Il est difficile de savoir à quelles entreprises vous pouvez faire confiance de nos jours.
Apple mérite des félicitations pour son refus de se plier aux demandes du FBI d'"accès par porte dérobée", mais de nombreux autres transmettront des informations à la NSA sans hésiter.
Voici un aperçu des organisations dont nous savons qu'elles ont acquiescé et donné à la NSA l'accès aux données des utilisateurs. Utilisez ces services à vos risques et périls.
Peut-être le pire contrevenant pour avoir transmis des données à la NSA.
En vérité, il est déjà remarquable que les gens continuent d'utiliser l'un des services de Yahoo compte tenu de ses antécédents désastreux en matière de violations de données. Les pirates ont piraté trois milliards de comptes en août 2013, 500 millions supplémentaires fin 2014 et encore 200 millions fin 2015.
Cependant, ce n'est rien comparé à la collusion de l'entreprise avec la NSA.
En 2016, il a été révélé que Yahoo avait spécifiquement créé un filtre de messagerie secret qui surveillerait les boîtes de réception de ses utilisateurs et enverrait automatiquement tout ce qui était signalé à la NSA; la NSA n'a même plus eu besoin de demander les données.
La PDG de l'époque, Marissa Mayer, a pris la décision de créer le filtre. Elle l'a fait à l'insu du meilleur ingénieur en sécurité de l'entreprise, Alex Stamos. Lorsqu'il a découvert le programme, il a tout de suite arrêté.
Plus tard, lorsque d'autres employés ont également trouvé le filtre, il était si envahissant qu'ils ont supposé qu'il s'agissait de l'œuvre d'un pirate informatique malveillant.
La fureur initiale à propos de PRISM et de la NSA s'est un peu estompée, mais ne vous laissez pas bercer par un faux sentiment de sécurité.
Amazon n'était même pas l'une des entreprises répertoriées dans les diapositives originales de la NSA divulguées, mais elle fournit à la NSA une grande quantité de données sur les utilisateurs.
Dans son dernier rapport de transparence [PDF]---qui est devenu disponible fin décembre 2017---Amazon a reçu :
Toutes les demandes sauf une provenaient des États-Unis, et les chiffres marquent une augmentation de près de 15 % par rapport aux six mois précédents.
De plus, Amazon n'est pas autorisé à dire combien de lettres de sécurité nationale il a reçues. L'entreprise peut toutefois dire si elle n'en a pas reçu. Amazon a choisi de déclarer avoir reçu entre zéro et 249.
En juin 2013, le journal britannique Guardian a obtenu un document divulgué qui montrait que la NSA recueillait chaque jour les enregistrements téléphoniques de millions de clients Verizon.
Grâce à une ordonnance du tribunal top secrète d'avril de la même année, Verizon a été tenu de fournir à la NSA des détails sur chaque appel téléphonique dans ses systèmes, y compris les appels nationaux et internationaux.
L'ordonnance du tribunal était valide pendant trois mois et a expiré en juillet 2013.
L'ordonnance indiquait que Verizon devait remettre les numéros des deux parties, les données de localisation, la durée de l'appel, tout identifiant unique, ainsi que l'heure et la durée de tous les appels. Toutes ces métadonnées peuvent révéler beaucoup de choses sur les personnes derrière les appels.
Pire encore, la décision a interdit à Verizon de divulguer au public l'ordonnance du tribunal ou la demande de la NSA.
Le programme portait le nom de code Ragtime. D'autres documents divulgués à la fin de 2017 ont montré que le projet Ragtime était non seulement bien vivant, mais qu'il avait également une portée beaucoup plus large qu'on ne l'avait imaginé au départ.
Ragtime-P, qui faisait partie du programme auquel appartenait l'ordonnance du tribunal de Verizon, était toujours actif. Mais la fuite a révélé qu'il existe 10 autres variantes. Du point de vue d'un citoyen américain, le plus troublant est Ragtime-USP (personne américaine).
En théorie, les citoyens américains et les résidents permanents sont protégés de la collecte d'enregistrements téléphoniques après une décision de 2015 ; cependant, la présence de Ragtime-USP remet cela en question.
Malheureusement, nous ne savons pas quelles entreprises sont de connivence avec Ragtime-USP.
