeur du renseignement national(nouvelle fenêtre)).

Cibles de la Section 702

20152016201720182019202020212022
94 368106 469129 080164 770204 968202 723232 432246 073

Étant donné la prévalence de la surveillance de la Section 702, cela finit par capturer illégalement les communications de milliers de citoyens américains chaque année. L’utilisation de cette base de données par le FBI montre une agence utilisant cette base de données pour mener une surveillance de masse sans mandat. Le FBI a accédé à des millions de dossiers de communication de citoyens américains et de personnes vivant aux États-Unis, incluant des manifestants(nouvelle fenêtre), des donateurs politiques(nouvelle fenêtre) et même un membre du Congrès américain(nouvelle fenêtre).

Nombre de termes de requête de personnes américaines (numéros de téléphone, adresses e-mail, etc.) que le FBI a utilisés sur les données de la Section 702, y compris les données de contenu et les métadonnées

Déc. 2019 – Nov. 2020Déc. 2020 – Nov. 2021Déc. 2021 – Nov. 2022
852 8942 964 643119 383

Comme cela montre, la Section 702 a essentiellement donné au gouvernement américain la capacité légale d’accéder à toutes les communications qu’il souhaite. Le gouvernement a utilisé l’article 702 pour établir PRISM(nouvelle fenêtre), l’un des programmes de surveillance de masse révélés par Snowden, et contraindre des entreprises comme Yahoo! à participer(nouvelle fenêtre). Il continue d’utiliser la Section 702 pour envoyer des demandes légales aux entreprises technologiques basées aux États-Unis (Google, Meta, Apple, etc.) pour récolter les données de leurs utilisateurs.

Malheureusement, malgré les abus, le Congrès américain non seulement a réautorisé à plusieurs reprises la Section 702, mais il a maintenant accordé encore plus de pouvoir aux agences d’espionnage. Avec la dernière ré-autorisation, les fournisseurs de communications traditionnels comme les FAI et les entreprises de messagerie électronique pourraient toujours être contraints de participer, en plus de toute personne ayant un accès physique à l’infrastructure de communication d’une cible. Cette liste pourrait inclure les propriétaires, les restaurants offrant du wifi, les hôtels et plus encore. Chaque routeur public que vous avez utilisé pourrait être transformé en point d’écoute de la NSA.

Les lettres de sécurité nationale sont un autre outil d’écoute sans mandat

Les lettres de sécurité nationale (NSL) permettent au FBI de demander des données sans jamais obtenir de mandat ni soumettre cette demande à un contrôle judiciaire. Pour répondre aux critères internes du FBI pour émettre une NSL, un agent du FBI doit simplement attester que les informations recherchées sont pertinentes pour la sécurité nationale.

Les NSL incluent également des ordres de non-divulgation, empêchant les entreprises qui les reçoivent de divulguer la demande. Encore une fois, le secret entourant les NSL rend la supervision difficile et garantit presque un abus. Le FBI n’autorise que 7 % des NSL examinées à être rendues publiques, maintenant ainsi un voile de secret inutile qui garantit leur utilisation abusive. Un audit interne du FBI(nouvelle fenêtre) a trouvé plus de 1 000 violations où des agents du FBI ont reçu plus d’informations qu’ils n’étaient légalement autorisés à obtenir. Le FBI utilise un langage ambigu(nouvelle fenêtre) dans ses demandes dans le but d’obtenir des entreprises qu’elles partagent plus d’informations plutôt que de risquer un combat prolongé.

Bien que moins courantes que les demandes de la Section 702, des milliers de NSL sont envoyées chaque année aux entreprises des géants de la tech.

Le gouvernement américain mène l’espionnage via les géants de la tech

À bien des égards, le gouvernement américain a effectivement externalisé sa surveillance aux entreprises des géants de la tech et aux courtiers de données. Du fait que les grandes entreprises technologiques sont toutes américaines, elles sont soumises à toutes les lois américaines mentionnées ci-dessus. Si l’on ajoute à cela le fait que tous les géants de la tech font de la récolte de données à grande échelle un élément essentiel de leur modèle économique, le gouvernement américain a facilement accès au plus grand système de surveillance de masse jamais conçu. Vous pouvez voir combien de données le gouvernement américain demande aux grandes entreprises technologiques et les outils qu’il utilise en consultant les rapports de transparence des géants de la tech.

