Discussion :

[Stéphane le calme]

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis,
en violation avec le quatrième amendement

Le Federal Bureau of Investigation (FBI) a effectué des dizaines de milliers de recherches non autorisées sur des citoyens américains entre 2017 et 2018, a statué un tribunal. L'agence a violé à la fois la loi autorisant le programme de surveillance dont l'agence s'est servie et le quatrième amendement de la constitution américaine. La décision a été rendue en octobre 2018 par la Cour de surveillance des renseignements étrangers (FISC), une juridiction gouvernementale chargée de contrôler et d'autoriser les fouilles de personnes étrangères à l'intérieur et à l'extérieur des États-Unis. Elle a été rendue publique le 8 octobre 2019.

Le programme lui-même, appelé Section 702 et s'inscrivant dans le cadre de l'expansion large et agressive des programmes d'espionnage américains dans les années qui ont suivi le 11 septembre, a permis aux agents du FBI de rechercher une base de données de renseignements électroniques, y compris des numéros de téléphone, des courriels et d'autres données d'identification. Il est destiné principalement à la National Security Agency (NSA).

L’article 702 comporte une limitation essentielle : il ne peut être utilisé que pour rechercher des preuves d’un crime ou dans le cadre d’une enquête sur une cible étrangère. L'idée sous-jacente est d'habiliter la NSA à surveiller les suspects de terrorisme et les cybermenaces.

Pourtant, selon le Wall Street Journal, le FBI a surveillé des Américains à l'aide de la base de données. Les agents ont également utilisé la base de données pour rechercher des informations sur eux-mêmes, sur leurs collègues, des amis, la famille, etc. La cour a estimé qu'il s'agissait d'une violation flagrante du quatrième amendement, qui protège contre les fouilles, les perquisitions et les saisies abusives, car aucune des perquisitions de citoyens américains ne comportait de mandats.

Le FISC est chargé d’évaluer l’utilisation secrète de ces outils d’espionnage dans le cadre de la loi intitulée Foreign Intelligence Surveillance Act de 1978, qui a poussé ces délibérations gouvernementales à huis clos sous prétexte de protéger la sécurité nationale. C’est pourquoi cette décision a pris une année complète avant de voir le jour. Elle est désormais publique parce que le gouvernement a perdu un appel devant une cour d’appel secrète et séparée, selon le WSJ. Le FBI doit maintenant créer de nouvelles procédures de surveillance et une équipe de vérification de la conformité pour se protéger contre les abus de surveillance.

Le document nous apprend ceci :

« En mars 2018, le gouvernement avait présenté les Certifications 2018 du procureur général et du directeur du renseignement national. Ces Certifications 2018, qui contenaient les procédures de ciblage, de minimisation et d'interrogation requises, visaient à renouveler les Certifications 2016 expirées. En avril 2018, le FISC a rendu une ordonnance constatant que les Certifications 2018 et les procédures associées "présentaient [probablement] une ou plusieurs interprétations nouvelles ou significatives du droit, dont la prise en compte bénéficierait de la participation d'amicus". Le FISC a jugé qu'il y avait "un motif valable” de prolonger le délai d'examen des Certifications 2018 afin de permettre une participation significative des amicus curiae en la matière.

« Après avoir reçu des briefings et tenu des audiences impliquant le gouvernement et des amici curiae nommés par la Cour, le FISC a rendu un avis et une ordonnance le 18 octobre 2018, approuvant la plupart des aspects des Certifications 2018 et leur ciblage, minimisation et procédures d'interrogation.

« Le FISC a constaté que "les procédures de minimisation et d'interrogation à mettre en œuvre par le FBI sont compatibles avec les exigences des articles 702 (e) et 702 (f) (1) (A) - (B) respectivement et du quatrième amendement, sauf dans la mesure où ils [étaient] incompatibles" avec ces autorités sous deux aspects. Premièrement, le FISC a constaté que le FBI conservait tous les termes de requêtes sans différencier celles qui concernaient des ressortissants américains ne satisfaisait pas aux exigences de la Section 702 (f) (1) (B) de la FISA, une disposition adoptée dans le cadre des modifications de la FISA Loi de 2017 obligeant le gouvernement à adopter des procédures d'interrogation qui incluent, entre autres, "une procédure technique permettant de conserver un enregistrement du terme d'interrogation de chaque personne américaine utilisé pour une interrogation". Le FISC a conclu que la section 702 (f) (1) ) (B) exige que les enregistrements de requête du FBI indiquent les termes qui concernent des ressortissants américains.

« Le FISC a également conclu que les procédures d’interrogation et de minimisation du FBI, telles que mises en œuvre, étaient incompatibles avec l’article 702 et le quatrième amendement, à la lumière de certains incidents de conformité identifiés impliquant des requêtes pour l'obtention d’informations au titre de l’article 702. Ces incidents concernaient des cas dans lesquels des membres du personnel avaient mal appliqué ou mal compris la norme de requête, de sorte que les requêtes n'étaient pas raisonnablement susceptibles de renvoyer des informations de renseignement étranger ou des preuves d'un crime. Certaines de ces instances impliquaient des requêtes concernant un grand nombre de personnes. Tout en déclarant que le gouvernement avait pris des "mesures constructives" pour résoudre les problèmes identifiés, le FISC a estimé que ces mesures ne répondaient pas pleinement aux préoccupations légales et du quatrième amendement soulevées par les incidents de conformité. Le FISC a toutefois suggéré de remédier à ces préoccupations prévues par la loi et le quatrième amendement si le gouvernement adoptait une proposition faite par Amici visant à documenter par écrit le fondement de la conviction du FBI selon laquelle une requête particulière des données de la Section 702 utilisant une requête sur une personne américaine est raisonnablement susceptible de renvoyer des informations de renseignement étranger ou une preuve de crime avant que le personnel du FBI n'examine le contenu des informations de Section 702 renvoyées par de telles requêtes. Les procédures d'interrogation de 2018 soumises par les autres agences, qui ont été approuvées par le FISC, comme indiqué ci-dessus, incluent cette même exigence de documentation.

