Discussion :

[Stéphane le calme]

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis,
en violation avec le quatrième amendement

Le Federal Bureau of Investigation (FBI) a effectué des dizaines de milliers de recherches non autorisées sur des citoyens américains entre 2017 et 2018, a statué un tribunal. L'agence a violé à la fois la loi autorisant le programme de surveillance dont l'agence s'est servie et le quatrième amendement de la constitution américaine. La décision a été rendue en octobre 2018 par la Cour de surveillance des renseignements étrangers (FISC), une juridiction gouvernementale chargée de contrôler et d'autoriser les fouilles de personnes étrangères à l'intérieur et à l'extérieur des États-Unis. Elle a été rendue publique le 8 octobre 2019.

Le programme lui-même, appelé Section 702 et s'inscrivant dans le cadre de l'expansion large et agressive des programmes d'espionnage américains dans les années qui ont suivi le 11 septembre, a permis aux agents du FBI de rechercher une base de données de renseignements électroniques, y compris des numéros de téléphone, des courriels et d'autres données d'identification. Il est destiné principalement à la National Security Agency (NSA).

L’article 702 comporte une limitation essentielle : il ne peut être utilisé que pour rechercher des preuves d’un crime ou dans le cadre d’une enquête sur une cible étrangère. L'idée sous-jacente est d'habiliter la NSA à surveiller les suspects de terrorisme et les cybermenaces.

Pourtant, selon le Wall Street Journal, le FBI a surveillé des Américains à l'aide de la base de données. Les agents ont également utilisé la base de données pour rechercher des informations sur eux-mêmes, sur leurs collègues, des amis, la famille, etc. La cour a estimé qu'il s'agissait d'une violation flagrante du quatrième amendement, qui protège contre les fouilles, les perquisitions et les saisies abusives, car aucune des perquisitions de citoyens américains ne comportait de mandats.

Le FISC est chargé d’évaluer l’utilisation secrète de ces outils d’espionnage dans le cadre de la loi intitulée Foreign Intelligence Surveillance Act de 1978, qui a poussé ces délibérations gouvernementales à huis clos sous prétexte de protéger la sécurité nationale. C’est pourquoi cette décision a pris une année complète avant de voir le jour. Elle est désormais publique parce que le gouvernement a perdu un appel devant une cour d’appel secrète et séparée, selon le WSJ. Le FBI doit maintenant créer de nouvelles procédures de surveillance et une équipe de vérification de la conformité pour se protéger contre les abus de surveillance.

Le document nous apprend ceci :

« En mars 2018, le gouvernement avait présenté les Certifications 2018 du procureur général et du directeur du renseignement national. Ces Certifications 2018, qui contenaient les procédures de ciblage, de minimisation et d'interrogation requises, visaient à renouveler les Certifications 2016 expirées. En avril 2018, le FISC a rendu une ordonnance constatant que les Certifications 2018 et les procédures associées "présentaient [probablement] une ou plusieurs interprétations nouvelles ou significatives du droit, dont la prise en compte bénéficierait de la participation d'amicus". Le FISC a jugé qu'il y avait "un motif valable” de prolonger le délai d'examen des Certifications 2018 afin de permettre une participation significative des amicus curiae en la matière.

« Après avoir reçu des briefings et tenu des audiences impliquant le gouvernement et des amici curiae nommés par la Cour, le FISC a rendu un avis et une ordonnance le 18 octobre 2018, approuvant la plupart des aspects des Certifications 2018 et leur ciblage, minimisation et procédures d'interrogation.

« Le FISC a constaté que "les procédures de minimisation et d'interrogation à mettre en œuvre par le FBI sont compatibles avec les exigences des articles 702 (e) et 702 (f) (1) (A) - (B) respectivement et du quatrième amendement, sauf dans la mesure où ils [étaient] incompatibles" avec ces autorités sous deux aspects. Premièrement, le FISC a constaté que le FBI conservait tous les termes de requêtes sans différencier celles qui concernaient des ressortissants américains ne satisfaisait pas aux exigences de la Section 702 (f) (1) (B) de la FISA, une disposition adoptée dans le cadre des modifications de la FISA Loi de 2017 obligeant le gouvernement à adopter des procédures d'interrogation qui incluent, entre autres, "une procédure technique permettant de conserver un enregistrement du terme d'interrogation de chaque personne américaine utilisé pour une interrogation". Le FISC a conclu que la section 702 (f) (1) ) (B) exige que les enregistrements de requête du FBI indiquent les termes qui concernent des ressortissants américains.

« Le FISC a également conclu que les procédures d’interrogation et de minimisation du FBI, telles que mises en œuvre, étaient incompatibles avec l’article 702 et le quatrième amendement, à la lumière de certains incidents de conformité identifiés impliquant des requêtes pour l'obtention d’informations au titre de l’article 702. Ces incidents concernaient des cas dans lesquels des membres du personnel avaient mal appliqué ou mal compris la norme de requête, de sorte que les requêtes n'étaient pas raisonnablement susceptibles de renvoyer des informations de renseignement étranger ou des preuves d'un crime. Certaines de ces instances impliquaient des requêtes concernant un grand nombre de personnes. Tout en déclarant que le gouvernement avait pris des "mesures constructives" pour résoudre les problèmes identifiés, le FISC a estimé que ces mesures ne répondaient pas pleinement aux préoccupations légales et du quatrième amendement soulevées par les incidents de conformité. Le FISC a toutefois suggéré de remédier à ces préoccupations prévues par la loi et le quatrième amendement si le gouvernement adoptait une proposition faite par Amici visant à documenter par écrit le fondement de la conviction du FBI selon laquelle une requête particulière des données de la Section 702 utilisant une requête sur une personne américaine est raisonnablement susceptible de renvoyer des informations de renseignement étranger ou une preuve de crime avant que le personnel du FBI n'examine le contenu des informations de Section 702 renvoyées par de telles requêtes. Les procédures d'interrogation de 2018 soumises par les autres agences, qui ont été approuvées par le FISC, comme indiqué ci-dessus, incluent cette même exigence de documentation.

« En outre, le FISC a examiné la portée de certaines nouvelles restrictions concernant les communications "about" qui ont été adoptées dans la loi de réautorisation des modifications de la FISA de 2017. La collection « abouts » consiste à acquérir des communications qui contiennent une référence à, mais ne sont pas ou ne proviennent pas, une cible visée par l'article 702. Comme la NSA l'a expliqué en avril 2017, la NSA a cessé d'acquérir toute communication Internet en amont qui concerne uniquement "une" cible de renseignement étranger et a plutôt limité sa collection en vertu de la Section 702 aux seules communications directement vers ou depuis une cible de renseignements étrangers. Les procédures de ciblage 2018 de la NSA contenaient la même limitation. Bien que le gouvernement n'ait pas cherché à reprendre la collection "abouts", le FISC, avec l'aide d'amici, a examiné si les restrictions "abouts" s'appliquaient à d'autres types d'acquisitions en vertu de l'article 702 en cours. Bien que la FISC ait statué que les restrictions relatives à la règle "abouts" s’appliquaient aux acquisitions effectuées en vertu de la Section 702, elle a conclu que les acquisitions actuelles en vertu de la Section 702 n’impliquaient pas les restrictions "abouts" ».

Sources : WSJ, document de la Cour

Et vous ?

Cela est-il surprenant ?
Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voir aussi :

Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs, et donne des recommandations
Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel
Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone
Le FBI a saisi Deep Dot Web, un important annuaire du Dark Web, et a arrêté ses administrateurs
Les gains totaux de la cybercriminalité ont grimpé en flèche à 2,7 milliards de dollars, avec au total 351 936 plaintes reçues en 2018, selon le FBI

[matthius]

Il y a un autre amendement demandant une banque nationale publique.

[Ryu2000]

Cela est-il surprenant ?

Non, quand un outil donne un pouvoir immense il y aura toujours des personnes qui vont craquer et sortir du cadre.
Pour certains c'est trop tentant de rechercher des informations sur leurs connaissances.

Déjà en 2013 :
NSA : des employés ont espionné leurs conjoints

Déjà au centre d'une polémique déclenchée par les révélations d'Edward Snowden, la NSA est de nouveau dans l’œil du cyclone. Des employés de l'agence américaine chargée des interceptions de communications ont profité des outils de surveillance de leur employeur pour espionner les communications de leurs conjoints. Des écoutes qui ont déjà été baptisées "LoveInt violations" (pour "Love Intelligence" ou "renseignement amoureux") outre-Atlantique.

Le FBI, la NSA, etc, ont des outils qui permettent de lire tous les messages privés, d'écouter toutes les conversations, de lire toutes les pièces jointes.
Certains détournent ces outils pour violer la vie privée d'autres personnes.

[Nancy Rey]

L'outil de surveillance le plus controversé du FBI est menacé,
l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

De nombreux législateurs américains, portés à de nouveaux sommets de pouvoir par les récentes élections, s'efforcent de réduire considérablement les méthodes d'enquête du FBI. Ces derniers mettent en cause la capacité du gouvernement américain à espionner ses propres citoyens. En effet, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance. Le Congrès américain doit voter d'ici la fin de l'année pour prolonger ou pas cette autorisation, jugée invasive, dans le cadre de la section 702 de la loi sur la surveillance du renseignement étranger.

La section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act : FISA) permet au gouvernement américain d'intercepter les communications électroniques de cibles étrangères qui ne sont pas protégées par le quatrième amendement. Ce pouvoir doit expirer à la fin de l'année. Mais les erreurs commises dans l'utilisation secondaire de ces données par le FBI, à savoir les enquêtes sur les crimes commis sur le sol américain, risquent d'enflammer un débat déjà très vif sur la question de savoir si l'on peut faire confiance aux agents des forces de l'ordre avec un outil aussi invasif.

Des personnalités politiques de premier plan, dont les sénateurs américains. Ron Wyden et Rand Paul, ont présenté par le passé des projets de loi visant à limiter l'accès du FBI aux données non limitées de la section 702. Un projet de loi initialement présenté par les législateurs en 2017, connu sous le nom de USA RIGHTS Act, visait à freiner « l’autorité étendue » du FBI, qu'ils décrivaient comme étant « obscurcie par le secret ».

De nombreuses erreurs révélées par un audit

Un audit de routine réalisé par la division de la sécurité nationale du ministère de la Justice (DOJ) et le bureau du directeur du renseignement national (director of national intelligence : ODNI) a mis au jour de nouveaux exemples de non-respect par le FBI des règles limitant l'accès aux renseignements ostensiblement recueillis pour protéger la sécurité nationale des États-Unis. Ces « erreurs », ont-ils dit, se sont produites à un « grand nombre » d'occasions.

Le rapport portant sur cet audit a révélé qu'au cours du premier semestre de 2020, le personnel du FBI a effectué des recherches illégales dans les données brutes de la FISA à de nombreuses occasions. Dans un incident, les agents auraient cherché des preuves d'une influence étrangère liée à un législateur américain. Dans un autre, une recherche inappropriée concernait un parti politique local. Dans les deux cas, ces « erreurs » ont été attribuées à une « mauvaise compréhension » de la loi, indique le rapport.

