En mars 2018, le Congrès américain a adopté le CLOUD Act, qui s'attaque à un problème croissant pour les forces de l'ordre nationales et internationales, les opérateurs de services Internet (tels que Microsoft) et les gouvernements nationaux. L'acronyme de la loi signifie Clarifying Overseas Use of Data Act et les mots du titre de la loi ont été bien choisis. Nombreux sont ceux qui n'ont pas entendu parler du CLOUD Act, ni des questions qui ont motivé la législation, ni de ce que la loi prévoit ou de la manière dont elle doit être mise en œuvre. Dans cet article de blog, j'aborderai ces sujets et d'autres encore. Commençons donc par le commencement.
Facteurs ayant conduit à l'adoption de la loi CLOUD
Cryptage
Une discussion sur l'impact du chiffrement sur le renseignement légal et la nécessité du CLOUD Act doit commencer par BlackBerry. En 2005, BlackBerry Messenger a été lancé. Il a été conçu pour permettre aux utilisateurs professionnels d'accéder en toute sécurité à leur messagerie d'entreprise lorsqu'ils sont en déplacement. BlackBerry est devenu extrêmement populaire auprès des utilisateurs, mais plus important encore, il a été accepté par les équipes informatiques des entreprises en raison de son puissant cryptage de bout en bout. L'application Messenger est devenue la méthode de communication privilégiée de millions d'utilisateurs dans le monde. Toutefois, étant donné que Messenger fonctionne sur le service cellulaire et que l'ensemble du trafic est crypté, les forces de l'ordre n'ont pas pu accéder aux messages.
Jetons également un coup d'œil à Skype, qui a été lancé en 2003 et a connu une croissance explosive dans les années qui ont suivi. Skype était gratuit et offrait une messagerie vocale et textuelle de haute qualité depuis n'importe quel endroit. Rapidement, Skype a inclus la vidéo haute définition et la possibilité de composer des lignes téléphoniques. Toutefois, comme dans le cas de BlackBerry, le système de cryptage ne permettait pas aux forces de l'ordre d'accéder aux communications.
Les réseaux sociaux ont également explosé au cours de cette période. Au tournant du siècle, Friendster et MySpace ont été lancés et ont connu une grande popularité. Facebook a été lancé en 2004 et sa croissance régulière en a fait le service de réseautage social de facto dans le monde entier. Pew Research (https://www.pewresearch.org/internet/fact-sheet/social-media/) rapporte qu'en 2005, 5 % des adultes américains possédaient au moins un compte de réseau social. En 2014, ce chiffre était de 62 %. Aujourd'hui, il est estimé à plus de 75 %.
En 2007, année du lancement de l'iPhone par Apple, les Américains envoyaient et recevaient plus de SMS qu'ils ne passaient d'appels téléphoniques. Les consommateurs étaient prêts à changer leur mode de communication. Des services entièrement nouveaux ont été créés sur la base d'applications mobiles. Cependant, une grande partie du trafic internet mondial n'était pas encore cryptée.
Tout cela a pris fin en 2013 lorsqu'Edward Snowden a divulgué des programmes top secrets de la communauté du renseignement. Alors que certains services Internet utilisés par les consommateurs proposaient auparavant une option de chiffrement, après Snowden, tout était chiffré par défaut. Une multitude de nouvelles plateformes de communication, telles que Signal, Telegraph, Viber et WhatsApp, ont été lancées. Elles proposaient toutes un chiffrement de haut niveau (certaines étaient de bout en bout). En 2014, Google et Apple ont annoncé qu'ils chiffreraient tous deux le contenu des téléphones utilisant Android OS et iOS.
Au cours de la seconde moitié de la dernière décennie, les communications sont passées de la voix et du texte traditionnels, fournis par les opérateurs de télécommunications, à des applications "over-the-top" (OTT).
Applications OTT
Pour certains services de police et de renseignement, BlackBerry Messenger et Skype ont été un signe avant-coureur de ce qui allait se passer. Les opérateurs de télécommunications d'un pays sont souvent soumis à des réglementations qui garantissent qu'ils aident les forces de l'ordre avec les services qu'ils fournissent. En voici un exemple :
Alice appelle Bob en utilisant le service VoLTE d'un opérateur mobile. Si Alice est suspecte et fait l'objet d'une décision de justice, l'appel est intercepté et transmis aux forces de l'ordre.
