Une lettre du sénateur Wyden confirme que la NSA achète des données d’Américains auprès de data brokers
(techdirt.com)- Des documents rendus publics par le sénateur Ron Wyden révèlent l’achat par la NSA d’historiques Internet, qui peuvent exposer les sites web visités par les utilisateurs et les applications qu’ils utilisent
- Wyden demande aux agences de renseignement de cesser d’acheter les données personnelles d’Américains auprès de data brokers, et de n’autoriser que les ventes de données légales respectant les critères de la FTC
- La NSA nie acheter ou utiliser des données de localisation collectées depuis des téléphones mobiles aux États-Unis, mais reconnaît acheter et utiliser des données commerciales de netflow hors contenu portant sur des communications Internet domestiques et des communications étrangères incluant des adresses IP américaines
- Il a fallu près de 3 ans pour que ces informations soient rendues publiques, et leur publication n’a été approuvée qu’après que Wyden a bloqué la nomination du candidat au poste de directeur de la NSA
- L’achat de données personnelles par le gouvernement via des data brokers peut contourner les exigences de contrôle judiciaire et de mandat, affaiblissant la vie privée des Américains et les garde-fous contre la surveillance intérieure
Confirmation de l’achat d’historiques Internet par la NSA
- Des documents rendus publics par le sénateur Ron Wyden confirment que la NSA achète les historiques Internet d’Américains
- Ces historiques Internet peuvent révéler les sites web visités par les utilisateurs et les applications qu’ils utilisent
- Dans une lettre adressée à Avril Haines, directrice du renseignement national, Wyden demande l’adoption d’une politique empêchant les agences de renseignement d’acheter auprès de data brokers des données personnelles d’Américains obtenues illégalement
- Wyden déclare que « le gouvernement américain ne devrait pas financer ni légitimer une industrie opaque qui viole de manière flagrante la vie privée des Américains »
Les data brokers créent une voie de contournement des mandats
- L’achat par le gouvernement de données domestiques auprès de data brokers s’est déjà produit à plusieurs reprises
- Des agences fédérales et des forces de l’ordre locales ont acheté des données domestiques fournies par des entreprises privées, ce qui peut fonctionner comme un moyen de contourner les restrictions posées par la Cour suprême
- Le gouvernement estime pouvoir appliquer la doctrine du tiers (Third Party Doctrine), mais de nombreuses applications et services collectent des données sans que les utilisateurs en aient pleinement conscience
- Même un jeu mobile en apparence simple peut accéder à la localisation du téléphone et l’associer à un identifiant d’appareil spécifique
- Cette collecte peut être dissimulée au fin fond des conditions d’utilisation
Le processus de publication et les exigences de Wyden
- Wyden indique qu’il lui a fallu près de 3 ans pour obtenir l’autorisation de publier des informations sur l’achat par la NSA de métadonnées Internet domestiques
- En mars 2021, le département de la Défense a fourni des informations en réponse à une demande de l’équipe de Wyden visant à identifier les composantes du département achetant des données personnelles d’Américains
- Puis, en mai 2021, Wyden a demandé l’autorisation de publier des informations non classifiées, mais le département de la Défense a refusé
- Ce n’est qu’après que Wyden a bloqué la nomination du candidat au poste de directeur de la NSA que la publication de ces informations a été approuvée
- La lettre de Wyden demande à chaque composante de la communauté du renseignement (IC) de :
- Ouvrir une enquête sur les achats de données auprès de data brokers
- Mener une enquête de la FTC sur les pratiques commerciales des data brokers
- Fournir la liste des données personnelles achetées auprès de data brokers
Ce que la NSA nie et ce qu’elle reconnaît
- Dans une lettre envoyée à Wyden en 2023, la NSA affirme ne pas acheter ni utiliser, avec ou sans ordonnance judiciaire, de données de localisation collectées depuis des téléphones mobiles connus comme étant utilisés aux États-Unis
- Ce démenti se limite aux données de localisation et ne constitue pas un démenti de l’ensemble des achats d’historiques Internet qui inquiétaient Wyden
- Dans la même lettre, la NSA reconnaît acheter et utiliser des données de netflow hors contenu disponibles commercialement
- Des données concernant des communications Internet entièrement domestiques
- Des données concernant des communications Internet dont une extrémité est une adresse Internet Protocol américaine et l’autre se trouve à l’étranger
- Cette reconnaissance montre que le champ de la surveillance intérieure de la NSA peut s’élargir via le marché des data brokers
Section 702 et inquiétudes sur la surveillance intérieure
- La NSA est déjà connue comme une agence susceptible de collecter « par inadvertance » des données et communications d’Américains via la collecte prévue par la Section 702
- Le contexte des abus répétés de la Section 702 par le FBI à des fins de surveillance intérieure est également mentionné
- Dans cette situation, la question demeure de savoir si la NSA a vraiment besoin d’acheter séparément des données auprès de data brokers
- La critique porte sur le fait que la NSA semble collecter davantage non pas en raison d’un besoin de sécurité nationale démontré, mais parce qu’une voie de collecte est disponible
- Si l’achat de données d’Américains auprès de data brokers devient une activité routinière du gouvernement, le contrôle réel des pouvoirs de surveillance deviendra encore plus difficile
1 commentaires
Avis sur Hacker News
Le fait que le gouvernement accède à des informations sur les citoyens sans motif probable, même en les achetant, me semble contraire sinon à la lettre, du moins à l’esprit du Quatrième amendement. Aujourd’hui, il est possible de rassembler d’énormes quantités d’informations sur une personne sans « perquisition ni saisie » ; il faudrait donc, me semble-t-il, un amendement constitutionnel pour mettre le Quatrième amendement à jour. La collecte de données est l’un des grands enjeux de notre époque, mais je pense que la plupart des gens seraient au moins d’accord pour dire que le gouvernement ne devrait pas pouvoir contourner légalement nos droits avec nos impôts ou notre dette.