Dans un autre cas, le FBI a effectué des recherches en utilisant les « noms d'un parti politique local », même si un lien avec des renseignements étrangers n'était « pas raisonnablement probable ». Le ministère de la Justice a expliqué ces erreurs en disant que le personnel du FBI avait « mal compris » les procédures de recherche, ajoutant qu'on leur avait « ensuite rappelé comment appliquer correctement les règles de recherche ». Ce sont ces erreurs qui serviront finalement de munitions dans la lutte à venir pour diminuer le pouvoir du FBI.

Les données brutes de la section 702, dont une grande partie provient en aval de sociétés Internet comme Google, sont considérées comme non minimisées lorsqu'elles contiennent des informations non censurées sur des Américains. Les agences d'espionnage telles que la CIA et la NSA ont besoin d'une autorisation de haut niveau pour les démasquer. Mais dans ce que les avocats spécialisés dans la protection de la vie privée et les libertés civiles ont appelé une recherche par la porte dérobée, le FBI effectue régulièrement des recherches dans les données non minimisées au cours des enquêtes, et systématiquement avant de les lancer. Pour répondre à ces préoccupations, le Congrès américain a amendé la loi FISA afin d'exiger une ordonnance du tribunal dans les affaires purement criminelles. Des années plus tard, cependant, il a été rapporté que le FBI n'avait jamais demandé l'autorisation du tribunal.

La directrice principale du programme de sécurité nationale du Brennan Center for Justice à la faculté de droit de l'université de New York, Elizabeth Goitein, estime que, bien que troublant, cet abus était entièrement prévisible. « Lorsque le gouvernement est autorisé à accéder aux communications privées des Américains sans mandat, cela ouvre la porte à une surveillance fondée sur la race, la religion, la politique ou d'autres facteurs inadmissibles », explique-t-elle.

Les enquêteurs du DOJ ont mis au jour un autre incident, qui, selon le rapport, a enfreint les directives du procureur général des États-Unis : un analyste du FBI a utilisé les renseignements de la section 702 d'une manière qui « n'avait pas d'objectif autorisé approprié ». Les enquêteurs ont déclaré que les « requêtes inappropriées » ont été déclenchées par un rapport sur un « individu d'origine du Moyen-Orient », qui, selon un témoin, a « foncé » dans un parking avant de klaxonner. « Un deuxième individu d'origine du Moyen-Orient » a ensuite commencé à charger des cartons dans un deuxième véhicule, a déclaré le témoin, qui a noté que certains des cartons étaient étiquetés Drano, la marque d'un produit de nettoyage des canalisations.

Le rapport ne se prononce pas sur la question de savoir si le signalement est le résultat d'un profilage racial, et il est bien connu que les produits chimiques que l'on trouve couramment dans les produits de nettoyage des canalisations, entre autres produits ménagers, peuvent être utilisés dans la fabrication de bombes artisanales. Le rapport indique seulement que l'affaire a été close avant l'audit, et que le FBI a la prérogative de détruire toute donnée non minimisée qu'il a obtenue illégalement.

D'autres incidents troublants, précédemment divulgués par une décision de justice expurgée, sont également mentionnés, notamment les recherches effectuées par le FBI sur les données de la section 702 au cours « d'enquêtes sur les antécédents » de réparateurs qui avaient obtenu l'accès à un bureau local du FBI ; des personnes qui avaient demandé à rejoindre la « Citizens Academy » du bureau ( un programme destiné aux « chefs d'entreprise, religieux, civiques et communautaires ») et « des personnes qui sont entrées dans le bureau local pour donner un tuyau ou signaler qu'elles étaient victimes d'un crime ».

La surveillance FISA a fait l'objet de critiques accrues

Après les révélations selon lesquelles, en octobre 2016, un tribunal secret avait autorisé la mise sur écoute d'un ancien collaborateur de campagne du candidat à la présidence de l'époque, Donald Trump, pendant l'enquête du FBI sur l'ingérence de la Russie dans les élections, la surveillance FISA a fait l'objet de critiques accrues de la part des républicains. Bien qu'un rapport de l'inspecteur général ait par la suite conclu à une cause suffisante pour l'enquête, la demande de mise sur écoute a été approuvée de manière désordonnée face à de nombreuses erreurs du FBI.

La section 702 (qui n'est pas utilisée pour autoriser la mise sur écoute proprement dite) a été adoptée pour la première fois dans le cadre de la loi d'amendement de la FISA en 2008, et a été plus récemment réautorisée jusqu'au 31 décembre 2023. Le Congrès doit voter d'ici la fin de l'année pour prolonger davantage cette autorisation. Cette échéance provoquera un débat sur la surveillance gouvernementale qui se poursuivra probablement tout au long de l'année, l'administration Biden faisant pression pour une réautorisation rapide et des républicains tels que Jim Jordan, l'un des principaux critiques du FBI, s'y opposant.

Les erreurs commises par le FBI ne sont pas de nature à conforter la communauté du renseignement américain dans son argumentation selon laquelle les avantages de la section 702 l'emportent de loin sur les risques pour les libertés civiles des Américains, et que son expiration compromettrait largement les enquêtes sur les terroristes, les espions étrangers et les cyberattaques contre les infrastructures américaines. « Rien n'est épargné, essentiellement, par cette autorité ; elle est fondamentale pour notre travail », a déclaré Avril Haines, directrice de la sécurité nationale des États-Unis, au début de cette année.

« La communauté du renseignement, et le FBI en particulier, a inutilement pillé les informations les plus privées et les plus sensibles des citoyens américains, traitant le quatrième amendement avec mépris. Le Congrès doit ajouter des garde-fous impénétrables à la section 702, exigeant des mandats pour cause probable pour obtenir les informations privées des Américains », déclare Bob Goodlatte, ancien président républicain du Comité judiciaire de la Chambre des représentants, aujourd'hui conseiller principal du Project for Privacy and Surveillance Accountability"

Les erreurs récemment divulguées ne sont pas les premières dans l'histoire du FBI, selon les recherches de Demand Progress. À partir de 2017 et jusqu'en 2019 au moins, le bureau est connu pour avoir mené des milliers de recherches légalement inadmissibles, selon des dossiers judiciaires déclassifiés. La Foreign Intelligence Surveillance Court a noté dans un mémorandum de 2018, par exemple, que les procédures de minimisation du FBI, "telles qu'elles ont été mises en œuvre", n'étaient conformes ni aux exigences de la FISA ni au quatrième amendement lui-même.

Il ne s'est pas non plus conformé à la réglementation, adoptée en 2018, qui exigeait une ordonnance du tribunal avant d'utiliser les données de la section 702 pour faire avancer les enquêtes criminelles nationales. Un examen de surveillance mené avant novembre 2020 a révélé, par exemple, que le FBI avait effectué 40 requêtes sans autorisation appropriée liées à un éventail d'activités, allant du crime organisé et de la fraude aux soins de santé à la corruption publique et aux pots-de-vin.

Un audit antérieur du DOJ (rendu public en août 2021) a révélé que, dans un cas, un analyste du renseignement avait effectué des « requêtes par lots » d'informations acquises dans le cadre de la FISA à la demande du FBI, en utilisant les informations personnelles de « plusieurs responsables actuels et anciens du gouvernement des États-Unis, de journalistes et de commentateurs politiques ». Bien que les analystes aient tenté de supprimer les informations américaines, dans certains cas, ils ont « échoué par inadvertance » à le faire.

Sources : rapport audit, rapport de surveillance, Office of the Inspector General

Et vous ?

Quel est votre avis sur le sujet ?
Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voir aussi :

Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs, et donne des recommandations

Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel

Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone

[marsupial]

Ce genre d'infractions représente-t-il une forme de piqûre de rappel pour les possibilités d'abus face à un grand pouvoir ?

Voilà ce qui nous attend en Europe au cas où une loi passe sur l'espionnage en masse des citoyens pour une raison X ou Y.

Quel est votre avis sur le sujet ?

Rien n'a changé depuis Snowden à part un abus de plus : la consultation des données du peuple pour des motifs qui n'ont plus rien à voir avec la cause de la loi, le terrorisme.

le FBI effectue régulièrement des recherches dans les données non minimisées au cours des enquêtes, et systématiquement avant de les lancer. Pour répondre à ces préoccupations, le Congrès américain a amendé la loi FISA afin d'exiger une ordonnance du tribunal dans les affaires purement criminelles. Des années plus tard, cependant, il a été rapporté que le FBI n'avait jamais demandé l'autorisation du tribunal.

Le FBI se trouve dans l'illégalité la plus totale. Je me demande si en France, avec la LPM et la loi Renseignement, de mêmes abus ne sont pas en cours.

[defZero]

Euh, n'y a-t-il pas déjà des lois prévue sur le DPI, l'inspection des correspondances électronique et autres dans notre beau pays des droits de l'homme et du con citoyen ?

[Bill Fassinou]

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains
une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

Il semblerait que le FBI considère l'obtention d'un mandat avant d'accéder aux données des Américains comme une procédure "fastidieuse et contraignante" et préfère tout simplement les acheter. Le FBI aurait admis pour la première fois mercredi qu'il achetait les données de localisation des Américains au lieu d'obtenir un mandat. Un rapport souligne que la pratique consistant à acheter des données de localisation est de plus en plus courante depuis que la Cour suprême des États-Unis a limité la capacité du gouvernement à suivre les téléphones des Américains sans mandat. Les pratiques de surveillance du FBI sont actuellement passées au crible par la justice américaine.

Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé mercredi à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.

Pour rappel, un mandat est une ordonnance signée par un juge fermement convaincu qu'un délit a été commis. Le directeur du FBI n'a pas non plus expliqué pourquoi le FBI a décidé de mettre fin à cette pratique. Le rapport souligne que le FBI n'avait jamais reconnu avoir acheté des données de localisation, bien que cette pratique se soit généralisée depuis que la Cour suprême des États-Unis a restreint la capacité du gouvernement à suivre les téléphones des citoyens sans mandat, il y a près de cinq ans. Cette restriction est intervenue dans l'arrêt historique pris en 2018 par la Cour suprême des États-Unis dans l'affaire Carpenter v. United States.

La Cour suprême des États-Unis a statué que lorsque des organisations gouvernementales accèdent aux données de localisation sans mandat, elles violaient le principe des perquisitions injustifiées. Mais cette décision aurait été interprétée de manière restrictive. Les groupes de défense de la vie privée affirment que l'arrêt a laissé une lacune évidente qui permet au gouvernement d'acheter tout ce qu'il n'est pas en mesure d'obtenir légalement. L'agence de renseignement militaire et le service des douanes et de la protection des frontières des États-Unis (CBP) figureraient parmi les organisations fédérales connues pour avoir exploité cette faiblesse.

