1 points par GN⁺ 2023-11-24 | 1 commentaires | Partager sur WhatsApp
  • Le sénateur Ron Wyden critique le Hemisphere Project, qu’il décrit comme un programme de surveillance de longue durée permettant aux forces de l’ordre d’effectuer des recherches dans des milliers de milliards de relevés téléphoniques américains, en soulignant que ces recherches se font « habituellement » sans mandat
  • Grâce à un mécanisme de financement par lequel l’ONDCP verse de l’argent à AT&T, les forces de l’ordre fédérales, étatiques, locales et tribales peuvent rechercher des archives remontant jusqu’en 1987 ainsi que 4 milliards de relevés d’appels supplémentaires ajoutés chaque jour
  • AT&T affirme que la fourniture des informations concernées se fait sur la base d’assignations, de mandats ou d’ordonnances judiciaires, mais Wyden souligne que de nombreuses agences peuvent émettre leurs propres assignations et que les recherches ne sont pas limitées aux enquêtes sur les stupéfiants
  • Les documents sur Hemisphere ne sont pas classifiés, mais le Department of Justice les a désignés comme Law Enforcement Sensitive afin d’empêcher leur diffusion publique, et il est avancé que la structure de financement permet aussi d’échapper à l’obligation fédérale de Privacy Impact Assessment
  • Le Government Surveillance Reform Act, proposé par Wyden avec des élus des deux partis, inclut une disposition imposant une ordonnance judiciaire indépendante avant toute surveillance des relevés téléphoniques des Américains

Portée du Hemisphere Project et critiques de Wyden

  • Dans une lettre adressée au ministre américain de la Justice Merrick Garland, le sénateur Ron Wyden qualifie le Hemisphere Project de programme de surveillance dragnet de longue durée
  • Wyden s’inquiète du fait que les forces de l’ordre recherchent les relevés téléphoniques de citoyens et résidents américains sans tenir suffisamment compte des protections de la vie privée garanties par le quatrième amendement
  • Selon Wyden, ces recherches se font « habituellement » sans mandat
  • Il demande que le Department of Justice rende publiques les informations relatives à Hemisphere

Mécanisme de paiement à AT&T et périmètre des recherches

  • Dans Hemisphere, la White House Office of National Drug Control Policy finance AT&T afin de permettre aux forces de l’ordre d’effectuer des recherches dans les relevés téléphoniques
  • Les organismes pouvant y accéder incluent les forces de l’ordre fédérales, étatiques, locales et tribales
  • Les données consultables comprennent des milliers de milliards de relevés téléphoniques américains, avec des archives remontant au moins à 1987
  • 4 milliards de relevés d’appels y sont ajoutés chaque jour
  • Selon Wyden, les forces de l’ordre fédérales et étatiques peuvent demander une recherche Hemisphere via une assignation
    • De nombreuses agences des forces de l’ordre peuvent émettre elles-mêmes ce type d’assignation
    • N’importe quel service de police du pays peut demander un accès aux recherches
    • Les recherches ne sont pas limitées aux enquêtes liées aux stupéfiants

Position d’AT&T

  • AT&T n’a pas répondu aux questions précises concernant Hemisphere
  • Un porte-parole a expliqué que les informations évoquées dans la lettre de Wyden sont fournies en réponse à des assignations, mandats ou ordonnances judiciaires
  • L’entreprise affirme que, comme toutes les sociétés, elle doit se conformer à la loi lorsqu’elle reçoit des assignations, des mandats ou des ordonnances judiciaires émanant du gouvernement et des forces de l’ordre
  • Elle a renvoyé toute demande de commentaire au Department of Justice, destinataire de la lettre de Wyden