« En outre, le FISC a examiné la portée de certaines nouvelles restrictions concernant les communications "about" qui ont été adoptées dans la loi de réautorisation des modifications de la FISA de 2017. La collection « abouts » consiste à acquérir des communications qui contiennent une référence à, mais ne sont pas ou ne proviennent pas, une cible visée par l'article 702. Comme la NSA l'a expliqué en avril 2017, la NSA a cessé d'acquérir toute communication Internet en amont qui concerne uniquement "une" cible de renseignement étranger et a plutôt limité sa collection en vertu de la Section 702 aux seules communications directement vers ou depuis une cible de renseignements étrangers. Les procédures de ciblage 2018 de la NSA contenaient la même limitation. Bien que le gouvernement n'ait pas cherché à reprendre la collection "abouts", le FISC, avec l'aide d'amici, a examiné si les restrictions "abouts" s'appliquaient à d'autres types d'acquisitions en vertu de l'article 702 en cours. Bien que la FISC ait statué que les restrictions relatives à la règle "abouts" s’appliquaient aux acquisitions effectuées en vertu de la Section 702, elle a conclu que les acquisitions actuelles en vertu de la Section 702 n’impliquaient pas les restrictions "abouts" ».

Sources : WSJ, document de la Cour

Et vous ?

Cela est-il surprenant ?
Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voir aussi :

Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs, et donne des recommandations
Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel
Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone
Le FBI a saisi Deep Dot Web, un important annuaire du Dark Web, et a arrêté ses administrateurs
Les gains totaux de la cybercriminalité ont grimpé en flèche à 2,7 milliards de dollars, avec au total 351 936 plaintes reçues en 2018, selon le FBI

[matthius]

Il y a un autre amendement demandant une banque nationale publique.

[Ryu2000]

Cela est-il surprenant ?

Non, quand un outil donne un pouvoir immense il y aura toujours des personnes qui vont craquer et sortir du cadre.
Pour certains c'est trop tentant de rechercher des informations sur leurs connaissances.

Déjà en 2013 :
NSA : des employés ont espionné leurs conjoints

Déjà au centre d'une polémique déclenchée par les révélations d'Edward Snowden, la NSA est de nouveau dans l’œil du cyclone. Des employés de l'agence américaine chargée des interceptions de communications ont profité des outils de surveillance de leur employeur pour espionner les communications de leurs conjoints. Des écoutes qui ont déjà été baptisées "LoveInt violations" (pour "Love Intelligence" ou "renseignement amoureux") outre-Atlantique.

Le FBI, la NSA, etc, ont des outils qui permettent de lire tous les messages privés, d'écouter toutes les conversations, de lire toutes les pièces jointes.
Certains détournent ces outils pour violer la vie privée d'autres personnes.

[Nancy Rey]

L'outil de surveillance le plus controversé du FBI est menacé,
l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

De nombreux législateurs américains, portés à de nouveaux sommets de pouvoir par les récentes élections, s'efforcent de réduire considérablement les méthodes d'enquête du FBI. Ces derniers mettent en cause la capacité du gouvernement américain à espionner ses propres citoyens. En effet, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance. Le Congrès américain doit voter d'ici la fin de l'année pour prolonger ou pas cette autorisation, jugée invasive, dans le cadre de la section 702 de la loi sur la surveillance du renseignement étranger.

La section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act : FISA) permet au gouvernement américain d'intercepter les communications électroniques de cibles étrangères qui ne sont pas protégées par le quatrième amendement. Ce pouvoir doit expirer à la fin de l'année. Mais les erreurs commises dans l'utilisation secondaire de ces données par le FBI, à savoir les enquêtes sur les crimes commis sur le sol américain, risquent d'enflammer un débat déjà très vif sur la question de savoir si l'on peut faire confiance aux agents des forces de l'ordre avec un outil aussi invasif.

Des personnalités politiques de premier plan, dont les sénateurs américains. Ron Wyden et Rand Paul, ont présenté par le passé des projets de loi visant à limiter l'accès du FBI aux données non limitées de la section 702. Un projet de loi initialement présenté par les législateurs en 2017, connu sous le nom de USA RIGHTS Act, visait à freiner « l’autorité étendue » du FBI, qu'ils décrivaient comme étant « obscurcie par le secret ».

De nombreuses erreurs révélées par un audit

Un audit de routine réalisé par la division de la sécurité nationale du ministère de la Justice (DOJ) et le bureau du directeur du renseignement national (director of national intelligence : ODNI) a mis au jour de nouveaux exemples de non-respect par le FBI des règles limitant l'accès aux renseignements ostensiblement recueillis pour protéger la sécurité nationale des États-Unis. Ces « erreurs », ont-ils dit, se sont produites à un « grand nombre » d'occasions.

Le rapport portant sur cet audit a révélé qu'au cours du premier semestre de 2020, le personnel du FBI a effectué des recherches illégales dans les données brutes de la FISA à de nombreuses occasions. Dans un incident, les agents auraient cherché des preuves d'une influence étrangère liée à un législateur américain. Dans un autre, une recherche inappropriée concernait un parti politique local. Dans les deux cas, ces « erreurs » ont été attribuées à une « mauvaise compréhension » de la loi, indique le rapport.

Dans un autre cas, le FBI a effectué des recherches en utilisant les « noms d'un parti politique local », même si un lien avec des renseignements étrangers n'était « pas raisonnablement probable ». Le ministère de la Justice a expliqué ces erreurs en disant que le personnel du FBI avait « mal compris » les procédures de recherche, ajoutant qu'on leur avait « ensuite rappelé comment appliquer correctement les règles de recherche ». Ce sont ces erreurs qui serviront finalement de munitions dans la lutte à venir pour diminuer le pouvoir du FBI.

Les données brutes de la section 702, dont une grande partie provient en aval de sociétés Internet comme Google, sont considérées comme non minimisées lorsqu'elles contiennent des informations non censurées sur des Américains. Les agences d'espionnage telles que la CIA et la NSA ont besoin d'une autorisation de haut niveau pour les démasquer. Mais dans ce que les avocats spécialisés dans la protection de la vie privée et les libertés civiles ont appelé une recherche par la porte dérobée, le FBI effectue régulièrement des recherches dans les données non minimisées au cours des enquêtes, et systématiquement avant de les lancer. Pour répondre à ces préoccupations, le Congrès américain a amendé la loi FISA afin d'exiger une ordonnance du tribunal dans les affaires purement criminelles. Des années plus tard, cependant, il a été rapporté que le FBI n'avait jamais demandé l'autorisation du tribunal.

La directrice principale du programme de sécurité nationale du Brennan Center for Justice à la faculté de droit de l'université de New York, Elizabeth Goitein, estime que, bien que troublant, cet abus était entièrement prévisible. « Lorsque le gouvernement est autorisé à accéder aux communications privées des Américains sans mandat, cela ouvre la porte à une surveillance fondée sur la race, la religion, la politique ou d'autres facteurs inadmissibles », explique-t-elle.