« Par exemple, le ministère de la Sécurité intérieure aurait acheté les données de géolocalisation de millions d'Américains à des sociétés de marketing privées. Dans ce cas, les données provenaient d'une série de sources faussement inoffensives, telles que des jeux mobiles et des applications météorologiques. Outre le gouvernement fédéral, les autorités locales et étatiques sont connues pour acquérir des logiciels qui se nourrissent des données de pistage des téléphones portables », peut-on lire dans le rapport. Les réponses du directeur du FBI aux questions des sénateurs montrent qu'il a fait preuve de très peu de clarté lors de l'audition de mercredi.

Lorsqu'on lui a demandé si le FBI allait recommencer à acheter des données de localisation lors de l'audition au Sénat, Wray a répondu : « nous n'avons pas l'intention de changer cela à l'heure actuelle ». Sean Vitka, avocat à Demand Progress, une organisation à but non lucratif qui se consacre à la sécurité nationale et à la réforme de la protection de la vie privée, estime que le FBI doit être plus transparent au sujet de ces achats et qualifie l'aveu de Wray d'"horrible" dans ses implications. « Le public doit savoir qui a donné le feu vert à cet achat, les raisons, ainsi que les autres agences qui ont fait ou essaient de faire la même chose », a déclaré l'avocat.

Il a ajouté que le Congrès devrait également prendre des mesures pour interdire complètement cette pratique. Cependant, au regard des récents développements sur la question, Vitka pourrait espérer cette interdiction pendant encore longtemps. De nombreux responsables américains craignent que de telles mesures entravent leurs capacités de surveillance. Les législateurs américains ont longtemps échoué dans leurs tentatives d'adopter une loi complète sur la protection de la vie privée, et la plupart des projets de loi présentés ont délibérément évité l'acquisition par le gouvernement lui-même des données personnelles des résidents américains.

Par exemple, l'American Data Privacy and Protection Act (ADPPA) présenté l'année dernière contient des exemptions pour tous les organismes chargés de l'application de la loi et pour toute entreprise "collectant, traitant ou transférant" des données en leur nom. Plusieurs projets de loi rédigés par Wyden et d'autres législateurs ont tenté de s'attaquer de front à ce problème. Le Geolocation Privacy and Surveillance Act, qui établit des règles claires pour les organismes chargés de l'application de la loi et les entités privées qui ont accès aux données de géolocalisation, a été réintroduit au Congrès à plusieurs reprises depuis 2011, mais n'a jamais été voté.

Selon le rapport, le mois dernier, Demand Progress s'est joint à une coalition de groupes de défense de la vie privée pour exhorter le directeur du bureau américain de protection financière à utiliser le Fair Credit Report Act (FCRA) - la première grande loi nationale sur la protection de la vie privée - contre les courtiers en données qui commercialisent les informations des Américains sans leur consentement. Les avocats qui ont signé la campagne ont déclaré aux législateurs que les violations de la vie privée inhérentes à l'industrie des courtiers en données ont un impact disproportionné sur les personnes les plus vulnérables de la société.

Selon les avocats, cela interfère avec la capacité des gens à obtenir un emploi, un logement et des prestations gouvernementales. En outre, que de nombreux législateurs américains, portés à de nouveaux sommets de pouvoir par les récentes élections, s'efforcent de réduire considérablement les méthodes d'enquête du FBI. Ces derniers mettent en cause la capacité du gouvernement américain à espionner ses propres citoyens. En effet, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance. Le Congrès américain doit voter d'ici la fin de l'année pour prolonger ou non cette autorisation.

Toutefois, cette pratique est jugée invasive, dans le cadre de la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA). Un rapport d'audit a révélé qu'au cours du premier semestre de 2020, le personnel du FBI a effectué des recherches illégales dans les données brutes de la FISA à de nombreuses occasions. Dans un cas, les agents auraient cherché des preuves d'une influence étrangère liée à un législateur américain. Dans un autre, une recherche inappropriée concernait un parti politique local. Dans les deux cas, ces erreurs ont été attribuées à une mauvaise compréhension de la loi.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pratique du FBI qui consiste à acheter les données de géolocalisation des Américains ?

Voir aussi

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

« La CIA dispose d'un programme secret de collecte des données des Américains », d'après des sénateurs démocrates qui indiquent en sus que la collecte se fait sans mandat

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis, la famille, en violation avec le quatrième amendement

[walfrat]

Ah bah quand tu as plusieurs possibilités légales, tu choisis la moins cher et la plus efficace.

[Fagus]

C'est quand même un pays étrange, où tout le monde a l'air de trouver normal

1. d'avoir un système de surveillance global numérique nominatif dans les faits
2. de vendre ces données au plus offrant de manière obscure

et qui ensuite s'active à contrôler plus les agences étatiques que les firmes privées

[walfrat]

C'est quand même un pays étrange, où tout le monde a l'air de trouver normal

1. d'avoir un système de surveillance global numérique nominatif dans les faits
2. de vendre ces données au plus offrant de manière obscure

et qui ensuite s'active à contrôler plus les agences étatiques que les firmes privées

Vendre ses données au plus offrants ? Seulement s'il veut les privatiser et qu'il paye plus que tous les autres réunis, sinon autant revendre à tout le monde

Bah que ce soit dans les films/Dessins animés ou dans les news, les gouvernements sont toujours les méchants ultimes donc bon.

[Bruno]

Le FBI aurait déjà acheté l'accès aux données Netflow, qu'une société appelée Team Cymru obtient des FAI,
Team Cymru les vend ensuite au gouvernement

Récemment, les médias ont rapporté que le département de cybersécurité du FBI avait acheté de grandes quantités de données internet. Ces données ont été achetées à une petite entreprise inconnue basée en Floride. Team Cymru, qui se présente comme le leader mondial du renseignement sur les cybermenaces, vend un accès au trafic en masse et informe ses clients qu'elle peut fournir une passerelle vers une « super majorité des activités sur l'internet ». Plusieurs agences fédérales leur ont déjà acheté des services dans le passé.

Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère. Les données en question, telles que rapportées, sont appelées données Netflow. Apparemment, ces données peuvent être utilisées pour suivre les activités des cybercriminels. Des entreprises telles que Cymru accèdent à ces données en les achetant à des fournisseurs de services. Elles les revendent ensuite aux organismes chargés de l'application de la loi.

Actuellement, le travail du FBI pour identifier et perturber les cybermenaces émanant de la Russie contre l'Ukraine, leurs alliés et leurs propres réseaux américains sont un excellent exemple de la façon dont le FBI utilise ses pouvoirs, ses capacités et ses partenariats uniques dans le cadre de la lutte mondiale contre les cyberactivités malveillantes. Lorsqu'il s'agit de perturber et de contrer la cyberactivité russe en particulier, son travail s'appuie sur les décennies d'expertise du FBI en matière de lutte contre les renseignements étrangers et les cybermenaces aux États-Unis.

Un nouveau rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une "procédure autorisée par un tribunal" pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.

La stratégie cybernétique du FBI

En septembre 2020, le directeur Wray a annoncé la stratégie cybernétique actuelle du FBI, qui vise à imposer des risques et des conséquences aux cyberadversaires grâce à des pouvoirs uniques, des dispositions de classe mondiale et des partenariats durables, en s'appuyant sur un siècle d'innovation.

Grâce à cette stratégie, l’équipe cyber du FBI s’efforce d'augmenter les coûts pour les acteurs malveillants et leurs complices qui mènent des cyberintrusions, volent la propriété financière et intellectuelle et retiennent les infrastructures critiques en otage pour obtenir une rançon. Au cours des 18 derniers mois, cette stratégie et ses principes ont permis de réaliser des progrès significatifs dans l'avancement de son programme cybernétique et de faire en sorte qu'il soit plus difficile et plus douloureux pour les pirates informatiques d'atteindre leurs objectifs. C'est la même stratégie qui est utilisée aujourd'hui pour contrer les cybermenaces en provenance de Russie.

L'un des exemples les plus notables de réussite récente est le travail effectué pour perturber le ransomware Sodinokibi/REvil, que les cyberacteurs ont utilisé pour compromettre l'entreprise mondiale de transformation de la viande JBS et l'entreprise de logiciels Kaseya en 2021. L'année dernière, au cours de plusieurs mois, le FBI a enchaîné les actions stratégiques avec des partenaires étrangers sur trois continents et avec les départements d'État, de la Justice et du Trésor afin de fournir des clefs de décryptage aux victimes, de saisir des recettes en monnaie virtuelle d'un montant supérieur à 7 millions de dollars et d'arrêter trois membres affiliés du groupe.

L'un de ces affiliés, Yaroslav Vasinskyi, a été extradé vers les États-Unis et a comparu pour la première fois devant le tribunal du district nord du Texas au début du mois. Il faut des relations de confiance profondes pour coordonner ces actions et garantir un impact maximal sur les cybercriminels qui sont visés.

L'année dernière, des acteurs étatiques chinois ont exploité une vulnérabilité dans le logiciel Microsoft Exchange Server pour compromettre des milliers d'ordinateurs américains et installer des coquilles web, c'est-à-dire une porte dérobée leur permettant d'entrer et de sortir de ces réseaux à leur guise.

La Chine a tenté d'ouvrir ces portes dérobées, et les équipes du FBI les ont refermées. Le FBI a mis en œuvre une opération innovante, autorisée par un tribunal, pour copier et supprimer ces portes dérobées de centaines d'ordinateurs vulnérables à travers le pays. Ce qui est peut-être le plus important pour le secteur privé, c'est qu’elle a fait cela qu'après avoir rendu publiques les informations sur les compromissions et travaillé avec Microsoft pour contacter directement les propriétaires des serveurs afin de leur donner le temps de résoudre le problème par eux-mêmes. Et, conformément au respect de la vie privée et des libertés civiles, elle a supprimé les serveurs de manière ciblée, sans exposer le contenu des ordinateurs des victimes au FBI.

En septembre, il a été rapporté qu'un certain nombre d'agences de l'armée américaine avaient dépensé des millions pour se procurer un puissant outil de surveillance d'Internet auprès de la société Augury, basée en Floride. Il semble que le FBI ne soit pas la première agence fédérale à en faire l'acquisition. Augury permet aux utilisateurs d'accéder à un grand nombre d'enregistrements du trafic Internet, y compris aux données de messagerie et à l'historique de navigation, entre autres informations.

Il est surprenant de constater que Cymaru entretient également des relations avec Tor, le navigateur Internet le plus connu en matière de protection de la vie privée. Il s'agit d'une relation peu commune par rapport à leurs autres clients. Les utilisateurs de Tor se sont par ailleurs interrogés sur cette relation inhabituelle et sur les liens entre les deux entreprises. Un utilisateur a posté une capture d'écran montrant une recherche DNS du projet Tor avec Team Cymru. Un autre utilisateur a soupçonné que Rabbi Rob Thomas, le PDG de Cymru, était aussi membre du conseil d'administration du projet Tor.

La révélation, en octobre 2022, du contrat passé par l'armée américaine avec Cymru a mis fin à la relation entre Tor et Cymru. Tor a annoncé qu'il mettrait un terme à son partenariat avec le courtier en données. Selon Tor, Cymru était un fournisseur de matériel et d'autres ressources. Les faits de leur partenariat restent flous, notamment en ce qui concerne les activités des deux entreprises. Fernandes a ensuite indiqué que Tor ne jugeait plus nécessaire de continuer à accepter les dons d'infrastructure de la part de Team Cymru.

