Mardi, l’agence Reuters a révélé que les services de renseignement américains avaient obtenu de Yahoo qu’il installe un script sur son service Yahoo Mail pour détecter automatiquement tous les messages contenant une certaine chaîne de caractères, pour en transmettre une copie aux autorités. Cet espionnage massif que n’a pas contesté Yahoo a créé des soubresauts en interne avec la démission de l’ancien directeur de la sécurité Alex Stamos, mais il n’a pas ému les actionnaires qui n’ont pas craint de réaction négative des utilisateurs (ce jeudi, l’action continuait d’ailleurs de grimper). Sans doute n’ont-ils pas craint non plus de réaction très dommageable des autorités européennes.
En France, la Cnil n’a pour le moment rien dit, mais son homologue irlandais a annoncé l’ouverture d’une enquête. « Toute forme de surveillance de masse violant les droits fondamentaux de citoyens européens serait une cause de grave inquiétude », a déclaré le Commissaire irlandais à la protection des données, cité par Le Monde. Depuis 2014, c’est en effet en Irlande qu’est centralisée toute la vie privée des utilisateurs de Yahoo en Europe.
Ils ont donc demandé à Yahoo d’ouvrir toutes les enveloppes de tous les courriers reçus, de les lire
Selon Reuters, plusiueurs députés européens ont également demandé à la Commission européenne de s’emparer du sujet. Ce pourrait être un dossier pour Giovanni Buttarelli, le Superviseur européen à la protection des données personnelles. La révélation du programme de surveillance massive des e-mails envoyés vers les boîtes Yahoo intervient en effet au moment où la Commission vient de valider le Privacy Shield, justement critiqué pour son manque de garanties contre les services de renseignement américains.
Selon le New York Times, la demande est venue du FBI, et a été validée par un juge qui a estimé que les mots clés recherchés par les services fédéraux étaient suffisamment spécifiques à un groupe terroriste étranger. Les enquêteurs auraient découvert que des membres de cette organisation communiquaient via des adresses Yahoo, avec dans les courriels une chaîne de caractères « fortement unique », mais sans savoir quelles étaient toutes les adresses Yahoo concernées. Ils ont donc demandé à Yahoo d’ouvrir toutes les enveloppes de tous les courriers reçus, de les lire, et de mettre de côté ceux qui contenaient cette fameuse chaîne « fortement unique », ce que Yahoo a accepté de faire — sans doute parce que le tout est automatisé par des robots, ce qui rendrait la chose éthiquement plus acceptable.
Un consentement vaste mais existant
Juridiquement, les poursuites européennes contre Yahoo pourraient toutefois être compliquées. La politique de vie privée de Yahoo stipule que la firme peut partager des données personnelles « pour répondre aux assignations, aux injonctions d’un tribunal, aux procédures judiciaires ou à toute autre requête adressée par les autorités compétentes auxquelles Yahoo doit se soumettre ». Elle s’autorise aussi à le faire « pour divulguer, lorsque nous estimons que cela est nécessaire, ces informations afin d’enquêter, prévenir ou prendre des mesures à l’encontre des activités illégales, des fraudes suspectées, des situations impliquant des menaces potentielles pour la sécurité physique des personnes, des violations des conditions d’utilisation de Yahoo, ou au titre d’autres exigences prévues par la loi ».
Dès lors, le consentement étant acquis, l’utilisateur peut uniquement contester l’éventuelle disproportion de la mesure. Or c’est là tout le débat qui a lieu aux États-Unis. « Nous interprétons de manière étroite toute requête gouvernementale de données d’utilisateurs pour minimiser la divulgation », assure Yahoo dans un communiqué. L’entreprise juge « trompeur » de parler d’une surveillance de masse s’agissant d’une détection de mots clés très spécifiques par son système antispam. « Le scanning des courriers électroniques décrit dans l’article [de Reuters] n’existe pas dans nos systèmes ».
La défense est à peu près la même que celle de Bernard Cazeneuve en France, lorsqu’il contestait que les « boîtes noires » de la loi Renseignement soient de la surveillance de masse, parce qu’elles s’intéresseraient à des signaux caractéristiques très ciblés.
Le travail des autorités européennes consistera donc à vérifier, le cas échéant, que le système mis en place par le FBI est bien limité à une signature « fortement unique ». Mais l’on voit mal comment les Cnil européennes pourraient aller enquêter aux États-Unis et obtenir copie de leur code source.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !