Espionnage des e-mails : Yahoo pouvait-il refuser d'aider la NSA ?
Yahoo, qui a développé un logiciel pour espionner les mails de ses clients, pouvait-il se soustraire aux demandes de la NSA et du FBI ? Marissa Mayer a estimé que les chances d'y parvenir étaient légalement trop faibles pour se lancer dans un procès.
Des programmes comme Prism, qui a vu de grands industriels de la high-tech collaborer activement à la collecte de données de la NSA, ne se sont pas arrêtés avec les révélations d'Edward Snowden. Selon Reuters, Yahoo a mis secrètement au point, l'année dernière, un logiciel permettant d'effectuer des recherches dans les e-mails reçus par ses clients à la demande des renseignements américains. Selon quatre sources anonymes - dont trois anciens employés du portail -, la firme américaine a développé ce programme secret de recherche dans les comptes Yahoo Mail afin de se conformer à une requête officielle du gouvernement américain.
Peu de détails ont été donnés sur la nature du programme secret mis au point par Yahoo. Tout juste sait-on qu'il pioche dans les mails arrivant sur les comptes gérés par le portail - et non dans ceux stockés par les utilisateurs - et qu'il fonctionne sur la base de séries de caractères transmis par la NSA ou le FBI (une phrase, un nom de fichier.). Selon deux sources citées par nos confrères, la décision de la Pdg de Yahoo, Marissa Mayer, de se conformer à la requête du gouvernement américain a soulevé des oppositions en interne et a abouti au départ d'Alex Stamos, le RSSI, en juin 2015. Les équipes de sécurité n'auraient pas été informées, ni de la décision de la direction de se plier aux injonctions du gouvernement, ni même de l'installation du logiciel espion. Un programme qu'elles auraient découvert en mai 2015, des semaines après son installation, et qu'elles ont d'abord interprété comme l'oeuvre de hackers. Alex Stamos a depuis été recruté par Facebook.
Google et Microsoft sortent le parapluie
Cette demande des services de renseignement US - visant à repérer des messages arrivant en temps réel - a probablement également dû parvenir à d'autres fournisseurs, estiment les experts interrogés par Reuters. Pourtant, Google dément avoir été la cible d'une telle requête : « Nous n'avons jamais reçu une demande de ce type ; et si cela avait été le cas, notre réponse aurait été simple : en aucun cas », assure un porte-parole de Google interrogé par l'agence de presse. Sans préciser s'il a été approché par le gouvernement pour une requête de cette nature, Microsoft assure de son côté « n'avoir jamais participé à une analyse secrète du trafic e-mail telle que celle décrite aujourd'hui à propos de Yahoo ».
La décision de Marissa Mayer de se plier à la demande pourrait être liée à un précédent combat judiciaire perdu par Yahoo en 2007. Le portail avait alors tenté de s'opposer à une requête du gouvernement portant sur des recherches associées à des comptes mails spécifiques, sans mandat d'un juge. Selon les sources anonymes de Reuters, Marissa Mayer et la direction de l'entreprise ont décidé de se plier à la nouvelle requête (dite FISA pour Foreign Intelligence Surveillance Act, un texte de loi de 2008) des services de renseignement, pensant ne pas avoir les armes légales nécessaires pour la contester en justice.
Chiffrer. et collaborer avec la NSA ?
De facto, des experts juridiques interrogés par nos confrères soulignent que, pour les opérateurs télécoms, la collecte de données basée sur la recherche d'un terme spécifique a été jugé légale. Et que la même logique devrait donc s'appliquer aux entreprises du Web.
Ancien avocat de la NSA, Stewart Baker considère d'ailleurs la demande du gouvernement comme logique : pour lui, les fournisseurs d'e-mails « sont désormais en mesure de chiffrer l'ensemble des communications ; ce qui signifie que de nouvelles responsabilités leur incombent, comme celle de réaliser une partie du travail auparavant pris en charge par les agences de renseignement ». Dans les colonnes d'IDG News Service, Michael Sutton, le directeur de la sécurité de Zscaler (une entreprise spécialisée en cybersécurité), fait le même constat : selon lui, comme les agences de renseignement ne parviennent pas à casser le chiffrement, « elles n'ont pas d'autre choix que de monter des partenariats avec les fournisseurs de services. Je pense que nous allons voir d'autres programmes du type de celui de Yahoo, car le renseignement ne peut plus travailler seul ».
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
A lire aussi :
NetBotz, une backdoor de la NSA pour espionner les européens
Piratage de l'Elysée en 2012 : le coup venait bien de la NSA
Crédit photo : Neon Tommy via Visual Hunt / CC BY-SA
Sur le même thème
Voir tous les articles Cloud