Enfin, parlons un peu d'infrastructure. Notre communauté a, à juste titre, soulevé des inquiétudes concernant l'utilisation par le projet Tor de l'infrastructure de l'équipe Cymru. Team Cymru a donné du matériel et des quantités importantes de bande passante à Tor au fil des ans. Il s'agissait principalement de miroirs web et de projets internes tels que des machines de construction et de simulation.

Comme tout le matériel utilisé par le projet Tor, nous ne pouvons pas garantir une sécurité parfaite lorsqu'il y a un accès physique, nous opérons donc à partir d'une position de méfiance et nous nous appuyons sur la reproductibilité cryptographiquement vérifiable de notre code pour assurer la sécurité de nos utilisateurs.

Comme nous le ferions avec des machines hébergées n'importe où, les machines hébergées à Cymru ont été installées proprement en utilisant un cryptage complet du disque. Cela signifie que l'installation chez Team Cymru n'est pas différente de celle de n'importe quel autre fournisseur que nous utiliserions. Le niveau de risque pour nos utilisateurs était donc le même que lorsque nous utilisions d'autres fournisseurs.

Les données de Netflow créent une image du volume et du flux de trafic sur un réseau. Elles peuvent indiquer quel serveur a communiqué avec un autre, information qui n'est normalement accessible qu'au propriétaire du serveur ou au fournisseur d'accès à Internet (FAI) qui achemine le trafic. Team Cymru, la société qui vend finalement ces données au FBI, les obtient grâce à des accords avec les FAI en leur offrant en échange des renseignements sur les menaces. Ces accords sont probablement conclus sans le consentement éclairé des utilisateurs des FAI.

Team Cymru commercialise explicitement la capacité de son produit à suivre le trafic à travers les réseaux privés virtuels et à montrer de quel serveur le trafic provient. Plusieurs sources ont précédemment indiqué que les données de flux net peuvent être utilisées pour identifier les infrastructures utilisées par les pirates informatiques.

Les produits de Team Cymru peuvent également inclure des données telles que les URL visitées, les cookies et les données PCAP, mais le document du FBI ne précise pas l'accès à l'un ou l'autre de ces types de données. Parallèlement à la couverture par les médias des ventes de netflow, des agences américaines, un dénonciateur a approché l'officier du sénateur Ron Wyden et lui a rapporté l'utilisation présumée sans mandat de ces données par le NCIS, une agence civile d'application de la loi qui fait partie de la Marine.

Le dénonciateur se serait adressé au bureau de Wyden après avoir déposé une plainte dans le cadre de la procédure officielle de signalement auprès du ministère de la Défense. Le NCIS a précédemment déclaré qu'il utilisait les données de Netflow « à diverses fins de contre-espionnage ».

« L'automne dernier, j'ai demandé à l'inspecteur général du ministère de la Justice d'enquêter sur l'achat de métadonnées par le FBI, après qu'un dénonciateur se soit manifesté », a déclaré Wyden à la semaine dernière. En réponse au document du FBI récemment découvert, Wyden a déclaré qu'il « fournit des preuves supplémentaires que le FBI a acheté des métadonnées Internet, qui peuvent révéler les sites Web que les Américains visitent, ainsi que des informations sensibles telles que le médecin qu'une personne consulte, sa religion ou les sites de rencontres qu'elle utilise ».

« Le FBI doit au peuple américain une explication sur les données qu'il a achetées sur les historiques de navigation des Américains sur Internet et une plus grande transparence sur ses activités. Il n'est pas acceptable que le gouvernement contourne les tribunaux en utilisant une carte de crédit pour acheter des informations privées. C'est pourquoi j'ai proposé la loi "Le quatrième amendement n'est pas à vendre" afin d'interdire l'achat de ce type de données privées », ajoute la déclaration.

Le document du FBI concerne un achat de 76 450 dollars de données de flux net en 2017. Le FBI a également acheté des produits à Argonne Ridge Group, la filiale que Team Cymru utilise pour les contrats avec les agences publiques, en 2009, 2011 et 2013. Après que les médias aient rapporté l'achat par l'armée américaine et d'autres données de Team Cymru, le projet Tor, l'organisation derrière le réseau d'anonymat Tor, a déclaré qu'il s'éloignait de l'infrastructure que Team Cymru avait donnée. Le projet Tor a déclaré qu'il s'attendait à ce que cette migration soit achevée au printemps.

Le rôle du conseil d'administration du projet Tor et les conflits d'intérêts

Tout d'abord, un mot sur les conseils d'administration des organisations à but non lucratif. Bien que chaque association à but non lucratif soit unique à sa manière, le but d'un conseil d'administration d'une organisation comme le Projet Tor, avec un personnel et une communauté substantiels, n'est pas de définir la politique quotidienne ou de prendre des décisions d'ingénierie pour l'organisation.

Le rôle principal du conseil est un rôle fiduciaire : s'assurer que Tor respecte ses obligations en vertu de ses statuts et de sa charte, et le pouvoir d'embaucher et de licencier le directeur exécutif. Bien que les membres du personnel puissent consulter les membres du conseil ayant une expertise pertinente sur les décisions stratégiques, et que les membres du conseil soient sélectionnés en partie pour leur expérience dans l'espace, le conseil est séparé de la maintenance et de la prise de décision sur le code de Tor, et un siège au conseil ne s'accompagne d'aucun privilège spécial sur le réseau Tor.

Les membres du conseil peuvent être consultés sur les décisions techniques, mais ils ne les prennent pas. Le personnel et les volontaires du projet Tor s'en chargent. Le projet Tor a également un contrat social que tout le monde à Tor, y compris les membres du conseil d'administration, doit respecter. « Lorsque nous invitons une personne à rejoindre le conseil d'administration, nous considérons l'individu dans son ensemble, son expérience, son expertise, son caractère et ses autres qualités. Nous ne les considérons pas comme des représentants d'une autre organisation. Mais comme les membres du conseil d'administration ont des obligations fiduciaires, ils sont tenus d'accepter une politique en matière de conflits d'intérêts », déclare Tor.

Cette politique définit un conflit comme « ...le signataire a un intérêt économique dans, ou agit en tant que responsable ou directeur de, toute entité extérieure dont les intérêts financiers pourraient raisonnablement être affectés par la relation du signataire avec le Projet Tor. Le signataire doit également divulguer toute affiliation personnelle, professionnelle ou bénévole qui pourrait donner lieu à un conflit d'intérêt réel ou apparent. »

Traitement des conflits d'intérêts

Comme la plupart des procédures de règlement des conflits prévues par la législation américaine, les conflits au sein des organisations à but non lucratif reposent sur l'évaluation par les individus de leurs propres intérêts et de la mesure dans laquelle ils peuvent diverger. Il incombe souvent aux membres du conseil d'administration, qui connaissent l'étendue de leurs obligations, de poser des questions sur les conflits au reste du conseil d'administration ou de se récuser des décisions.

Cela signifie également que les conflits, et les conflits perçus comme tels, évoluent avec le temps. Dans le cas du travail de Rob Thomas avec Team Cymru, le personnel et les bénévoles du projet Tor ont fait part de leurs préoccupations à la fin de l'année 2021, ce qui a donné lieu à des conversations internes. Je crois qu'il est important d'écouter la communauté, et j'ai donc travaillé pour faciliter les discussions et faire émerger des questions que nous pourrions essayer d'aborder.

Au cours de ces conversations, il est devenu clair que bien que Team Cymru puisse offrir des services qui vont à l'encontre de la mission de Tor, il n'y a aucune indication que le rôle de Rob Thomas dans la fourniture de ces services crée un risque direct pour les utilisateurs de Tor, ce qui était notre principale préoccupation. Ce point a également été discuté par le conseil d'administration en mars et le conseil est arrivé à la même conclusion.

Mais bien sûr, ne pas mettre activement en danger nos utilisateurs n'est pas une mince affaire. Il est raisonnable de s'interroger sur la déconnexion inhérente entre le modèle économique de Team Cymru et la mission de Tor qui consiste en un accès privé et anonyme à l'internet pour tous. Les raisons pour lesquelles Rob Thomas a choisi de démissionner du conseil d'administration sont les siennes, mais il est devenu plus clair au cours des mois qui ont suivi notre conversation initiale que le travail de Team Cymru est en contradiction avec la mission du projet Tor.

Le FBI aurait acheté d'autres types de données au secteur commercial. Au début du mois, le directeur du FBI, Christopher Wray, a confirmé lors d'une audition que le FBI avait déjà acheté les données de localisation des smartphones des Américains. Cet achat s'inscrivait dans le cadre d'un projet pilote de sécurité nationale qui n'était plus actif depuis un certain temps, a précisé Wray. « Nous n'achetons pas actuellement d'informations provenant de bases de données commerciales », a déclaré Wray.

La proposition de valeur du FBI en matière de cybernétique

Bien que les cybermenaces soient mondiales, les victimes dans les communautés ont besoin et méritent une réponse rapide et locale. C'est là que le FBI intervient. Avec le soutien du peuple américain, le FBI a énormément investi dans son personnel décentralisé. Le FBI a plus de 800 agents formés à la cybernétique, répartis dans 56 bureaux locaux et plus de 350 antennes, chaque bureau ayant des compétences et des responsabilités importantes en matière de réponse aux menaces, de contre-espionnage, de renseignement intérieur et d'intrusion informatique.

« Nous pouvons envoyer un agent du FBI formé à la cybernétique à presque n'importe quelle porte de ce pays en une heure, et nous pouvons faire de même dans plus de 70 pays en un jour grâce à notre réseau d'attachés juridiques et de cyber-attachés juridiques adjoints. Aucune autre organisation au monde ne dispose d'une telle portée, d'outils et de ressources uniques, ni ne sait ce dont les victimes ont besoin », déclare la cellule de communication du FBI.

Lorsque nous intervenons, nous apportons tout cela avec nous. Le PDG de Kaseya, Fred Voccola, a récemment déclaré : « Lorsque nous avons été touchés, notre cahier des charges prévoyait (heureusement) d'appeler le FBI dès que quelque chose semblait suspect. Et c'est ce que nous avons fait. À ce jour, c'est la meilleure décision que j'ai prise en tant que PDG et que nous avons prise en tant qu'entreprise. »

En plus de ces ressources dispersées dans tout le pays, le FBI dispose au siège d'équipes spécialisées dans l'aide aux victimes de cyberintrusions. Son équipe d'action cybernétique (CAT) est une équipe d'enquête technique d'intervention rapide qui se déploie au niveau national et international pour fournir une assistance technique dans le cadre des intrusions et des incidents cybernétiques les plus complexes.

L’équipe "Recovery Asset Team" (RAT) agit rapidement pour aider les victimes à récupérer des fonds qui auraient autrement été perdus à cause de la fraude. Au cours de l'exercice 2021, l'équipe a utilisé la chaîne de contrôle des fraudes financières (Financial Fraud Kill Chain, FFKC) à 1 726 reprises et a réussi à geler plus de 328 millions de dollars, soit un taux de réussite de 74 %, qui ont pu être restitués aux particuliers et aux entreprises victimes de la cyberfraude.

