A chaque nouvelle fuite, le monde en apprend un peu plus sur l’appareil de surveillance aussi massif que controversé de la National Security Agency américaine (NSA). Or, l’histoire de l’indispensable partenaire de ses opérations d’espionnage à l’échelle mondiale s’est perdue dans la tempête: c’est celle d’une unité du FBI obscure et clandestine qui, même pour une agence de surveillance, est d’une redoutable discrétion.
Lorsque les médias et les membres du Congrès affirment que la NSA espionne les Américains, ce qu’ils veulent dire en réalité c’est que le FBI l’aide à le faire en lui fournissant une infrastructure technique et juridique qui permet à la NSA, légalement supposée collecter des renseignements étrangers, d’opérer sur le sol américain.
C’est le FBI, agence chargée de faire respecter la loi américaine sur son sol, qui recueille des renseignements numériques auprès d’au moins neuf entreprises technologiques dans le cadre du système Prism de la NSA.
C’est le FBI qui a demandé à la Foreign Intelligence Surveillance Court [tribunal chargé de d’examiner les demandes de surveillance anti-terroristes] d’ordonner à Verizon Business Network Services, l’un des plus grands opérateurs de télécom des États-Unis pour les entreprises, de remettre les fadettes de millions de ses clients à la NSA.
Mais le FBI n’est pas seulement un garçon de courses pour la plus grande agence de renseignements américaine. Il gère ses propres opérations de renseignements d'origine électromagnétique et essaie de collecter d’énormes quantités de mails et de données sur Internet auprès de compagnies américaines —opérations que la NSA effectuait autrefois, pour lesquelles elles fut rappelée à l’ordre, et qu’elle déclare avoir abandonnées.
L'organisation «dit-tout»
Au cœur des activités de surveillance des renseignements d’origine électromagnétique du FBI se trouve une obscure organisation appelée la Data Intercept Technology Unit, ou DITU (prononcer dit-tout [sic]). La poignée d’articles qui l’a évoquée avant les révélations de la surveillance de la NSA cet été ne l’a généralement fait qu’en passant.
Elle a été à peine mentionnée lors des témoignages devant le Congrès. Une présentation PowerPoint de la NSA, remise aux journalistes par son ancien employé Edward Snowden, montre pourtant le rôle central de la DITU dans le système Prism de la NSA—elle apparaît sous la forme d’une case quelconque dans un graphique montrant comment la NSA«traite» les renseignements à collecter, rassemblés et livrés ensuite par la DITU.
Des interviews avec des responsables de police actuels et passés et des représentants du secteur technologique révèlent que ce service est l’équivalent pour le FBI de la National Security Agency, et qu’il est le principal moyen de liaison entre l’agence d’espionnage et nombre des plus importantes entreprises technologiques américaines comme Google, Facebook, YouTube et Apple.
La DITU est située dans un complexe tentaculaire, le Marine Corps Base Quantico en Virginie, abritant aussi le centre de formation du FBI et son Operational Technology Division qui gère l’ensemble de la collecte, du traitement et de la transmission des renseignements techniques du FBI. Sa devise: «Vigilance Through Technology [la vigilance par la technologie].»
La DITU est chargée d’intercepter les appels téléphoniques et les mails de terroristes et des cibles des services de renseignements étrangers à l’intérieur des États-Unis. Selon un haut fonctionnaire du ministère de la Justice, la NSA ne pourrait pas remplir sa mission sans l’aide de la DITU. Ce service travaille étroitement avec les «trois grandes» entreprises de télécommunications américaines —AT&T, Verizon et Sprint— pour intercepter les communications téléphoniques ou par Internet de ses cibles nationales, et permettre à la NSA d’intercepter les communications électroniques transitant par les États-Unis dans les câbles en fibres optiques.
Pour Prism, la DITU entretient l’équipement de surveillance qui capte ce que la NSA veut obtenir des entreprises technologiques américaines, notamment des mails archivés, des chats, des posts sur les réseaux sociaux et des appels téléphoniques par Internet. Elle transmet ensuite ces informations à la NSA qui les dirige vers d’autres services de l’agence pour qu’elles soient analysées et utilisées dans des rapports.
Après les révélations sur Prism dans le Washington Post et le Guardian, certains dirigeants d’entreprises technologiques ont prétendu ne rien savoir d’un quelconque programme de collecte géré par la NSA. Ce qui était peut-être vrai. Ces entreprises ont sans doute eu affaire uniquement à des responsables de la DITU, du FBI et du ministère de la Justice, expliquent des sources qui ont travaillé avec le service sur la mise en place des ordres de surveillance.
«La DITU est la principale interface avec les fournisseurs côté sécurité nationale» explique un représentant du secteur technologique qui a travaillé à plusieurs occasions avec elle. Elle s’assure que les compagnies téléphoniques, les services Internet et fournisseurs de boîtes mail respectent les lois sur la surveillance et délivrent les renseignements demandés par le gouvernement, dans le format souhaité. Et quand les compagnies ne s’y soumettent pas ou éprouvent des difficultés d’ordre technique, elles peuvent s’attendre à une visite des experts techniques de la DITU pour résoudre le problème.
Un logiciel de filtrage ultra efficace
La DITU a récemment participé à l’élaboration d’un logiciel de filtrage de données que le FBI voudrait voir installé sur leurs réseaux par les opérateurs de télécom et les fournisseurs d’accès Internet afin que le gouvernement puisse recueillir de grands volumes de données sur le trafic des mails et d’Internet.
Ce logiciel, appelé port reader, copie les mails à mesure qu’ils passent dans le réseau. Il les dissèque en un instant et ne garde que les métadonnées dont la collecte a été approuvée par un tribunal.
Ce n’est pas la première fois que le FBI construit ce genre de système. À la fin des années 1990 il avait mis en place le système Carnivore, que la DITU l’avait aidé à gérer, pour extraire les en-têtes des mails. Mais aujourd’hui le FBI ne se contente plus des métadonnées traditionnelles —à savoir l’expéditeur et le destinataire d’un message.
Le FBI veut obtenir rien moins que 13 champs d’informations distincts, selon un représentant du secteur. Parmi lesquels le chemin qu’emprunte un message dans un réseau, les adresses IP et les numéros de port utilisés pour traiter différents genres de communications entrantes et sortantes.
Ces deux dernières informations peuvent révéler la localisation physique d’un ordinateur —et éventuellement de son utilisateur— et le type d’applications et de système d’exploitation qu’il utilise. Ces renseignements peuvent s’avérer utiles pour les pirates du gouvernement qui veulent installer des logiciels espions sur l’ordinateur d’un suspect —mission secrète que la DITU aide aussi à mener à bien.
La DITU a imaginé le port reader après que les forces de l’ordre se sont plaints de ne pas obtenir suffisamment d’informations avec les mails et le trafic Internet. Le FBI a avancé qu’en vertu du Patriot Act, il a le droit de capter les métadonnées et n’a pas besoin d’un mandat pour le faire. Certains procureurs fédéraux vont devant les tribunaux pour obliger à l’adoption de port reader, explique le représentant du secteur technologique. Et quand une entreprise ne se soumet pas à l’ordonnance d’un tribunal, elle peut être accusée d’outrage à la justice.
Le FBI encore plus fans des métadonnées que la NSA
La quête des métadonnées d’Internet par le FBI présente une ressemblance frappante avec les tentatives de la NSA d’obtenir les mêmes informations. Après les attentats terroristes du 11-Septembre, l’agence a commencé à collecter des informations en vertu d’un décret secret signé par le président George W. Bush.
Des documents déclassifiés le 18 novembre par l’administration de Barack Obama montrent que l’agence s'était attiré les foudres de la Foreign Intelligence Surveillance Court après que cette dernière avait découvert que la NSA recueillait davantage de métadonnées que ne l’avait permis le tribunal. À en croire des représentants de l’administration, la NSA a abandonné le programme de collecte de métadonnées Internet en 2011.
Mais le FBI a poursuivi ses propres activités et recueilli plus de métadonnées que jamais. On ne sait pas exactement combien d’entreprises ont installé le logiciel de filtrage port reader, mais au moins deux compagnies résistent, arguant qu’étant donné que ce dernier capture les mails dans leur intégralité, contenu compris, le gouvernement a besoin d’un mandat pour obtenir les renseignements en question.
Le gouvernement oppose à cette résistance que les mails ne sont copiés que pendant une fraction de seconde et qu’aucun contenu ne lui est transmis, uniquement les métadonnées. Le port reader est également conçu pour collecter des informations sur la taille des paquets de communication et des flux de trafic, qui peuvent aider les analystes à mieux comprendre le schéma de déplacement des communications sur un réseau. On ne sait pas trop si ces données sont considérées comme des métadonnées ou du contenu: elles semblent tomber dans une zone de flou juridique, disent les experts.
