Les États démocratiques et autoritaires se livrent à une course à la surveillance de masse

 (mullvad.net)
1 points par GN⁺ 5 시간 전 | 1 commentaires | Partager sur WhatsApp
  • La surveillance de masse étatique s’est étendue sans distinction entre démocraties et régimes autoritaires, et elle est critiquée non seulement pour les atteintes aux droits humains et à la vie privée, mais aussi pour son inefficacité à résoudre réellement les problèmes
  • Aux États-Unis, l’appareil de surveillance s’est structuré autour de la Section 702 du FISA, de PRISM, d’Upstream et de XKeyscore, permettant d’accéder à d’immenses volumes d’activité Internet et de métadonnées sans décision judiciaire
  • En Europe et au Royaume-Uni, Tempora, la coopération des Fourteen Eyes, le chat control de l’UE, la vidéosurveillance par IA en France ou encore les équipements d’accès aux FAI en Hongrie illustrent le choc entre extension de la surveillance et pression en faveur de la protection des données personnelles
  • Les États autoritaires utilisent ouvertement la censure et la surveillance comme instruments de gouvernement, avec SIAM en Iran, SORM et Safe City en Russie, et le Great Firewall, Police Cloud, Sharp Eyes et Skynet en Chine pour contrôler la population
  • Pour préserver une société libre, il faut tracer clairement la frontière entre la surveillance ciblée de suspects et la surveillance de masse visant l’ensemble de la population

Position de base sur la surveillance de masse

  • La surveillance de masse se divise entre surveillance commerciale et surveillance menée par l’État ou les gouvernants, et toutes deux portent atteinte aux droits humains et à la vie privée, fondement d’une société libre
  • La surveillance ne devrait être mise en œuvre qu’en cas de soupçon d’infraction, sous forme de surveillance ciblée, sur décision d’un tribunal indépendant et dans le respect de la proportionnalité ; la surveillance de masse de l’ensemble d’une population ou des citoyens d’autres pays doit être évitée
  • Les droits humains existent pour protéger les individus contre l’État, et comme les gouvernements changent et que le pouvoir peut prendre de mauvaises décisions, l’État ne doit pas disposer d’un pouvoir incontrôlable
  • Aujourd’hui, la surveillance de masse a des origines et des formes différentes selon les pays, mais elle fonctionne en grande partie via une infrastructure Internet mondiale

États-Unis : la Section 702 et l’infrastructure mondiale de surveillance

  • Les révélations de Snowden en 2013 ont mis au jour le fait que les autorités américaines surveillaient des centaines de millions de personnes dans le monde
  • La Section 702 du FISA est une loi renouvelée tous les cinq ans par les États-Unis ; présentée comme un outil d’écoute des étrangers, elle peut, de par l’architecture d’Internet, conduire à surveiller à la fois des étrangers et des citoyens américains
  • Les documents de Snowden ont montré que la NSA collectait 200 millions de SMS par jour à travers le monde et disposait, en pratique, de la capacité de surveiller presque tout le monde sur la planète
  • XKeyscore était une base de données couvrant « presque tout ce qu’un utilisateur ordinaire fait sur Internet », y compris les e-mails, les chats, les messages privés Facebook, l’historique de recherche et les sites visités
    • Les analystes pouvaient consulter l’activité en ligne d’une personne à partir de sélecteurs forts comme une adresse IP ou une adresse e-mail
    • Ils pouvaient aussi établir une liste de personnes ayant eu certains comportements sur Internet à partir de sélecteurs faibles comme des mots-clés ou des expressions
    • Les recherches pouvaient être effectuées sans décision judiciaire ni validation par un supérieur au sein de la NSA

PRISM, Upstream, TURMOIL, TURBINE

  • La Section 702 permettait au FBI, à la CIA et à la NSA d’accéder à des masses de données via PRISM et Upstream
  • PRISM était un dispositif donnant accès aux données d’entreprises américaines comme Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL et Apple
    • Dans Permanent Record, Snowden écrit que PRISM permettait de collecter e-mails, photos, chats vidéo et audio, contenus de navigation web, requêtes de recherche et données stockées dans le cloud
    • Les entreprises concernées ont nié que le FBI, la CIA et la NSA aient eu un accès direct à leurs systèmes et serveurs, mais il a aussi été avancé que la loi pouvait rendre illégale toute reconnaissance de leur implication
  • Upstream consistait à se connecter directement au backbone des opérateurs télécoms et Internet américains pour collecter le trafic Internet
    • Des opérateurs américains comme AT&T étaient impliqués, et des révélations ont aussi affirmé que certains fabricants de routeurs avaient intégré des fonctions de surveillance pour la NSA dans leurs produits
    • Snowden a expliqué qu’Upstream captait directement le trafic passant par satellites, câbles sous-marins en fibre optique, commutateurs et routeurs
  • TURMOIL et TURBINE servaient à filtrer puis attaquer de grands volumes de trafic
    • TURMOIL marquait le trafic selon des critères tels que des adresses e-mail, cartes bancaires, numéros de téléphone, origine ou destination géographique, et des mots-clés comme « anonymous internet proxy » ou « protest »
    • TURBINE redirigeait les requêtes marquées vers des serveurs de la NSA, où un algorithme décidait quel exploit de type malware utiliser
    • Une fois l’exploit implanté sur un ordinateur, il permettait d’accéder non seulement aux métadonnées, mais aussi aux données elles-mêmes