Les capacités cybernétiques du FBI sont uniques, mais ses rôles et responsabilités sont conçus pour compléter ceux de ses partenaires fédéraux. Que ses agences soient spécialisées dans l'attaque, la défense ou une combinaison des deux, ils contribuent tous à améliorer la résilience et la cybersécurité, et tous leurs efforts doivent fonctionner de manière transparente pour protéger le réseau.

Source : Motherboard

Et vous ?

Quel est votre avis sur le sujet ?

Selon vous, est-ce normal qu'une institution comme le FBI se livre à des pratiques d'achat des données Netflow ?

Achat légal ou abus de la part du FBI ?

Voir aussi :

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

Le FBI arrête un homme qui aurait projeté de "détruire 70 % d'Internet", dans un attentat à la bombe contre un centre de données d'AWS

Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données, dont les identifiants et les numéros de téléphone

Le directeur du FBI veut avoir un accès aux données chiffrées, pour pouvoir lutter efficacement contre les criminels

Les États-Unis piratent les pirates : le FBI démantèle le gang du ransomware Hive et met fin aux activités du gang de rançongiciels et aide 300 victimes

[Bill Fassinou]

Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an
pour espionner les communications privées des Américains sous des prétextes fallacieux

Un rapport déclassifié aux États-Unis décrit comment le FBI a outrepassé ses pouvoirs au cours de ces dernières années pour obtenir illégalement des informations sur les Américains. Le document, hautement expurgé, détaille néanmoins des centaines de milliers de cas de violations de l'article 702 de la loi américaine sur la surveillance du renseignement étranger (FISA), l'instrument législatif qui autorise l'espionnage sans mandat. Il révèle que le FBI a abusé de la loi sur l'espionnage 280 000 fois en un an. L'agence fédérale a ainsi espionné les courriels, les textes et autres communications privées des Américains ou de toute personne se trouvant aux États-Unis.

Le FBI est confronté à une vague de rapports accablants depuis la fin de l'année dernière. Ces rapports mettent en lumière les outils plus controversés et les dérives du service américain de renseignement intérieur. L'un de ces outils controversés, la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA), a été abusivement utilisé par le FBI pour espionner et récolter une quantité phénoménale d'informations sur les Américains, alors qu'il n'en avait pas le droit. Selon un rapport déclassifié, ces données comprennent les courriels, les textes et autres communications privés des Américains.

La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques, les textes et les courriels échangés avec des ressortissants américains et sont stockées dans d'immenses bases de données. Dès lors, les agences de renseignement américaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas déroulées comme prévu par le cadre légal.

Le document, qui a été publié vendredi par la Cour américaine de surveillance du renseignement étranger (Foreign Intelligence Surveillance Court - FISC), révèle que le FBI a abusé de cette loi plus de 278 000 fois entre 2020 et début 2021. Parmi les recherches les plus préoccupantes sur les Américains, le FBI a effectué plus de 23 000 recherches sur des personnes ayant participé à l'assaut du Capitole, 19 000 sur des donateurs de campagnes politiques et 133 sur des manifestants après l'assassinat de George Floyd par la police. Le sénateur américain Ron Wyden a qualifié ces révélations de choquantes et demande au Congrès de prendre des mesures strictes.

Dans le cas des manifestations "Black Lives Matter", la FISC a estimé que les requêtes du FBI "n'étaient pas raisonnablement susceptibles d'aboutir à des informations de renseignement étranger ou à des preuves d'un crime". Là encore, il s'agit d'un excès de pouvoir en matière de surveillance étrangère. La FISC indique que d'autres "violations significatives" ont été commises lors de recherches liées à l'attaque du Capitole des États-Unis le 6 janvier 2021, à des enquêtes sur des affaires de drogue et de gangs et à des enquêtes sur le terrorisme national. Le tribunal a rejeté toutes les tentatives du FBI de légitimer les recherches abusives qu'elle a effectuées.

Des agents du FBI ont déclaré qu'ils ne se souvenaient pas des raisons pour lesquelles ils avaient effectué certaines de ces recherches inappropriées. D'autres ont affirmé que les recherches sur les manifestants de Black Lives Matters étaient correctes simplement parce qu'ils avaient été arrêtés. Le personnel a également déclaré que les recherches sur les personnes qui ont pris d'assaut le Capitole étaient appropriées parce que ces personnes étaient généralement considérées comme une menace pour la sécurité nationale. Bien qu'il soit expurgé, le contenu du rapport a troublé le public et a suscité une vague de protestations contre le renouvellement de la section 702.

Le document décrit le modèle du FBI consistant à effectuer des requêtes larges et sans soupçon. Jake Laperruque, directeur adjoint du projet "Sécurité et surveillance" du Centre américain pour la démocratie et la technologie, a déclaré que "ces dernières révélations devraient alerter le Congrès". Ce pouvoir de police doit expirer à la fin de l'année si le Congrès ne le renouvelle pas. À l'approche de cette échéance, les documents judiciaires non classifiés ou déclassifiés récemment ajoutent de l'eau au moulin des opposants à la section 702 de la FISA. Les opposants affirment que le gouvernement abuse régulièrement de ces perquisitions sans mandat.

Laperruque a exhorté les législateurs à ne pas renouveler la section 702 de la FISA sans procéder à une révision complète. « Nous savons désormais que le FBI, qui a déjà fait l'objet d'un examen minutieux pour une litanie de violations de la section 702 de la FISA, s'est engagé dans des recherches inappropriées de communications ciblées sur des activités et des acteurs politiques américains », a déclaré Laperruque dans un communiqué. Le FBI affirme avoir pris des mesures pour prévenir les abus liés à la section 702, dont une meilleure formation aux requêtes et des exigences plus strictes en matière d'approbation pour certaines recherches "sensibles".

Alors que le FBI continue d'évaluer les problèmes de conformité, Rudolph Contreras, le président de la FISC qui a rédigé l'ordonnance, a déclaré qu'une mise en œuvre parfaite n'est pas réaliste et que d'autres réformes pourraient s'avérer nécessaires. « Les problèmes de conformité liés aux recherches du FBI des informations relevant de la section 702 se sont avérés persistants et généralisés. S'ils ne sont pas atténués par les mesures récentes, d'autres réponses pourraient s'avérer nécessaires, dont la limitation substantielle du nombre de membres du personnel du FBI ayant accès aux informations non minimisées de la section 702 », a écrit Contreras.

Les opposants à la section 702 affirment que l'espionnage des citoyens américains ne cessera pas tant que le Congrès n'aura pas promulgué un rapport sur la FISA. « Il existe des informations importantes et secrètes sur la façon dont le gouvernement a interprété la section 702 que le Congrès et le peuple américain doivent voir avant que la loi ne soit renouvelée », a déclaré le sénateur Wyden. Mais en février dernier, Matthew Olsen, procureur général adjoint des États-Unis, a déclaré lors d'une conférence de presse : « ce qui me tient éveillé la nuit, c'est l'idée que le Congrès ne réautorise pas rapidement la section 702 à la fin de l'année ».

Olsen, qui a participé à l'élaboration de la section 702, l'a décrite comme étant la loi qui permet au gouvernement américain d'obtenir des renseignements d'une valeur unique. « Si la section 702 expire ou est affaiblie, les États-Unis perdront des informations cruciales dont ils ont besoin pour protéger le pays », a-t-il déclaré. Le FBI a déjà mis en œuvre des réformes pour empêcher les requêtes abusives sur les Américains. Par exemple, l'agence fédérale a modifié les paramètres par défaut de ses systèmes afin d'obliger les employés à consulter uniquement les informations ciblées par l'article 702, ce qui permet d'éviter les recherches inadéquates.

De plus, le FBI exige désormais des justifications écrites spécifiques avant d'accéder aux informations de la section 702 à partir d'une requête concernant un ressortissant américain. Auparavant, le personnel choisissait des justifications générales dans un menu déroulant ; désormais, les justifications doivent être spécifiques à chaque cas. Dans l'ensemble, Olsen semble considérer comme satisfaisantes les solutions déjà mises en œuvre, telles que l'amélioration de la formation et les audits continus des problèmes de conformité, alors que des personnes comme Laperruque ont déclaré qu'ils souhaitaient des réformes réglementaires significatives.

Olsen semble d'accord sur le fait qu'une plus grande transparence est nécessaire. Il a déclaré en février que le maintien de la section 702 exigeait que les agences de renseignement maintiennent la confiance du public américain, en partie "en étant aussi transparent que possible sur la façon dont la loi est utilisée et lorsqu'elles commettent des erreurs". Mais selon les critiques, il est peu probable que les agences de renseignement fassent preuve de transparence sur leurs méthodes.

Source : rapport de la FISC

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Des documents internes révèlent à quel point le FBI était proche de déployer le logiciel espion Pegasus, l'agence affirme qu'elle voulait l'utiliser "à des fins de recherche et de développement"

Des agents du FBI se sont servis d'une base de données de la NSA pour chercher des infos sur des collègues, des amis, la famille, en violation avec le quatrième amendement

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

[Stéphane le calme]

Les services de renseignement confirment qu'ils achètent les données personnelles disponibles,
parmi lesquelles les données de smartphones, de véhicules connectés ou de navigation web

Un rapport gouvernemental récemment déclassifié confirme pour la première fois que les agences de renseignement et d’espionnage américaines achètent d’énormes quantités d’informations disponibles commercialement sur les Américains, y compris des données provenant de véhicules connectés, de données de navigation sur le web et de smartphones.

Le gouvernement des États-Unis a secrètement amassé une « grande quantité d'informations sensibles et intimes » sur ses propres citoyens, a déclaré un groupe de conseillers principaux à Avril Haines, la directrice du renseignement national, il y a plus d'un an.

La taille et la portée de l'effort du gouvernement pour accumuler des données révélant les moindres détails de la vie des Américains sont décrites sobrement et longuement par le propre groupe d'experts du réalisateur dans un rapport récemment déclassifié. Haines avait d'abord chargé ses conseillers fin 2021 de démêler un réseau d'arrangements commerciaux secrets entre des courtiers en données commerciaux et des membres de la communauté du renseignement américain.

Ce que ce rapport a fini par dire constitue un scénario cauchemardesque pour les défenseurs de la vie privée.

« Ce rapport révèle ce que nous craignions le plus », déclare Sean Vitka, avocat en politique à l'organisation à but non lucratif Demand Progress. « Les agences de renseignement bafouent la loi et achètent des informations sur les Américains que le Congrès et la Cour suprême ont clairement indiqué que le gouvernement ne devrait pas avoir ».

Dans l'ombre d'années d'inaction du Congrès américain sur une réforme globale de la vie privée, un État de surveillance s'est tranquillement développé dans les fissures du système juridique. Les procureurs accordent peu de respect au but ou à l'intention derrière les limites traditionnellement imposées aux activités de surveillance nationale. Des interprétations plus lâches des lois sur le vieillissement sont largement utilisées pour les ignorer. Alors que le cadre qui protège la vie privée des Américains devient de plus en plus fragile, les opportunités abondent pour savoir si ces droits sont même appréciés par nos homologues numériques.

