Quand on parle de surveillance de masse, la plupart des gens pensent à la NSA. En réalité, presque tous les pays possèdent leur propre agence de renseignement d’origine électromagnétique (SIGINT ou ROEM en français).
Ces agences se concentrent sur l’application de la loi, la collecte de données et le contre-espionnage en interceptant les signaux électroniques et les communications en ligne. Par ailleurs, elles travaillent souvent ensemble.
Les alliances des cinq, neuf et quatorze yeux sont trois des accords internationaux de renseignement les plus importants qui effectuent ce type de surveillance coordonnée. Ce sont également les pires juridictions VPN en termes de protection de la vie privée.
Voici une liste des principales entités de surveillance mondiale que vous devez connaître :
1. L’alliance des cinq yeux
Les pays de l’alliance des 5 yeux sont les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande.
Cet accord de partage de renseignements peut être retracé jusqu’à la Seconde Guerre mondiale et le traité UKUSA, qui a été initialement conçu comme un partenariat entre les États-Unis et le Royaume-Uni.
Au cours des dernières décennies, le traité a grandi tant en membres qu’en portée. Les nations membres, connues sous le nom d’alliance des 5 yeux, travaillent désormais ensemble pour collecter, analyser et partager des renseignements à la fois au niveau national et international.
Alors que les pays de l’alliance des 5 yeux se sont engagés à ne pas se surveiller mutuellement en tant qu’adversaires, des documents divulgués par Edward Snowden ont révélé que les nations surveillent les citoyens des autres pays et partagent ces renseignements entre elles.
En plus de partager des données de surveillance entre elles, les pays de l’alliance des 5 yeux travaillent également ensemble pour envoyer et appliquer des avis de conservation des données. Cela signifie qu’une nation peut exercer des pressions sur une autre pour qu’elle remette les journaux des utilisateurs de VPN dans leur juridiction.
Il ne devrait pas être surprenant qu’un grand nombre des pays de l’alliance des cinq yeux figurent parmi les pires abuseurs de la confidentialité numérique.
Voici quelques exemples de pays des cinq yeux et de leurs lois contre la vie privée :
-
- Royaume-Uni. Le gouvernement britannique a adopté l’Investigatory Powers Act en 2016, qui oblige les FAI et les télécoms britanniques à enregistrer l’activité de navigation de leurs utilisateurs, les journaux de connexion et les messages. Ces données sont stockées pendant 12 mois et sont accessibles aux agences gouvernementales britanniques et aux tiers sans mandat.
- États-Unis. Le gouvernement américain est un leader mondial en matière de surveillance de masse et de collecte de données. Les autorités sont aidées dans cette tâche par les télécoms, les entreprises de technologie et les FAI, comme le montre le programme PRISM. En 2006, il a été révélé que le gouvernement américain menait une surveillance sans mandat de ses citoyens en interceptant tout le trafic passant par le réseau Internet d’AT&T. Depuis mars 2017, les FAI américains ont également le droit d’enregistrer l’activité des utilisateurs et de vendre ces informations pour réaliser un profit.
- Australie. L’Australie a mis en œuvre des lois de collecte de données similaires à celles du Royaume-Uni. La loi oblige les FAI à surveiller et à enregistrer les métadonnées des utilisateurs. Ces données sont stockées pendant deux ans et sont accessibles aux autorités sans mandat. La police peut également contraindre les entreprises à partager l’accès aux messages cryptés à l’insu de l’utilisateur.
Si vous êtes préoccupé par votre confidentialité lors de l’utilisation d’un VPN, les pays de l’alliance des 5 yeux sont considérés comme les pires juridictions VPN qui soient.
Système de surveillance ECHELON
Les nations de l’alliance des 5 yeux utilisent ECHELON, un réseau de stations d’espionnage conçu pour la surveillance mondiale et la collecte de données.
ECHELON peut intercepter les données envoyées par téléphone, fax et ordinateurs. Les stations ECHELON peuvent suivre les comptes bancaires et même intercepter les données envoyées et reçues par des relais satellites. Toutes ces données sont stockées dans d’importantes bases de données qui peuvent conserver des millions de dossiers sur les individus.
Bien que les preuves s’accumulent depuis près de 30 ans, les États-Unis nient toujours l’existence d’ECHELON, tandis que le gouvernement britannique a toujours été évasif.
Malgré ces dénégations, divers lanceurs d’alerte ont confirmé la vérité en documentant certains aspects du projet ECHELON.
