1 points par GN⁺ 2024-01-31 | 1 commentaires | Partager sur WhatsApp
  • Des documents rendus publics par le sénateur Ron Wyden révèlent l’achat par la NSA d’historiques Internet, qui peuvent exposer les sites web visités par les utilisateurs et les applications qu’ils utilisent
  • Wyden demande aux agences de renseignement de cesser d’acheter les données personnelles d’Américains auprès de data brokers, et de n’autoriser que les ventes de données légales respectant les critères de la FTC
  • La NSA nie acheter ou utiliser des données de localisation collectées depuis des téléphones mobiles aux États-Unis, mais reconnaît acheter et utiliser des données commerciales de netflow hors contenu portant sur des communications Internet domestiques et des communications étrangères incluant des adresses IP américaines
  • Il a fallu près de 3 ans pour que ces informations soient rendues publiques, et leur publication n’a été approuvée qu’après que Wyden a bloqué la nomination du candidat au poste de directeur de la NSA
  • L’achat de données personnelles par le gouvernement via des data brokers peut contourner les exigences de contrôle judiciaire et de mandat, affaiblissant la vie privée des Américains et les garde-fous contre la surveillance intérieure

Confirmation de l’achat d’historiques Internet par la NSA

  • Des documents rendus publics par le sénateur Ron Wyden confirment que la NSA achète les historiques Internet d’Américains
  • Ces historiques Internet peuvent révéler les sites web visités par les utilisateurs et les applications qu’ils utilisent
  • Dans une lettre adressée à Avril Haines, directrice du renseignement national, Wyden demande l’adoption d’une politique empêchant les agences de renseignement d’acheter auprès de data brokers des données personnelles d’Américains obtenues illégalement
  • Wyden déclare que « le gouvernement américain ne devrait pas financer ni légitimer une industrie opaque qui viole de manière flagrante la vie privée des Américains »

Les data brokers créent une voie de contournement des mandats

  • L’achat par le gouvernement de données domestiques auprès de data brokers s’est déjà produit à plusieurs reprises
  • Des agences fédérales et des forces de l’ordre locales ont acheté des données domestiques fournies par des entreprises privées, ce qui peut fonctionner comme un moyen de contourner les restrictions posées par la Cour suprême
  • Le gouvernement estime pouvoir appliquer la doctrine du tiers (Third Party Doctrine), mais de nombreuses applications et services collectent des données sans que les utilisateurs en aient pleinement conscience
    • Même un jeu mobile en apparence simple peut accéder à la localisation du téléphone et l’associer à un identifiant d’appareil spécifique
    • Cette collecte peut être dissimulée au fin fond des conditions d’utilisation

Le processus de publication et les exigences de Wyden

  • Wyden indique qu’il lui a fallu près de 3 ans pour obtenir l’autorisation de publier des informations sur l’achat par la NSA de métadonnées Internet domestiques
  • En mars 2021, le département de la Défense a fourni des informations en réponse à une demande de l’équipe de Wyden visant à identifier les composantes du département achetant des données personnelles d’Américains
  • Puis, en mai 2021, Wyden a demandé l’autorisation de publier des informations non classifiées, mais le département de la Défense a refusé
  • Ce n’est qu’après que Wyden a bloqué la nomination du candidat au poste de directeur de la NSA que la publication de ces informations a été approuvée
  • La lettre de Wyden demande à chaque composante de la communauté du renseignement (IC) de :
    • Ouvrir une enquête sur les achats de données auprès de data brokers
    • Mener une enquête de la FTC sur les pratiques commerciales des data brokers
    • Fournir la liste des données personnelles achetées auprès de data brokers

Ce que la NSA nie et ce qu’elle reconnaît

  • Dans une lettre envoyée à Wyden en 2023, la NSA affirme ne pas acheter ni utiliser, avec ou sans ordonnance judiciaire, de données de localisation collectées depuis des téléphones mobiles connus comme étant utilisés aux États-Unis
  • Ce démenti se limite aux données de localisation et ne constitue pas un démenti de l’ensemble des achats d’historiques Internet qui inquiétaient Wyden
  • Dans la même lettre, la NSA reconnaît acheter et utiliser des données de netflow hors contenu disponibles commercialement
    • Des données concernant des communications Internet entièrement domestiques
    • Des données concernant des communications Internet dont une extrémité est une adresse Internet Protocol américaine et l’autre se trouve à l’étranger
  • Cette reconnaissance montre que le champ de la surveillance intérieure de la NSA peut s’élargir via le marché des data brokers