Les enquêteurs du DOJ ont mis au jour un autre incident, qui, selon le rapport, a enfreint les directives du procureur général des États-Unis : un analyste du FBI a utilisé les renseignements de la section 702 d'une manière qui « n'avait pas d'objectif autorisé approprié ». Les enquêteurs ont déclaré que les « requêtes inappropriées » ont été déclenchées par un rapport sur un « individu d'origine du Moyen-Orient », qui, selon un témoin, a « foncé » dans un parking avant de klaxonner. « Un deuxième individu d'origine du Moyen-Orient » a ensuite commencé à charger des cartons dans un deuxième véhicule, a déclaré le témoin, qui a noté que certains des cartons étaient étiquetés Drano, la marque d'un produit de nettoyage des canalisations.

Le rapport ne se prononce pas sur la question de savoir si le signalement est le résultat d'un profilage racial, et il est bien connu que les produits chimiques que l'on trouve couramment dans les produits de nettoyage des canalisations, entre autres produits ménagers, peuvent être utilisés dans la fabrication de bombes artisanales. Le rapport indique seulement que l'affaire a été close avant l'audit, et que le FBI a la prérogative de détruire toute donnée non minimisée qu'il a obtenue illégalement.

D'autres incidents troublants, précédemment divulgués par une décision de justice expurgée, sont également mentionnés, notamment les recherches effectuées par le FBI sur les données de la section 702 au cours « d'enquêtes sur les antécédents » de réparateurs qui avaient obtenu l'accès à un bureau local du FBI ; des personnes qui avaient demandé à rejoindre la « Citizens Academy » du bureau ( un programme destiné aux « chefs d'entreprise, religieux, civiques et communautaires ») et « des personnes qui sont entrées dans le bureau local pour donner un tuyau ou signaler qu'elles étaient victimes d'un crime ».

La surveillance FISA a fait l'objet de critiques accrues

Après les révélations selon lesquelles, en octobre 2016, un tribunal secret avait autorisé la mise sur écoute d'un ancien collaborateur de campagne du candidat à la présidence de l'époque, Donald Trump, pendant l'enquête du FBI sur l'ingérence de la Russie dans les élections, la surveillance FISA a fait l'objet de critiques accrues de la part des républicains. Bien qu'un rapport de l'inspecteur général ait par la suite conclu à une cause suffisante pour l'enquête, la demande de mise sur écoute a été approuvée de manière désordonnée face à de nombreuses erreurs du FBI.

La section 702 (qui n'est pas utilisée pour autoriser la mise sur écoute proprement dite) a été adoptée pour la première fois dans le cadre de la loi d'amendement de la FISA en 2008, et a été plus récemment réautorisée jusqu'au 31 décembre 2023. Le Congrès doit voter d'ici la fin de l'année pour prolonger davantage cette autorisation. Cette échéance provoquera un débat sur la surveillance gouvernementale qui se poursuivra probablement tout au long de l'année, l'administration Biden faisant pression pour une réautorisation rapide et des républicains tels que Jim Jordan, l'un des principaux critiques du FBI, s'y opposant.

Les erreurs commises par le FBI ne sont pas de nature à conforter la communauté du renseignement américain dans son argumentation selon laquelle les avantages de la section 702 l'emportent de loin sur les risques pour les libertés civiles des Américains, et que son expiration compromettrait largement les enquêtes sur les terroristes, les espions étrangers et les cyberattaques contre les infrastructures américaines. « Rien n'est épargné, essentiellement, par cette autorité ; elle est fondamentale pour notre travail », a déclaré Avril Haines, directrice de la sécurité nationale des États-Unis, au début de cette année.

« La communauté du renseignement, et le FBI en particulier, a inutilement pillé les informations les plus privées et les plus sensibles des citoyens américains, traitant le quatrième amendement avec mépris. Le Congrès doit ajouter des garde-fous impénétrables à la section 702, exigeant des mandats pour cause probable pour obtenir les informations privées des Américains », déclare Bob Goodlatte, ancien président républicain du Comité judiciaire de la Chambre des représentants, aujourd'hui conseiller principal du Project for Privacy and Surveillance Accountability"

Les erreurs récemment divulguées ne sont pas les premières dans l'histoire du FBI, selon les recherches de Demand Progress. À partir de 2017 et jusqu'en 2019 au moins, le bureau est connu pour avoir mené des milliers de recherches légalement inadmissibles, selon des dossiers judiciaires déclassifiés. La Foreign Intelligence Surveillance Court a noté dans un mémorandum de 2018, par exemple, que les procédures de minimisation du FBI, "telles qu'elles ont été mises en œuvre", n'étaient conformes ni aux exigences de la FISA ni au quatrième amendement lui-même.

Il ne s'est pas non plus conformé à la réglementation, adoptée en 2018, qui exigeait une ordonnance du tribunal avant d'utiliser les données de la section 702 pour faire avancer les enquêtes criminelles nationales. Un examen de surveillance mené avant novembre 2020 a révélé, par exemple, que le FBI avait effectué 40 requêtes sans autorisation appropriée liées à un éventail d'activités, allant du crime organisé et de la fraude aux soins de santé à la corruption publique et aux pots-de-vin.

Un audit antérieur du DOJ (rendu public en août 2021) a révélé que, dans un cas, un analyste du renseignement avait effectué des « requêtes par lots » d'informations acquises dans le cadre de la FISA à la demande du FBI, en utilisant les informations personnelles de « plusieurs responsables actuels et anciens du gouvernement des États-Unis, de journalistes et de commentateurs politiques ». Bien que les analystes aient tenté de supprimer les informations américaines, dans certains cas, ils ont « échoué par inadvertance » à le faire.

Sources : rapport audit, rapport de surveillance, Office of the Inspector General

Et vous ?

Quel est votre avis sur le sujet ?
Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voir aussi :

Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs, et donne des recommandations

Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel

Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone

[marsupial]

Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voilà ce qui nous attend en Europe au cas où une loi passe sur l'espionnage en masse des citoyens pour une raison X ou Y.

Quel est votre avis sur le sujet ?

Rien n'a changé depuis Snowden à part un abus de plus : la consultation des données du peuple pour des motifs qui n'ont plus rien à voir avec la cause de la loi, le terrorisme.

le FBI effectue régulièrement des recherches dans les données non minimisées au cours des enquêtes, et systématiquement avant de les lancer. Pour répondre à ces préoccupations, le Congrès américain a amendé la loi FISA afin d'exiger une ordonnance du tribunal dans les affaires purement criminelles. Des années plus tard, cependant, il a été rapporté que le FBI n'avait jamais demandé l'autorisation du tribunal.

Le FBI se trouve dans l'illégalité la plus totale. Je me demande si en France, avec la LPM et la loi Renseignement, de mêmes abus ne sont pas en cours.