Si Alice utilise une application OTT (non fournie par l'opérateur télécom) pour passer ce même appel, l'opérateur télécom ne sait pas qu'il s'agit d'un appel vocal. Il est donc transmis avec les autres données mobiles (courriels, etc.). L'analyste chargé de l'application de la loi doit examiner les paquets pour trouver cet appel.
Avant 2013, c'était laborieux, mais possible. Après 2013, cette application OTT a très certainement utilisé le cryptage. Cela a rendu les informations de signalisation (quel compte a appelé quel compte) et le contenu (la voix elle-même) inaccessibles. Ce changement de paradigme est appelé par beaucoup "l'obscurité".
Que peut faire un organisme chargé de l'application de la loi pour éviter de sombrer dans l'obscurité ? Une tactique consiste à forcer les fabricants d'applications à autoriser une porte dérobée. Il existe de nombreux articles, éditoriaux et articles d'opinion qui présentent les avantages et les inconvénients de cette solution, c'est pourquoi je n'aborderai pas cette tactique dans ce blog. L'autre tactique consiste à demander au fabricant de l'application OTT de fournir les informations demandées en utilisant une ordonnance du tribunal. L'application OTT est soumise aux lois et réglementations du pays dans lequel elle a son siège. Si l'organisme chargé de l'application de la loi se trouve dans le même pays que le fabricant de l'application OTT, il y a de fortes chances qu'il existe une législation obligeant le fabricant de l'application OTT à apporter son aide (par exemple, le Stored Communications Act aux États-Unis). Toutefois, si l'agence et l'OTT se trouvent dans des pays différents, les traités internationaux entrent en jeu.
Traités internationaux
Les pays disposent de lois et de réglementations protégeant la vie privée et la sécurité de leurs citoyens. Ces réglementations fournissent le cadre juridique (crimes applicables, approbation et contrôle des tribunaux) pour la manière dont les forces de l'ordre de ce pays peuvent demander l'accès à des informations privées telles que des dossiers commerciaux, perquisitionner des locaux ou écouter les communications de citoyens ou de résidents. Elles définissent la manière dont une assignation à comparaître ou un ordre de mise sur écoute peut être signifié par un organisme chargé de l'application de la loi à une application OTT, lorsque l'organisme et le siège de l'OTT résident tous deux dans le même pays.
Lorsque le siège de l'OTT et l'organisme chargé de l'application de la loi ne se trouvent pas dans le même pays, un accord entre les pays doit être mis en place pour demander et partager des informations. Il existe trois instruments pour ce faire : Le traité d'entraide judiciaire (MLAT), les demandes de coopération volontaire et les demandes de coopération non volontaire.
Le MLAT est l'instrument le plus couramment utilisé et il s'agit d'un accord bilatéral entre deux pays. Les États-Unis ont conclu environ 65 accords MLAT avec des pays individuels et un avec l'Union européenne. Un MLAT définit les agences qui coordonnent les demandes et les réponses. Aux États-Unis, l'agence de coordination est le Bureau des affaires internationales du ministère de la Justice. Les demandes de coopération volontaire et non volontaire sont exactement comme elles le paraissent. Il s'agit de demandes de coopération.
Le problème du cadre du MLAT est le temps qu'il faut y consacrer. Le processus de réception des informations demandées est extrêmement long. Et comme la plupart des services Internet auprès desquels les enquêteurs veulent obtenir des informations sont situés aux États-Unis, ces derniers sont submergés de demandes au titre du MLAT. Souvent, le temps nécessaire pour 1) faire examiner et approuver la demande par l'agence de coordination du pays hôte, 2) pour qu'un fournisseur d'applications OTT réponde à l'agence de coordination, 3) pour que l'agence de coordination examine les informations afin de garantir la protection de la vie privée et 4) pour renvoyer les informations à l'agence requérante est bien plus long que la période pendant laquelle la plupart des enquêtes sont en cours. En outre, le fait d'introduire une demande ne signifie pas nécessairement qu'elle sera acceptée. Certaines demandes sont carrément rejetées. Le processus du MLAT est pénible, pour ne pas dire plus.
L'architecture moderne de l'informatique en nuage
La nature des architectures modernes en nuage utilisées par de nombreuses applications OTT distribue des données. Le logiciel est divisé en morceaux de fonctionnalité qui peuvent être mis à l'échelle, à la demande. En outre, ces données et ces morceaux peuvent être distribués dans n'importe quel centre de données dans le monde. Cette méthode est très efficace et rentable pour les sociétés de services Internet et d'informatique en nuage, mais c'est un cauchemar juridique pour les autorités chargées de l'application de la loi.
