/image%2F0534439%2F20200805%2Fob_94b66c_danactu-bandeau.PNG)
Le service de renseignement électronique le plus puissant au monde a un gros problème: il ne reconnaîtra jamais ses erreurs et sa stupidité.
La position défendue par l'administration Obama selon laquelle la NSA n'espionnerait pas les Américains se fonde sur un principe fondamental: l'agence de renseignement sait parfaitement faire la différence entre des innocents et des malfaiteurs. Mieux, elle est si étroitement surveillée par le Congrès et les tribunaux qu'elle ne collecte pas massivement les communications des Américains.
Le 15 août, le Washington Post publiait un audit confidentiel sur les systèmes de collecte d'informations de la NSA, révélant combien ils sont truffés d'erreurs humaines, floués par des cibles mouvantes et s'appuyant sur tant de serveurs et de bases de données différentes que les employés de la NSA sont incapables de tous les avoir à l’œil.
On savait déjà que la NSA avait involontairement collecté les communications d'Américains, en violation des injonctions judiciaires, alors qu'elle moissonnait des signaux électroniques dans des pays étrangers. Mais, selon les mises au point officielles, ces erreurs avaient été limitées, rapidement corrigées et n'affectaient pas grand monde.
L'une des raisons pour laquelle la NSA a su devenir si puissante c'est que, depuis des années, l'agence s'est construit une réputation de super-intelligence et d'hyper-compétence. Les analystes de la NSA se se contentaient pas d'être les types ayant les plus gros cerveaux d'un bureau, ils étaient les lumières les plus éblouissantes de tout l'immeuble.
Les hackers de la NSA pouvaient pénétrer n'importe quel réseau. Leurs mathématiciens étaient capables de résoudre n'importe quelle équation. Leurs cryptologues pouvaient craquer n'importe quel code. Une réputation qui a réussi à survivre à d'énormes cafouillages et autres gabegies à plusieurs milliards de dollars. Saura-t-elle résister aux dernières révélations? La question reste ouverte.
Selon le Washington Post, la NSA a «chaque année, et des milliers de fois, enfreint des règles de confidentialité ou outrepassé ses prérogatives légales depuis que le Congrès lui a accordé de nouveaux pouvoirs élargis en 2008...» C'est à cette date que la surveillance mondiale de la NSA est passée en mode supersonique. L'agence avait désormais le droit de surveiller des communications sans mandat individuel et d'espionner des catégories entières de gens et de communications.
La majeure partie des violations concernant des informations d'Américains ont été la conséquence de ce que l'agence nomme une «collecte accidentelle». Combien d'Américains ont été ramassés dans les filets de la NSA alors qu'ils avaient été prétendument posés pour des cibles étrangères? Le chiffre exact n'est pas certain. Mais pour le dire en deux mots: des tas.
Par exemple, selon l'audit, une gaffe de programmation a permis de collecter un «nombre important» d'appels émanant de Washington, alors que la manœuvre concernait à l'origine des cibles égyptiennes. Pour une raison quelconque, l'indicatif téléphonique 202 (de Washington) a remplacé le 20 (l'indicatif international de l’Égypte). La prétendue finesse de la NSA et de son architecture de surveillance ont été ruinées par une simple faute de frappe.
L'audit révèle ainsi que les erreurs humaines sont un problème récurrent des opérations de surveillance et montre combien ces procédures peuvent se révéler bordéliques et confuses. Lors du 1er semestre 2012, 123 incidents de non-conformité avec les réglementations, soit 63% des incidents examinés, ont été attribués à une erreur humaine ou de manipulation. On y trouvait des fautes de frappe, des requêtes inexactes ou trop larges et ce que le document nomme des «informations de recherche insuffisantes ou inexactes et/ou des problèmes liés à une surcharge de travail».
Selon l'audit, les analystes avaient besoin d'informations «plus complètes et cohérentes» sur leurs cibles afin d'éviter des erreurs. Ce qui laisse entendre que lorsque les systèmes de collecte de la NSA fouillent dans des flux de données, les analystes, eux, ne sont pas toujours suffisamment bien équipés pour déterminer qui est ou n'est pas une cible pertinente.
Les systèmes de la NSA ont aussi du mal quand une cible se déplace et pour savoir si elle est, ou non, entrée aux États-Unis. (Dans ce cas, différentes réglementations interviennent concernant l'autorisation de la surveillance et les informations contrôlables sans l'aval du juge).
Sans remonter très loin, en 2012, la NSA n'était pas toujours capable de savoir quand ses cibles, se servant de téléphones portables, avaient franchi des frontières américaines. Ces «itinérants» représentaient le plus grand nombre d'erreurs technologiques dans les violations examinées par l'audit.
Un problème découvert l'an dernier, et que le document nomme «Incidents significatifs de non-conformité» montre que la NSA collecte tant d'informations qu'elle est incapable de garder un œil sur toutes et les range parfois dans des endroits où elles ne devraient pas se trouver.
