Votre vie privée est à vendre : La NSA espionne les Américains en achetant des informations à des courtiers en données.

Les courtiers en données gagnent des millions en vendant vos données aux services de renseignement et aux forces de l'ordre. Le capitalisme de surveillance est là.

The NSA is spying by buying your personal information.

Vos données sont vendues au plus offrant par des courtiers en données. Des révélations surprenantes ont montré que les plus offrants sont la NSA et le FBI. Le gouvernement américain achète activement vos informations pour vous espionner et engager des poursuites pénales contre vous, le tout sans mandat. Le capitalisme de surveillance est devenu la norme aux États-Unis d'Amérique. #spyingbybuying


La dystopie, c’est maintenant

Le sénateur Ron Wyden a publié une lettre et des documents déclassifiés du directeur de la NSA, le général Paul Nakasone (armée américaine), dont le contenu est accablant. La NSA admet ouvertement qu’elle collecte des données sur les citoyens américains en les achetant à des sociétés de courtage douteuses. Cela signifie que l’argent de vos impôts durement gagné est dépensé par les services de renseignement et les services répressifs pour aspirer vos données en ligne auprès de sources qui ne devraient pas les détenir. Le secteur des courtiers en données est composé d’entreprises douteuses qui vendent vos secrets au plus offrant, une pratique commerciale pour le moins douteuse, mais le fait que le gouvernement américain soit un client privilégié est dégoûtant et inacceptable. Wyden va même jusqu’à qualifier cette pratique d’illégale à la suite de récents procès intentés contre de grandes sociétés de courtage de données.

Chaque application que vous ouvrez, chaque site web que vous visitez, chaque message que vous envoyez ou chaque appel que vous passez est enregistré, collecté et organisé en un produit soigné, puis vendu comme un matelas bon marché. Votre identité et votre histoire en ligne sont devenues une marchandise et un produit à vendre aux agences de publicité, en plus du regard vigilant de l’Oncle Sam. Le capitalisme de surveillance est devenu une réalité aux États-Unis, non seulement dans les entreprises privées, mais aussi dans le secteur public.

Ce n’est ni normal ni acceptable.

Uncle Sam's watchful eye is following you by gathering your metadata.

Le capitalisme de surveillance

Le terme “capitalisme de surveillance” a été introduit dans le discours dominant par la philosophe et spécialiste des sciences sociales Shoshana Zuboff dans un certain nombre d’articles et de tribunes libres. Selon son approche, les entreprises du web 2.0, telles que Google et Facebook, sont les pionnières de la collecte massive de données sur les utilisateurs et de leur transformation en un produit commercialisable. Cette surveillance commerciale de la population, une fois disponible à l’achat, peut être vendue aux agences de renseignement et d’application de la loi comme une faille juridique actuelle qui n’est pas techniquement qualifiée de surveillance domestique. Il s’agit plutôt de l’achat d’un ensemble de données qui, autrement, serait accessible à toute personne ayant les moyens de l’acheter.

Les utilisateurs finaux de services tels que Google Search, Amazon ou Facebook voient leur comportement méticuleusement catalogué dans des bases de données faciles à interroger, sans leur consentement pleinement éclairé. En cliquant sur la petite case “J’accepte les conditions générales” lors de la création de nouveaux comptes ou de l’inscription à de nouvelles plateformes de médias sociaux, les utilisateurs renoncent à leurs droits. Il s’agit bien entendu du meilleur scénario possible de la part des sites web. En raison de l’absence de législation solide en matière de protection de la vie privée aux États-Unis, surtout si on la compare au GDPR de l’UE, les citoyens n’ont aucun contrôle sur ce qu’il advient de leurs données. Les courtiers en données ne sont pas tenus d’informer les personnes susceptibles d’être profilées par leurs plateformes, ni de divulguer la manière dont ils ont recueilli les informations contenues dans ces profils.