Confidentialité maintenue et contentieux sur les archives publiques

  • L’existence de Hemisphere a été révélée pour la première fois par un article du New York Times en 2013
  • Cet article estimait alors que l’ampleur et la durée de conservation des données semblaient sans précédent, y compris comparées à d’autres programmes gouvernementaux comme la collecte par la NSA de journaux d’appels téléphoniques au titre du Patriot Act
  • Des organisations de défense de la vie privée comme l’Electronic Frontier Foundation ont engagé des actions fondées sur le Freedom of Information Act et des procédures au niveau des États sur l’accès aux archives publiques afin d’en savoir plus sur Hemisphere
  • Le programme et ses documents ne sont pas classifiés, mais le Department of Justice les a désignés comme Law Enforcement Sensitive
    • Cette désignation est utilisée au motif qu’une divulgation pourrait nuire à des enquêtes en cours
    • En conséquence, leur diffusion publique est bloquée
  • Wyden souhaite la levée de cette désignation

Allégation de contournement du Privacy Impact Assessment et capacités des données

  • Il est avancé que, du fait de sa structure de financement, Hemisphere n’est pas soumis au Privacy Impact Assessment fédéral
  • La Maison Blanche ne paie pas directement AT&T ; à la place, l’ONDCP accorde une subvention au Houston High Intensity Drug Trafficking Area
    • Cette organisation est un partenariat entre forces de l’ordre fédérales, étatiques et locales
    • Ce partenariat verse ensuite l’argent à AT&T pour faire fonctionner le dispositif de surveillance
  • La lettre de Wyden cite un responsable des forces de l’ordre décrivant Hemisphere comme le « Super Search Engine d’AT&T » et un « Google on Steroids »
  • En s’appuyant sur des slides de l’ONDCP et des e-mails de la DEA, Wyden affirme qu’AT&T effectue les recherches dans les archives conservées au sein de sa wholesale division
    • Cette division transporte les communications d’autres opérateurs télécoms et de leurs clients
  • Selon des documents de l’ONDCP, Hemisphere peut servir à identifier les numéros alternatifs utilisés par une cible d’enquête, à obtenir des données de localisation et à récupérer des « relevés détaillés d’appels à deux sauts » pour un numéro cible donné
    • Cela signifie que les recherches peuvent aussi inclure les relevés téléphoniques de toutes les personnes ayant communiqué avec la cible

Initiative législative

  • Wyden et des élus des deux partis à la Chambre et au Sénat ont présenté le Government Surveillance Reform Act
  • Parmi ses différentes dispositions, le texte exigerait une ordonnance judiciaire indépendante avant toute surveillance des relevés téléphoniques des Américains

1 commentaires

 
GN⁺ 2023-11-24
Avis de Hacker News
  • Ça me rappelle l’un de mes articles préférés : https://kieranhealy.org/blog/archives/2013/06/09/using-metad...
    Un bon article à partager avec des amis qui ne comprennent pas à quel point c’est dangereux

    • Je ne sais pas trop. Au final, ce n’est pas une démonstration de la manière dont les Britanniques auraient pu identifier et neutraliser les figures clés de la rébellion ?
      Tu penses que les gens vont s’indigner du concept lui-même ?
      Cet exemple n’est pas bon
      Réalistement, une personne ordinaire risque surtout de se dire : « ils auraient pu empêcher une rébellion ». Ce n’est pas un exemple qui explique bien les conséquences négatives
      Les gens abandonnent tout par peur. Ils vont même jusqu’à céder toute leur vie privée à Google en échange de perles et de breloques
      Cet exemple montre que le gouvernement pourrait déjouer une véritable rébellion violente. Les gens moyens se diront : « très bien »
    • https://dave.autonoma.ca/blog/2019/06/06/web-of-knowledge/
      « Les métadonnées sont des informations sur des informations. Le catalogue sur fiches d’une bibliothèque est un exemple de métadonnées. Si les livres eux-mêmes sont des mines d’information, le catalogue contient des détails à leur sujet. Les métadonnées d’un appel téléphonique peuvent inclure qui a appelé qui, la date et l’heure, la localisation des deux parties et la durée de l’appel… »
      « Si de telles métadonnées avaient existé dans le Troisième Reich, on peut facilement imaginer que Kelly aurait été signalé par le code 3 (homosexuel) sur carte perforée, arrêté, puis reconnu coupable par association, avec son décès enregistré sous le code 4 (exécution). Si l’on connaissait le contenu de la conversation, d’autres explications aux actions de Kelly seraient possibles, menant à une interprétation totalement différente »
    • Ce serait bien de réécrire ça comme une histoire où les Romains traquent Jésus grâce aux métadonnées. Ça pourrait rallier une partie des évangéliques à notre camp
  • Ce système est-il suffisamment limité pour empêcher une ville de 20 habitants avec un seul shérif d’accéder aux relevés d’appels d’une personne située à 1 000 miles ?