[defZero]

Euh, n'y a-t-il pas déjà des lois prévue sur le DPI, l'inspection des correspondances électronique et autres dans notre beau pays des droits de l'homme et du con citoyen ?

[Bill Fassinou]

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains
une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

Il semblerait que le FBI considère l'obtention d'un mandat avant d'accéder aux données des Américains comme une procédure "fastidieuse et contraignante" et préfère tout simplement les acheter. Le FBI aurait admis pour la première fois mercredi qu'il achetait les données de localisation des Américains au lieu d'obtenir un mandat. Un rapport souligne que la pratique consistant à acheter des données de localisation est de plus en plus courante depuis que la Cour suprême des États-Unis a limité la capacité du gouvernement à suivre les téléphones des Américains sans mandat. Les pratiques de surveillance du FBI sont actuellement passées au crible par la justice américaine.

Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé mercredi à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.

Pour rappel, un mandat est une ordonnance signée par un juge fermement convaincu qu'un délit a été commis. Le directeur du FBI n'a pas non plus expliqué pourquoi le FBI a décidé de mettre fin à cette pratique. Le rapport souligne que le FBI n'avait jamais reconnu avoir acheté des données de localisation, bien que cette pratique se soit généralisée depuis que la Cour suprême des États-Unis a restreint la capacité du gouvernement à suivre les téléphones des citoyens sans mandat, il y a près de cinq ans. Cette restriction est intervenue dans l'arrêt historique pris en 2018 par la Cour suprême des États-Unis dans l'affaire Carpenter v. United States.

La Cour suprême des États-Unis a statué que lorsque des organisations gouvernementales accèdent aux données de localisation sans mandat, elles violaient le principe des perquisitions injustifiées. Mais cette décision aurait été interprétée de manière restrictive. Les groupes de défense de la vie privée affirment que l'arrêt a laissé une lacune évidente qui permet au gouvernement d'acheter tout ce qu'il n'est pas en mesure d'obtenir légalement. L'agence de renseignement militaire et le service des douanes et de la protection des frontières des États-Unis (CBP) figureraient parmi les organisations fédérales connues pour avoir exploité cette faiblesse.

« Par exemple, le ministère de la Sécurité intérieure aurait acheté les données de géolocalisation de millions d'Américains à des sociétés de marketing privées. Dans ce cas, les données provenaient d'une série de sources faussement inoffensives, telles que des jeux mobiles et des applications météorologiques. Outre le gouvernement fédéral, les autorités locales et étatiques sont connues pour acquérir des logiciels qui se nourrissent des données de pistage des téléphones portables », peut-on lire dans le rapport. Les réponses du directeur du FBI aux questions des sénateurs montrent qu'il a fait preuve de très peu de clarté lors de l'audition de mercredi.

Lorsqu'on lui a demandé si le FBI allait recommencer à acheter des données de localisation lors de l'audition au Sénat, Wray a répondu : « nous n'avons pas l'intention de changer cela à l'heure actuelle ». Sean Vitka, avocat à Demand Progress, une organisation à but non lucratif qui se consacre à la sécurité nationale et à la réforme de la protection de la vie privée, estime que le FBI doit être plus transparent au sujet de ces achats et qualifie l'aveu de Wray d'"horrible" dans ses implications. « Le public doit savoir qui a donné le feu vert à cet achat, les raisons, ainsi que les autres agences qui ont fait ou essaient de faire la même chose », a déclaré l'avocat.

Il a ajouté que le Congrès devrait également prendre des mesures pour interdire complètement cette pratique. Cependant, au regard des récents développements sur la question, Vitka pourrait espérer cette interdiction pendant encore longtemps. De nombreux responsables américains craignent que de telles mesures entravent leurs capacités de surveillance. Les législateurs américains ont longtemps échoué dans leurs tentatives d'adopter une loi complète sur la protection de la vie privée, et la plupart des projets de loi présentés ont délibérément évité l'acquisition par le gouvernement lui-même des données personnelles des résidents américains.

Par exemple, l'American Data Privacy and Protection Act (ADPPA) présenté l'année dernière contient des exemptions pour tous les organismes chargés de l'application de la loi et pour toute entreprise "collectant, traitant ou transférant" des données en leur nom. Plusieurs projets de loi rédigés par Wyden et d'autres législateurs ont tenté de s'attaquer de front à ce problème. Le Geolocation Privacy and Surveillance Act, qui établit des règles claires pour les organismes chargés de l'application de la loi et les entités privées qui ont accès aux données de géolocalisation, a été réintroduit au Congrès à plusieurs reprises depuis 2011, mais n'a jamais été voté.

Selon le rapport, le mois dernier, Demand Progress s'est joint à une coalition de groupes de défense de la vie privée pour exhorter le directeur du bureau américain de protection financière à utiliser le Fair Credit Report Act (FCRA) - la première grande loi nationale sur la protection de la vie privée - contre les courtiers en données qui commercialisent les informations des Américains sans leur consentement. Les avocats qui ont signé la campagne ont déclaré aux législateurs que les violations de la vie privée inhérentes à l'industrie des courtiers en données ont un impact disproportionné sur les personnes les plus vulnérables de la société.

Selon les avocats, cela interfère avec la capacité des gens à obtenir un emploi, un logement et des prestations gouvernementales. En outre, que de nombreux législateurs américains, portés à de nouveaux sommets de pouvoir par les récentes élections, s'efforcent de réduire considérablement les méthodes d'enquête du FBI. Ces derniers mettent en cause la capacité du gouvernement américain à espionner ses propres citoyens. En effet, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance. Le Congrès américain doit voter d'ici la fin de l'année pour prolonger ou non cette autorisation.

Toutefois, cette pratique est jugée invasive, dans le cadre de la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA). Un rapport d'audit a révélé qu'au cours du premier semestre de 2020, le personnel du FBI a effectué des recherches illégales dans les données brutes de la FISA à de nombreuses occasions. Dans un cas, les agents auraient cherché des preuves d'une influence étrangère liée à un législateur américain. Dans un autre, une recherche inappropriée concernait un parti politique local. Dans les deux cas, ces erreurs ont été attribuées à une mauvaise compréhension de la loi.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pratique du FBI qui consiste à acheter les données de géolocalisation des Américains ?

Voir aussi

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

« La CIA dispose d'un programme secret de collecte des données des Américains », d'après des sénateurs démocrates qui indiquent en sus que la collecte se fait sans mandat

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis, la famille, en violation avec le quatrième amendement

[walfrat]

Ah bah quand tu as plusieurs possibilités légales, tu choisis la moins cher et la plus efficace.