Métadonnées et achat de données commerciales

  • Les États minimisent souvent la surveillance de masse en affirmant qu’ils « ne collectent que des métadonnées », alors que celles-ci peuvent inclure l’historique des sites visités et des recherches
  • Bruce Schneier a expliqué que les métadonnées révèlent les amis proches, les relations professionnelles, les centres d’intérêt et les cibles importantes, tandis que Stewart Baker, ancien conseiller juridique de la NSA, a déclaré qu’avec suffisamment de métadonnées, le contenu devient inutile
  • Les métadonnées peuvent aussi servir à identifier des journalistes ayant critiqué l’appareil de surveillance américain
    • Laura Poitras et Glenn Greenwald, contactés par Snowden, ont critiqué la NSA et ont subi des conséquences personnelles
    • Le GCHQ a intercepté les e-mails de journalistes du New York Times, du Monde, du Washington Post et d’autres, et a classé les journalistes d’investigation dans la même catégorie de menace que les terroristes ou les hackers
  • L’appareil de surveillance américain a servi non seulement contre des terroristes et des criminels, mais aussi à des activités d’espionnage industriel, à la surveillance d’organisations de défense des droits humains comme Amnesty et Human Rights Watch, à celle de 70 millions d’appels mensuels en France, ainsi qu’à la surveillance de responsables politiques et de dirigeants mondiaux
  • Plus récemment, il a aussi été révélé que le FBI et d’autres agences américaines achetaient des données collectées auprès de courtiers en données
    • Des données dont la collecte directe par l’État poserait un problème constitutionnel peuvent ainsi être obtenues par une voie commerciale distincte
    • Un consultant du gouvernement américain a qualifié l’écosystème adtech de « plus grande entreprise de collecte d’informations jamais conçue par l’humanité »
    • Michael Morell, ancien directeur par intérim de la CIA, a déclaré que des informations disponibles commercialement auraient été classées top secret et sensibles si elles avaient été recueillies par des moyens traditionnels du renseignement

Débat sur le renouvellement de la Section 702 et extension en 2024

  • La Section 702 s’est de nouveau retrouvée au centre des débats sur son renouvellement en 2023, et la Chambre des représentants n’est pas parvenue à adopter à trois reprises un texte de prolongation, repoussant la décision au printemps 2024
  • Parmi les principaux amendements proposés figuraient l’obligation d’une autorisation judiciaire pour surveiller des citoyens américains et l’interdiction de l’abouts collection, qui vise aussi les communications où la cible n’est que mentionnée
  • Au final, la Chambre et le Sénat ont adopté la prolongation de la Section 702, mais pour 2 ans au lieu des 5 ans habituels
  • En parallèle, la loi a été élargie, étendant le périmètre des entreprises et organisations pouvant être contraintes de coopérer avec la surveillance de masse des agences gouvernementales
    • La nouvelle définition pourrait inclure des acteurs ayant un accès physique à des infrastructures de communication ciblées, comme des routeurs
    • Le sénateur Ron Wyden a qualifié cela de « dramatique et terrible », et Edward Snowden a déclaré que « la NSA a pris le contrôle d’Internet »