Google(nouvelle fenêtre), Meta(nouvelle fenêtre) et Apple(nouvelle fenêtre) ont tous détaillé les demandes FISA et les NSL dans leurs rapports de transparence. En raison du secret entourant ces outils, ils ne peuvent donner que des plages approximatives du nombre de chaque demande que l’entreprise a reçue (ils ne peuvent fournir qu’une plage du nombre de comptes affectés et ne peuvent divulguer ces informations qu’au moins six mois après avoir reçu la demande). Pour simplifier, le tableau ci-dessous montre le nombre minimum absolu de comptes qui ont été affectés par la surveillance. Bien qu’il s’agisse probablement d’un sous-compte, cela représente toujours une invasion massive de la vie privée.

Surveillance assistée par les entreprises en 2022

 Demandes FISA (non relatives au contenu) Demandes de contenu FISANSL
Google50 000200 0003 000
MetaNA290 000500
Apple74 00068 0001 004
Les demandes non relatives au contenu se réfèrent aux métadonnées. Les demandes relatives au contenu concernent l’accès aux messages réels, e-mails et autres communications.

Dans certains cas, ces entreprises s’opposent à l’abus de pouvoir gouvernemental, mais malheureusement, le système juridique américain ne leur laisse pas beaucoup d’options.

Les agences américaines achètent des données pour éviter de demander des mandats

La prolifération du capitalisme de surveillance, initiée par Google et Facebook, a également conduit à l’émergence de courtiers en données, qui stockent et vendent toutes sortes d’informations personnelles sensibles, y compris des données de localisation. Cette énorme quantité de données disponibles à la vente signifie que les agences gouvernementales américaines n’ont plus besoin d’obtenir des mandats pour les données, puisqu’elles peuvent tout simplement les acheter. Les départements qui ont été surpris à acheter ces informations incluent le Trésor américain(nouvelle fenêtre), la NSA(nouvelle fenêtre), le FBI(nouvelle fenêtre), le Département de la Sécurité intérieure(nouvelle fenêtre), les Services de l’immigration et des douanes(nouvelle fenêtre) et bien d’autres.

Une grande partie de ces données nécessiterait normalement un mandat pour y accéder en vertu du quatrième amendement, mais l’achat de données est devenu une industrie milliardaire à laquelle le gouvernement fédéral participe activement. Et comme ces courtiers en données compilent leurs informations à partir de dizaines de sources, il peut être impossible de les éviter.

Cela impacte-t-il Proton ?

Proton est basé en Suisse(nouvelle fenêtre), qui a une longue histoire de neutralité et est en dehors des juridictions des États-Unis, de l’Union européenne et de l’OTAN. La Suisse n’est pas membre d’accords de partage de renseignements contraignants, tels que les accords Five Eyes, Nine Eyes ou Fourteen Eyes(nouvelle fenêtre) ou les programmes de renseignement de l’OTAN(nouvelle fenêtre). Le fait que Proton soit domicilié en Suisse signifie que nous ne sommes pas soumis aux lois américaines mentionnées ci-dessus dans cet article.

Nous croyons que cette neutralité est importante pour garantir que tous les utilisateurs de Proton soient protégés, indépendamment de toute considération géopolitique. L’utilisation par Proton du chiffrement de bout en bout(nouvelle fenêtre) assure également que Proton ne peut pas être utilisé pour espionner au nom des gouvernements, car nous n’avons pas accès à vos données.

Nous avons également activement renforcé les protections de la vie privée des lois suisses auxquelles nous sommes soumis. Par exemple, en 2021, nous avons gagné une affaire judiciaire importante(nouvelle fenêtre) qui a statué que les services d’e-mails ne sont pas des fournisseurs de télécommunications et ne sont donc pas soumis à leurs exigences de conservation des données. Proton VPN(nouvelle fenêtre) est également protégé contre les obligations de journalisation et ne peut pas être contraint à logger.

Dans l’environnement juridique actuel, il est impossible pour un fournisseur de services américain d’offrir des garanties significatives de protection de la vie privée. Les entreprises situées dans des juridictions neutres comme la Suisse pourront toujours offrir un plus grand respect de la vie privée qu’une entreprise technologique américaine.

Mais cela ne signifie pas qu’il ne faut pas lutter pour le droit au respect de la vie privée. Si vous vivez aux États-Unis, vous devriez interpeller vos représentants et sénateurs pour qu’ils bloquent le renouvellement de la section 702. Comme l’a montré la dernière bataille pour la réapprobation, les gens exigent maintenant la fin de la surveillance de masse. Proton continuera à se joindre à leurs voix.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.