[Fagus]

C'est quand même un pays étrange, où tout le monde a l'air de trouver normal

1. d'avoir un système de surveillance global numérique nominatif dans les faits
2. de vendre ces données au plus offrant de manière obscure

et qui ensuite s'active à contrôler plus les agences étatiques que les firmes privées

[walfrat]

C'est quand même un pays étrange, où tout le monde a l'air de trouver normal

1. d'avoir un système de surveillance global numérique nominatif dans les faits
2. de vendre ces données au plus offrant de manière obscure

et qui ensuite s'active à contrôler plus les agences étatiques que les firmes privées

Vendre ses données au plus offrants ? Seulement s'il veut les privatiser et qu'il paye plus que tous les autres réunis, sinon autant revendre à tout le monde

Bah que ce soit dans les films/Dessins animés ou dans les news, les gouvernements sont toujours les méchants ultimes donc bon.

[Bruno]

Le FBI aurait déjà acheté l'accès aux données Netflow, qu'une société appelée Team Cymru obtient des FAI,
Team Cymru les vend ensuite au gouvernement

Récemment, les médias ont rapporté que le département de cybersécurité du FBI avait acheté de grandes quantités de données internet. Ces données ont été achetées à une petite entreprise inconnue basée en Floride. Team Cymru, qui se présente comme le leader mondial du renseignement sur les cybermenaces, vend un accès au trafic en masse et informe ses clients qu'elle peut fournir une passerelle vers une « super majorité des activités sur l'internet ». Plusieurs agences fédérales leur ont déjà acheté des services dans le passé.

Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère. Les données en question, telles que rapportées, sont appelées données Netflow. Apparemment, ces données peuvent être utilisées pour suivre les activités des cybercriminels. Des entreprises telles que Cymru accèdent à ces données en les achetant à des fournisseurs de services. Elles les revendent ensuite aux organismes chargés de l'application de la loi.

Actuellement, le travail du FBI pour identifier et perturber les cybermenaces émanant de la Russie contre l'Ukraine, leurs alliés et leurs propres réseaux américains sont un excellent exemple de la façon dont le FBI utilise ses pouvoirs, ses capacités et ses partenariats uniques dans le cadre de la lutte mondiale contre les cyberactivités malveillantes. Lorsqu'il s'agit de perturber et de contrer la cyberactivité russe en particulier, son travail s'appuie sur les décennies d'expertise du FBI en matière de lutte contre les renseignements étrangers et les cybermenaces aux États-Unis.

Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.

La stratégie cybernétique du FBI

En septembre 2020, le directeur Wray a annoncé la stratégie cybernétique actuelle du FBI, qui vise à imposer des risques et des conséquences aux cyberadversaires grâce à des pouvoirs uniques, des dispositions de classe mondiale et des partenariats durables, en s'appuyant sur un siècle d'innovation.

Grâce à cette stratégie, l’équipe cyber du FBI s’efforce d'augmenter les coûts pour les acteurs malveillants et leurs complices qui mènent des cyberintrusions, volent la propriété financière et intellectuelle et retiennent les infrastructures critiques en otage pour obtenir une rançon. Au cours des 18 derniers mois, cette stratégie et ses principes ont permis de réaliser des progrès significatifs dans l'avancement de son programme cybernétique et de faire en sorte qu'il soit plus difficile et plus douloureux pour les pirates informatiques d'atteindre leurs objectifs. C'est la même stratégie qui est utilisée aujourd'hui pour contrer les cybermenaces en provenance de Russie.

L'un des exemples les plus notables de réussite récente est le travail effectué pour perturber le ransomware Sodinokibi/REvil, que les cyberacteurs ont utilisé pour compromettre l'entreprise mondiale de transformation de la viande JBS et l'entreprise de logiciels Kaseya en 2021. L'année dernière, au cours de plusieurs mois, le FBI a enchaîné les actions stratégiques avec des partenaires étrangers sur trois continents et avec les départements d'État, de la Justice et du Trésor afin de fournir des clefs de décryptage aux victimes, de saisir des recettes en monnaie virtuelle d'un montant supérieur à 7 millions de dollars et d'arrêter trois membres affiliés du groupe.

L'un de ces affiliés, Yaroslav Vasinskyi, a été extradé vers les États-Unis et a comparu pour la première fois devant le tribunal du district nord du Texas au début du mois. Il faut des relations de confiance profondes pour coordonner ces actions et garantir un impact maximal sur les cybercriminels qui sont visés.

L'année dernière, des acteurs étatiques chinois ont exploité une vulnérabilité dans le logiciel Microsoft Exchange Server pour compromettre des milliers d'ordinateurs américains et installer des coquilles web, c'est-à-dire une porte dérobée leur permettant d'entrer et de sortir de ces réseaux à leur guise.

La Chine a tenté d'ouvrir ces portes dérobées, et les équipes du FBI les ont refermées. Le FBI a mis en œuvre une opération innovante, autorisée par un tribunal, pour copier et supprimer ces portes dérobées de centaines d'ordinateurs vulnérables à travers le pays. Ce qui est peut-être le plus important pour le secteur privé, c'est qu’elle a fait cela qu'après avoir rendu publiques les informations sur les compromissions et travaillé avec Microsoft pour contacter directement les propriétaires des serveurs afin de leur donner le temps de résoudre le problème par eux-mêmes. Et, conformément au respect de la vie privée et des libertés civiles, elle a supprimé les serveurs de manière ciblée, sans exposer le contenu des ordinateurs des victimes au FBI.

En septembre, il a été rapporté qu'un certain nombre d'agences de l'armée américaine avaient dépensé des millions pour se procurer un puissant outil de surveillance d'Internet auprès de la société Augury, basée en Floride. Il semble que le FBI ne soit pas la première agence fédérale à en faire l'acquisition. Augury permet aux utilisateurs d'accéder à un grand nombre d'enregistrements du trafic Internet, y compris aux données de messagerie et à l'historique de navigation, entre autres informations.

Il est surprenant de constater que Cymaru entretient également des relations avec Tor, le navigateur Internet le plus connu en matière de protection de la vie privée. Il s'agit d'une relation peu commune par rapport à leurs autres clients. Les utilisateurs de Tor se sont par ailleurs interrogés sur cette relation inhabituelle et sur les liens entre les deux entreprises. Un utilisateur a posté une capture d'écran montrant une recherche DNS du projet Tor avec Team Cymru. Un autre utilisateur a soupçonné que Rabbi Rob Thomas, le PDG de Cymru, était aussi membre du conseil d'administration du projet Tor.