Section 702 et inquiétudes sur la surveillance intérieure

  • La NSA est déjà connue comme une agence susceptible de collecter « par inadvertance » des données et communications d’Américains via la collecte prévue par la Section 702
  • Le contexte des abus répétés de la Section 702 par le FBI à des fins de surveillance intérieure est également mentionné
  • Dans cette situation, la question demeure de savoir si la NSA a vraiment besoin d’acheter séparément des données auprès de data brokers
  • La critique porte sur le fait que la NSA semble collecter davantage non pas en raison d’un besoin de sécurité nationale démontré, mais parce qu’une voie de collecte est disponible
  • Si l’achat de données d’Américains auprès de data brokers devient une activité routinière du gouvernement, le contrôle réel des pouvoirs de surveillance deviendra encore plus difficile

1 commentaires

 
GN⁺ 2024-01-31
Avis sur Hacker News
  • Le fait que le gouvernement accède à des informations sur les citoyens sans motif probable, même en les achetant, me semble contraire sinon à la lettre, du moins à l’esprit du Quatrième amendement. Aujourd’hui, il est possible de rassembler d’énormes quantités d’informations sur une personne sans « perquisition ni saisie » ; il faudrait donc, me semble-t-il, un amendement constitutionnel pour mettre le Quatrième amendement à jour. La collecte de données est l’un des grands enjeux de notre époque, mais je pense que la plupart des gens seraient au moins d’accord pour dire que le gouvernement ne devrait pas pouvoir contourner légalement nos droits avec nos impôts ou notre dette.

    • Cela remonte à la doctrine du tiers. L’idée est que dès que vous transmettez des données à un tiers, vous n’avez plus d’« attente raisonnable de vie privée », donc ce n’est pas une perquisition. C’est un peu comparable à la jurisprudence selon laquelle une poubelle accolée à votre maison reste sous votre contrôle, donc vous avez des droits dessus, mais dès que vous la placez au bord de la route pour que le camion de collecte l’emporte, vous avez renoncé à ces droits. Je ne dis pas que c’est une bonne chose ; au contraire, je n’aime pas ça, mais c’est ainsi que fonctionne actuellement la jurisprudence américaine. Pour changer cela, il faudrait que le Congrès adopte une nouvelle loi ou que la Constitution soit amendée ; les idées sur « ce qui devrait être » n’ont que peu de portée si elles ne sont pas soutenues par le droit.
    • Je considère que la majeure partie de cette collecte et de cette utilisation de données relève en réalité de la perquisition et saisie. La différence est simplement que ce sont des entreprises privées qui le font, et non le gouvernement ; personnellement, je trouve même cela pire que si seul le gouvernement le faisait.
    • Malheureusement, le Quatrième amendement est interprété de manière assez étroite. Ce serait bien qu’il existe une disposition supplémentaire énonçant plus précisément un droit à la vie privée. Empêcher les perquisitions « illégales » signifie en fin de compte qu’il faut aller au tribunal après coup, ce qui est presque dénué de sens. J’ai l’impression que le Quatrième amendement n’a qu’environ 10 % de la force qu’il devrait avoir.
    • Il a toujours été légal que quelqu’un fournisse volontairement à la police des informations vous concernant, qu’il exploite une entreprise ou non. Je peux appeler la police tout de suite et dire que lumb63 a posté un commentaire sur HN le 2024-01-30T14:14:13 ; si je connais des informations plus détaillées, je peux aussi les donner. La police peut légalement les écouter. Je peux dire tout ce que je sais sur quelqu’un que je connais ; je ne vois pas pourquoi cela devrait être illégal. Cette situation n’a rien à voir avec le Quatrième amendement, qui vise à empêcher le gouvernement de prendre des informations par la contrainte.
    • Les « droits », même ceux inscrits dans le Bill of Rights, sont piétinés tous les jours. Essayez de traverser la frontière d’un État avec une arme dissimulée, de dire à un policier K-9 qu’il ne peut pas fouiller votre voiture après qu’un chien détecteur a réagi, ou d’invoquer la liberté d’expression pour diffuser des propos considérés comme injurieux. Les « droits » n’existent pas vraiment ; il n’y a que ce qu’un individu peut défendre à un endroit et à un moment donnés.
  • Je ne comprends pas bien pourquoi le fait que des agences achètent des données disponibles commercialement soit tellement plus controversé. Le problème le plus grave n’est-il pas plutôt que ces données soient collectées en premier lieu et mises à disposition de n’importe qui contre paiement ?