En février 2012, la NSA a trouvé 3.032 «fichiers contenant des statistiques d'appels» sur un serveur. Ces statistiques d'appel ressemblent à une facture téléphonique. Elles vous montrent qui a été appelé, quand et pendant combien de temps. Ce sont des métadonnées, comme celles collectées aujourd'hui sur tous les appels passés aux États-Unis.
Combien de statistiques (représentant chacune un individu) exactement se trouvaient dans ces fichiers? La chose n'est pas claire. Mais elles étaient stockées sur le serveur depuis plus de cinq ans, dépassant ainsi la durée à partir de laquelle ces informations sont censées être détruites, conformément aux réglementations de la NSA visant à protéger la vie privée des Américains.
Comment ces archives se sont-elles retrouvées là? C'est un mystère. Le document explique qu'elles ont été «éventuellement collectées» à des fins commerciales, ce qui est autorisé par le Patriot Act. Mais rien n'est moins sûr.
Ce que l'on sait, par contre, c'est que ces archives étaient stockées avec des informations qui n'auraient jamais dû se trouver à proximité. Ces dernières provenaient d'un programme hautement confidentiel, Stellar Wind, qui permettait, sans mandat, d'intercepter des appels téléphoniques et des courriels (et pas uniquement leurs métadonnées) et qui avait été secrètement validé par le président George W. Bush en 2001. L'assemblage des statistiques d'appels et des données du programme Stellar Wind relevait encore d'un autre programme, qui n'avait rien à voir avec les autres.
Le mélange ou la «combinaison» d'informations obtenues par différents programmes et en vertu de législations et d'habilitations différentes est une pratique dangereuse dans le renseignement. Les informations sont compartimentées afin de restreindre et de contrôler le nombre de gens qui y ont accès. Un analyste habilité à compulser les statistiques d'appel n'aura pas forcément le droit d'écouter les appels interceptés par le programme Stellar Wind. Mais si tout se retrouve sur un serveur identique, il sera peut-être en mesure de le faire.
C'est ce qui s'est sans doute passé en 2011, selon l'audit. Certains employés auraient eu accès à un cache d'informations modifié quelques temps auparavant pour ne plus leur permettre de les compulser. Mais tous les employés n'avaient pas été informés de la modification.
Stocker différents flux de renseignements en un seul endroit accroît aussi le risque de révéler de précieuses sources et méthodes d'obtention de ces renseignements –une infraction basique du code de l'espionnage. Et c'est ce qui les rend aussi bien plus faciles à voler (il suffit de demander à Edward Snowden).
Le compartimentage crée aussi un rempart contre les atteintes à la vie privée. Les informations concernant des Américains sont en général mises à l'écart du renseignement étranger, car les règles régissant leur utilisation et leur diffusion sont plus strictes.
Par ailleurs, les infractions et les erreurs n'ont pas toujours été communiquées aux instances de contrôle de la NSA, que ce soit le Congrès ou la cour FISA. En partie, c'est parce que la NSA ne considère pas la collecte involontaire ou «accidentelle» de communications d'Américains comme une violation des réglementations.
C'était un accident, la conséquence de ce que l'agence appelait, dans un autre document récemment déclassifié, des «problèmes généralement relatifs à l'implémentation d'une technologie hautement sophistiquée dans un environnement complexe et évoluant constamment». Traduction: la surveillance, c'est pas facile. Nos ordinateurs ne sont pas parfaits. Nous avons agi en toute bonne foi.
Une justification dont la cour n'a d'ailleurs aucun moyen de vérifier l'authenticité. Dans un candide aveu au Post, son président, Reggie Walton, admet qu'il doit, comme ses collègues, «se fier à l'exactitude des informations» fournies par le gouvernement et que la cour «n'a pas la capacité d'enquêter sur les problèmes de non-conformité».
Dans un cas où la cour a pu rejeter un nouveau type de surveillance, c'était quelques mois après avoir appris sa mise en place. La cour avait jugé les activités en question, toujours pas divulguées à ce jour, comme anticonstitutionnelles et la NSA avait dû faire des changements avant de pouvoir les relancer.
La NSA demande aussi à ses employés de ne pas communiquer toutes les informations concernant les infractions au Congrès, qui est censé contrôler la collecte de renseignements étrangers et s'assurer de leur conformité législative.
Les documents qui viennent d'être publiés révèlent quelque chose que nous savons depuis longtemps: la NSA collecte d'énormes quantités d'informations sur des étrangers et des citoyens américains puis tente, comme le veut le proverbe, de séparer le bon grain de l'ivraie avec des résultats imparfaits. Ce qui est scandaleux, mais parfaitement compréhensible d'un point de vue technologique.
Ce que les membres du Congrès et l'opinion publique pourraient trouver un tantinet peu plus perturbant, c'est que la NSA n'a pas été honnête sur ses défauts. Ses responsables les ont cachés aux mêmes juges et législateurs qui, selon les récentes déclarations du président Obama, étaient engagés dans un rigoureux processus de contrôle et d'encadrement visant à ce que l'espionnage électronique reste dans les limites de la loi.
Peut-être alors que ce système, comme la NSA et ses carences, mérite un petit tour de vis.
Shane Harris
Traduit par Peggy Sastre
SOURCE / SLATE.FR