La révélation, en octobre 2022, du contrat passé par l'armée américaine avec Cymru a mis fin à la relation entre Tor et Cymru. Tor a annoncé qu'il mettrait un terme à son partenariat avec le courtier en données. Selon Tor, Cymru était un fournisseur de matériel et d'autres ressources. Les faits de leur partenariat restent flous, notamment en ce qui concerne les activités des deux entreprises. Fernandes a ensuite indiqué que Tor ne jugeait plus nécessaire de continuer à accepter les dons d'infrastructure de la part de Team Cymru.

Enfin, parlons un peu d'infrastructure. Notre communauté a, à juste titre, soulevé des inquiétudes concernant l'utilisation par le projet Tor de l'infrastructure de l'équipe Cymru. Team Cymru a donné du matériel et des quantités importantes de bande passante à Tor au fil des ans. Il s'agissait principalement de miroirs web et de projets internes tels que des machines de construction et de simulation.

Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.

Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.

Les données de Netflow créent une image du volume et du flux de trafic sur un réseau. Elles peuvent indiquer quel serveur a communiqué avec un autre, information qui n'est normalement accessible qu'au propriétaire du serveur ou au fournisseur d'accès à Internet (FAI) qui achemine le trafic. Team Cymru, la société qui vend finalement ces données au FBI, les obtient grâce à des accords avec les FAI en leur offrant en échange des renseignements sur les menaces. Ces accords sont probablement conclus sans le consentement éclairé des utilisateurs des FAI.

Team Cymru commercialise explicitement la capacité de son produit à suivre le trafic à travers les réseaux privés virtuels et à montrer de quel serveur le trafic provient. Plusieurs sources ont précédemment indiqué que les données de flux net peuvent être utilisées pour identifier les infrastructures utilisées par les pirates informatiques.

Les produits de Team Cymru peuvent également inclure des données telles que les URL visitées, les cookies et les données PCAP, mais le document du FBI ne précise pas l'accès à l'un ou l'autre de ces types de données. Parallèlement à la couverture par les médias des ventes de netflow, des agences américaines, un dénonciateur a approché l'officier du sénateur Ron Wyden et lui a rapporté l'utilisation présumée sans mandat de ces données par le NCIS, une agence civile d'application de la loi qui fait partie de la Marine.

Le dénonciateur se serait adressé au bureau de Wyden après avoir déposé une plainte dans le cadre de la procédure officielle de signalement auprès du ministère de la Défense. Le NCIS a précédemment déclaré qu'il utilisait les données de Netflow « à diverses fins de contre-espionnage ».

« L'automne dernier, j'ai demandé à l'inspecteur général du ministère de la Justice d'enquêter sur l'achat de métadonnées par le FBI, après qu'un dénonciateur se soit manifesté », a déclaré Wyden à la semaine dernière. En réponse au document du FBI récemment découvert, Wyden a déclaré qu'il « fournit des preuves supplémentaires que le FBI a acheté des métadonnées Internet, qui peuvent révéler les sites Web que les Américains visitent, ainsi que des informations sensibles telles que le médecin qu'une personne consulte, sa religion ou les sites de rencontres qu'elle utilise ».

« Le FBI doit au peuple américain une explication sur les données qu'il a achetées sur les historiques de navigation des Américains sur Internet et une plus grande transparence sur ses activités. Il n'est pas acceptable que le gouvernement contourne les tribunaux en utilisant une carte de crédit pour acheter des informations privées. C'est pourquoi j'ai proposé la loi "Le quatrième amendement n'est pas à vendre" afin d'interdire l'achat de ce type de données privées », ajoute la déclaration.

Le document du FBI concerne un achat de 76 450 dollars de données de flux net en 2017. Le FBI a également acheté des produits à Argonne Ridge Group, la filiale que Team Cymru utilise pour les contrats avec les agences publiques, en 2009, 2011 et 2013. Après que les médias aient rapporté l'achat par l'armée américaine et d'autres données de Team Cymru, le projet Tor, l'organisation derrière le réseau d'anonymat Tor, a déclaré qu'il s'éloignait de l'infrastructure que Team Cymru avait donnée. Le projet Tor a déclaré qu'il s'attendait à ce que cette migration soit achevée au printemps.

Le rôle du conseil d'administration du projet Tor et les conflits d'intérêts

Tout d'abord, un mot sur les conseils d'administration des organisations à but non lucratif. Bien que chaque association à but non lucratif soit unique à sa manière, le but d'un conseil d'administration d'une organisation comme le Projet Tor, avec un personnel et une communauté substantiels, n'est pas de définir la politique quotidienne ou de prendre des décisions d'ingénierie pour l'organisation.

Le rôle principal du conseil est un rôle fiduciaire : s'assurer que Tor respecte ses obligations en vertu de ses statuts et de sa charte, et le pouvoir d'embaucher et de licencier le directeur exécutif. Bien que les membres du personnel puissent consulter les membres du conseil ayant une expertise pertinente sur les décisions stratégiques, et que les membres du conseil soient sélectionnés en partie pour leur expérience dans l'espace, le conseil est séparé de la maintenance et de la prise de décision sur le code de Tor, et un siège au conseil ne s'accompagne d'aucun privilège spécial sur le réseau Tor.

Les membres du conseil peuvent être consultés sur les décisions techniques, mais ils ne les prennent pas. Le personnel et les volontaires du projet Tor s'en chargent. Le projet Tor a également un contrat social que tout le monde à Tor, y compris les membres du conseil d'administration, doit respecter. « Lorsque nous invitons une personne à rejoindre le conseil d'administration, nous considérons l'individu dans son ensemble, son expérience, son expertise, son caractère et ses autres qualités. Nous ne les considérons pas comme des représentants d'une autre organisation. Mais comme les membres du conseil d'administration ont des obligations fiduciaires, ils sont tenus d'accepter une politique en matière de conflits d'intérêts », déclare Tor.

Cette politique définit un conflit comme « ...le signataire a un intérêt économique dans, ou agit en tant que responsable ou directeur de, toute entité extérieure dont les intérêts financiers pourraient raisonnablement être affectés par la relation du signataire avec le Projet Tor. Le signataire doit également divulguer toute affiliation personnelle, professionnelle ou bénévole qui pourrait donner lieu à un conflit d'intérêt réel ou apparent. »

Traitement des conflits d'intérêts

Comme la plupart des procédures de règlement des conflits prévues par la législation américaine, les conflits au sein des organisations à but non lucratif reposent sur l'évaluation par les individus de leurs propres intérêts et de la mesure dans laquelle ils peuvent diverger. Il incombe souvent aux membres du conseil d'administration, qui connaissent l'étendue de leurs obligations, de poser des questions sur les conflits au reste du conseil d'administration ou de se récuser des décisions.