Dans le cas de certains profils, qui peuvent inclure des comptes de médias sociaux, ces informations peuvent être recueillies à partir de données volées ou divulguées, qui ne sont pas des informations acquises légalement mais qui sont généralement rendues publiques par des pirates informatiques. Une fois rendues publiques, les agences de courtage de données nettoient les données et les reconditionnent pour les vendre. Il s’agit simplement d’une version numérique de la vente d’un paquet flambant neuf qui est tombé du camion qui roulait devant vous. Cette zone grise de la vente a valu à ce secteur une réputation peu reluisante, mais la demande de données a permis d’ignorer plus facilement les 50 nuances de surveillance qu’elles permettent.

Courtiers en données

Les entreprises qui collectent et vendent des données sur des personnes, des entreprises ou d’autres informations accessibles au public sont appelées “courtiers en données” ou “courtiers en informations”. Ces entreprises ont une grande variété de modèles et d’objectifs. Par exemple, les sites web de recherche de personnes comme PeekYou ont une réputation douteuse, tandis que les agences d’évaluation du crédit comme Experian sont communément acceptées et intégrées dans le système financier. Ce que ces entreprises ont en commun, c’est qu’elles collectent et archivent toutes les données sur lesquelles elles peuvent mettre la main. Acxiom, une autre société d’analyse de données, affirme actuellement être en possession de plus de 2,5 milliards de personnes, soit près d’un tiers de la population mondiale.

L’activité des “big data” a commencé avec l’essor des agences de notation dans les années 1950, mais elle a explosé avec l’augmentation de la disponibilité de l’accès à l’internet. Il n’a pas fallu longtemps pour que les sites de recherche de personnes commencent à proposer des informations accessibles au public, soigneusement collectées pour une somme modique. Au début, cela ressemblait à une inscription dans l’annuaire téléphonique, mais l’introduction des entreprises de médias sociaux et du web2.0 a radicalement changé la quantité et le type de données qui pouvaient être récupérées. Soudain, des personnes du monde entier remplissaient des informations de profil pour des plateformes de médias sociaux en plein essor, y compris leur anniversaire, leurs relations, leurs images et même leur numéro de téléphone portable. Toutes ces informations ont été vendues par des entreprises technologiques à des courtiers en données. Vous êtes-vous déjà demandé comment ces plateformes pouvaient faire fonctionner leurs légions de serveurs sans que vous ayez à payer pour leurs services ? C’était la magie derrière le rideau. Pour ce qui semblait n’être rien, beaucoup d’entre nous, adolescents ou jeunes adultes à l’époque, ont tout donné en échange d’un “like”.

Les entreprises n’étaient pas les seules à vouloir collecter et vendre des informations, les services de renseignement et les forces de l’ordre étaient également désireux de profiter de ces informations librement accessibles. Des affaires judiciaires ont donné lieu à des discussions sur le statut juridique de l’utilisation de ce type d’informations dans le cadre d’affaires pénales, autorisant souvent l’accès à ces informations sans mandat de perquisition. Ces affaires ont longtemps été tranchées en faveur des agences gouvernementales en vertu de ce que l’on a appelé la doctrine des tiers.

The NSA's collection of metadata allows them to monitor what you are doing online.

La doctrine des tiers permet une surveillance sans mandat

Lorsque les arguments juridiques ont commencé à être entendus dans les salles d’audience des États-Unis, la Cour suprême a été saisie d’une affaire historique concernant ce que les forces de l’ordre peuvent et ne peuvent pas obtenir sans mandat de perquisition. Dans l’affaire Smith v. Maryland, la Cour a statué que l’utilisation par la police d’un stylo enregistreur (appareil qui enregistre les numéros de téléphone composés) pour surveiller les appels d’un suspect n’était pas considérée comme une perquisition et ne nécessitait donc pas l’obtention préalable d’un mandat par les forces de l’ordre. À la suite de cette décision de 1979, ce type d’observation de la clientèle ne constituait pas une violation du quatrième amendement. En outre, la Cour a également déterminé que les utilisateurs d’un téléphone n’avaient pas d’attente raisonnable en matière de respect de la vie privée, car ces données étaient enregistrées et stockées par une compagnie de téléphone.

C’est ainsi qu’est née la doctrine des tiers.