Royaume-Uni, Fourteen Eyes et débat sur la localisation des VPN

  • Le programme Tempora du GCHQ britannique se connectait directement aux réseaux de fibre optique entre les États-Unis et l’Europe pour accéder au trafic Internet des deux côtés de l’Atlantique
  • En 2013, 300 agents du GCHQ et 250 agents de la NSA analysaient les données entrantes à partir de 40 000 déclencheurs clés, et 850 000 employés de la NSA pouvaient accéder au système britannique
  • Tempora traitait 600 millions d’événements téléphoniques et d’autres flux par jour via 200 câbles à fibre optique, et Snowden l’a qualifié de « plus grand programme de surveillance sans soupçon de l’histoire de l’humanité »
  • Les Five Eyes ont commencé comme une alliance d’écoute électronique entre l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis, et les révélations de Snowden ont mis au jour l’extension aux Fourteen Eyes, incluant la Belgique, le Danemark, la France, l’Allemagne, l’Italie, les Pays-Bas, la Norvège, l’Espagne et la Suède
  • Affirmer qu’un fournisseur de VPN est meilleur parce qu’il se trouve hors des Fourteen Eyes ignore le fait que le trafic Internet traverse de multiples frontières et infrastructures
    • Le rôle d’un VPN est de chiffrer le trafic pour le rendre difficile à lire, même si les autorités se branchent sur des câbles à fibre optique
    • Ce qui compte dans la localisation d’un fournisseur de VPN, ce n’est pas tant l’accord entre services de renseignement que les lois nationales imposant la conservation des logs et la remise des données
    • La liste de ces 14 pays repose sur des révélations vieilles de plus de dix ans, et les fournisseurs de VPN ne peuvent pas connaître le nombre exact ni le périmètre actuel des États participants

Les dynamiques contradictoires en Europe

  • En 2018, la Cour européenne des droits de l’homme a jugé Tempora illégal et incompatible avec les exigences d’une société démocratique, et en 2020, un tribunal américain a jugé illégale et anticonstitutionnelle la surveillance de centaines de millions de personnes par la NSA
  • Au sein de l’UE, on observe d’un côté une ligne jurisprudentielle des plus hautes juridictions considérant la surveillance de masse comme illégale, ainsi qu’une volonté de faire pression sur les Big Tech via des règles comme le RGPD
    • Jusqu’à présent, le RGPD a surtout produit des amendes symboliques et une dégradation de l’expérience liée aux cookies, mais il commence à exercer une pression réelle sur des entreprises comme Meta et Google
    • Il subsiste toutefois un risque que les entreprises technologiques inventent de nouveaux modes de collecte de données
  • À l’inverse, la France cherche à introduire la vidéosurveillance par IA, tandis que la Hongrie installe des boîtes noires permettant d’accéder aux réseaux des FAI et au comportement Internet des utilisateurs sans décision de justice
  • La proposition de chat control de l’UE pourrait conduire à une surveillance de masse proche d’une interdiction générale des communications privées
  • Le projet britannique d’Online Safety Bill est présenté comme une tentative d’affaiblir le trafic chiffré, devenu plus largement utilisé après les révélations de Snowden
  • Le spyware Pegasus a été utilisé en Europe et ailleurs pour cibler des opposants, des militants politiques et des journalistes

Surveillance et censure dans les États autoritaires

  • Plus de 4,5 milliards de personnes utilisent Internet dans le monde, et 76 % d’entre elles vivent dans des pays qui emprisonnent des personnes pour avoir publié en ligne sur des questions politiques, sociales ou religieuses
  • Dans les États autoritaires, les VPN ne servent pas seulement à réduire la surveillance de masse, mais aussi à accéder à un Internet libre et non censuré
  • L’Iran coupe complètement Internet ou utilise SIAM pour contrôler, filtrer et surveiller l’usage des téléphones via les réseaux mobiles
  • Le gouvernement égyptien surveille journalistes, militants et avocats, tandis que les autorités marocaines utilisent Pegasus pour surveiller des organisations de défense des droits humains
  • Le FSB russe intercepte depuis longtemps les appels téléphoniques et lit e-mails et messages via SORM, tandis que le dispositif Safe City de Moscou combine des centaines de milliers de caméras de surveillance, la reconnaissance faciale et la surveillance des données mobiles
    • Safe City sert à traquer et emprisonner des manifestants, des opposants politiques et des journalistes
    • Sur le marché noir numérique appelé Probiv, des responsables corrompus ou mécontents divulguent des données issues de bases de surveillance de masse
    • Il est ainsi devenu possible d’acheter pour de petites sommes des informations sur l’entourage le plus proche de Poutine, dont se servent des journalistes d’opposition, étrangers ou d’investigation