Cela signifie également que les conflits, et les conflits perçus comme tels, évoluent avec le temps. Dans le cas du travail de Rob Thomas avec Team Cymru, le personnel et les bénévoles du projet Tor ont fait part de leurs préoccupations à la fin de l'année 2021, ce qui a donné lieu à des conversations internes. Je crois qu'il est important d'écouter la communauté, et j'ai donc travaillé pour faciliter les discussions et faire émerger des questions que nous pourrions essayer d'aborder.

Au cours de ces conversations, il est devenu clair que bien que Team Cymru puisse offrir des services qui vont à l'encontre de la mission de Tor, il n'y a aucune indication que le rôle de Rob Thomas dans la fourniture de ces services crée un risque direct pour les utilisateurs de Tor, ce qui était notre principale préoccupation. Ce point a également été discuté par le conseil d'administration en mars et le conseil est arrivé à la même conclusion.

Mais bien sûr, ne pas mettre activement en danger nos utilisateurs n'est pas une mince affaire. Il est raisonnable de s'interroger sur la déconnexion inhérente entre le modèle économique de Team Cymru et la mission de Tor qui consiste en un accès privé et anonyme à l'internet pour tous. Les raisons pour lesquelles Rob Thomas a choisi de démissionner du conseil d'administration sont les siennes, mais il est devenu plus clair au cours des mois qui ont suivi notre conversation initiale que le travail de Team Cymru est en contradiction avec la mission du projet Tor.

Le FBI aurait acheté d'autres types de données au secteur commercial. Au début du mois, le directeur du FBI, Christopher Wray, a confirmé lors d'une audition que le FBI avait déjà acheté les données de localisation des smartphones des Américains. Cet achat s'inscrivait dans le cadre d'un projet pilote de sécurité nationale qui n'était plus actif depuis un certain temps, a précisé Wray. « Nous n'achetons pas actuellement d'informations provenant de bases de données commerciales », a déclaré Wray.

La proposition de valeur du FBI en matière de cybernétique

Bien que les cybermenaces soient mondiales, les victimes dans les communautés ont besoin et méritent une réponse rapide et locale. C'est là que le FBI intervient. Avec le soutien du peuple américain, le FBI a énormément investi dans son personnel décentralisé. Le FBI a plus de 800 agents formés à la cybernétique, répartis dans 56 bureaux locaux et plus de 350 antennes, chaque bureau ayant des compétences et des responsabilités importantes en matière de réponse aux menaces, de contre-espionnage, de renseignement intérieur et d'intrusion informatique.

« Nous pouvons envoyer un agent du FBI formé à la cybernétique à presque n'importe quelle porte de ce pays en une heure, et nous pouvons faire de même dans plus de 70 pays en un jour grâce à notre réseau d'attachés juridiques et de cyber-attachés juridiques adjoints. Aucune autre organisation au monde ne dispose d'une telle portée, d'outils et de ressources uniques, ni ne sait ce dont les victimes ont besoin », déclare la cellule de communication du FBI.

Lorsque nous intervenons, nous apportons tout cela avec nous. Le PDG de Kaseya, Fred Voccola, a récemment déclaré : « Lorsque nous avons été touchés, notre cahier des charges prévoyait (heureusement) d'appeler le FBI dès que quelque chose semblait suspect. Et c'est ce que nous avons fait. À ce jour, c'est la meilleure décision que j'ai prise en tant que PDG et que nous avons prise en tant qu'entreprise. »

En plus de ces ressources dispersées dans tout le pays, le FBI dispose au siège d'équipes spécialisées dans l'aide aux victimes de cyberintrusions. Son équipe d'action cybernétique (CAT) est une équipe d'enquête technique d'intervention rapide qui se déploie au niveau national et international pour fournir une assistance technique dans le cadre des intrusions et des incidents cybernétiques les plus complexes.

L’équipe "Recovery Asset Team" (RAT) agit rapidement pour aider les victimes à récupérer des fonds qui auraient autrement été perdus à cause de la fraude. Au cours de l'exercice 2021, l'équipe a utilisé la chaîne de contrôle des fraudes financières (Financial Fraud Kill Chain, FFKC) à 1 726 reprises et a réussi à geler plus de 328 millions de dollars, soit un taux de réussite de 74 %, qui ont pu être restitués aux particuliers et aux entreprises victimes de la cyberfraude.

Les capacités cybernétiques du FBI sont uniques, mais ses rôles et responsabilités sont conçus pour compléter ceux de ses partenaires fédéraux. Que ses agences soient spécialisées dans l'attaque, la défense ou une combinaison des deux, ils contribuent tous à améliorer la résilience et la cybersécurité, et tous leurs efforts doivent fonctionner de manière transparente pour protéger le réseau.

Source : Motherboard

Et vous ?

Quel est votre avis sur le sujet ?

Selon vous, est-ce normal qu'une institution comme le FBI se livre à des pratiques d'achat des données Netflow ?

Achat légal ou abus de la part du FBI ?

Voir aussi :

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

Le FBI arrête un homme qui aurait projeté de "détruire 70 % d'Internet", dans un attentat à la bombe contre un centre de données d'AWS

Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données, dont les identifiants et les numéros de téléphone

Le directeur du FBI veut avoir un accès aux données chiffrées, pour pouvoir lutter efficacement contre les criminels

Les États-Unis piratent les pirates : le FBI démantèle le gang du ransomware Hive et met fin aux activités du gang de rançongiciels et aide 300 victimes

[Bill Fassinou]

Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an
pour espionner les communications privées des Américains sous des prétextes fallacieux

Un rapport déclassifié aux États-Unis décrit comment le FBI a outrepassé ses pouvoirs au cours de ces dernières années pour obtenir illégalement des informations sur les Américains. Le document, hautement expurgé, détaille néanmoins des centaines de milliers de cas de violations de l'article 702 de la loi américaine sur la surveillance du renseignement étranger (FISA), l'instrument législatif qui autorise l'espionnage sans mandat. Il révèle que le FBI a abusé de la loi sur l'espionnage 280 000 fois en un an. L'agence fédérale a ainsi espionné les courriels, les textes et autres communications privées des Américains ou de toute personne se trouvant aux États-Unis.

Le FBI est confronté à une vague de rapports accablants depuis la fin de l'année dernière. Ces rapports mettent en lumière les outils plus controversés et les dérives du service américain de renseignement intérieur. L'un de ces outils controversés, la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA), a été abusivement utilisé par le FBI pour espionner et récolter une quantité phénoménale d'informations sur les Américains, alors qu'il n'en avait pas le droit. Selon un rapport déclassifié, ces données comprennent les courriels, les textes et autres communications privés des Américains.