Cette nouvelle architecture introduit un paradigme intéressant. Si l'utilisateur A dans le pays 1 envoie un courrier électronique à l'utilisateur B dans le pays 2 en utilisant un service de courrier électronique offert par une société dont le siège se trouve dans le pays 3 et qui stocke le courrier électronique dans un centre de données situé dans le pays 4, quelles lois s'appliquent ou ont la priorité ? Cette question a été soulevée dans une affaire qui est devenue le précédent du CLOUD Act - Microsoft Corp. v. United States (ou "l'affaire Microsoft Ireland").
Microsoft Corp. c. États-Unis
En 2013, un organisme américain chargé de l'application de la loi enquêtait sur le trafic de drogue. Elle a demandé un mandat en vertu du Stored Communications Act (SCA) pour obtenir des courriels et des informations associés au compte d'un utilisateur de Microsoft. Le mandat a été approuvé par un juge américain du tribunal de district des États-Unis pour le district sud de New York.
Microsoft a découvert que les "informations relatives au compte" se trouvaient sur des serveurs situés aux États-Unis, mais que le "contenu du courrier électronique" était stocké dans un centre de données situé en Irlande. Microsoft a répondu au mandat en fournissant les "informations de compte", mais a refusé de remettre le "contenu du courrier électronique". L'argument de Microsoft était que les courriels résidaient en Irlande et qu'un juge américain n'avait pas le pouvoir d'exiger qu'ils soient fournis. Microsoft a demandé l'annulation de la partie du mandat couvrant le "contenu des courriels". Le juge chargé d'examiner la demande a estimé qu'un mandat délivré en vertu du SCA n'était pas limité par le territoire et que, puisque Microsoft avait toujours le contrôle effectif des courriels (même s'ils se trouvaient en dehors des États-Unis), elle devait fournir le "contenu des courriels". C'était en 2014. Microsoft a fait appel de cette décision, mais celle-ci a été confirmée. En 2017, Microsoft a fait appel auprès de la Cour du deuxième circuit.
Dans le cadre de l'appel, de nombreuses parties ont présenté des arguments. Certaines étaient d'autres sociétés de services Internet, comme Microsoft, qui voyaient là un problème pour elles aussi. Le gouvernement irlandais a fait valoir que cette décision violait les lois de l'UE et de l'Irlande sur la confidentialité des données et a suggéré d'utiliser plutôt la procédure MLAT (amusant). L'UE a également présenté un argument. Le panel de trois juges a renversé l'opinion du tribunal de première instance. Le DoJ a fait appel devant la Cour suprême en 2018.
L'acte CLOUD
Le Stored Communications Act (SCA) est le titre II de l'Electronic Communications Privacy Act (ECPA), adopté en 1986. La plupart des gens considèrent que la CALEA, l'ECPA ou la SCA introduisent de nouvelles possibilités d'espionnage des individus par les autorités. Ces législations aident les protections de la vie privée à se mettre au diapason des temps modernes. Dans le cas de l'ECPA et du SCA, les protections du quatrième amendement pour les technologies de communication émergentes (comme le courrier électronique) n'étaient pas claires et ambiguës, et l'ECPA et le SCA ont étendu ces protections à ces nouvelles communications. Le CLOUD Act a donc été créé pour fournir des protections de la vie privée pour les communications qui peuvent être entièrement ou même partiellement stockées à l'étranger. Un moyen de rattraper l'architecture moderne des nuages.
Le vieux proverbe "Si tu ne réussis pas du premier coup, essaie, essaie encore" s'applique ici. La première tentative pour combler les lacunes a été la loi LEADS (Law Enforcement Access to Data Stored abroad) de 2015, suivie par la loi ICPA (International Communications Privacy Act) de 2017. Ces deux projets de loi n'ont pas été adoptés. Vous vous demandez peut-être ce qui a changé en 2018 pour que les deux chambres du Congrès s'unissent enfin et adoptent cette importante législation. La réponse est que rien n'a vraiment changé. Le projet de loi a été inclus dans la loi de finances consolidée en mars 2018. C'est simplement parce qu'elle faisait partie de la législation qu'elle a été adoptée. Malheureusement, il n'y a pas eu de "M. Smith va à Washington".