    • Et si une « ville de 20 habitants » qui n’existe même pas créait un site web crédible de commissariat, puis que le chef de la police envoyait un e-mail à AT&T pour demander un accès d’urgence au nom de la prévention du suicide ?
    • Aucun détail sur le système n’est rendu public. C’est l’un des points centraux de l’article, et aussi la raison pour laquelle Wyden demande sa déclassification
    • Probablement pas, mais je ne comprends pas pourquoi s’inquiéter de si petites entités sans s’inquiéter du gouvernement fédéral
  • On trouve davantage d’informations sur Hemisphere sur le site de l’EFF : https://www.eff.org/cases/hemisphere

    • AT&T fait depuis longtemps bien plus que simplement collecter des relevés et les transmettre au gouvernement fédéral
      Ils ont fait du data mining sur les relevés pour produire des cartes de communautés, et peut-être même des positions passées
      Ils font ça depuis des décennies et, au début des années 2000, ils avaient même créé leur propre langage de programmation pour cela
      https://web.archive.org/web/20170129095532/https://www.wired...
  • « Peu de tentatives ont abouti. Le gouvernement fédéral semble faire tout son possible pour garder Hemisphere secret. »
    C’est le passage qui m’inquiète le plus. Il existe des moyens pour le gouvernement d’obtenir ces informations légalement, mais s’il se montre aussi hostile lorsqu’il s’agit de coopérer pour défendre les droits des citoyens, c’est particulièrement préoccupant. On dirait qu’ils ont oublié qui ils servent et pour qui ils travaillent

    • Ils ne l’ont pas oublié : ils n’ont simplement jamais travaillé pour les personnes auxquelles tu pensais au départ
  • Qui va finir en prison pour avoir violé des droits constitutionnels ?

    • Dans l’état actuel de la jurisprudence constitutionnelle, il paraît difficile de considérer qu’un mandat soit nécessaire pour obtenir auprès d’un tiers des informations qui ont été échangées volontairement avec ce tiers
      La jurisprudence la plus pertinente est probablement Smith v. Maryland
      https://supreme.justia.com/cases/federal/us/442/735/
    • Ha, bonne blague. Personne. Il y a un exemple tiré d’un autre article qui montre pourquoi ce genre de chose n’arrive pas
      « La NSA a construit un réseau de surveillance capable d’atteindre environ 75 % du trafic Internet américain. »
      « En mai 2012, un audit interne de la NSA a recensé 2 776 incidents de violation des règles ou des ordonnances judiciaires dans la surveillance d’Américains et de cibles étrangères aux États-Unis entre avril 2011 et mars 2012. Les responsables américains ont insisté sur le fait qu’aucune erreur n’était intentionnelle. »
      « La cour FISA, qui est censée assurer une supervision critique des vastes programmes de surveillance du gouvernement américain, a une capacité limitée à remplir ce rôle. »
      « Selon un avis juridique déclassifié le 21 août 2013, la NSA a intercepté pendant trois ans, jusqu’à ce qu’en 2011 la cour FISA chargée de superviser la surveillance juge l’opération anticonstitutionnelle, jusqu’à 56 000 communications électroniques par an d’Américains qui n’étaient pas soupçonnés d’être liés au terrorisme. »
      https://en.m.wikipedia.org/wiki/2010s_global_surveillance_di...
      Le point essentiel est celui-ci : « il faut faire confiance au gouvernement pour se dénoncer lui-même lorsqu’il surveille indûment des Américains »
      En somme, le tribunal leur a demandé de se surveiller eux-mêmes et d’avouer s’ils commettaient un crime. C’était un système basé sur l’honneur, et bien sûr ils ne se sont pas dénoncés au tribunal. Pourquoi le feraient-ils ?
    • Pourquoi faut-il toujours que quelqu’un aille en prison ? Il suffit d’arrêter le programme. On pourra ajouter des gens à la liste des détenus une fois que ce sera clairement illégal
    • Les journalistes qui ont révélé ça seront les premiers dans la file
  • En mettant de côté le débat moral, est-ce que ce n’est pas anticoncurrentiel ? Au lieu d’adopter une loi applicable à tous les opérateurs, le gouvernement a choisi un gagnant et l’a payé