2. L’alliance des neuf yeux
L’alliance des 9 yeux est une extension de l’alliance des 5 yeux. Elle regroupe un groupe plus important de pays qui coopèrent également pour partager des renseignements. Cela comprend tous les pays de l’alliance des 5 yeux ainsi que la France, le Danemark, la Norvège et les Pays-Bas.
L’existence de l’alliance des 9 yeux est devenue bien connue suite aux révélations d’Edward Snowden en 2013. Il s’agit essentiellement d’une extension de l’accord des 5 yeux qui coopère pour recueillir et distribuer des données de surveillance de masse.
Bien que les quatre nations supplémentaires n’aient pas de programmes de surveillance domestique aussi étendus que les États-Unis, le Royaume-Uni ou l’Australie, elles coopèrent néanmoins entre elles et avec les cinq pays de l’alliance originale.
L’alliance des 9 yeux est un arrangement entre les entités SIGINT et n’est pas officialisée par aucun traité formel.
3. L’alliance des 14 yeux
L’alliance des 14 yeux comprend tous les membres de l’alliance des 9 yeux ainsi que l’Allemagne, la Belgique, l’Italie, la Suède et l’Espagne.
Le nom officiel de l’alliance des 14 yeux est SIGINT Seniors of Europe (SSEUR), qui existe sous diverses formes depuis 1982. Conçue à l’origine pour l’échange de renseignements militaires, elle s’est élargie aux informations de surveillance des citoyens.
La réunion des SIGINT Seniors a lieu chaque année et est fréquentée par les dirigeants des agences SIGINT, y compris le BND, la NSA, la DGSE, le GCHQ et plus encore. Ces réunions offrent un espace pour les responsables mondiaux du renseignement de discuter de la coopération et du développement.
Les SIGINT Seniors of Pacific est une entité similaire qui a été créée en 2005. Les États membres comprennent tous les pays de l’alliance des 5 yeux ainsi que l’Inde, la France, Singapour, la Thaïlande et la Corée du Sud.
D’autres pays notables, dont Israël et le Japon, sont également soupçonnés de travailler en étroite collaboration avec l’alliance des 14 yeux et la NSA.
4. L’Union européenne (UE)
L’Union européenne est une union de nations européennes souveraines. C’est l’une des plus grandes et des plus puissantes unions politiques et économiques du monde, et elle pose également problème en termes de surveillance et de confidentialité des données.
Bien que les politiques de coopération de l’Union européenne ne soient pas aussi vastes ou intrusives que celles des alliances des 5, 9 et 14 yeux, les États membres de l’UE participent néanmoins à des accords de partage de données.
Il existe quelques exceptions à cette règle. En 2009, la Cour constitutionnelle de Roumanie (CCR) a statué que les exigences de l’UE constituaient une violation du droit des citoyens roumains à la vie privée.
Cela fait de la Roumanie un havre de confidentialité des utilisateurs parmi les nations de l’UE, et explique pourquoi des services VPN comme CyberGhost pourraient choisir de baser leurs opérations là-bas.
Certains pays sont plus privés que d’autres, mais il y en a beaucoup qui coopèrent avec les autorités de l’alliance des 5 yeux ou du SSEUR et qui ont un historique de partage de données. Cela vaut la peine de garder cela à l’esprit lorsque vous choisissez un VPN basé dans une juridiction de l’UE.
5. L’Organisation de coopération de Shanghai (OCS)
L’Organisation de coopération de Shanghai (OCS), également connue sous le nom de Pacte de Shanghai, est une alliance politique et économique eurasienne entre la Russie, la Chine, le Pakistan, l’Inde, le Kazakhstan, le Kirghizistan, l’Ouzbékistan et le Tadjikistan.
L’OCS est principalement axée sur la sécurité nationale de ses membres et lutte généralement contre l’extrémisme sous ses diverses formes.
Au cours des dernières années, les activités de l’OCS se sont étendues pour inclure une coopération militaire accrue, le partage de renseignements et la lutte contre le terrorisme. Il est très probable que les pays membres de l’OCS recueillent et partagent des données de manière similaire aux alliances des 5, 9 et 14 yeux.
6. Les pays à forte censure
Certains pays interdisent l’utilisation des VPN et portent atteinte à la vie privée de leurs citoyens sans tenir compte des accords internationaux.
Les pays les plus contrôlés en matière d’Internet sont la Chine, les Émirats arabes unis, la Turquie, la Russie, Oman, l’Irak et le Belarus, bien que cette liste soit loin d’être exhaustive.
