"Il y avait déjà eu cette allégation selon laquelle la NSA s'introduisait dans les serveurs de Yahoo! et Google, mais c'est faux." Le général Keith Alexander, directeur de la NSA, a beau rappeler sans cesse la bonne foi de ses services, un intrigant schéma, dessiné sur un post-it jaune classé secret-défense, semble prouver le contraire. Dévoilé par le Washington Post, le document, provenant des éléments récoltés par l'ex-consultant de la NSA Edward Snowden, explique, tout en pédagogie, comment l'Agence américaine a infiltré, puis contourné le système de sécurité de Google pour s'approprier des millions de données.
Source : Washington Post
Au centre de son schéma, l'employé dessinateur de la NSA fait figurer le serveur Google GFE, interface entre les internautes et leurs données stockées via les applications du géant américain (messagerie Gmail, Google documents...) Il montre qu'en déjouant le SSL de Google (protocole de sécurisation des informations échangées sur Internet), on peut accéder aux données des internautes non cryptées. L'homme ne cache d'ailleurs pas sa fierté et appose un sarcastique smiley en signe de victoire. Selon le Washington Post, ce serait de cette manière que la NSA se serait introduite pour récupérer des données.
181 millions d'éléments récoltés
Pour s'infiltrer dans les centres de stockage de données Google et Yahoo!, la NSA a donc piraté, avec l'aide des services de renseignements britanniques (GCHQ), les flux de données de plusieurs millions d'utilisateurs circulant dans les milliers de kilomètres de fibre optique reliant les serveurs des entreprises du Net à travers le monde.
Ces interceptions mises en oeuvre par la NSA auraient eu lieu en dehors des États-Unis, grâce à un fournisseur d'accès internet dont le nom n'est pas révélé, semblent suggérer les documents évoqués par le Washington Post. Un graphique laisse ainsi penser que l'interception aurait eu lieu entre les sites internet eux-mêmes et les serveurs délocalisés de Google. Agir en dehors des États-Unis permettrait à la NSA d'avoir plus de latitude que dans le pays, où des décisions de justice seraient nécessaires pour ces actions, selon le quotidien américain.
Connu sous le nom de "Muscular", ce programme d'espionnage aurait permis aux renseignements américains de récolter, selon un document du Washington Post daté du 30 janvier 2013, près de 181 millions d'éléments au cours des 30 jours précédents - allant de métadonnées sur des e-mails à des éléments de texte ou des documents audio ou vidéo.
"Besoin d'une réforme urgente"
Devant ce nouveau scandale, les deux entreprises se sont contentées de réagir médiatiquement. Les représentants de Google, par la voix de leur responsable juridique David Drummond, se sont dits "scandalisés par l'étendue de ces interceptions menées par le gouvernement à partir de [leurs] propres réseaux privés de fibre [optique]", avant de rappeler le "besoin d'une réforme urgente".
Yahoo! a expliqué pour sa part ne jamais avoir "donné accès à ces centres [d'hébergement de données], ni à la NSA, ni à aucune autre agence gouvernementale", rappelant au passage - pour rassurer ses utilisateurs - que des "contrôles très stricts" afin de protéger les données avaient été mis en place.
Ces révélations relancent pourtant la polémique sur les possibles liens entre les entreprises d'Internet et les renseignements américains. En août dernier déjà, en se basant sur des documents d'Edward Snowden, le quotidien britannique The Guardian avait révélé une probable collaboration de Facebook, Google, Microsoft et Yahoo!, notamment au programme de surveillance américain Prism. Une collaboration dédommagée à hauteur de plusieurs millions d'euros par la NSA.
Quentin Raverdy