« Je préviens depuis des années que si l'utilisation d'une carte de crédit pour acheter les informations personnelles d'un Américain annule ses droits au titre du quatrième amendement, les freins et contrepoids traditionnels de la surveillance gouvernementale s'effondreront », a déclaré Ron Wyden, un sénateur américain de l'Oregon.

Wyden avait pressé Haines, auparavant numéro deux de la Central Intelligence Agency, de publier le rapport du panel lors d'une audience le 8 mars. Haines a répondu à l'époque qu'elle pensait qu'il devait « absolument » être lu par le public. Vendredi, le rapport a été déclassifié et publié par l'ODNI, qui a été impliqué dans une lutte juridique avec l'organisation à but non lucratif des droits numériques, l'Electronic Privacy Information Center (EPIC) sur une multitude de documents connexes.

« Ce rapport indique clairement que le gouvernement continue de penser qu'il peut se sortir des protections constitutionnelles en utilisant l'argent des contribuables », a déclaré Chris Baumohl, juriste à l'EPIC. « Le Congrès doit s'attaquer au pipeline de courtiers en données du gouvernement cette année, avant qu'il n'envisage de renouveler l'autorisation de l'article 702 de la loi sur la surveillance du renseignement étranger », a-t-il déclaré (faisant référence à la lutte politique en cours sur le soi-disant « joyau de la couronne » de la surveillance américaine).

De quoi est-il question dans le rapport ?

Selon les propres aveux du gouvernement américain, les données qu’il achète « fournissent clairement une valeur en matière de renseignement », mais aussi « soulèvent des questions importantes liées à la vie privée et aux libertés civiles ».

Le Bureau du directeur du renseignement national (ODNI pour Office of the Director of National Intelligence) a déclassifié et publié le rapport daté de janvier 2022 vendredi, suite à une demande du sénateur Ron Wyden (D-OR) de divulguer la manière dont la communauté du renseignement utilise les données disponibles commercialement. Ce type de données est généré par des appareils connectés à Internet et mis à disposition par des courtiers en données pour l’achat, tels que des applications téléphoniques et des véhicules qui collectent des données de localisation granulaires et des données de navigation sur le web qui suivent les utilisateurs lorsqu’ils naviguent sur Internet.

Le rapport déclassifié est la première divulgation publique du gouvernement américain révélant les risques associés aux données disponibles commercialement sur les Américains, données qui peuvent être facilement achetées par n’importe qui, y compris des adversaires et des nations hostiles. Les États-Unis ne disposent pas d’une loi sur la vie privée ou la protection des données régissant le partage ou la vente des informations privées des Américains.

Troisièmement, dans le cadre de cet ensemble de normes et de procédures, et/ou en complément de celui-ci, l'IC [pour Intelligence Community, littéralement la Communauté du renseignement] devrait élaborer des orientations plus précises en matière de sensibilité et de protection de la vie privée pour les CAI [pour commercially available information, littéralement il s'agit des informations disponibles commercialement]. PAI [pour publicly available information, littéralement informations accessibles au public] n'est plus un bon proxy pour les informations non sensibles. Aujourd'hui, d'une manière que beaucoup moins d'Américains semblent comprendre, et encore moins d'entre eux peuvent éviter, CAI inclut des informations sur presque tout le monde qui sont d'un type et d'un niveau de sensibilité qui, historiquement, n'auraient pu être obtenus, le cas échéant, uniquement par le biais d'une collecte ciblée (et prédiquée), et qui pourraient être utilisées pour nuire à la réputation, au bien-être émotionnel ou à la sécurité physique d'un individu. L'IC doit donc développer des approches plus raffinées du CAI.

Analyses et réactions

Dans une déclaration publiée après la publication du rapport, le sénateur Wyden a déclaré : « Ce rapport montre que les politiques existantes du gouvernement ont échoué à fournir des garanties essentielles pour la vie privée des Américains, ou un contrôle de la manière dont les agences achètent et utilisent les données personnelles ».

« Selon ce rapport, l’ODNI ne sait même pas quelles sont les agences fédérales de renseignement qui achètent les données personnelles des Américains », a ajouté Wyden.

Le rapport corrobore une série de rapports médiatiques qui ont révélé que les agences gouvernementales américaines achetaient d’énormes ensembles de données sur les Américains. Le Service des impôts internes (IRS) a accédé à une énorme base de données stockant les données de localisation de millions de téléphones américains pour tenter d’attraper les fraudeurs fiscaux, tandis que des données similaires sur la localisation des téléphones ont été utilisées par le ministère de la Sécurité intérieure (Homeland Security). Les agences gouvernementales doivent généralement obtenir un mandat approuvé par un tribunal pour obtenir directement auprès d’une entreprise téléphonique ou technologique les données privées des Américains, telles que les messages privés. Mais le rapport de l’ODNI indique que dans les cas où les informations sur les Américains - comme les données de localisation - sont ouvertement en vente au grand public, les agences de renseignement américaines peuvent les acheter (bien que cette théorie n’ait pas encore été examinée par un tribunal fédéral).

Le rapport déclassifié révèle également que les agences de renseignement américaines utilisent les données disponibles commercialement pour compléter ou corroborer les informations obtenues par d’autres moyens, tels que les sources humaines ou les signaux électromagnétiques. Il indique également que les agences de renseignement américaines peuvent utiliser les données disponibles commercialement pour identifier ou localiser des cibles spécifiques, telles que des terroristes ou des agents étrangers.

Le rapport souligne toutefois que l’utilisation des données disponibles commercialement par les agences de renseignement américaines est soumise à certaines limites et contraintes, telles que la vérification de la fiabilité et de l’exactitude des données, le respect des lois et des règlements applicables, et la protection des droits et des libertés des personnes concernées. Le rapport affirme également que l’ODNI a mis en place un cadre de gouvernance pour superviser et coordonner l’utilisation des données disponibles commercialement par la communauté du renseignement, et qu’il prévoit d’élaborer des directives et des normes supplémentaires pour renforcer la responsabilité et la transparence.

Le rapport conclut en reconnaissant que l’utilisation des données disponibles commercialement par les agences de renseignement américaines présente à la fois des opportunités et des défis, et qu’il est nécessaire de trouver un équilibre entre les besoins en matière de sécurité nationale et le respect de la vie privée et des libertés civiles. Il appelle à une collaboration accrue entre le gouvernement, le secteur privé et le public pour assurer une utilisation éthique et responsable des données disponibles commercialement.

Les informations disponibles dans le commerce peuvent également révéler « les mouvements et associations détaillés d'individus et de groupes, révélant des activités politiques, religieuses, de voyage et d'expression », indique le rapport, comme être utilisées pour « identifier chaque personne qui a assisté à une manifestation ou à un rassemblement sur la base de l'emplacement de leur smartphone ou les enregistrements de suivi des publicités.*»

« Entre de mauvaises mains, des informations sensibles obtenues grâce à [des informations disponibles dans le commerce] pourraient faciliter le chantage, le harcèlement, le harcèlement et la honte publique », indique le rapport. Le rapport a noté qu'en 2021, les données de localisation disponibles dans le commerce collectées à partir d'une application de rencontres gay ont été utilisées pour éliminer un prêtre catholique, qui a ensuite démissionné. Le rapport fait également référence à la collecte et à la vente de données de localisation à partir d'une application de prière musulmane à l'armée américaine.

Wyden a appelé le Congrès à adopter une législation pour "mettre des garde-fous autour des achats du gouvernement, pour freiner les entreprises privées qui collectent et vendent ces données, et garder les informations personnelles des Américains hors de portée de nos adversaires".

Source : rapport

Et vous ?

Que pensez-vous de l’utilisation des données disponibles commercialement par les agences de renseignement américaines ?
Êtes-vous surpris d'apprendre que les agences de renseignement s'en servent ?
Pensez-vous que les données disponibles commercialement sont suffisamment protégées par la loi ?
Quels sont les risques potentiels pour la vie privée et les libertés civiles si leurs données sont achetées par des acteurs malveillants ?
Quelles mesures prenez-vous pour protéger vos données personnelles sur Internet ?
Quel type de données personnelles seriez-vous prêt à partager ou à vendre en échange de services ou de récompenses ?

[marsupial]

En France, les FAI sont tenus de garder les données de connexion et d'itinérance pour toutes fins judiciaires. Donc c'est gratuit pour les forces de l'ordre et ne doit pas se retrouver à en faire commerce.
Aux Etats-Unis, c'est payant et disponible pour tous chez des brokers : ce que je ne savais pas. Si j'étais un agent du renseignement, je me ferai du souci pour ma sécurité.

Donc, plus que la communauté du renseignement qui est régulée par la loi, il faudrait peut-être penser à réguler l'accès de ces données sensibles et privées, autant pour la vie privée des américains que pour la sécurité des personnels top secret.

[kain_tn]

Donc, plus que la communauté du renseignement qui est régulée par la loi, il faudrait peut-être penser à réguler l'accès de ces données sensibles et privées, autant pour la vie privée des américains que pour la sécurité des personnels top secret.

Avant d'en réguler l'accès, il faut en réguler la collecte. Par exemple, de quel droit le véhicule connecté de quelqu'un d'autre vient vous filmer sous prétexte que vous passez à côté?

[HaryRoseAndMac]

Ce monde devient épouvantable !

J'ai l'impression que le film matrix, était un trollage pour nous faire comprendre que nous sommes en réalité dans une matrice.
Petit à petit on nous obliges comme des robots à devenir "l'homme parfait", de plus en plus de Loi, de plus en plus de règles, de plus en plus de contraintes, de plus en plus de contrôle, ...

Et à la fin, un humain qui est contraint de rentrer dans le circuit, qu'il le veuille ou non.
Un humain ou l'idée même de liberté est une insulte.

Quoi ? Tu as osé dire le mot liberté ?! Espèce de taré ! Donc tu est contre les loi et donc tu est pour les crimes, les pervers, ... ? Donc tu es contre les règles donc tu es pour les incivilités, ... ?

Tout est sujet à amalgame, à jugement, tout est devenu insupportablement asphyxiant !

A tel point que de nos jours, ça ne choque absolument pas les gosses de savoir que leur mail sont lu, que leur conversation sont écoutés, que leur moindre faits et gestes sont observés par des caméras.
A tel point que la moindre petite rumeur, totalement bidonnées, suffit à être amplifiée, déformée et devenir un tribunal populaire, un tribunal de la bien pensance !

L'humain parfait ça n'existe pas et ça n'existera jamais ! Ca, ça s'appel un ROBOT !
Un humain ça fait des erreurs, ça fait des conneries, parfois des trucs énormes, qu'il va regretter toute sa vie, parfois des trucs en réalité pas grave, que la société va lui persuadé d'en être l'inverse, parfois ça dit des choses, pense des choses, apprends des choses, évolues, régresse et tout ça, dans une même vie et pourtant, bien que l'humain tout les jours fassent tout un tas de bourde, ça n'en fait pas un crime, car il n'y a plus aucune place pour la nuance, aucune place pour le recul, aucune place pour permettre aux gens de faire des erreurs.

