PRISM en résumé
Bon, voilà, je pars quelques jours et PAF, un scandale mondial éclate !
Le Washington Post nous explique que les services de renseignement américain (NSA, FBI et compagnie) disposent d’un accès direct pour piocher des infos directement sur les serveurs de grandes entreprises du web comme Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple…etc.
A l’origine de la fuite, un ancien employé des renseignements américains qui a transmis un PowerPoint dans lequel figure ce slide :
Je vous avoue que je n’ai pas été surpris par une telle annonce. C’était tellement logique… On s’en doutait tous un peu beaucoup, non ? Ce qui est étrange c’est que la Maison-Blanche a confirmé, mais que les acteurs du web ont nié l’existence d’un tel système. Je viens d’ailleurs de lire pas mal de trucs contradictoires au sujet de cette histoire de PRISM alors je vais essayer de vous résumer tout ça.
- PRISM concerne à priori uniquement les demandes FISA (Foreign Intelligence Surveillance Act) qui sont des demandes de renseignements sur les non-Américains uniquement. Mais même si le gouvernement le nie en bloc, il est possible que ce système aille bien au-delà des demandes FISA et touche aussi la vie privée des Américains aujourd’hui ou demain.
- Pas besoin d’autorisation spéciale de la justice pour effectuer une demande FISA. C’est relativement open-bar si ça concerne les étrangers (puisqu’étranger = terroriste potentiel).
- Il n’y a pas de backdoor chez les géants du web. En réalité cet accès direct se traduit par des portails mis en place par les sociétés, qui permettent au gouvernement d’effectuer des demandes FISA sur des comptes précis. On ne sait pas par contre si ces demandes sont validées ensuite par les sociétés du web où si le gouvernement fait comme il l’entend. Ce point reste flou.
- Twitter serait le seul à ne pas avoir mis en place ce système, mais répond quand même manuellement aux demandes FISA.
- Le gouvernement Français qui travaille en collaboration avec les États-Unis profite aussi de ces données FISA de manière indirecte.
- Les agences de renseignement américaines disposent aussi d’accords avec les sociétés de télécommunication pour intercepter tout ce qui passe dans les tuyaux et qui les intéresse. Autant dire que l’accès aux communications est direct aussi par ce biais.
- L’homme qui a dévoilé l’affaire s’appelle Edward Snowden. Il a 29 ans et a travaillé pour la CIA et la NSA. Il a choisi lui-même de révéler son identité, car selon ses propres mots, il n’a rien fait de mal. Je pense aussi que c’est pour se protéger grâce à une couverture médiatique comme l’a fait avant lui Julian Assange.
- S’il a pris ce risque, c’est parce qu’il a constaté dans son travail, des abus de ce système de la part du gouvernement américain et a choisit d’informer le public.
- Il s’est exilé à Hong Kong et ne se sent pas en sécurité. Il cherche un pays qui voudra bien lui accorder l’asile politique. (L’Islande ?)
- Pour collecter ces données, Backblaze pense même que la NSA utilise son pod open source de stockage.
- Après la collecte vient l’exploitation de ces données et pour ça, les agences gouvernementales américaines disposent d’un outil baptisé Boundless Informant qui permet de parcourir visuellement ces (meta)données collectées.
Voilà tout ce que j’ai pu synthétisé de ce “buzz” très riche. Ces données récoltées peuvent avoir plusieurs usages… Tout d’abord, officiellement repérer les terroristes potentiels. Mais pourquoi pas aussi exercer un chantage ou une pression sur des militants/politiques/activistes étrangers ou encore pratiquer l’espionnage industriel pour garder une longueur d’avance sur la concurrence.
Même si tout cela ne change absolument rien puisqu’on savait déjà que Big Brother mettait son nez partout, cette histoire fait pousser des hauts cris à la population américaine et permet quand même de faire un gros rappel sur la confidentialité de vos données lorsqu’elles se trouvent sur des serveurs américains ou britanniques.
En tant qu’étranger, nous pouvons nous faire ponctionner nos données sans même être au courant… Récupération de nos documents, lecture de nos messages, écoute de nos conversations, détails de nos fréquentations ou encore de nos habitudes.
Gagner en confidentialité peut faire perdre en confort. Mais une fois que vous avez compris ça, rien ne vous empêche de basculer sur des services 100% français ou Européens. Pour les emails, j’ai arrêté avec Gmail et j’ai pris un truc chez OVH. Pour les backups, j’ai mon NAS (qui fait sauvegarde, owncloud en remplacement de dropbox, VPN, backup IMAP…etc.). Facebook, je ne l’utilise pas même si je suis inscrit. Et je considère que tout ce que je poste sur Twitter est de toute façon public. Pour Skype, vous pouvez le remplacer aisément par une messagerie XMPP ouverte. Pensez aussi à utiliser un moteur de recherche qui vous respecte comme DuckDuckGo.
C’est un réflexe à prendre et vous n’y arriverez pas du jour au lendemain, mais dans la mesure du possible, essayez de relocaliser vos données en France ou pensez chiffrement fort.
Après, il faut bien garder à l’esprit aussi que même si vous faites tous ces efforts, si vous envoyez des messages à vos amis et qu’ils sont sur Gmail, ça ne servira pas à grand-chose. Mais rien n’est parfait dans la vie… Essayons de faire au mieux.
Autre chose importante, qu’on peut tous faire à notre niveau, c’est d’en parler autour de nous. D’expliquer à ceux qui utilisent les services US que leurs données sont à la merci du gouvernement américain. L’important c’est de faire passer le message et de leur donner des pistes pour faire différemment.
En tout cas, je salue le courage ou l’inconscience de Edward Snowden qui a décidé au péril de sa vie de rendre publiques cette information, parce que comme il le dit lui-même, il ne veut pas vivre dans une société qui pratique ce genre d’espionnage qui n’est ni plus ni moins qu’une menace sérieuse contre la démocratie.
Ah et pour ceux qui me répondraient qu’ils n’ont rien à cacher et que tout cela ne les gêne pas, allez lire cet article.
Ps: A l’heure où j’écris ces lignes, ça n’arrête pas niveau info donc il se peut que certaines choses évoluent encore.
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).