Pour mener leurs opérations de surveillance massive, les agences américaines s’appuient sur le Foreign Intelligence Surveillance Act (FISA) qui est une loi adoptée par le Congrès américain et qui détaille les procédures des surveillances physiques et électroniques ainsi que la collecte d’informations sur des entités étrangères. Cette loi tire ses origines des décisions prises par George W. Bush après les attentats des tours jumelles le 11 septembre 2001.
Après que les États-Unis furent frappés par les attentats terroristes en 2001, le président George W. Bush a autorisé l’agence de sécurité nationale américaine à mener un programme de surveillance terroriste (TSP) pour intercepter les communications internationales liées aux membres de l’organisation terroriste d’al-Qaïda et d’autres organisations terroristes à l’intérieur et à l’extérieur des États-Unis. Après la fin du TSP en 2007, le Congrès a adopté la loi Protect America Act qui a défini un mécanisme de renseignement sur une personne vivant en dehors des États-Unis et qui exige une certification conjointe du directeur du renseignement national (DNI) et du procureur général (AG), mais sans ordonnance judiciaire pour chaque action de renseignement entreprise.
Après l’expiration de cette autorité temporaire le 16 février 2008, le Congrès a voté dans la même année la loi Foreign Intelligence Surveillance Act (FISA) afin de séparer les procédures pour personnes vivant aux États-Unis et celles vivant à l’extérieur de ce pays. Cette disposition est apparue sous le titre VII de l’article 702 de la loi FISA et a été reconduite tout juste avant fin de l’année 2012.
Toutefois en 2015, le Congrès a voté la loi USA FREEDOM Act pour réautoriser et modifier diverses parties de la FISA. Même si la plupart des modifications traitaient de parties sans lien avec l’article 702, cet amendement a donné la possibilité de poursuivre la surveillance d’une personne non américaine pendant 72 heures après que la cible a raisonnablement été jugée aux États-Unis. Cette disposition est conditionnée par le fait qu’un relâchement dans la surveillance de la cible entrainerait une menace de mort ou de lésions corporelles graves.
Avec de telles dispositions de la loi FISA, il est clair que la porte est ouverte au gouvernement pour exiger toutes sortes d’informations sous le motif d’une enquête judiciaire en cours sur une personne. Aussi, avec les entraves rencontrées par les agences de renseignements américaines avec les applications et systèmes chiffrés de bout en bout, le sénateur Ron Wyden des États-Unis a eu à interroger des représentants du gouvernement en juillet dernier sur plusieurs sujets y compris celui du chiffrement.
Il faut souligner que le sénateur Wyden est connu depuis de longues dates pour ses positions tranchées et son franc-parler lorsqu’il s’agit de dénoncer les dérives causées par les lois qui donnent plein pouvoir au gouvernement de surveiller les Américains et les étrangers.
À la question de savoir si l’article 702 autorise le gouvernement à forcer un fournisseur à contourner ou affaiblir le chiffrement d’un fichier dans un service ou une application qu’il offre et si cela s’est déjà produit, les représentants du gouvernement américain ont répondu que l’article 702 (h) de la loi FISA prévoit que, en ce qui concerne une autorisation en vertu de l’article 702 (a), le procureur général et le directeur du renseignement national peuvent ordonner, sous forme de directive écrite, à un fournisseur de services de communications électroniques de fournir au gouvernement toutes les informations, les installations ou l’assistance nécessaires pour acquérir des informations.
Dans la mesure où un fournisseur ne fournit pas entièrement de telles informations, installations ou assistance, la FISA fournit un moyen pour le gouvernement d’exiger la conformité du fournisseur. En particulier, le procureur général peut déposer une requête en vue d’obtenir une ordonnance obligeant le fournisseur de services de communications électroniques à se conformer à la directive et cela auprès de la Foreign Intelligence Surveillance Court (FISC également appelé FISA Court) qui sera compétente pour examiner une telle requête.
Et concernant la question du sénateur sur le chiffrement, les représentants des agences de sécurité américaine ont répondu que la nature de l’information, les installations ou l’assistance nécessaires pour effectuer du renseignement peut varier selon les fournisseurs, les services et les technologies. À ce jour, le gouvernement n’a pas cherché à obtenir un ordre en vertu de l’article 702 (h) (5) visant à contraindre un fournisseur de services de communication électronique à modifier le chiffrement mis en avant par un service ou un produit qu’il offre.
À travers cette réponse, le gouvernement indique qu’il peut exiger à une entreprise d’affaiblir son chiffrement par tout moyen y compris des portes dérobées même s’il n’a jamais eu besoin de recourir au FISC pour obliger une entreprise à le faire. Mais ce que le gouvernement ne dit pas, c’est s’il existe des applications avec des portes dérobées intégrées afin de se soumettre aux exigences du gouvernement. Et quelles sont ces applications ? Il convient de souligner par ailleurs que les agences américaines du renseignement ont à leur disposition plusieurs moyens pour obtenir l’information souhaitée. Elles peuvent soit utiliser des outils internes, soit se tourner vers des partenaires sur son sol comme des entreprises ou d’autres privés ou encore des agences d’autres pays.
L’année dernière, le FBI s’est appuyé sur le All Writs Act, une loi différente de la FISA, pour demander une ordonnance du tribunal afin de forcer Apple à modifier son système sur l’iPhone d’un terroriste pour déchiffrer les données de l’appareil.
Cet article 702 qui suscite de nombreuses vagues protestations aux États-Unis a déjà fait l’objet de plaintes devant la Cour suprême pour motif de violation du 4eamendement de la Constitution américaine. Mais en 2013, la Cour Suprême a rejeté les plaintes prétextant que les arguments présentés ne sont pas suffisants pour abroger cette loi. Au niveau des entreprises, les plaintes se situent au niveau du fait que si l’assistance demandée par le gouvernement à une entreprise aux États-Unis exige une directive écrite provenant du procureur général et du directeur du renseignement national, elle n’exige toutefois pas une description précise de l’assistance requise.
Cette loi de surveillance doit prendre fin le 31 décembre prochain. Le Congrès devra donc sortir une nouvelle loi avant cette date sinon le gouvernement risque de se retrouver sans pouvoir au premier jour de la nouvelle année. Plusieurs projets de loi sont en train d’être analysés par les membres du Congrès. Wyden qui siège au Comité sénatorial du renseignement, s’est opposé le mois dernier au projet d’amendement de la loi FISA proposé par le comité en soulignant qu’il manque de nombreuses réformes et « laisse en place l’autorité statutaire actuelle de contraindre les entreprises à fournir de l’aide, ouvrant potentiellement la porte au décryptage mandaté par le gouvernement sans la supervision de la FISA Court ». Wyden de son côté a présenté son propre projet de loi qui exige que le gouvernement obtienne l’accord du FISC pour toute demande d’assistance faite à une entreprise.