Toutefois, avec l'adoption de cette loi, le ministère de la Justice des États-Unis a renoncé à faire appel de l'affaire Microsoft Corp. v. United States devant la Cour suprême des États-Unis. En outre, Microsoft et d'autres sociétés d'applications en nuage ont reconnu que la législation fournissait des orientations et des protections juridiques. Alors, qu'est-ce que cela fait ?
Ce que fait la loi CLOUD
La loi CLOUD a beaucoup d'effets et j'en évoquerai quelques-uns.
Tout d'abord, le CLOUD Act prévoit des protections juridiques pour les sociétés Internet lorsqu'elles se conforment à un mandat du SCA. Il prévoit également que les mandats délivrés par les autorités américaines chargées de l'application de la loi incluront des données situées/stockées dans d'autres pays (il y a quelques exceptions). Elle limite également les demandes à des personnes, des adresses ou des comptes spécifiques.
Deuxièmement, elle rationalise la procédure permettant aux gouvernements étrangers de demander et de recevoir de l'aide de la part des fournisseurs de services américains. Pour ce faire, elle crée un nouvel accord bilatéral que les gouvernements étrangers peuvent conclure avec les États-Unis. Ces nouveaux accords bilatéraux permettent aux services répressifs étrangers d'adresser des demandes directement aux sociétés Internet basées aux États-Unis (plutôt que d'utiliser la procédure MLAT), tout en bénéficiant des mesures de surveillance et de protection de la vie privée dont il est question plus loin.
Troisièmement, elle prévoit une procédure formelle permettant à une société Internet de contester une demande émanant d'un organisme américain ou étranger chargé de l'application de la loi. Elle exige que l'ordonnance concerne des délits graves et spécifiques, qu'elle spécifie l'identité, qui peut inclure un compte, une adresse ou un appareil spécifique, qu'elle soit conforme à la législation nationale du gouvernement étranger, qu'elle soit fondée sur des faits, qu'elle fasse l'objet d'un examen ou d'un contrôle par un tribunal ou une autorité indépendante avant d'être appliquée et qu'elle ne soit pas utilisée pour porter atteinte à la liberté d'expression. La procédure formelle fournit les moyens et la justification nécessaires pour s'opposer à une demande et la faire examiner par un tribunal, qui prendra la décision finale.
Quatrièmement, le CLOUD Act fixe également des exigences en matière de protection de la vie privée et des libertés civiles, qui doivent être respectées pour qu'un accord bilatéral (accord exécutif) puisse être conclu. Pour que les États-Unis puissent conclure un accord bilatéral CLOUD Act avec un gouvernement étranger, la loi exige que le procureur général des États-Unis et le secrétaire d'État américain certifient les "solides protections substantielles et procédurales de la vie privée et des libertés civiles" pour ce gouvernement. En outre, ils s'assurent que le gouvernement étranger a adopté les méthodes de minimisation de la Foreign Intelligence Surveillance Act (FISA) en ce qui concerne "l'acquisition, la conservation et la diffusion d'informations concernant des personnes des États-Unis". Fondamentalement, pour conclure un accord bilatéral, le gouvernement étranger doit s'aligner sur les processus, les procédures et les protections des États-Unis. Dans la plupart des cas, cela exige qu'ils adoptent une législation spécifique pour modifier leur façon de faire.
Cinquièmement, il définit la procédure par laquelle le Congrès approuve un accord bilatéral. Une fois l'accord exécutif présenté, le Congrès dispose de 180 jours pour l'examiner et le contester. S'il n'est pas contesté, il entre en vigueur.
Où en est la loi CLOUD ?
Comme je l'ai mentionné précédemment, la loi CLOUD a été adoptée par le Congrès américain en mars 2018. En février 2019, le gouvernement britannique a adopté la loi sur les ordonnances de production à l'étranger en matière de criminalité, qui aligne le processus et les procédures sur les exigences de la loi CLOUD des États-Unis. En octobre de la même année, les États-Unis et le Royaume-Uni ont signé le premier accord exécutif CLOUD. L'accord était censé être envoyé au Congrès le 4 décembre 2019, mais en raison d'une erreur d'écriture, il n'a été envoyé que le 10 janvier 2020. Sur la base de cette date, de la fenêtre de 180 jours et de l'absence de contestation, l'accord exécutif a été automatiquement adopté le 8 juillet 2020.