Des affaires telles que Smith v. Maryland ont été directement citées par la NSA comme justification légale de sa surveillance et de sa collecte de données auprès des citoyens américains. En 2012, le Maryland a décidé que les données de localisation des téléphones portables n’étaient pas non plus protégées par le quatrième amendement, car l’utilisation d’un téléphone portable est volontaire et les utilisateurs ne peuvent pas s’attendre à ce que ces informations soient privées. Cette hypothèse s’est finalement heurtée à une résistance juridique dans l’affaire Carpenter v. United States, où il a été décidé que, contrairement à la doctrine des tiers, le gouvernement a besoin d’un mandat pour obtenir des données sur les téléphones portables. La Cour a noté la relation symbiotique qui existe désormais entre les personnes et leurs appareils, notant qu’ils sont devenus une extension du corps humain et concluant que “lorsque le gouvernement suit l’emplacement d’un téléphone portable, il réalise une surveillance presque parfaite, comme s’il avait attaché un moniteur de cheville à l’utilisateur du téléphone”.

Le quatrième amendement est-il mort ?

Dans une lettre de réponse au sénateur Wyden, le sous-secrétaire à la défense chargé du renseignement et de la sécurité, Ronald Moultie, affirme :

“Je n’ai pas connaissance d’une quelconque exigence dans le droit américain ou dans l’opinion judiciaire, y compris la décision de la Cour suprême dans l’affaire Carpenter v. United States, selon laquelle le département de la défense doit obtenir une ordonnance du tribunal pour acquérir, accéder ou utiliser des informations, telles que l’IPE, qui peuvent être achetées par des adversaires étrangers, des entreprises américaines et des personnes privées de la même manière que par le gouvernement américain.

Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie

C’est là que réside le problème. Ce que font la NSA et le FBI est critiquable, mais légalement autorisé, et ils ne sont pas tenus d’obtenir des mandats pour acheter des données à des courtiers. À moins que le Congrès des États-Unis ne se ressaisisse et n’adopte une législation stricte limitant la vente de données personnelles de cette manière, rien ne changera. Si vous vous attendez à ce que cela se produise du jour au lendemain, ce ne sera pas le cas, à moins que les citoyens dont l’identité est devenue une carte de visite pour les sociétés de données ne se lèvent et n’exigent une action en justice. C’est possible ! L’Amérique est capable de grandes choses ! Faites-vous entendre et défendez-vous. Ne laissez pas votre âme numérique être vendue au plus offrant. Il y a fort à parier que si la NSA achète ces données, d’autres agences de renseignement le font également et que vous pourriez être pris pour cible à cause de cela.

La vente de données personnelles par l’industrie du courtage de données doit être stoppée.

L’avis final du juge en chef Roberts dans l’affaire Carpenter pourrait apporter une lueur d’espoir à ceux qui souhaitent préserver leur vie privée face aux courtiers en données envahissants et aux agences de renseignement affamées. Dans son réquisitoire, il souligne les différences entre les premiers stades des télécommunications et le rôle omniprésent que joue la technologie aujourd’hui : “Contrairement au voisin curieux qui surveille les allées et venues, elles [les nouvelles technologies] sont toujours en alerte, et leur mémoire est presque infaillible. Il y a un monde de différence entre les types limités d’informations personnelles abordés dans l’arrêt Smith […] et la chronique exhaustive des informations de localisation collectées avec désinvolture par les opérateurs de téléphonie mobile aujourd’hui”.

Nous avons besoin de cette réforme. Nous ne pouvons pas nous attendre à ce que des approches technologiques vieilles de près d’un siècle soient en quoi que ce soit pertinentes pour le Léviathan numérique que nous avons déclenché. Ces politiques doivent être réévaluées sous les conseils et la direction d’experts dans les domaines de la technologie et de la protection de la vie privée. Cette cause est défendue par l’Electronic Frontier Foundation et si vous souhaitez contribuer à la protection de la vie privée, elle mérite votre soutien. En attendant, si vous cherchez un traitement sûr et privé pour vos données, vous devriez commencer à chercher ailleurs.

