Violation de la vie privée et surveillance : Peut-on encore faire confiance à Yahoo ? - Internet Sans Frontières

Yahoo aurait permis l’espionnage systématique des messages entrants de tous ses clients, sur demande des services de renseignements américains. Une information qui vient rappeler l’importance et les enjeux liés à la protection de la vie privée à l’ère du numérique.

Le 4 Octobre 2016, l’agence de presse Reuters révélait que la compagnie américaine Yahoo a procédé en 2015 à l’espionnage systématique des emails entrants de tous ses utilisateurs, au bénéfice des services de renseignements américains, dont la National Security Agency (NSA). Cette information, qui intervient dans un monde marqué par les révélations de l’ex-agent de la NSA, Edward Snowden, sonne comme un rappel de l’importance et des enjeux de la protection de la vie privée en ligne.

Ce qui s’est passé

Les révélations de Reuters ont d’abord fait état de la création par Yahoo d’un logiciel sur-mesure capable de rechercher dans les messages entrants de tous ses clients des informations précises demandées par les services de renseignement américains. La réalité est plus inquiétante que cela : le site Motherboard, citant deux sources anonymes proches de la société, précise qu’il s’agit d’un “rootkit”, « outil de dissimulation d’activité » ou « maliciel furtif », installé par les services de renseignement américains sur les serveurs mails de Yahoo, à l’insu du département sécurité de l’entreprise. Le site Hacker News explique qu’un rootkit “est un logiciel qui modifie le système d’exploitation de telle façon qu’il donne à un pirate informatique le control administratif ou “racine” des systèmes, sans être détecté par l’administrateur du système en question.”

Selon les informations de Motherboard, le  logiciel aurait été identifié par des membres de l’équipe sécurité de Yahoo, qui ont relevé la gravité de l’incident, parlant d’une porte dérobée qui « mettait en danger tous les utilisateurs Yahoo », et « permettait à n’importe quel pirate informatique d’accéder  à leurs données personnelles ». L’incident a été remonté au Directeur Sécurité, Alex Stamos, puis à l’équipe dirigeante de la compagnie. Celle-ci aurait admis avoir accepté l’installation du locigiel, « après une demande reçue des services de renseignements », et n’aurait pas agi pour y mettre fin. Une décision qui aurait contribué au départ d’Alex Stamos pour Facebook, où il officie désormais.

Est-ce légal ?

Au regard des informations disponibles, il semble que Yahoo viole  le droit International, le droit américain, que la firme dit pourtant respecter, et le contrat qui la lie à ses clients.

Dans une déclaration envoyée à la presse, Yahoo dit se conformer à la loi américaine, et « interpréter strictement les demandes gouvernementales d’accès aux données afin de minimiser les divulgations ». Cette affirmation est inexacte en l’espèce.

Pour les utilisateurs américains de la firme, la constitution des Etats-Unis est claire : son Quatrième Amendement consacre le droit à l’inviolabilité du domicile et des effets personnels des citoyens américains, et exige un mandat ou une justification sérieuse pour toute perquisition. L’existence d’un tel mandat n’a pas été démontrée par la compagnie.

De même pour les utilisateurs non-américains de la firme : s’il est vrai que, depuis un amendement de 2007, le Foreign Intelligence Surveillance Act, en particulier la section 702, permet aux services de renseignements américains d’accéder à la correspondance d’utilisateurs identifiés hors du territoire américain sans mandat judiciaire, cette loi fait référence à une surveillance ciblée. Le scan généralisé et systématique des emails entrants de tous les utilisateurs Yahoo semble entrer en contradiction avec cette exigence légale.

Yahoo ne respecte pas ses obligations internationales. Les Principes Directeurs relatifs aux Entreprises et aux Droits de l’Homme, adoptés en 2001 par le Haut Commissariat des droits de l’homme des Nations Unies, obligent les entreprises, y compris celle du numérique, à mener leurs activités, tout en préservant les Droits de l’Homme. Les articles 12 et 13 prévoient que les entreprises ont l’obligation  de prévenir et d’éviter toute atteinte aux droits de l’homme, notamment le droit au respect de la vie privée, consacré par l’article 12 de la Déclaration Universelle des Droits de l’Homme, et le droit au secret de la correspondance protégé par l’article 17 du Pacte des Droits Civils et Politiques.

Yahoo aurait dû éviter une violation de ces deux droits fondamentaux, en refusant de se soumettre aux requêtes gouvernementales, comme elle l’avait déjà fait en 2007. La firme aurait dû faire application d’une politique stricte de traitement de demandes gouvernementales d’accéder aux données personnelles des utilisateurs, et notamment vérifier le respect des trois conditions établies en droit international pour autoriser l’accès à ces données: fondement légal, mesure proportionnée, nécessaire et dans un objectif compatible avec les standards internationaux.

Par ailleurs, la société Yahoo ayant son siège en Irlande, elle est soumise au droit européen, et notamment à l’article 8 de la Convention européenne des droits de l’homme qui protège le droit au respect de  la vie privée et de la correspondance. L’office Irlandais de protection des données personnelles mène actuellement des investigations.

Pour l’instant, aucune annonce similaire provenant d’autorité de protection des données personnelles d’un pays Africain n’est parvenue à Internet Sans Frontières. Une abstention qui contraste avec le succès que connaît la société auprès de nombreux utilisateurs du continent africain, et notamment des fonctionnaires et membres de gouvernements.

Yahoo ne respecte pas non plus sa propre politique de confidentialité, c’est-à-dire les clauses contractuelles qui lient la firme à ses utilisateurs sur la question de leur vie privée. Yahoo affirme déployer “des systèmes physiques et techniques, ainsi que des procédures standard du secteur pour garantir la protection de vos informations personnelles en conformité avec les réglementations appropriées.”. La société ajoute qu’elle limite ” l’accès à vos informations personnelles aux seuls employés dont les fonctions exigent la consultation de ces informations pour vous fournir les produits et services ou pour traiter ces informations pour notre compte. ” Les révélations de la presse, non démenties par la société, démontrent une attitude à l’opposée des engagements pris par la firme.

Yahoo s’engage publiquement à respecter la vie privée de ses utilisateurs, coulisses, la compagnie serait peu regardante sur les demandes illégales du Gouvernement américain : voilà une attitude qui ne risque pas de renforcer la confiance entre la compagnie et ses utilisateurs.

Que faire en attendant ?

Comme Edward Snowden l’a tweeté : « Fermez votre compte aujourd’hui ».

Use @Yahoo? They secretly scanned everything you ever wrote, far beyond what law requires. Close your account today. https://t.co/dJrJUyyxk6

— Edward Snowden (@Snowden) October 4, 2016

Mais il semble que depuis quelques jours, Yahoo rende l’option de la quitter plus difficile. Pour ceux qui souhaitent attendre avant de prendre cette décision, vous pouvez utiliser votre compte Yahoo depuis un client mail, de type Thunderbird (Télécharger Thunderbird ici, et voir tutoriel ici).

Encore mieux : pour empêcher à tous tiers d’avoir accès à vos emails, vous pouvez installer un logiciel de chiffrement de vos communications électroniques (voir tutoriel ici). Car rien ne garantit pour l’instant que Google et d’autres n’aient pas reçu le même type d’injonction.

Par Julie Owono, Responsable du Bureau Afrique

Et Juliette Léoni, stagiaire