Facebook a toujours été à l'avant-garde du débat sur la surveillance de la NSA. Comme Amazon, il publie les détails sur le nombre de demandes d'informations qu'il reçoit. Et aujourd'hui, la NSA demande plus d'informations que jamais.
Les chiffres les plus récents disponibles concernent les six premiers mois de 2017. Les données montrent que le nombre de demandes de la NSA a augmenté de 26 % au cours de cette période par rapport au semestre précédent.
Cela fait partie de la même tendance à la hausse à long terme qui a vu le nombre de demandes passer d'environ 10 000 au cours des six premiers mois de 2013 à plus de 33 000 au cours des six premiers mois de 2017.
Et, en même temps que Facebook reçoit plus de demandes, la société accepte également plus de demandes. Au cours des six premiers mois de 2013, il a accepté 79 % des demandes de la NSA. Au cours des six premiers mois de 2017, ce chiffre était passé à 85 %.
Ça continue. 57% des demandes de la NSA reçues par Facebook incluaient une clause de non-divulgation. Cela signifie que Facebook ne peut pas dire à l'utilisateur que la NSA a demandé ses données. Si vous pensez que la clause peut faire l'objet d'abus, vous avez raison; le nombre d'ordonnances de non-divulgation au cours des six premiers mois de 2017 a augmenté de 50 % par rapport aux six derniers mois de 2016.
Le filtre de messagerie personnalisé de Yahoo est peut-être l'appareil d'espionnage le plus effronté de cette liste, mais AT&T remporte sans doute la bataille pour être l'entreprise la plus complice.
En 2015, un lot de documents divulgués par la NSA a mis à nu la relation entre le géant des télécoms et l'agence gouvernementale.
Un document a révélé que l'association entre les deux était "unique et particulièrement productive". Un autre a déclaré qu'AT&T était "très collaboratif" et a félicité l'entreprise pour son "extrême volonté d'aider".
Un troisième document a montré que les employés de la NSA se sont vu rappeler à plusieurs reprises d'être polis lorsqu'ils visitaient les locaux d'AT&T, en disant "Il s'agit d'un partenariat, pas d'une relation contractuelle."
Le programme de collaboration s'appelle Fairview. Il a commencé en 1985 après la rupture de Ma Bell, mais a atteint son niveau actuel au lendemain du 11 septembre. AT&T a commencé à donner à la NSA l'accès à ses informations quelques jours après l'attaque ; au cours du premier mois de fonctionnement, il a fourni à la NSA plus de 400 milliards d'enregistrements de métadonnées Internet.
En 2011, le programme Fairview est monté d'un cran. Les documents montrent qu'AT&T a commencé à fournir à la NSA 1,1 milliard d'enregistrements d'appels téléphoniques nationaux chaque jour.
Et si vous pensez que vous êtes en sécurité parce que vous n'êtes pas un client d'AT&T, détrompez-vous. L'un des documents divulgués indique que la relation avec AT&T "fournit des accès uniques à d'autres télécoms et FAI".
La surveillance inter-FAI est possible en raison de la manière dont se produit la collecte des données par e-mail. Pour exploiter un seul e-mail, des parties de plusieurs autres e-mails doivent également être collectées. Pour les communications américaines à américaines, la loi signifie que la NSA supprimera (théoriquement) ces e-mails immédiatement.
Cependant, pour les courriers d'étranger à américain et d'étranger à étranger, la loi ne s'applique pas. En tant que telle, la NSA peut s'engager dans la collecte en vrac sans mandat. Étant donné qu'une grande partie des données du Web transitent par des câbles américains, cette échappatoire est particulièrement lucrative pour l'agence.
Nous n'avons discuté que de cinq des cas les plus inquiétants et les plus médiatisés où la NSA a saisi avec force des données auprès d'entreprises.
Cependant, il existe sans aucun doute des cas presque infinis de petites entreprises qui transmettent également des données --- volontairement ou par la force légale. Malheureusement, ces cas ne sont pas dans le domaine public et ne le seront probablement jamais.
Malgré toute la collecte, vous pouvez encore prendre certaines mesures pour vous protéger d'une surveillance Internet excessive.