La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques, les textes et les courriels échangés avec des ressortissants américains et sont stockées dans d'immenses bases de données. Dès lors, les agences de renseignement américaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas déroulées comme prévu par le cadre légal.

Le document, qui a été publié vendredi par la Cour américaine de surveillance du renseignement étranger (Foreign Intelligence Surveillance Court - FISC), révèle que le FBI a abusé de cette loi plus de 278 000 fois entre 2020 et début 2021. Parmi les recherches les plus préoccupantes sur les Américains, le FBI a effectué plus de 23 000 recherches sur des personnes ayant participé à l'assaut du Capitole, 19 000 sur des donateurs de campagnes politiques et 133 sur des manifestants après l'assassinat de George Floyd par la police. Le sénateur américain Ron Wyden a qualifié ces révélations de choquantes et demande au Congrès de prendre des mesures strictes.

Dans le cas des manifestations "Black Lives Matter", la FISC a estimé que les requêtes du FBI "n'étaient pas raisonnablement susceptibles d'aboutir à des informations de renseignement étranger ou à des preuves d'un crime". Là encore, il s'agit d'un excès de pouvoir en matière de surveillance étrangère. La FISC indique que d'autres "violations significatives" ont été commises lors de recherches liées à l'attaque du Capitole des États-Unis le 6 janvier 2021, à des enquêtes sur des affaires de drogue et de gangs et à des enquêtes sur le terrorisme national. Le tribunal a rejeté toutes les tentatives du FBI de légitimer les recherches abusives qu'elle a effectuées.

Des agents du FBI ont déclaré qu'ils ne se souvenaient pas des raisons pour lesquelles ils avaient effectué certaines de ces recherches inappropriées. D'autres ont affirmé que les recherches sur les manifestants de Black Lives Matters étaient correctes simplement parce qu'ils avaient été arrêtés. Le personnel a également déclaré que les recherches sur les personnes qui ont pris d'assaut le Capitole étaient appropriées parce que ces personnes étaient généralement considérées comme une menace pour la sécurité nationale. Bien qu'il soit expurgé, le contenu du rapport a troublé le public et a suscité une vague de protestations contre le renouvellement de la section 702.

Le document décrit le modèle du FBI consistant à effectuer des requêtes larges et sans soupçon. Jake Laperruque, directeur adjoint du projet "Sécurité et surveillance" du Centre américain pour la démocratie et la technologie, a déclaré que "ces dernières révélations devraient alerter le Congrès". Ce pouvoir de police doit expirer à la fin de l'année si le Congrès ne le renouvelle pas. À l'approche de cette échéance, les documents judiciaires non classifiés ou déclassifiés récemment ajoutent de l'eau au moulin des opposants à la section 702 de la FISA. Les opposants affirment que le gouvernement abuse régulièrement de ces perquisitions sans mandat.

Laperruque a exhorté les législateurs à ne pas renouveler la section 702 de la FISA sans procéder à une révision complète. « Nous savons désormais que le FBI, qui a déjà fait l'objet d'un examen minutieux pour une litanie de violations de la section 702 de la FISA, s'est engagé dans des recherches inappropriées de communications ciblées sur des activités et des acteurs politiques américains », a déclaré Laperruque dans un communiqué. Le FBI affirme avoir pris des mesures pour prévenir les abus liés à la section 702, dont une meilleure formation aux requêtes et des exigences plus strictes en matière d'approbation pour certaines recherches "sensibles".

Alors que le FBI continue d'évaluer les problèmes de conformité, Rudolph Contreras, le président de la FISC qui a rédigé l'ordonnance, a déclaré qu'une mise en œuvre parfaite n'est pas réaliste et que d'autres réformes pourraient s'avérer nécessaires. « Les problèmes de conformité liés aux recherches du FBI des informations relevant de la section 702 se sont avérés persistants et généralisés. S'ils ne sont pas atténués par les mesures récentes, d'autres réponses pourraient s'avérer nécessaires, dont la limitation substantielle du nombre de membres du personnel du FBI ayant accès aux informations non minimisées de la section 702 », a écrit Contreras.

Les opposants à la section 702 affirment que l'espionnage des citoyens américains ne cessera pas tant que le Congrès n'aura pas promulgué un rapport sur la FISA. « Il existe des informations importantes et secrètes sur la façon dont le gouvernement a interprété la section 702 que le Congrès et le peuple américain doivent voir avant que la loi ne soit renouvelée », a déclaré le sénateur Wyden. Mais en février dernier, Matthew Olsen, procureur général adjoint des États-Unis, a déclaré lors d'une conférence de presse : « ce qui me tient éveillé la nuit, c'est l'idée que le Congrès ne réautorise pas rapidement la section 702 à la fin de l'année ».

Olsen, qui a participé à l'élaboration de la section 702, l'a décrite comme étant la loi qui permet au gouvernement américain d'obtenir des renseignements d'une valeur unique. « Si la section 702 expire ou est affaiblie, les États-Unis perdront des informations cruciales dont ils ont besoin pour protéger le pays », a-t-il déclaré. Le FBI a déjà mis en œuvre des réformes pour empêcher les requêtes abusives sur les Américains. Par exemple, l'agence fédérale a modifié les paramètres par défaut de ses systèmes afin d'obliger les employés à consulter uniquement les informations ciblées par l'article 702, ce qui permet d'éviter les recherches inadéquates.

De plus, le FBI exige désormais des justifications écrites spécifiques avant d'accéder aux informations de la section 702 à partir d'une requête concernant un ressortissant américain. Auparavant, le personnel choisissait des justifications générales dans un menu déroulant ; désormais, les justifications doivent être spécifiques à chaque cas. Dans l'ensemble, Olsen semble considérer comme satisfaisantes les solutions déjà mises en œuvre, telles que l'amélioration de la formation et les audits continus des problèmes de conformité, alors que des personnes comme Laperruque ont déclaré qu'ils souhaitaient des réformes réglementaires significatives.

Olsen semble d'accord sur le fait qu'une plus grande transparence est nécessaire. Il a déclaré en février que le maintien de la section 702 exigeait que les agences de renseignement maintiennent la confiance du public américain, en partie "en étant aussi transparent que possible sur la façon dont la loi est utilisée et lorsqu'elles commettent des erreurs". Mais selon les critiques, il est peu probable que les agences de renseignement fassent preuve de transparence sur leurs méthodes.

Source : rapport de la FISC

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Des documents internes révèlent à quel point le FBI était proche de déployer le logiciel espion Pegasus, l'agence affirme qu'elle voulait l'utiliser "à des fins de recherche et de développement"

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis, la famille, en violation avec le quatrième amendement

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée