Exclusif : Yahoo a secrètement surveillé les emails de ses clients pour les services de renseignement américains, par Joseph Menn

Source : Reuters, le 04/10/2016

Yahoo a scanné secrètement des emails pour les renseignements US

Par Joseph Menn | SAN FRANCISCO

L’an dernier Yahoo a secrètement mis en service un logiciel personnalisé destiné à rechercher dans tous les emails entrants de ses clients des informations spécifiques fournies par les responsables du renseignement américain, selon des gens familiers avec le sujet.

La société s’est conformé à une exigence classifiée du gouvernement des États-Unis pour le contrôle de centaines de millions de comptes mail chez Yahoo, sur ordre de la NSA ou du FBI, ont déclaré trois anciens employés et une quatrième personne au courant des événements.

Certains experts de la surveillance ont déclaré que c’est le premier cas connu d’une société Internet américaine acceptant la demande d’une agence de renseignement de contrôler tous les messages entrants, par opposition à l’examen habituel des messages stockés ou le contrôle d’un petit nombre de comptes en temps réel.

On ne sait pas quelle est l’information recherchée par les responsables du renseignement, mais seulement qu’ils demandaient à Yahoo de rechercher des ensembles de caractères. Cela pourrait signifier une phrase dans un e-mail ou une pièce jointe, selon les mêmes sources qui ne veulent pas être identifiées.

Reuters n’a pas pu déterminer quelles données Yahoo peut avoir éventuellement remises, et si les responsables du renseignement avaient fait ce genre de demande à d’autres fournisseurs en dehors de Yahoo.

Selon deux anciens employés, la décision de la directrice générale de Yahoo Marissa Mayer d’obéir à la directive a perturbé certains cadres supérieurs, et a conduit en juin 2015 au départ du responsable en chef de la sécurité de l’information Alex Stamos, qui détient maintenant le poste de haute sécurité à Facebook Inc.

« Yahoo est une société respectueuse des lois, et qui se conforme aux lois des États-Unis, » a indiqué la compagnie dans un bref communiqué en réponse aux questions de Reuters sur la demande. Yahoo a refusé tout autre commentaire.

Par l’intermédiaire d’un porte-parole de Facebook, Stamos a refusé une demande d’entrevue.

La NSA a soumis la question au Bureau du directeur du renseignement national, qui a refusé de commenter.

La demande de recherche dans les comptes mail de Yahoo est arrivée sous la forme d’un décret classifié envoyé à l’équipe juridique de la société, selon les trois personnes familières avec le sujet.

Il est bien connu que les entreprises américaines de téléphone et d’internet doivent remettre des masses de données clients aux agences de renseignement. Mais certains anciens responsables du gouvernement et des experts de surveillance privés ont dit qu’ils n’avaient jamais vu une telle demande de collecte massive de données web en temps réel au point que cela a nécessité la création d’un nouveau logiciel informatique.

« Je n’avais jamais vu ça, une écoute en temps réel sur un « sélecteur », » déclare Albert Gidari, un avocat ayant représenté les compagnies de télécommunications sur les problèmes de surveillance pendant 20 ans, avant de rejoindre cette année l’Université de Stanford. Un sélecteur se réfère à un terme de recherche utilisé pour aller directement vers une information spécifique.

« Il serait vraiment difficile pour un fournisseur de faire cela, » ajoute-t-il.

Selon les experts, il est probable que la NSA ou le FBI aient approché d’autres compagnies internet avec les mêmes exigences, puisqu’évidemment ils ignoraient quels comptes de courrier électronique étaient utilisés par la cible. La NSA fait habituellement des demandes de surveillance intérieure via le FBI, rendant difficile à déterminer quelle agence recherche l’information.

Google d’Alphabet Inc. et Microsoft Corp, deux fournisseurs majeurs de services de courrier électronique aux USA, ont séparément déclaré mardi qu’ils n’avaient pas procédé à de telles recherches de messages.

« Nous n’avons jamais reçu une telle demande, mais si ça avait été le cas, notre réponse aurait été simple : « pas question », » a déclaré un représentant de Google.

Un représentant de Microsoft a déclaré : « Nous n’avons jamais mis en place d’analyse, en secret, du trafic du courrier électronique, ainsi qu’on l’a rapporté aujourd’hui à propos de Yahoo. » La compagnie a refusé tout commentaire sur l’existence d’une demande similaire.

DEFIER LA NSA

Selon les lois incluant les amendements de 2008 à la loi sur la Surveillance et le Renseignement à l’étranger (FISA), les agences de renseignement peuvent demander aux compagnies de télécommunication de fournir les données clients pour aider aux efforts de récolte de renseignements extérieurs pour un ensemble de raisons, y compris la prévention des attaques terroristes.

