Quelles données utilisateur les autorités policières fédérales américaines peuvent-elles obtenir des fournisseurs de services de messagerie cryptée ?
Un document du Federal Bureau of Investigation (FBI) de janvier 2021, récemment divulgué, fournit un résumé concis concernant neuf applications différentes de "messagerie sécurisée". Il montre qu'avec une procédure légale, le FBI peut obtenir différents types de métadonnées et, dans certains cas, même le contenu des messages stockés. La nature exacte des données disponibles varie toutefois considérablement d'une application à l'autre. Ce document d'une page devrait fournir des indications utiles aux personnes soucieuses de la protection de la vie privée, notamment les journalistes, les dénonciateurs et les militants, tout en contribuant à dissiper les idées fausses sur les capacités de surveillance du FBI (ou leur absence) dans le contexte de la messagerie cryptée. Nous félicitons l'organisation à but non lucratif Property of the People (POTP), dirigée par le "gourou de la liberté d'information" Ryan Shapiro et l'infatigable avocat Jeffrey Light, d'avoir obtenu ce document en vertu de la loi sur la liberté d'information (Freedom of Information Act).
Daté du 7 janvier 2021, le document indique qu'il reflète les capacités du FBI en novembre 2020. Les applications incluses dans le tableau sont iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (propriété de Meta, alias Facebook), et Wickr (qui a été acquis par AWS en juin). La plupart de ces applications - iMessage, Signal, Threema, Viber, WhatsApp et Wickr -chiffrent les messages de bout en boutpar défaut. Telegram utilise le chiffrement de bout en bout (E2EE) par défaut dans certains contextes, mais pas dans d'autres. L'E2EE est activé par défaut dans les nouvelles versions de LINE, mais il se peut qu'il ne soit pas activé dans les clients plus anciens. Enfin, WeChat, propriété du géant chinois Tencent, ne prend pas du tout en charge le chiffrement de bout en bout (uniquement le chiffrement client-serveur). Cet écart peut expliquer pourquoi le document qualifie les applications de "sécurisées" au lieu de "E2EE".
Quelles données utilisateur le FBI peut-il obtenir ?
Le tableau met en évidence les variations dans la quantité de données que les différents services collectent et conservent sur les utilisateurs et leurs communications - et par conséquent, les données qu'ils fourniront aux autorités chargées de l'application de la loi sur la base d'un mandat, d'une assignation ou d'une décision de justice valide. (Pensez, par exemple, à un mandat demandant "tous les enregistrements" en possession d'un fournisseur concernant un utilisateur : plus il conserve d'informations sur ses utilisateurs, plus il peut être tenu de les fournir aux services répressifs). Cela va des informations minimales disponibles chez Signal et Telegram, aux informations de base sur les abonnés et autres métadonnées que plusieurs services divulguent au FBI, en passant par le contenu "limité" des messages stockés par trois des neuf applications : LINE (qui, comme nous l'avons dit, prend toujours en charge les chats non E2EE), iMessage et WhatsApp.
Cette dernière partie peut surprendre certains utilisateurs d'iMessage et de WhatsApp, étant donné qu'il s'agit de la messagerie E2EE. Il est vrai que l'E2EE rend les messages des utilisateurs inaccessibles aux forces de l'ordre pendant leur transit, mais il en va différemment pour le stockage en nuage. Si un utilisateur d'iMessage a activé les sauvegardes iCloud, une copie de la clé de chiffrement est sauvegardée avec les messages (à des fins de récupération) et sera divulguée dans le cadre de la demande de mandat d'Apple, ce qui permettra de lire les messages. Les messages WhatsApp peuvent être sauvegardés sur iCloud ou Google Drive, de sorte qu'un mandat de perquisition visant l'un de ces services de cloud computing peut permettre de retrouver des données WhatsApp, y compris le contenu des messages (bien qu'un mandat de perquisition visant WhatsApp ne permette pas de retrouver le contenu des messages). (WhatsApp a récemment commencé à déployer l' option de sauvegardes de messages E2EE dans le nuage, ce qui rend le tableau du FBI légèrement obsolète).
Bien qu'il soit possible de rassembler certaines des informations contenues dans le tableau en parcourant la documentation publique des fabricants d'applications et les registres criminels des tribunaux, le FBI a commodément rassemblé ces informations sur une page d'un seul coup d'œil. Il s'agit peut-être d'une vieille nouvelle pour vous, si vous connaissez la loi régissant la confidentialité des communications électroniques et les nuances techniques de l'application de messagerie cryptée que vous avez choisie. C'est peut-être le cas d'un grand nombre de lecteurs de Just Security et de journalistes spécialisés dans la surveillance gouvernementale, mais cela ne reflète probablement pas le modèle mental de l'utilisateur moyen concernant le fonctionnement d'un service de messagerie E2EE.