    • On peut imaginer plusieurs possibilités. Premièrement, du point de vue d’une personne ordinaire, le fait que des entreprises détiennent ce type d’informations n’est pas intrinsèquement acceptable. Deuxièmement, les agences achètent ces informations avec l’argent des contribuables, ce qui revient à développer un marché auquel nous pourrions ne pas consentir. Troisièmement, les agences publiques ont des règles, et lorsqu’elles les contournent ou cherchent des failles, cela nuit à la confiance envers ces institutions. Quatrièmement, et c’est peut-être le plus important, les agences gouvernementales ont des pouvoirs et des moyens que les entreprises privées n’ont pas. Elles peuvent ouvrir des enquêtes, obtenir des conseils juridiques de procureurs, engager des poursuites, émettre des mandats, assigner à comparaître, arrêter, détenir, etc. ; tout cela est intrusif, coûteux, et peut entraîner toutes sortes de conséquences négatives, des frais d’avocat à la prison.
    • Le gouvernement détient le monopole de la violence, il doit donc être soumis à des règles différentes et plus strictes. Je ne sais pas ce que dit la loi sur le fait que la NSA achète des données privées, mais cela me semble contraire à l’esprit des lois qui disent qu’elle ne devrait pas surveiller ses propres citoyens.
    • Ce qui rend le gouvernement particulier, c’est son vaste pouvoir de faire des lois qui affectent tout le monde. Par exemple, la formule du Premier amendement selon laquelle « le Congrès ne fera aucune loi restreignant la liberté d’expression » s’applique au gouvernement, mais pas à une règle interdisant les gros mots dans une classe de CE2. Il peut être raisonnable qu’un groupe privé interdise certaines formes d’expression, car on peut aller ailleurs si cela ne plaît pas ; mais dans le domaine de la loi et de l’action gouvernementale, il faut être beaucoup plus prudent. Le gouvernement est le seul acteur de la société à détenir le monopole de l’usage de la force, et un grand pouvoir devrait impliquer de grandes responsabilités.
    • Le gouvernement peut utiliser des informations pour poursuivre quelqu’un, alors qu’une entreprise ne le peut pas. De plus, en raison de l’immunité souveraine et de l’immunité des agents publics, le gouvernement est beaucoup moins responsable qu’une entreprise en cas de comportement malveillant.
    • Une entreprise privée ne peut pas vous envoyer en prison ni vous priver de vos libertés fondamentales sans la bénédiction du gouvernement, alors que le gouvernement, lui, le peut. Le Bill of Rights et la Constitution visent en grande partie à vous protéger des excès du gouvernement, pas de ceux des particuliers ; les litiges entre particuliers relèvent principalement de lois ordinaires au niveau des États et des collectivités locales. Cette distinction juridique a toujours existé aux États-Unis.
  • L’article disait à propos de la NSA : « si elle dispose largement de la capacité de mener une surveillance intérieure, et qu’elle le fait souvent, pourquoi acheter ce qu’elle pourrait obtenir plus légitimement par ses propres systèmes de collecte de masse, au risque d’exposer une partie de ses techniques de collecte ? » ; mais je ne pense pas que la NSA ait à craindre que ses adversaires apprennent la technique consistant à échanger de l’argent contre des informations. Pirater des courtiers en données présenterait davantage de risques d’exposer des techniques propres.

  • J’aimerais que les États-Unis disposent d’une protection de la vie privée comparable à celle de l’UE. Le système de l’UE n’est pas parfait, mais j’aimerais quand même qu’il existe. Si j’ai bien compris, un seul sénateur, Chuck Schumer, bloque en commission tout projet de loi significatif sur la protection de la vie privée. Il ressemble à une boule de démolition individuelle de la vie privée. J’ai lu quelque part que ses deux filles occupaient des postes très bien rémunérés dans des entreprises comme Meta et Microsoft. Le point essentiel est qu’une protection plus forte de la vie privée réduirait aussi les informations que les entreprises peuvent vendre.

    • Je ne vois pas quel rapport ses filles ont avec ce point.
  • Même si cela porte atteinte aux droits civiques, on ne peut pas laisser les agences ne pas surveiller du tout les courtiers en données commerciales. Elles doivent au moins pouvoir estimer et prévenir les risques d’activités criminelles sur le territoire national.

    • C’est plutôt une fonctionnalité, en fait. Les plus grands groupes de lobbying sont les banques et les organisations qui utilisent ce type de courtiers en données. Comme le gouvernement les laisse tranquilles, il peut aussi les utiliser, ce qui devient une manière de contourner la loi.
  • Le problème, c’est que c’est la NSA La NSA n’est pas censée être une agence qui enquête sur les citoyens américains, mais s’occuper du renseignement d’origine électromagnétique à l’étranger. Si le FBI ou la CIA faisaient ce genre de chose, on pourrait tout à fait s’y attendre, et je ne suis même pas sûr que ce soit mal. En tout cas, difficile de dire que ce serait pire que les autres acteurs qui achètent des données à des fins publicitaires.