Je ne comprends pas bien pourquoi le fait que des agences achètent des données disponibles commercialement soit tellement plus controversé. Le problème le plus grave n’est-il pas plutôt que ces données soient collectées en premier lieu et mises à disposition de n’importe qui contre paiement ?
L’article disait à propos de la NSA : « si elle dispose largement de la capacité de mener une surveillance intérieure, et qu’elle le fait souvent, pourquoi acheter ce qu’elle pourrait obtenir plus légitimement par ses propres systèmes de collecte de masse, au risque d’exposer une partie de ses techniques de collecte ? » ; mais je ne pense pas que la NSA ait à craindre que ses adversaires apprennent la technique consistant à échanger de l’argent contre des informations. Pirater des courtiers en données présenterait davantage de risques d’exposer des techniques propres.
J’aimerais que les États-Unis disposent d’une protection de la vie privée comparable à celle de l’UE. Le système de l’UE n’est pas parfait, mais j’aimerais quand même qu’il existe. Si j’ai bien compris, un seul sénateur, Chuck Schumer, bloque en commission tout projet de loi significatif sur la protection de la vie privée. Il ressemble à une boule de démolition individuelle de la vie privée. J’ai lu quelque part que ses deux filles occupaient des postes très bien rémunérés dans des entreprises comme Meta et Microsoft. Le point essentiel est qu’une protection plus forte de la vie privée réduirait aussi les informations que les entreprises peuvent vendre.
Même si cela porte atteinte aux droits civiques, on ne peut pas laisser les agences ne pas surveiller du tout les courtiers en données commerciales. Elles doivent au moins pouvoir estimer et prévenir les risques d’activités criminelles sur le territoire national.
Le problème, c’est que c’est la NSA La NSA n’est pas censée être une agence qui enquête sur les citoyens américains, mais s’occuper du renseignement d’origine électromagnétique à l’étranger. Si le FBI ou la CIA faisaient ce genre de chose, on pourrait tout à fait s’y attendre, et je ne suis même pas sûr que ce soit mal. En tout cas, difficile de dire que ce serait pire que les autres acteurs qui achètent des données à des fins publicitaires.
Il est difficile d’imaginer qu’on ne s’indigne que de cette affaire, et pas du fait que des courtiers en données puissent vendre toutes ces informations dès le départ
Je ne comprends pas bien comment les données sont reliées à un être humain précis dans le monde réel Prenons ma voiture : elle m’appartient, mais si c’est vous qui la conduisez et que vous faites un excès de vitesse, c’est vous qui recevez l’amende. Pour les données, c’est pareil : ce message a peut-être bien été envoyé depuis un appareil du monde réel enregistré à mon nom, mais cela ne veut pas dire que c’est moi, dans le monde réel, qui l’ai effectivement utilisé.
Facebook a aussi fait ce genre de chose Il a acheté toutes les données de sites web qu’il pouvait acheter, et comme il savait qu’il pouvait les utiliser pour diffuser de la publicité, il a rendu l’achat de données rentable. Si le gouvernement américain ou les agences de renseignement font la même chose, je me demande si on peut vraiment qualifier cela d’« illégal » ou de répréhensible. Si cela a été fait en mobilisant largement les pouvoirs de l’État, ce serait une violation de la loi, mais là, ils achètent ce qui est déjà disponible.
Ce qui est ironique, c’est que ce n’est pas la Chine ou la Russie qui l’a fait Je ne comprends pas pourquoi l’indignation semble bien moindre, voire presque inexistante, quand c’est une agence de son propre pays qui le fait.