    • « Le gouvernement a choisi un gagnant et l’a payé », c’est précisément ce que signifie la commande publique. La mise en concurrence a lieu avant l’attribution du contrat ; ensuite, on est généralement lié dans une relation entre un client et un fournisseur
  • Si cela servait à étayer la vision de Project 2025… difficile d’imaginer plus sombre.

    • En se creusant vraiment la tête, on pourrait certainement imaginer encore plus sombre.
  • Voilà une raison de plus de commencer à utiliser des systèmes d’exploitation mobiles open source et des communications à chiffrement de bout en bout.
    Indice : https://wiki.postmarketos.org/wiki/Devices

    • Exact. Les consommateurs devraient partir du principe que, dès que leurs données passent à une autre entreprise, elles seront aussitôt vendues.
      Facebook, Google et d’autres ont prouvé que les données utilisateur pouvaient rapporter de l’argent. Pourquoi s’étonner que d’autres entreprises veuillent se lancer sur la même source de revenus ?
      Les utilisateurs ne lisent plus les conditions d’utilisation. Si une entreprise y glisse la collecte et la vente de données, et que les clients continuent d’accepter, où est le problème ?
      Les clients peuvent voter avec leur portefeuille en passant à des fournisseurs qui respectent leurs données, ou faire pression sur leurs élus pour rendre illégale ce type de vente de données.
    • Question sérieuse : en quoi est-ce mieux que d’utiliser un iPhone avec des apps légales à chiffrement de bout en bout ?
  • Un porte-parole d’AT&T a déclaré : « Nous laissons le ministère de la Justice, destinataire de la lettre du sénateur Wyden, commenter. Comme toute entreprise, nous devons nous conformer, conformément à la loi, aux assignations, mandats et ordonnances judiciaires émis par le gouvernement et les forces de l’ordre. »
    Très bien. Mais ont-ils une obligation légale de conserver 40 ans d’historiques d’appels ? Et pas seulement de les conserver, mais de les garder sous une forme facilement indexable ?
    Si ce n’est pas le cas, il se passe clairement quelque chose. Par rapport au fait de ne pas conserver ces données, le coût de stockage ne doit pas être négligeable. AT&T est une société cotée avec des actionnaires ; si supprimer ces données coûtait moins cher, ils l’auraient déjà fait… alors que se passe-t-il exactement ?

    • Le gouvernement fédéral paie probablement chaque année, généralement via des budgets classifiés, pour obtenir ce type d’accès. C’est acheté comme le reste, puis dissimulé dans l’immense budget non public.
  • Même après les récents changements de la FCC, je reçois autant d’appels de spam que d’appels légitimes. Il doit donc y avoir une quantité quasi illimitée de journaux d’appels de spam ; il devrait être facile d’enquêter sur leur origine et de les bloquer.