En mars 2020, le gouvernement australien a présenté le Telecommunications Legislation Amendment (International Production Orders) Bill 2020, qui aligne le processus et les procédures sur les exigences du CLOUD Act américain. Des discussions sont apparemment en cours sur un accord exécutif, mais rien n'est encore conclu.
Comme vous pouvez le deviner, les cinq autres yeux, le Canada et la Nouvelle-Zélande, se positionnent derrière l'Australie. L'Europe pourrait-elle travailler sur un accord exécutif ? C'est possible, mais ils ont leur propre législation (comme le GDPR) qui devrait être alignée sur le CLOUD Act.
Ce que la loi CLOUD signifie pour le renseignement légal
Écoutes téléphoniques - La loi CLOUD permet aux autorités policières étrangères de demander à un opérateur de télécommunications de se conformer à une citation à comparaître ou de procéder à une mise sur écoute. Cette possibilité est soumise à de nombreuses restrictions, en fonction de la législation de chaque pays en matière d'écoutes téléphoniques et de la manière dont les États-Unis contrôlent la surveillance des ressortissants américains. Les opérateurs américains et britanniques peuvent s'attendre à un plus grand nombre d'ordonnances de mise sur écoute par le biais des accords exécutifs. L'augmentation du volume, associée à l'augmentation de la bande passante de la 5G, se traduira par des débits plus élevés. Les opérateurs de télécommunications devront s'assurer que leur plateforme d'interception est prête à faire face à cette augmentation.
Transfert - Lorsqu'il s'agit de se conformer à une mise sur écoute, l'opérateur de télécommunications fournit les informations, comme il le fait aujourd'hui. Aux États-Unis, il s'agit du transfert CALEA. Au Royaume-Uni, il s'agit du transfert ETSI. Cela signifie que les centres de surveillance aux États-Unis devront bénéficier d'un soutien complet de l'ETSI ainsi que d'un transfert spécifique au Royaume-Uni. De même, les centres de surveillance du Royaume-Uni devront disposer d'un support CALEA complet.
Données stockées - Les demandes d'assistance adressées par les services répressifs américains et étrangers aux services Internet basés aux États-Unis ont explosé ces dernières années. Les sociétés de services Internet peuvent s'y conformer numériquement, mais il n'existe pas de méthode standard pour transmettre ces informations stockées. Chaque entreprise est différente et même les divisions d'une même entreprise sont différentes. Le SS8 a travaillé avec un grand nombre de ces sociétés de services Internet afin de soutenir l'ingestion directe d'enregistrements pour les forces de l'ordre.
Conclusion
Si les nouveaux outils de communication et de réseautage social nous aident à nous connecter librement et à rester en contact avec nos amis et nos familles, ils fournissent également des outils aux criminels et aux groupes criminels organisés pour des activités odieuses telles que la traite des êtres humains et la maltraitance des enfants. La loi CLOUD est un pas dans la bonne direction pour les services répressifs qui tentent de faire leur travail en protégeant les citoyens de leurs pays respectifs, tout en protégeant la vie privée de nos concitoyens. Toutefois, elle nécessitera de nouveaux accords entre les États-Unis et d'autres pays, ce qui prendra du temps. Le SS8 continuera à travailler avec les fournisseurs de services de télécommunications et d'autres entreprises technologiques afin de fournir aux forces de l'ordre les outils dont elles ont besoin pour enquêter et mettre fin aux activités criminelles tout en protégeant la vie privée des individus.
À propos de Kevin McTiernan
Kevin a plus de 20 ans d'expérience dans les secteurs des télécommunications et de la sécurité des réseaux. Chez SS8, Kevin est le vice-président des solutions gouvernementales et est responsable de la vision, de la conception et de la livraison des solutions gouvernementales de SS8, y compris le portefeuille de conformité Xcipio®. Vous pouvez en savoir plus sur Kevin sur son profil LinkedIn en cliquant ici.
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation, et sa technologie intègre les méthodologies présentées dans ce blog. Xcipio® a prouvé qu'il pouvait répondre aux exigences très élevées de la 5G et aux grands volumes d'interceptions. Il est capable de transcoder (convertir) entre les versions de transfert d'interception légale et les familles de normes. Intellego® prend en charge les transferts ETSI, 3GPP et CALEA, ainsi que les variantes nationales. Les deux portefeuilles de produits sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