* * *
La DITU gère également un système de surveillance sur mesure qui imagine ou élabore des systèmes capables d’intercepter des informations lorsque les entreprises ne peuvent le faire elles-mêmes. Aux tout débuts des réseaux sociaux, quand des compagnies comme LinkedIn et Facebook venaient juste de se lancer, le service travaillait avec les entreprises sur une solution technique permettant de capter des renseignements sur une cible spécifique sans intercepter en même temps d’informations sur les autres personnes avec qui la cible était reliée, comme des commentaires de posts, des photos partagées et des données personnelles d’autres profils, explique un expert en technologie informatique impliqué dans les négociations.
Les techniciens et ingénieurs qui travaillent à la DITU sont obligés de rester à l’affût des dernières tendances et développements de la technologie pour que le gouvernement ne se retrouve pas dans l’incapacité de puiser des informations dans un nouveau système. Beaucoup d’employés de la DITU travaillaient autrefois pour les compagnies de télécom qui doivent aujourd’hui appliquer les injonctions de surveillance gouvernementales, explique le représentant du secteur. «On y trouve de nombreuses personnes qui ont appris de l’intérieur comment fonctionnent les télécommunications. Le FBI dispose sûrement là de beaucoup trop de propriété intellectuelle au goût des opérateurs.»
Travail avec les géants du net pour mieux surveiller
La DITU est également intervenue pour s’assurer que le gouvernement conservait un accès constant aux dernières technologies commerciales. Selon le Guardian, elle a travaillé avec Microsoft pour «comprendre» les potentiels obstacles à la surveillance d’une nouvelle caractéristique d’Outlook.com permettant aux utilisateurs de créer des alias pour leur boîte mail.
À l’époque, la NSA voulait s’assurer qu’elle pouvait contourner le cryptage de Microsoft et conserver l’accès aux messages d’Outlook. Dans une déclaration au Guardian, Microsoft a affirmé: «Quand nous mettons à jour ou améliorons des produits, cela ne nous dispense pas de l’obligation de nous conformer aux exigences légales présentes ou à venir». C’est le travail de la DITU d’aider à faire en sorte que les entreprises s’y soumettent. Dans d’autres cas, elle s’adresse aux entreprises qui fabriquent les logiciels de surveillance et leur demande d’y intégrer certaines caractéristiques particulières, explique le représentant du secteur.
La DITU appartient à l’Operational Technology Division du FBI où travaillent des agents, des ingénieurs, des techniciens électroniques, des experts en informatique judiciaire et des analystes qui «soutiennent nos enquêtes et nos opérations d’envergure nationale les plus significatives grâce à une surveillance électronique sophistiquée, des techniques d’informatique judiciaire, une surveillance technique, des opérations tactiques et des capacités de communication» peut-on lire sur le site Internet du FBI.
Parmi ses capacités affichées publiquement figurent la surveillance de «technologies de communication filaires, sans fil et de réseaux de données»; la collecte de preuves numériques depuis des ordinateurs, comme des fichiers audio, des vidéos et des images; les techniques «d’anti-chiffrement» pour aider à casser les codes, et la gestion de ce que le FBI qualifie de «plus grand système de radiocommunication mobile terrestre des États-Unis».
L’Operational Technology Division est également spécialisée dans les «intrusions illégales» visant à installer secrètement des équipements de surveillance, ainsi que dans le piratage informatique que le site qualifie de «entrée furtive/capacité de recherche», opéré sous couvert de la loi et avec mandat.
Les cyberlimiers de l'ombre
Les experts technologiques de Quantico sont les cyberlimiers de l’ombre du FBI. «Si le travail (de la division) n’est généralement pas à la une des journaux, ses résultats se constatent dans le réseau de pédopornographie démantelé, le pirate informatique démasqué, l’attentat évité, le complot terroriste déjoué, et le haut fonctionnaire corrompu poursuivi» expose le site Internet.
À en croire des anciens policiers et experts du secteur technologique, la DITU est l’un des dispositifs les plus impénétrables et sophistiqués de Quantico. Le FBI a décliné la demande d’interview sollicitée par Foreign Policy à son sujet. Mais dans une déclaration écrite, un porte-parole du FBI a déclaré qu’elle «joue un rôle crucial en fournissant un savoir-faire technique, des services, des conseils sur sa politique et un soutien au FBI et à la communauté des renseignements en recueillant des preuves et des renseignements par le biais d’une surveillance électronique autorisée par la loi».