Chine : Great Firewall, Police Cloud, Sharp Eyes, Skynet

  • La Chine contrôle les sites accessibles à ses 750 millions d’internautes, bloque les services VPN et impose une inscription sous identité réelle pour publier du contenu
  • Les réseaux sociaux et les applications de messagerie sont soumis à la surveillance de l’État, les applications étrangères sont interdites, et TikTok, créé en Chine, possède aussi une version distincte qui bloque les contenus internationaux
  • Tous les téléphones mobiles sont surveillés en continu via leurs données de localisation, et les fournisseurs d’accès à Internet doivent coopérer avec l’État
  • Le Great Firewall of China contrôle et censure l’expérience Internet des citoyens chinois, et dès 2013, 2 millions « d’analystes de l’opinion en ligne » censuraient manuellement les messages publiés sur Internet
  • Le « public opinion analysis software » collecte des données et réagit grâce à l’IA aux « contenus sensibles »
    • Des militants, journalistes et simples citoyens ayant critiqué la Chine en ligne ont été emprisonnés à de multiples reprises
    • « Insulter les héros et les martyrs » peut entraîner jusqu’à 3 ans de prison
  • Police Cloud est un système fondé sur le big data qui visualise des tendances et des relations cachées, cartographie les liens et enregistre les « opinions extrêmes »
  • La Chine collecte des empreintes vocales, a installé plus de la moitié du million de caméras de surveillance déployées dans le monde, et utilise non seulement la reconnaissance faciale mais aussi des technologies d’identification des émotions
  • Le documentaire Total Trust montre comment 4,5 millions de « grid officers » tiennent des registres du comportement des habitants zone par zone
    • Sharp Eyes combine les caméras de surveillance gouvernementales et les signalements de voisinage par des « volontaires »
    • Skynet surveille, via un vaste réseau de caméras, les rues, les abords du domicile des personnes classées comme cibles de surveillance, ainsi que les escaliers et les entrées d’immeubles
    • L’IA biométrique, comme la reconnaissance faciale, oculaire et vocale, ainsi que la surveillance du comportement en ligne, se combine aux déplacements dans le monde physique
  • Lors du 709 Crackdown en 2015, des centaines d’avocats spécialisés dans les droits humains ont été emprisonnés et torturés, et même ceux qui n’ont pas été incarcérés restent sous surveillance continue

La frontière entre surveillance de masse et société libre

  • Les États autoritaires utilisent la surveillance de masse comme outil de contrôle pour persécuter les opposants, censurer l’information et réprimer les manifestations
  • Les États démocratiques affichent moins ouvertement la surveillance de masse et ses conséquences y sont moins brutales, mais elle a aussi été utilisée pour surveiller des élections, des journalistes et des opposants
  • La surveillance de masse est un mécanisme de contrôle, à l’opposé de la liberté
  • Comme une société libre peut perdre ce qui fait d’elle une société libre au-delà d’un certain point, il faut mener le combat pour préserver un Internet libre

À lire aussi

1 commentaires

 
GN⁺ 5 시간 전
Réactions sur Hacker News

  • L’internet d’avant que le cliquet à sens unique ne se referme ressemble de plus en plus à un éclair en bouteille que les puissants ne veulent plus jamais voir se reproduire
    Ces dernières années, toutes les tendances ont pointé vers une centralisation autour d’un petit nombre de services, des espaces fermés semblables à des jardins clos, une structure où il faut renoncer à l’anonymat rien que pour naviguer, et des services fortement liés à l’État qui les héberge
    Les géants de la tech, en particulier, deviennent de fait une extension des agences de surveillance via des programmes comparables à PRISM
    Bientôt — ou déjà maintenant pour les moins chanceux — il sera impossible de parcourir internet sans autoriser explicitement le pistage de Google sur tous les sites accessibles via des appareils mobiles approuvés et surveillés en permanence par Google
    Les VPN commerciaux ne sont pas une solution ; ils ne font que repousser le problème, et ne feront au final que réduire le nombre de gens qui protesteront quand leur tour viendra
    Ils commenceront par exiger des fournisseurs une responsabilité stricte et une vérification de l’âge, puis finiront par interdire totalement les VPN qui ne se conforment pas aux règles

    • À l’inverse, même si les jardins clos sous surveillance se sont multipliés, la quantité totale de contenu a aussi augmenté
      J’ai l’impression de voir davantage de points de vue variés, et souvent anonymes, qu’aux débuts d’internet

  • Pour divulgâcher un peu, Singapour a déjà gagné cette compétition il y a plusieurs années
    Il y a des caméras partout et, plus encore, les citoyens singapouriens sont éduqués à se surveiller mutuellement pour éviter les comportements impolis
    Un article à ce sujet ici : https://gcctvms.com/smart-city-surveillance-singapore-camera...