    • Ce n’est pas tout à fait exact La CIA a été créée pour collecter du renseignement hors des États-Unis, donc c’est l’agence qui a le moins de raisons d’accéder à ces données. Le FBI est une agence chargée de l’application de la loi, il ne peut donc pas toucher à ces données ni les consulter sans mandat, sans quoi la collecte de données dans de nombreuses affaires en cours pourrait être invalidée. La NSA est censée collecter les données de communication qui entrent aux États-Unis et en sortent. Il y a plusieurs décennies, cette distinction était parfaitement claire, elle l’est moins aujourd’hui. La collecte de données sur des Américains peut ne pas être illégale, selon ce qu’on fait de ces données. Ce que les révélations de Snowden ont surtout mis en lumière, c’est qu’une menace interne avait détourné à des fins personnelles des données de la NSA collectées sur des Américains.
    • Je ne sais pas ce que l’étranger veut bien dire sur Internet Il n’y a pas de ligne nette entre des morceaux de territoire, tout est partout.
    • Le fait que la NSA surveille les Américains à grande échelle a été révélé par Snowden en 2013 En 2024, il n’y a plus d’excuse pour faire semblant d’être surpris.
  • Il est difficile d’imaginer qu’on ne s’indigne que de cette affaire, et pas du fait que des courtiers en données puissent vendre toutes ces informations dès le départ

    • Il est aussi difficile d’imaginer qu’on ne soit pas indigné par les deux en même temps Cela dit, l’un est le résultat de dizaines de milliers de petites violations du consentement, commises par des centaines, voire des milliers d’acteurs immoraux et largement anonymes. L’autre est une violation constitutionnelle massive et flagrante commise par une organisation gouvernementale que les citoyens financent pour les protéger et les servir. Les deux devraient être punis avec la plus grande sévérité.
  • Je ne comprends pas bien comment les données sont reliées à un être humain précis dans le monde réel Prenons ma voiture : elle m’appartient, mais si c’est vous qui la conduisez et que vous faites un excès de vitesse, c’est vous qui recevez l’amende. Pour les données, c’est pareil : ce message a peut-être bien été envoyé depuis un appareil du monde réel enregistré à mon nom, mais cela ne veut pas dire que c’est moi, dans le monde réel, qui l’ai effectivement utilisé.

    • Pensez à une adresse IP publique La géolocalisation peut associer une adresse IP à une zone très imprécise, comme un pays, ou à une zone plus précise, comme une ville. En combinant une position approximative avec quelques autres données, on peut fortement réduire le nombre de candidats réels correspondant à un compte donné [1]. Selon une étude importante, seulement trois caractéristiques permettent d’identifier de manière unique 87 % de la population américaine ; une autre étude affirme que ces trois seules informations suffisent à identifier de manière unique 63 % de la population américaine. Si vous êtes très actif en ligne, la façon dont d’autres utilisateurs s’adressent à vous sur certains sites peut révéler votre genre ou votre âge. Si un site collecte le genre ou la date de naissance, il peut aussi partager ou vendre ces informations à des courtiers en données. Si la police parvient à réduire l’emplacement d’une activité en ligne potentiellement problématique à un foyer, elle peut venir physiquement avec un mandat et demander qui, dans la maison, utilisait quel ordinateur à ce moment-là. [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • C’est une méthode qui consiste à établir des corrélations entre plusieurs signaux, comme expliqué ici https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebook a aussi fait ce genre de chose Il a acheté toutes les données de sites web qu’il pouvait acheter, et comme il savait qu’il pouvait les utiliser pour diffuser de la publicité, il a rendu l’achat de données rentable. Si le gouvernement américain ou les agences de renseignement font la même chose, je me demande si on peut vraiment qualifier cela d’« illégal » ou de répréhensible. Si cela a été fait en mobilisant largement les pouvoirs de l’État, ce serait une violation de la loi, mais là, ils achètent ce qui est déjà disponible.

  • Ce qui est ironique, c’est que ce n’est pas la Chine ou la Russie qui l’a fait Je ne comprends pas pourquoi l’indignation semble bien moindre, voire presque inexistante, quand c’est une agence de son propre pays qui le fait.

    • Parce que vos impôts ne financent pas l’appareil de surveillance chinois Qu’ils vous surveillent n’a rien de surprenant, c’est leur travail. Notre pays a toujours dit qu’il était différent d’eux, au moins en façade, parce qu’il ne traite pas ses citoyens comme des ennemis — jusqu’à un certain point, bien sûr.