Outre Carnivore, la DITU a contribué à mettre au point les premiers outils de surveillance d’Internet du FBI comme CoolMiner, Packeteer et Phiple Troenix. Un ancien membre des forces de l’ordre a déclaré que la DITU avait aidé à construire le système d'enregistreur de frappe appelé Lanterne Magique du FBI, qui peut être installé sur un ordinateur et enregistrer en secret tout ce que tape son utilisateur. Ce système a été conçu pour espionner des criminels qui avaient crypté leurs communications. Il s’inscrivait dans un programme de surveillance plus large appelé Cyber Knight.
En 2007, Wired a dévoilé que le FBI avait mis au point un autre malware de surveillance pour remonter à la source d’une menace d’attentat à la bombe contre un lycée de Washington. Appelé «vérificateur d’ordinateur et d’adresse IP», il est capable de recueillir des informations telles les adresses IP, une liste de programmes installés sur un ordinateur contaminé, le système d’exploitation utilisé, l’adresse du dernier site Internet visité et le nom d’utilisateur. Ce malware est géré par la Cryptologic and Electronic Analysis Unit du FBI, installée juste à côté de la DITU à Quantico. Wired rapporte que les renseignements collectés par le malware depuis l’ordinateur hôte sont envoyés à Quantico par Internet.
La DITU a également déployé ce qu'un ancien membre des forces de l’ordre appelle des «balises» qui peuvent être implantées dans des mails et, lorsqu’elles sont ouvertes dans l’ordinateur d’une cible, enregistrent son adresse IP. Il a expliqué que ces balises ont d’abord été utilisées pour pister des kidnappeurs.
Vérification des opérations de la NSA
Ces derniers temps, l’une des plus importantes missions de la DITU a été de vérifier les opérations de surveillance, tout particulièrement dans le cadre du système Prism de la NSA, pour s’assurer que les entreprises fournissaient bien à l’agence d’espionnage les informations que le gouvernement a l’autorisation de se procurer.
La NSA est l’organisme qui sollicite le plus souvent les services de la DITU, expliquent plusieurs sources. Il existe une connexion directe par fibre optique entre Quantico et le siège de l’agence à Fort Meade, dans le Maryland; les données peuvent donc y être instantanément envoyées. Du point de vue des entreprises, l’endroit où les informations atterrissent importe peu, tant que le gouvernement dispose d’une décision de justice pour les obtenir.
«Le fait que les cibles viennent de la NSA ou que les résultats aillent à la NSA ne nous importe pas. Nous sommes obligés d’obéir. Nous n’en ferons pas plus que ce à quoi nous sommes tenus», affirme un représentant du secteur.
Mais le fait que la DITU serve d’intermédiaire est bénéfique en termes de relations publiques: les entreprises technologiques peuvent revendiquer —à raison— qu’elles ne fournissent aucune information sur leurs clients directement à la NSA, puisque c’est à la DITU qu’elles les remettent, qui à son tour les transmet à la NSA.
Absence du FBI dans le scandale
Mais dans la réaction du gouvernement à la controverse née autour de ses programmes de surveillance, l’absence des représentants du FBI crève les yeux. Robert Mueller, qui a quitté ses fonctions à la tête du FBI en septembre dernier, n’a témoigné que deux fois devant le Congrès sur des affaires de surveillance et c’était en juin, avant que beaucoup des documents de la NSA ne soient révélés aux médias par Snowden.
Le 14 novembre, James Comey a témoigné pour la première fois au Congrès en tant que nouveau directeur du FBI, et il n’a pas été interrogé sur l'implication du FBI dans des opérations de surveillance attribuées à la NSA. Le procureur général Eric Holder a fait peu de commentaires publics sur la surveillance (son adjoint a témoigné plusieurs fois).
L’ancien membre des forces de l’ordre estime que Holder et Mueller auraient dû dans leur témoignage expliquer comment le FBI travaille avec la NSA. Il se dit inquiet des rapports faisant état que la NSA ne s'est pas conformée à ses propres procédures de «minimisation» [visant à réduire au minimum la collecte d’informations] que le ministère de la Justice et le FBI examinent et dont ils se portent garants lorsqu’ils soumettent des requêtes à la Foreign Intelligence Surveillance Court.
«Là où ils n’ont pas fait ce qui avait été présenté à la cour, c’est impardonnable. C’est ça qui m’a rendu malade» explique l’ancien membre des forces de l’ordre.
«La position du gouvernement c’est: on va devant la cour, on applique la loi —tout cela est approuvé. Et ça marche très bien jusqu’à ce qu’on découvre que ce qui a été approuvé n’est pas du tout ce qui a été fait en réalité.»
Shane Harris
Traduit par Bérengère Viennot