Vos données ne sont pas en sécurité aux États-Unis

La protection de vos données étant limitée aux États-Unis, le monde numérique interconnecté peut jouer en votre faveur en vous permettant de stocker vos informations en toute sécurité dans l’Union européenne. L’UE dispose de protections de la vie privée et des données beaucoup plus solides grâce aux lois GDPR. Non seulement cela, mais il y a de multiples grandes entreprises respectueuses de la vie privée basées en Europe dont l’objectif est de protéger vos informations des yeux vigilants des courtiers en données et des agences gouvernementales.

Si vous cherchez un point d’ancrage sûr pour votre vie numérique, vous devrez commencer par un compte de messagerie privé. Nous avons créé un guide comparant les fournisseurs de messagerie électronique sécurisée et privée, que vous pouvez consulter ici. En utilisant le cryptage de bout en bout, qui protège vos données contre l’écoute avant qu’elles ne quittent votre appareil, vous pouvez être sûr que le contenu de vos communications est en sécurité.

Ce que la NSA collecte

À la suite de la publication par Wyden des documents non classifiés de la NSA, nous pouvons confirmer, de l’aveu même de la NSA, qu’elle achète les informations suivantes, disponibles pour les consommateurs, concernant les Américains :

  • Informations associées aux appareils électroniques utilisés à l’extérieur et parfois à l’intérieur des États-Unis.
  • Elle achète et utilise des données de flux net disponibles dans le commerce concernant les communications Internet nationales et les communications dont l’une des parties est située à l’étranger. Cela inclut les enregistrements DNS qui peuvent être présents dans les produits de courtage de données.
  • N’achète pas de données de localisation de téléphones dont on sait qu’ils sont utilisés aux États-Unis, avec ou sans décision de justice.
  • N’achète pas de données de localisation de véhicules dont on sait qu’ils se trouvent aux États-Unis.

Les connexions VPN ne sont pas sûres

En collectant des données de flux net, les services de renseignement et les services répressifs sont en mesure de reconstituer le trafic internet, même si celui-ci passe par un réseau privé virtuel (VPN). Cela signifie que le fait de se cacher derrière un VPN ne suffit pas à vous assurer un anonymat total lorsque vous naviguez sur le web ou que vous vous connectez à vos applications préférées. Cela ne signifie pas qu’un VPN est totalement inutile, mais sa capacité à vous protéger est plus limitée que ne le laissent entendre les fournisseurs de VPN. Il est pratiquement impossible d’éviter complètement que les données soient collectées par votre fournisseur d’accès à Internet, à moins que vous ne commenciez à construire votre propre infrastructure. Même l’utilisation du navigateur Tor révèle à votre FAI que vous utilisez Tor, bien que le contenu de votre trafic réseau soit crypté.

L’UE assure la sécurité et la tranquillité d’esprit de vos données

La première chose à faire est d’essayer de déplacer le plus possible votre vie numérique vers des pays qui ont des lois plus strictes en matière de protection de la vie privée. Bien sûr, il ne sera pas possible de commencer à utiliser un fournisseur d’accès basé en Allemagne si vous vivez dans l’Iowa, mais en choisissant des fournisseurs de services qui offrent par défaut un cryptage de bout en bout et qui ont une politique d’enregistrement zéro, vous pouvez être assuré qu’il y a au moins très peu de données liées à vous. Chez Tuta, nous ne suivons pas les informations IP de connexion qui peuvent être liées à des utilisateurs individuels, et nous n’enregistrons pas non plus l’activité du compte. Si vous vous préoccupez de votre vie privée, vous devez absolument passer à des entreprises situées dans l’Union européenne. Tuta est actuellement sur le point de publier une nouvelle norme de cryptage qui peut protéger vos données contre la menace des ordinateurs post-quantiques, qui seraient capables de briser rapidement les normes de cryptage actuellement utilisées. En déployant le cryptage post-quantique, vos données seront à l’abri de la pratique “récolter d’abord, décrypter ensuite”, ce qui assurera un degré de protection plus élevé pour vos courriels, vos calendriers, vos informations de contact et, bientôt, toutes les données que vous souhaiterez stocker dans le nuage.

La question de savoir où nous allons maintenant dans notre quête d’un anonymat complet en ligne reste ouverte. Mais nous pouvons être sûrs que le chiffrement de bout en bout n’ira nulle part.

Soyez prudents et heureux de crypter.