Les révélations de l’ancien opérateur à la NSA Edward Snowden et d’autres ont mis à jour l’étendue de la surveillance électronique et conduit les autorités américaines à réduire légèrement certains programmes, en partie pour protéger les droits de la vie privée.

Des sociétés telles que Yahoo ont contesté une certaine surveillance classifiée devant la Foreign Intelligence Surveillance Court, un tribunal secret.

Certains experts de la FISA ont déclaré que Yahoo aurait pu essayer de combattre la demande de l’année dernière pour au moins deux raisons : l’ampleur de la directive et la nécessité d’écrire un programme spécial pour rechercher les e-mails en transit de tous les clients.

Apple a fait valoir un argument similaire plus tôt cette année quand il a refusé de créer un programme spécial pour décrypter un iPhone chiffré utilisé en 2015 pour le massacre de San Bernardino. Le FBI a laissé tomber le cas après avoir débloqué le téléphone avec l’aide d’un tiers, donc il n’y a pas eu de précédent.

« Il est profondément décevant que Yahoo ait refusé de contester cet ordre de surveillance par balayage, parce que les clients comptent sur les entreprises technologiques pour porter en justice ces nouvelles exigences d’espionnage, » a déclaré Patrick Toomey, un avocat de l’American Civil Liberties Union, dans un communiqué.

Certains experts de la FISA ont défendu la décision de Yahoo d’obtempérer, estimant que rien n’interdisait au tribunal de demander une recherche sur un terme spécifique plutôt que sur un compte spécifique. Ce qu’on appelle la collecte de masse « en amont » chez les opérateurs de téléphonie basée sur le contenu a été jugée légale, ont-ils déclaré, et la même logique pourrait s’appliquer aux messageries des entreprises du Web.

Alors que les entreprises technologiques parviennent mieux à chiffrer les données, elles sont susceptibles de faire face à plus de telles demandes des agences d’espionnage.

L’ancien directeur juridique de la NSA Stewart Baker affirme que les fournisseurs de messagerie « ont le pouvoir de chiffrer tout cela, ce qui leur donne la responsabilité supplémentaire de faire une partie du travail qui était fait par les agences de renseignement. »

UN PROGRAMME SECRET DE SIPHONNAGE

Mayer et d’autres dirigeants ont finalement décidé l’année dernière de se conformer à la directive plutôt que de la combattre, en partie parce qu’ils pensaient qu’ils allaient perdre, ont déclaré les personnes connaissant bien l’affaire.

En 2007, Yahoo avait combattu une demande de la FISA d’effectuer des recherches sur des comptes de messagerie spécifiques sans mandat approuvé par le tribunal. Les détails de l’affaire restent secrets, mais un avis publié partiellement expurgé a montré que l’action de Yahoo a échoué.

Certains employés de Yahoo étaient fâchés de la décision de ne pas contester le dernier décret et pensaient que la société aurait pu l’emporter, selon les sources.

Ils étaient aussi mécontents que Mayer et le directeur juridique de Yahoo Ron Bell n’aient pas impliqué l’équipe de sécurité de l’entreprise dans le processus, au lieu de demander aux ingénieurs de Yahoo d’écrire un programme destiné à siphonner les messages contenant la chaîne de caractères recherchée et les stocker pour les récupérer à distance, selon les sources.

Les sources ont dit que le programme a été découvert par l’équipe de sécurité de Yahoo en mai 2015, quelques semaines après son installation. L’équipe de sécurité a d’abord pensé que c’était l’œuvre de hackers.

Lorsque Stamos a découvert que Mayer avait autorisé le programme, il a démissionné en tant que chef de la sécurité de l’information et a dit à ses subordonnés qu’il avait été écarté d’une décision qui nuisait à la sécurité des utilisateurs, selon les sources. En raison d’un défaut de programmation, il leur a dit que des hackers auraient pu accéder aux e-mails stockés.

Quand Stamos annonça en juin 2015 qu’il avait rejoint Facebook, il n’a mentionné aucun problème avec Yahoo. (bit.ly/2dL003k)

Autre incident, Yahoo a déclaré le mois dernier que des hackers « financés par un État » avaient eu accès à 500 millions de comptes clients en 2014. Ces révélations ont porté un nouveau regard sur les pratiques de sécurité de Yahoo, alors que la société tente de finaliser un accord pour vendre son activité de base à Verizon Communications Inc pour 4,8 milliards de dollars.

(Reportage de Joseph Menn, rédigé par Jonathan Weber et Tifany Wu)

Source : Reuters, le 04/10/2016

Traduit par les lecteurs du site www.les-crises.fr. Traduction librement reproductible en intégralité, en citant la source.