Un humain c'est obligé de manger des formes de vies pour vivre, même s'il refuse toute forme de violence, même s'il veut manger la forme de vie la plus primitive possible, il est obligé d'en supprimer une pour que la sienne continue.
Etre vegan, ça n'existe pas et ça n'est en rien moralement supérieur à un viandard !
Etre végan c'est juste être un gosse de riche qui ne comprends rien à rien.

Oui, la violence n'est pas tolérable, oui il faut si l'on peut arrêter de tuer des animaux pour notre bon plaisir, mais même une feuille de salade vie, et au nom de quoi une feuille de salade n'aurait-elle pas le droit de vivre autant qu'un mouton ?! Au nom de rien, à part au nom d'un idéalisme critinique.

Un humain qui se nourrit sans faire mal à aucune forme de vie, ça s'appel un robot : Et ça se recharge pour se nourrir !

Aujourd'hui, le moindre pet de travers, et vous êtes montrés du doigts et jugé par la vindicte !

Je dirais bien "ça va trop loin", mais en faite ... On est déjà, trop loin.
Car c'est l'humain, sa nature, il n'y a rien à faire, que ce soit au moyen âge, à l'antiquité ou en 2023, en réalité, c'est toujours pareil, la grande majorité des humains sont des abrutis profonds qui cèdes aux pulsions animales qui les habites à la moindre occasion.


Alors oui, les humains sont entrain de tendre vers un idéal, celui de devenir un robot, et ça, moi, j'appelle ça être dans une matrice !

[Stéphane le calme]

Des agences du Département de la sécurité intérieure ont illégalement utilisé les données de localisation des smartphones,
sans le consentement ni la connaissance des propriétaires

Une enquête du Département de la sécurité intérieure (DHS) a révélé que trois de ses agences, l’Immigration and Customs Enforcement (ICE), le Customs and Border Enforcement (CBP) et le Secret Service, ont acheté et utilisé des données de localisation commerciales en violation de leurs politiques de confidentialité. Ces données provenaient d’applications ordinaires installées sur les smartphones des utilisateurs, sans leur consentement ni leur connaissance. Le rapport recommande que l’ICE cesse toute utilisation de ces données jusqu’à ce qu’elle obtienne les approbations nécessaires, une demande que l’ICE a refusée.

Depuis des années, les agences gouvernementales américaines achètent l'accès aux données de localisation par l'intermédiaire de vendeurs commerciaux, une pratique qui, selon les critiques, contourne l'exigence d'un mandat du quatrième amendement. Pendant cette période, les agences ont généralement refusé d’expliquer publiquement la base juridique sur laquelle elles fondaient leur achat et leur utilisation des données. Aujourd’hui, un rapport montre que trois des principaux clients de données de localisation commerciales ont enfreint la loi en agissant ainsi et n’ont fait l’objet d’aucun contrôle de surveillance pour garantir une utilisation appropriée de la technologie. Le rapport recommande également à l'ICE de cesser toute utilisation de ces données jusqu'à ce qu'elle obtienne les approbations nécessaires, une demande que l'ICE a refusée.

Selon le rapport du DHS, les agences ont utilisé ces données pour diverses raisons, allant de la lutte contre le trafic d’êtres humains à la protection du président. Toutefois, elles n’ont pas respecté les exigences légales et réglementaires en matière de protection des données personnelles, telles que la réalisation d’une évaluation d’impact sur la vie privée, l’obtention de l’autorisation du Congrès ou la notification au public.

Le rapport a également révélé qu’un responsable du CBP a utilisé les données de localisation pour suivre ses collègues sans aucun motif d’enquête, ce qui constitue un abus de pouvoir et une violation de la confiance.

« Il est inquiétant que ces agences aient allègrement ignoré la loi fédérale qui exige une évaluation sérieuse des impacts sur la vie privée de ce type d’accès aux informations privées des personnes. Si ces agences avaient suivi le processus approprié avant d'acheter ces données sensibles, elles n'auraient pu parvenir qu'à une seule conclusion raisonnable*: l'impact sur la vie privée est extrême », a déclaré Nate Wessler, directeur adjoint du projet Speech, Privacy, and Technology à l'American Civil Liberties Union (ACLU),

Des données parfois utilisées à des fins personnelles

Le rapport est intitulé Le CBP, l'ICE et les services secrets n'ont pas adhéré aux politiques de confidentialité ou n'ont pas développé de politiques suffisantes avant d'acquérir et d'utiliser des données de télémétrie commerciales, est daté du 28 septembre 2023 et provient de Joseph V. Cuffari, inspecteur général du DHS. Le rapport était initialement marqué comme « sensible aux forces de l’ordre », mais l’inspecteur général l’a maintenant rendu public.

Les données de télémétrie commerciale, ou CTD, sont le terme interne utilisé par le DHS pour décrire les données de localisation de source commerciale. Dans une section, le rapport indique qu'un employé du CBP a utilisé ces données pour espionner ses collègues. « L'individu a dit à ses collègues qu'il avait suivi sa position à l'aide du CTD », indique le rapport. Une plainte a suivi et le rapport indique que le problème a été « résolu administrativement ».

Concernant les questions juridiques plus larges, le rapport indique que les agences n'ont pas suivi la loi sur l'administration électronique de 2002, qui exige que les agences reçoivent une évaluation des impacts sur la vie privée (PIA) avant d'acheter l'accès à des outils comme celui-ci. « Cela s'est produit parce que les composants ne disposaient pas de contrôles internes suffisants pour garantir la conformité aux politiques de confidentialité du DHS, et parce que le bureau de confidentialité du DHS n'a pas suivi ou appliqué ses propres politiques et directives de confidentialité », indique le rapport.

Au-delà de cela, le rapport indique également que les différentes parties du DHS ne disposaient pas de politiques et de procédures suffisantes pour garantir que les données de localisation étaient utilisées de manière appropriée. Les règles du CBP étaient des politiques provisoires et n’avaient pas de versions complètes, selon le rapport. Entre-temps, l’ICE et les services secrets n’avaient aucune politique spécifique pour les données. De plus, le DHS n’avait pas de politique globale pour régir l’utilisation des données de localisation par ses différentes composantes.

En d’autres termes, l’ICE, le CBP et les services secrets ont tous acheté l’accès aux données de localisation, qui sont généralement siphonnées à partir d’applications apparemment inoffensives sur les téléphones, souvent à l’insu des utilisateurs ou sans leur consentement éclairé, sans avoir mis en place suffisamment de garde-fous formels pour dicter comment ces données pourraient être utilisées. Encore une fois, cela n’est pas conforme à la loi.

« Le rapport montre clairement que les agences du DHS ont joué la carte de la rapidité et de la liberté en acquérant les données de localisation des Américains. Le Congrès doit interdire explicitement aux forces de l’ordre et aux agences de renseignement d’acheter des données auprès d’entreprises privées pour lesquelles elles auraient autrement eu besoin d’un mandat », a déclaré Josh Richman, porte-parole de l’organisation militante Electronic Frontier Foundation, dans un communiqué. Le projet de loi Fourth Amendment is Not for Sale Act, adoptée par le comité judiciaire de la Chambre en juillet, comblerait cette lacune.

Cette affaire soulève des questions sur la surveillance de masse exercée par le gouvernement américain et sur le respect des droits fondamentaux des citoyens. Les critiques affirment que l’achat et l’utilisation de données de localisation commerciales contournent l’exigence constitutionnelle d’un mandat judiciaire pour accéder aux informations privées des individus. Ils appellent à une plus grande transparence et à un contrôle plus strict de ces pratiques.

L’utilisation des données de localisation commerciales par les agences du DHS n’est pas un cas isolé

En mars, cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) a posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il a limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », a déclaré Wray. Et d'ajouter que l'agence s'appuyait désormais sur une « procédure autorisée par un tribunal » pour obtenir des données de localisation auprès des entreprises. La réponse est imprécise et l'on ignore s'il faisait référence à un mandat ou à un autre outil juridique.

Pour rappel, un mandat est une ordonnance signée par un juge fermement convaincu qu'un délit a été commis. Le directeur du FBI n'a pas non plus expliqué pourquoi le FBI a décidé de mettre fin à cette pratique. Le rapport souligne que le FBI n'avait jamais reconnu avoir acheté des données de localisation, bien que cette pratique se soit généralisée depuis que la Cour suprême des États-Unis a restreint la capacité du gouvernement à suivre les téléphones des citoyens sans mandat, il y a près de cinq ans. Cette restriction est intervenue dans l'arrêt historique pris en 2018 par la Cour suprême des États-Unis dans l'affaire Carpenter v. United States.

La Cour suprême des États-Unis a statué que lorsque des organisations gouvernementales accèdent aux données de localisation sans mandat, elles violaient le principe des perquisitions injustifiées. Mais cette décision aurait été interprétée de manière restrictive. Les groupes de défense de la vie privée affirment que l'arrêt a laissé une lacune évidente qui permet au gouvernement d'acheter tout ce qu'il n'est pas en mesure d'obtenir légalement. L'agence de renseignement militaire et le service des douanes et de la protection des frontières des États-Unis (CBP) figureraient parmi les organisations fédérales connues pour avoir exploité cette faiblesse.

« Par exemple, le ministère de la Sécurité intérieure aurait acheté les données de géolocalisation de millions d'Américains à des sociétés de marketing privées. Dans ce cas, les données provenaient d'une série de sources faussement inoffensives, telles que des jeux mobiles et des applications météorologiques. Outre le gouvernement fédéral, les autorités locales et étatiques sont connues pour acquérir des logiciels qui se nourrissent des données de pistage des téléphones portables », peut-on lire dans le rapport. Les réponses du directeur du FBI aux questions des sénateurs montrent qu'il a fait preuve de très peu de clarté lors de l'audition

Source : rapport

Et vous ?

Que pensez-vous de la loi Fourth Amendment Is Not For Sale Act, qui interdit aux agences fédérales d’acheter des données personnelles sans mandat judiciaire ou sans le consentement explicite des individus? Est-elle suffisante pour protéger la vie privée des citoyens?
Que pensez-vous du fait que des agences du DHS ont utilisé les données de localisation commerciales pour mener leurs missions? Quelles sont les conséquences potentielles de cette pratique sur les droits humains et la démocratie?
Quel est le rôle des courtiers en données, qui collectent et vendent les données de localisation des utilisateurs d’applications? Ont-ils une obligation de transparence et de respect de la vie privée des individus? Comment les réguler et les contrôler?
Quelles sont les mesures que vous prenez pour protéger votre vie privée numérique? Utilisez-vous des applications qui partagent votre localisation? Si oui, pourquoi? Si non, pourquoi pas? Quels sont les avantages et les inconvénients de partager votre localisation avec des tiers?

[chrtophe]

ça vous surprend ?

[Matthieu Vergne]

ça vous surprend ?

Non. Et c'est bien ça le problème.

