Les chiffres rendus publics hier par Google, Facebook et Microsoft montrent que le nombre de demandes émises par la Foreign Intelligence Surveillance Court (FISA) est en augmentation constante. Pour rappel, ce tribunal fédéral créé aux Etats-Unis en 1978 par le Foreign Intelligence Surveillance Act, permet au ministère américain de la Justice et aux agences de renseignement de faire de la surveillance électronique et d'avoir accès aux données privées des utilisateurs de services en ligne. Le rôle de cette cour apparaît au premier plan dans les révélations de l'ancien consultant de la NSA, Edward Snowden.

La FISA gère donc les demandes de mandats de surveillance pour les enquêtes effectuées par le ministère de la Justice et motivées par la sécurité nationale. Si les chiffres communiqués varient selon l'entreprise, tous indiquent que, ces dernières années, elle a requis l'accès aux contenus de plusieurs milliers de comptes utilisateurs. Au cours de la première moitié de 2013, la FISA a demandé à Google de livrer les contenus de 9000 à 9999 comptes, contre 8000 à 8999 pour le premier semestre 2012 et 7000 à 7999 pour le 1er semestre 2011. Mais elle avait fait entre 12 000 et 12 999 demandes au 2ème semestre 2013. Par ailleurs, la cour a demandé à Microsoft l'accès aux contenus de 15 000 à 15 999 comptes, contre 11 000 à 11 999 pour la seconde moitié de l'année 2011. Enfin, au cours du premier semestre 2013, elle a demandé à Facebook l'accès aux données de 5000 à 5999 comptes utilisateurs, contre 4000 à 4999 au cours de la seconde moitié de l'année 2012, comme l'indique le réseau social dans son rapport. Selon Facebook, ces contenus comprennent les messages privés, des documents, des photos ou des vidéos.

Les fournisseurs se veulent plus transparents

En publiant ces nouveaux chiffres, Google, Facebook et Microsoft essayent de se montrer plus transparents sur les demandes d'accès aux données de leurs utilisateurs faites par le gouvernement au nom de la sécurité nationale. « La publication de ces chiffres est un pas dans la bonne direction », a déclaré Richard Salgado, directeur juridique de Google, chargé de superviser l'application de la loi en matière de sécurité de l'information, dans un blog où sont publiées ces informations. Cependant, ces résultats ne permettent pas de savoir si l'augmentation des demandes est liée à l'intérêt croissant que les autorités de surveillance portent aux données stockées par ces entreprises ou si elle est liée à un usage plus important de leurs services. Hier, Yahoo et LinkedIn ont également publié les chiffres des demandes d'accès aux données utilisateurs faites par les instances gouvernementales au nom de la sécurité nationale. Yahoo a seulement déclaré qu'au cours de la première moitié de l'année 2013, la FISA avait demandé l'accès aux contenus de 30 000 à 30 999 comptes.

Il faut attendre six mois après la fin de chaque période de déclaration pour connaître le nombre de demandes émises par la FISA. C'est pourquoi les entreprises ne peuvent pas encore fournir leurs chiffres pour le second semestre 2013. Si l'on considère le nombre total d'abonnés à ces divers services - Facebook comptabilise plus de 1,2 milliard d'utilisateurs - on peut dire que la part des demandes ne concerne qu'une fraction d'entre eux. Néanmoins, ces chiffres permettent d'apprécier l'importance qu'accordent les autorités aux données numériques dans la protection de la sécurité nationale. Par contre, ils ne permettent pas de savoir à quelle hauteur les entreprises ont répondu favorablement aux demandes de la FISA. Un porte-parole de Facebook a déclaré que le réseau social ne pouvait pas révéler cette information. Et Microsoft a dit qu'il continuerait à contester les demandes qu'il juge insuffisantes sur le plan juridique.

Un accord avec le ministère de la Justice  

Facebook, Google, Microsoft et d'autres entreprises technologiques avaient déposé plainte pour obtenir du gouvernement le droit de livrer plus d'informations sur les demandes émises par le tribunal secret. La semaine dernière, elles ont obtenu satisfaction et ces chiffres sur les demandes de la FISA sont les premiers publiés depuis. L'accord passé avec le ministère américain de la Justice a été annoncé par le président Barack Obama. Il vise à offrir plus de transparence sur l'application de la loi, et notamment celle qui régit la sécurité nationale. Désormais, les entreprises technologiques peuvent distinguer le nombre de lettres émises au nom de la sécurité nationale (NSL pour National Security Letters) et celles émanant de la FISA, ce qui n'était pas le cas auparavant. Une entreprise peut également indiquer combien de demandes de la FISA concernent les contenus de comptes, et celles qui ne concernent que les demandes de noms d'abonnés par exemple. La semaine dernière, Apple avait livré ses nouveaux résultats pour marquer l'accord.

Contrairement aux demandes de la FISA, les NSL ne permettent pas d'accéder aux contenus des comptes. Elles sont utilisées par les agences de renseignement pour avoir accès aux noms des utilisateurs, à leurs adresses et connaître la durée pendant laquelle ils ont utilisé le service. Avant l'accord, une entreprise comme Facebook pouvait seulement déclarer que pour la première moitié de l'année 2013, le nombre total de comptes utilisateurs visés par les demandes de toute nature ne représentait que 1 %. Mais, même avec l'assouplissement des restrictions auxquelles elles sont soumises, la marge de manoeuvre des entreprises en termes d'information reste vague. Par exemple, elles doivent présenter leurs résultats par tranche de 1000, si elles choisissent de distinguer les demandes de la FISA et les lettres NSL. Ainsi, pour rendre compte des demandes d'accès à des données non assimilables à des contenus, émises par la FISA au cours de la première moitié de l'année 2013, Facebook a pu simplement préciser qu'elles concernaient entre 0 et 999 comptes utilisateurs.

Les entreprises ont déclaré qu'elles continueraient à plaider en faveur d'une réforme des pratiques de surveillance du gouvernement et pour une plus grande transparence sur les chiffres. Quant à Google, l'entreprise affirme qu'elle veut obtenir le droit de livrer des chiffres précis qui rendent compte des types de demandes et du nombre d'utilisateurs concernés.