Le tableau révèle également des détails dont les fabricants d'applications ne parlent pas franchement, voire pas du tout, dans leurs directives publiques sur les demandes des autorités policières. Avec un mandat, WhatsApp divulguera quels utilisateurs de WhatsApp ont l'utilisateur cible dans leur carnet d'adresses, ce qui n'est pas mentionné sur la page d'information de WhatsApp relative à l'application de la loi. Apple fournira 25 jours de recherches iMessage à destination et en provenance du numéro cible, qu'une conversation ait eu lieu ou non, ce qui est décrit dans les lignes directrices d'Apple relatives à l'application de la loi, mais qu'il faut creuser un peu pour comprendre, car ni le FBI ni Apple n'expliquent ce que cela signifie en langage clair. Dans chaque cas, l'entreprise divulgue une liste de ses autres utilisateurs qui possèdent les coordonnées de l'utilisateur ciblé, que ce dernier ait ou non communiqué avec eux. (Si d'autres services de messagerie ont l'habitude de divulguer des informations similaires, cela n'apparaît pas dans le tableau). Ces détails soulignent l'étendue de la loi américaine sur la surveillance électronique, qui permet aux enquêteurs d'exiger tout "enregistrement ou autre information concernant un abonné [cible]" en réponse à une ordonnance 2703(d) ou à un mandat de perquisition. Bien qu'Apple et Meta se soient tous deux battus pour la protection de la vie privée des utilisateurs contre les demandes excessives du gouvernement, la loi rend néanmoins un grand nombre de données d'utilisateurs accessibles.
Perception erronée de la confidentialité des messages
En résumé, il n'est pas facile pour le commun des mortels de comprendre précisément quelles informations provenant de leurs applications de messagerie pourraient se retrouver entre les mains d'enquêteurs fédéraux. Non seulement les applications n'ont pas toutes les mêmes propriétés, mais les fabricants d'applications n'ont pas vraiment intérêt à être directs sur ce point. Comme le montre le graphique du FBI, le marché des applications de messagerie gratuites et sécurisées est un domaine gravement encombré et concurrentiel. Les fournisseurs veulent donner aux utilisateurs actuels et potentiels l'impression que leur application est la meilleure en matière de sécurité et de protection de la vie privée, que l'utilisateur soit préoccupé par des pirates malveillants, par les gouvernements ou par le fournisseur lui-même. Les fournisseurs ont appris à se méfier de l'exagération des propriétés de sécurité de leur service, mais ils parient que les textes de marketing retiendront davantage l'attention que les livres blancs techniques ou les rapports de transparence.
À cet égard, les motivations des fabricants d'applications sont alignées sur celles du FBI. Étant donné que le FBI mène depuis des années une campagne contre le chiffrement, il fait un drôle de ménage avec les fournisseurs de services chiffrés qu'il a condamnés nommément dans des discours publics. Mais les fournisseurs de services et le FBI bénéficient tous deux d'une idée reçue qui sous-estime les données des utilisateurs accessibles aux enquêteurs à partir de certains services E2EE. Cette méprise permet à la fois de préserver l'image des fournisseurs aux yeux des utilisateurs soucieux de la protection de leur vie privée et d'étayer la thèse du FBI selon laquelle les enquêtes criminelles se déroulent dans l'obscurité en raison du chiffrement.
Bien que ce malentendu puisse aider les enquêteurs des forces de l'ordre, il peut avoir des conséquences importantes pour leurs cibles. Le choix d'un service de communication est déterminant non seulement pour les criminels ordinaires, mais aussi pour les journalistes et leurs sources, les lanceurs d'alerte et les activistes.
Comme l'indique l'article de Rolling Stonesur le dossier du FBI, les métadonnées de WhatsApp ont joué un rôle essentiel dans l'arrestation et la condamnation de Natalie Edwards, une ancienne fonctionnaire du département du Trésor des États-Unis qui a divulgué des documents internes à un journaliste avec lequel elle a échangé des centaines de messages sur WhatsApp. Natalie Edwards (et probablement aussi le journaliste, qui avait envers elle un devoir éthique de protection des sources) pensait que WhatsApp était sûr pour les communications entre journalistes et sources. Ce malentendu a coûté sa liberté à Mme Edwards.
La réalité derrière le mythe
Grâce à la FOIA et à ses disciples zélés de POTP, le public peut désormais consulter le document interne du FBI qui résume parfaitement la réalité derrière le mythe. Il montre qu'en dépit de ses prétentions à l'obscurité, le FBI peut obtenir une quantité remarquable de données d'utilisateurs à partir d'applications de messagerie qui comptent collectivement plusieurs milliards d'utilisateurs dans le monde. (La possibilité de vérifier les déclarations publiques du gouvernement par rapport à ses déclarations internes est l'une des raisons pour lesquelles l'accès public aux documents gouvernementaux, la raison d'être de POTP, est si crucial). Il montre le rôle que jouent le stockage dans le nuage et les métadonnées pour atténuer l'impact du chiffrement de bout en bout sur la surveillance des communications en temps réel. Elle montre également que les services de messagerie E2EE les plus populaires ne savent pratiquement rien de leurs utilisateurs.
Si les utilisateurs pensent que les applications chiffrées qu'ils utilisent ne conservent pas beaucoup d'informations à leur sujet, le graphique du FBI montre que cette croyance est largement fausse. À quelques exceptions près, la plupart des grands services de messagerie E2EE transmettent toutes sortes de données aux autorités fédérales chargées de l'application de la loi, et les sauvegardes dans le nuage peuvent même permettre de divulguer les messages stockés envoyés sur deux des plus grandes applications de messagerie E2EE. Même si rien ou presque de ce que contient le document n'est vraiment nouveau, il est toujours utile de le voir exposé de manière aussi succincte en une seule page. Si la confidentialité des messages vous préoccupe, utilisez ce tableau (ainsi que les guides sur la confidentialité et la sécurité spécifiques à votre situation, par exemple pour le journalisme ou les manifestations) pour vous aider à choisir l'application qui vous convient le mieux, et partagez-le avec les personnes avec lesquelles vous discutez. Vous pourrez ainsi décider en toute connaissance de cause quelle(s) application(s) conserver (et quelle(s) laisser de côté).