    • Il nous faut une liste de pays à éviter
      Pour l’instant : le Royaume-Uni, la Chine et Singapour
      Cela dit, en voyage, il faut peut-être accepter une réduction de ses droits
    • Je préférerais vivre à Singapour plutôt qu’aux États-Unis n’importe quand
      Je pense qu’un certain niveau de surveillance et d’application de la loi est nécessaire
      Aux États-Unis, les gens pensent pouvoir tout faire sans conséquence au nom de leurs « droits donnés par Dieu »
      Il suffit de voir les déchets dans la rue, ou de dire à quelqu’un qu’il prend deux places de parking pour découvrir à quelle vitesse on peut se faire frapper au visage
      Je préfère des caméras et une application stricte de la loi à une société où tout le monde pense pouvoir faire ce qu’il veut
      J’ai vécu à Singapour, c’était excellent, très sûr et très propre, et je n’avais absolument aucune inquiétude à marcher seul au milieu de la nuit

  • Reddit a commencé à exiger un KYC depuis hier
    On pourra se plaindre et être tristes autant qu’on veut, Reddit s’y est très bien préparé et rien ne changera
    Retenez bien ce que je dis : d’ici environ deux ans, HN exigera aussi un KYC
    Pas parce que dang le souhaite, mais parce que le monde va dans cette direction

    • dang ne le voudra peut-être pas, mais son patron, lui, le voudra clairement
      Le président et CEO de YC, Garry Tan, a dit ceci à propos de son soutien à Flock : « Vous allez penser que c’est de la surveillance à la chinoise, mais une surveillance basée aux États-Unis aide les victimes et empêche qu’il y en ait davantage » [1]
      Les gens de la tech/du VC veulent cela. Parce que c’est là que sera l’argent
      [1] https://x.com/garrytan/status/1963310592615485955
    • On dit que « rien ne change même si on se plaint et qu’on est tristes », mais pour moi, arrêter Reddit a bien été un changement
    • Reddit n’exige pas le KYC parce qu’il en a envie ; il y est contraint par la loi
      On peut contourner ce KYC avec un VPN, en donnant par exemple l’impression de se connecter depuis un pays ou un État plus libre avec Mullvad ou IVPN
    • Ce qui est étrange, sur Reddit comme sur HN, c’est que je ne suis pas le client
      Je suis le produit
    • C’est ici que j’étais venu parce que c’était l’endroit disponible que je préférais
      Si je ne peux plus utiliser cet endroit, j’irai ailleurs

  • Les gouvernements ratissent large, mais dans l’ensemble cela semble viser la guerre froide en cours autour de l’influence étrangère et de l’espionnage
    Dans la plupart des pays, l’idée de s’en servir contre la criminalité est secondaire, et la vraie raison de l’adoption de tels systèmes est quelque chose que les gouvernements ont trop honte de dire tout haut
    Au Canada, il y a récemment eu deux omissions majeures : l’une concernait l’ingérence du gouvernement chinois dans les élections canadiennes, l’autre le meurtre sur le sol canadien d’un immigrant d’origine indienne par des espions indiens
    Tout cela peut mener à un élargissement des missions, mais au moins on pourra payer avec son visage

    • Les États-Unis essaient clairement d’abattre le mur entre surveillance intérieure et surveillance extérieure

  • Les VPN sont utiles, mais il est aussi compréhensible de vouloir bloquer beaucoup de VPN très promus en Amérique du Nord, car ils constituent une grande source d’attaques et d’abus
    Pour éviter d’être bloqués, ils passent même parfois des accords avec des fournisseurs d’accès résidentiels

    • BrightData, le plus grand acteur des proxys résidentiels, a installé cela sur des millions de smart TV fabriquées par Samsung et LG, sans que les personnes qui achètent et utilisent ces téléviseurs le sachent

  • Je suis assez d’accord avec ce message, mais dire que « même les employés du Pentagone ne peuvent pas espérer le respect de leur vie privée » n’a aucun sens
    Quand on entre, on accepte d’abandonner tout, y compris sa vie privée

  • Dans cinq ans, utiliser des scans de pièces d’identité volées comme outils de base de protection de la vie privée et de l’anonymat sera probablement aussi courant que l’usage d’un VPN aujourd’hui
    Quel monde formidable

  • Le Royaume-Uni va clairement gagner

  • Si vous ne fabriquez pas vous-même le silicium, vous êtes déjà possédé

  • La question intéressante est de savoir si les pays non occidentaux peuvent créer leur propre modèle de gouvernance d’internet, ni dirigé par les États-Unis ni calqué sur le grand pare-feu chinois
    Le domaine national de premier niveau .ng, c’est-à-dire le domaine nigérian, est un espace de noms réellement fonctionnel comme alternative au .com
    Internet était censé être décentralisé à l’origine
    L’avenir n’est peut-être pas une approche par bloc unique, mais une véritable gouvernance décentralisée