Pour gérer vos consentements :

Espionnage des e-mails : Yahoo pouvait-il refuser d’aider la NSA ?

Des programmes comme Prism, qui a vu de grands industriels de la high-tech collaborer activement à la collecte de données de la NSA, ne se sont pas arrêtés avec les révélations d’Edward Snowden. Selon Reuters, Yahoo a mis secrètement au point, l’année dernière, un logiciel permettant d’effectuer des recherches dans les e-mails reçus par ses clients à la demande des renseignements américains. Selon quatre sources anonymes – dont trois anciens employés du portail –, la firme américaine a développé ce programme secret de recherche dans les comptes Yahoo Mail afin de se conformer à une requête officielle du gouvernement américain.

Marissa Mayer.

Peu de détails ont été donnés sur la nature du programme secret mis au point par Yahoo. Tout juste sait-on qu’il pioche dans les mails arrivant sur les comptes gérés par le portail – et non dans ceux stockés par les utilisateurs – et qu’il fonctionne sur la base de séries de caractères transmis par la NSA ou le FBI (une phrase, un nom de fichier…).  Selon deux sources citées par nos confrères, la décision de la Pdg de Yahoo, Marissa Mayer, de se conformer à la requête du gouvernement américain a soulevé des oppositions en interne et a abouti au départ d’Alex Stamos, le RSSI, en juin 2015. Les équipes de sécurité n’auraient pas été informées, ni de la décision de la direction de se plier aux injonctions du gouvernement, ni même de l’installation du logiciel espion. Un programme qu’elles auraient découvert en mai 2015, des semaines après son installation, et qu’elles ont d’abord interprété comme l’œuvre de hackers. Alex Stamos a depuis été recruté par Facebook.

Google et Microsoft sortent le parapluie

Cette demande des services de renseignement US – visant à repérer des messages arrivant en temps réel – a probablement également dû parvenir à d’autres fournisseurs, estiment les experts interrogés par Reuters. Pourtant, Google dément avoir été la cible d’une telle requête : « Nous n’avons jamais reçu une demande de ce type ; et si cela avait été le cas, notre réponse aurait été simple : en aucun cas », assure un porte-parole de Google interrogé par l’agence de presse. Sans préciser s’il a été approché par le gouvernement pour une requête de cette nature, Microsoft assure de son côté « n’avoir jamais participé à une analyse secrète du trafic e-mail telle que celle décrite aujourd’hui à propos de Yahoo ».

La décision de Marissa Mayer de se plier à la demande pourrait être liée à un précédent combat judiciaire perdu par Yahoo en 2007. Le portail avait alors tenté de s’opposer à une requête du gouvernement portant sur des recherches associées à des comptes mails spécifiques, sans mandat d’un juge. Selon les sources anonymes de Reuters, Marissa Mayer et la direction de l’entreprise ont décidé de se plier à la nouvelle requête (dite FISA pour Foreign Intelligence Surveillance Act, un texte de loi de 2008) des services de renseignement, pensant ne pas avoir les armes légales nécessaires pour la contester en justice.

Chiffrer… et collaborer avec la NSA ?

De facto, des experts juridiques interrogés par nos confrères soulignent que, pour les opérateurs télécoms, la collecte de données basée sur la recherche d’un terme spécifique a été jugé légale. Et que la même logique devrait donc s’appliquer aux entreprises du Web.

Ancien avocat de la NSA, Stewart Baker considère d’ailleurs la demande du gouvernement comme logique : pour lui, les fournisseurs d’e-mails « sont désormais en mesure de chiffrer l’ensemble des communications ; ce qui signifie que de nouvelles responsabilités leur incombent, comme celle de réaliser une partie du travail auparavant pris en charge par les agences de renseignement ». Dans les colonnes d’IDG News Service, Michael Sutton, le directeur de la sécurité de Zscaler (une entreprise spécialisée en cybersécurité), fait le même constat : selon lui, comme les agences de renseignement ne parviennent pas à casser le chiffrement, « elles n’ont pas d’autre choix que de monter des partenariats avec les fournisseurs de services. Je pense que nous allons voir d’autres programmes du type de celui de Yahoo, car le renseignement ne peut plus travailler seul ».

A lire aussi :

NetBotz, une backdoor de la NSA pour espionner les européens

Piratage de l’Elysée en 2012 : le coup venait bien de la NSA

Crédit photo : Neon Tommy via Visual Hunt / CC BY-SA

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

2 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

3 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

5 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

7 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

21 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

23 heures ago