[Stéphane le calme]

L'un des programmes d'espionnage américains les plus controversés vient d'être renouvelé discrètement,
malgré les abus documentés du FBI et une tentative pour y mettre un terme

Le 22 décembre, le président Joe Biden a signé un projet de loi de défense de 886 milliards de dollars qui renouvelle l’un des programmes d’espionnage les plus controversés du gouvernement américain. Dissimulée dans le texte de 3 000 pages se trouve une prolongation du pouvoir de l’administration de surveiller sans mandat les étrangers à l’étranger, et d’espionner les Américains au passage. Ce pouvoir, connu sous le nom de section 702 de la loi sur la surveillance du renseignement étranger (FISA), a fait l’objet d’un examen minutieux ces derniers mois.

Le FBI est confronté à une vague de rapports accablants depuis fin 2022. Ces rapports mettent en lumière les outils plus controversés et les dérives du service américain de renseignement intérieur. L'un de ces outils controversés, la section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act - FISA), a été abusivement utilisé par le FBI pour espionner et récolter une quantité phénoménale d'informations sur les Américains, alors qu'il n'en avait pas le droit. Selon un rapport déclassifié, ces données comprennent les courriels, les textes et autres communications privés des Américains.

La section 702 de la FISA est censée permettre au gouvernement fédéral d'espionner les communications appartenant à des personnes étrangères en dehors des États-Unis, théoriquement pour prévenir les actes criminels et terroristes. La loi indique que ces communications peuvent englober les appels téléphoniques, les textes et les courriels échangés avec des ressortissants américains et sont stockées dans d'immenses bases de données. Dès lors, les agences de renseignement américaines, telles que le FBI, la CIA et la NSA peuvent fouiller ces communications sans mandat. Cependant, les choses ne sont pas déroulées comme prévu par le cadre légal.

En mai 2023, un document publié par la Cour américaine de surveillance du renseignement étranger (Foreign Intelligence Surveillance Court - FISC) a révélé que le FBI a abusé de cette loi plus de 278 000 fois entre 2020 et début 2021. Parmi les recherches les plus préoccupantes sur les Américains, le FBI a effectué plus de 23 000 recherches sur des personnes ayant participé à l'assaut du Capitole, 19 000 sur des donateurs de campagnes politiques et 133 sur des manifestants après l'assassinat de George Floyd par la police. Le sénateur américain Ron Wyden a qualifié ces révélations de choquantes et a demandé au Congrès de prendre des mesures strictes.

Dans le cas des manifestations "Black Lives Matter", la FISC a estimé que les requêtes du FBI « n'étaient pas raisonnablement susceptibles d'aboutir à des informations de renseignement étranger ou à des preuves d'un crime ». Là encore, il s'agit d'un excès de pouvoir en matière de surveillance étrangère. La FISC indique que d'autres « violations significatives » ont été commises lors de recherches liées à l'attaque du Capitole des États-Unis le 6 janvier 2021, à des enquêtes sur des affaires de drogue et de gangs et à des enquêtes sur le terrorisme national. Le tribunal a rejeté toutes les tentatives du FBI de légitimer les recherches abusives qu'elle a effectuées.

Des agents du FBI ont déclaré qu'ils ne se souvenaient pas des raisons pour lesquelles ils avaient effectué certaines de ces recherches inappropriées. D'autres ont affirmé que les recherches sur les manifestants de Black Lives Matters étaient correctes simplement parce qu'ils avaient été arrêtés. Le personnel a également déclaré que les recherches sur les personnes qui ont pris d'assaut le Capitole étaient appropriées parce que ces personnes étaient généralement considérées comme une menace pour la sécurité nationale. Bien qu'il soit expurgé, le contenu du rapport a troublé le public et a suscité une vague de protestations contre le renouvellement de la section 702.

Un projet de loi visait à mettre fin à l'espionnage domestique par le FBI sans mandat

Devant expirer le 31 décembre, les semaines précédant cette date, les législateurs étaient encore en plein débat sur la manière de le maintenir ou non. Mais ces discussions ont été interrompues après que le Congrès et l’administration Biden ont fait passer une prolongation à court terme du programme d’espionnage par le biais du projet de loi annuel de défense, le maintenant potentiellement en vigueur jusqu’en 2025.

De nombreux défenseurs des libertés civiles critiquent cette prolongation, affirmant qu’elle contourne une rare initiative bipartite visant à protéger la vie privée des Américains. Cette mesure provisoire, selon eux, repousse un débat crucial sur l’espionnage gouvernemental à 2024, voire au-delà. En attendant, elle permet aux autorités fédérales de conserver un pouvoir dont elles ont régulièrement abusé. « C’est tragique », a déclaré Elizabeth Goitein, directrice principale du programme Liberté et sécurité nationale du Brennan Center for Justice. « Les abus et les violations des libertés civiles vont se poursuivre à un rythme totalement inacceptable », ajoute-t-elle. « Pour chaque jour, chaque semaine, chaque mois que la section 702 continue sans réforme, c’est ce qui se passe ».

En vertu de la section 702 de la FISA, les enquêteurs fédéraux n’ont pas besoin d’un mandat pour intercepter les appels téléphoniques, les textos et les courriels des étrangers hors du pays. Mais une faille leur permet également d’accéder aux messages que les Américains échangent avec des cibles à l’étranger. Ces communications sont acheminées vers une base de données que les enquêteurs peuvent ensuite consulter, là encore sans mandat.

De nombreux rapports ont documenté l’utilisation « persistante et généralisée » de cette autorité par le FBI pour espionner les Américains, effectuant des recherches non autorisées sur les manifestants du mouvement Black Lives Matter, par exemple, ou sur les émeutiers du 6 janvier, et même sur un sénateur américain. En 2021, le FBI a effectué environ 3 millions de recherches dites « par la porte dérobée » sur les résidents américains. En 2022, sous la pression des législateurs et des défenseurs des droits, ce nombre est tombé à environ 119 000.

Néanmoins, l’ampleur de cette intrusion était suffisamment troublante pour susciter une poussée de réforme de la part des républicains et des démocrates. Plus tôt en décembre, le représentant Andy Biggs (Républicain - Arizona) a présenté un projet de loi bipartite visant à renouveler une version de l'article 702 avec des changements clés, notamment l'exigence d'un mandat pour que les forces de l'ordre puissent retirer les communications des Américains. Il a traversé le comité judiciaire de la Chambre, notoirement divisé, avec le soutien des deux côtés de l’allée.

Malgré tout, l'administration de Biden décide de lui donner un second souffle

Avant de partir pour les vacances d'hiver, la Chambre devait voter entre l'avancement de la proposition du représentant Biggs ou un effort bipartisan concurrent parrainé par le représentant Mike Turner (Républicain - Ohio), qui, selon les experts, élargirait les pouvoirs de surveillance de l'article 702. Mais de nombreux législateurs n’ont pas voulu précipiter le vote. Au lieu de cela, ils ont choisi d’étendre temporairement le programme d’espionnage par le biais de la loi d’autorisation de la défense nationale de 2024, une mesure annuelle qui fixe les priorités de financement et de politique du Pentagone. Selon le président de la Chambre, Mike Johnson, qui avait initialement ajouté l’extension de la NDAA, cette décision fait gagner « le temps nécessaire pour faciliter le processus de réforme ».

La prolongation à court terme étend officiellement le programme d'espionnage de quatre mois, jusqu'en avril 2024. Mais en vertu d'une disposition peu connue de la loi FISA, un tribunal spécial qui supervise le programme a le pouvoir de le laisser fonctionner pendant une année supplémentaire, c'est à dire jusqu'à avril 2025.

C’est une victoire pour l’administration Biden, qui avait accru la pression sur le Congrès pour qu’il maintienne intacte l’autorité de surveillance. Lors d'une audience de la House Homeland Security en novembre, le directeur du FBI, Christopher Wray, a reconnu que le bureau avait abusé des pouvoirs que lui confère l'article 702 dans le passé, mais a assuré aux législateurs que l'agence opérait désormais avec plus de retenue. Wray a également averti que ce n’était pas le moment de priver le FBI de toute autorité. Depuis l’attaque du Hamas contre Israël le 7 octobre, a-t-il déclaré, une « galerie de groupes voyous » a appelé à la violence contre les États-Unis. « Le 702 est essentiel pour protéger les Américains contre les menaces terroristes étrangères », a-t-il insisté. « S'il vous plaît, ne jetez pas le bébé avec l'eau du bain ».

« Ne le laissez pas expirer », a fait écho le représentant Jim Himes (Démocrate du Connecticut) à la Chambre lors du vote sur le projet de loi sur la défense. « S'il expire, les Américains et leurs alliés mourront ».

Un avis qui ne fait pas l'unanimité

Mais de nombreux défenseurs affirment qu’en omettant d’ajouter une exigence de mandat et d’autres changements clés à l’article 702, les législateurs ont raté une occasion de protéger à la fois la sécurité des Américains et leurs droits. « C’est extrêmement décevant », déclare Sumayyah Waheed, conseillère politique principale du groupe de défense des droits civiques Muslim Advocates. Des projets de loi ont été présentés « pour apporter les réformes dont nous avons désespérément besoin dans l’article 702 ». Mais « au lieu de permettre à ce débat de se poursuivre, cela a été en quelque sorte imposé dans un projet de loi "incontournable" ».

« Le Congrès a eu de nombreuses opportunités pour y parvenir », a déclaré Andy Wong, directeur du plaidoyer de Stop AAPI Hate, une organisation qui défend les droits des Américains d'origine asiatique et des îles du Pacifique. « Ils ont en quelque sorte esquivé leurs responsabilités ici ».

Wong affirme que laisser un tel pouvoir de surveillance entre les mains du gouvernement met les communautés en danger. Il souligne l'arrestation injustifiée du professeur Xiaoxing Xi, un physicien de l'Université Temple qui a été accusé d'espionnage après que le FBI ait mal lu les courriels qu'il avait écrits à ses collègues chinois – des courriels obtenus en partie en vertu de l'article 702. Les Américains d'origine asiatique et d'autres communautés de couleur « sont souvent confrontés à une surveillance et une suspicion accrues », explique-t-il. «*Des comportements réellement inoffensifs peuvent être mal interprétés ou perçus sous un angle biaisé et susciter de nombreux soupçons injustifiés et des préjudices potentiels.*»

Sources : rapport déclassifié du FISC, proposition d'Andy Biggs pour arrêter la surveillance domestique, projet de loi sur la défense signé par Joe Biden

Et vous ?

Que pensez-vous de la prolongation de la section 702 de la FISA ? Est-ce une mesure nécessaire pour la sécurité nationale ou une atteinte à la vie privée des citoyens ?
Quelles sont les conséquences potentielles de l’utilisation de la « porte dérobée » par le FBI pour accéder aux communications des Américains sans mandat ? Cela vous inquiète-t-il ?
Quelles réformes devraient être apportées au programme d’espionnage du gouvernement américain pour le rendre plus transparent et responsable ? Appuyez-vous le projet de loi bipartisan présenté par le représentant Andy Biggs ?