Bien qu’il soit peu probable que vous trouviez un VPN ou un serveur VPN physiquement basé dans l’un de ces pays, cela vaut la peine d’être vigilant. Nous avons trouvé de nombreux VPN ayant des liens avec des entreprises chinoises douteuses lors de notre enquête sur la propriété chinoise des applications VPN gratuites.
Les juridictions ayant des liens étroits avec ces gouvernements, comme Hong Kong, doivent également être évitées si vous êtes préoccupé par la confidentialité de vos données.
Pour en savoir plus sur la légalité des VPN et les restrictions relatives à leur utilisation, vous pouvez consulter notre guide consacré aux lois sur les VPN.
Comment les juridictions affectent-elles les utilisateurs de VPN ?
Votre décision d’utiliser un VPN pour protéger votre vie privée témoigne d’un manque de confiance fondamental dans diverses entités, qu’il s’agisse des sites web que vous fréquentez ou de votre propre gouvernement.
Utiliser un VPN basé dans une juridiction invasive ajoute simplement une partie non fiable supplémentaire. Il pourrait être contraint de remettre des informations sur les utilisateurs aux autorités, qui peuvent alors les partager avec d’autres pays en vertu des accords de partage de renseignements.
Vous devriez être conscient des juridictions en vigueur :
Si l’un de ces lieux est soumis à des lois invasives, ils pourraient être susceptibles de fouilles non justifiées et d’atteintes à la vie privée au nom de la « sécurité ».
Bien que primordiale, la compétence n’est qu’un des nombreux facteurs à prendre en compte lors de la sélection d’un VPN. Son importance dépend du niveau de protection dont vous avez besoin.
Si vous cherchez à vous protéger contre la surveillance ciblée, le choix d’un VPN dans une juridiction sûre ne sera probablement pas suffisant pour vous protéger. Les agences nationales de renseignement ont accès à d’immenses ressources, si vous êtes ciblé, vous devrez vous préoccuper de bien plus que de la juridiction dans laquelle se trouve votre VPN.
La confiance est également un facteur majeur. Un VPN peut encore mentir à ses clients et coopérer avec les autorités même s’il opère dans une juridiction « sûre ».
En fin de compte, si vous cherchez à protéger votre confidentialité en ligne, l’emplacement des serveurs auxquels vous vous connectez et les pratiques de l’entreprise qui les contrôle sont probablement plus importants que l’endroit où l’entreprise est incorporée.
Cela dit, les juridictions des VPN sont toujours importantes si vous tenez vraiment à votre vie privée. Vous pourriez être vulnérable aux problèmes suivants :
Surveillance et conservation des données
En plus de leur infrastructure de surveillance habituelle, des agences de renseignement nationales comme la NSA et le GCHQ ont le pouvoir de forcer les organisations domestiques à enregistrer, partager et déchiffrer des informations privées.
Aux États-Unis, le Patriot Act a introduit de nouveaux pouvoirs pour la collecte de données fédérales grâce à l’utilisation de lettres de sécurité nationale (National Security Letters). Ces lois donnent aux autorités le pouvoir de contraindre une entreprise légitime à devenir un outil de collecte de données pour les agences de l’État.
Ces demandes peuvent être accompagnées d’une obligation de silence qui rend illégal pour l’entreprise de révéler ce qu’elle est contrainte de faire. Certaines entreprises VPN publient des canaris de mandat dans une tentative pour résoudre ce problème, que nous couvrirons plus tard dans ce guide.
Il existe un précédent à cela. En 2013, le service de courrier électronique sécurisé Lavabit a été ciblé par le FBI dans une tentative de collecter des informations sur Edward Snowden.
Lavabit a reçu une assignation avec une obligation de silence pour les clés de chiffrement du contenu des e-mails de ses utilisateurs. Cela permettrait au FBI d’accéder aux communications en temps réel pour tous les clients de Lavabit, pas seulement ceux de Snowden.
Capture d’écran des dossiers du cas Lavabit publiés par le FBI ; l’adresse e-mail de Snowden a été laissée par erreur non censurée.
Le fondateur de l’entreprise, Ladar Levison, a remis les clés de chiffrement de l’entreprise et a fermé le service simultanément. Les autorités américaines ont alors menacé M. Levison d’arrestation, arguant que ses actions violaient l’ordonnance du tribunal.
De même, le service VPN Riseup, basé à Seattle, a été contraint de collecter des données sur ses utilisateurs pour le compte des autorités gouvernementales, et s’est vu signifier une injonction de ne pas divulguer ces données à ses utilisateurs.
HideMyAss, un fournisseur de VPN basé au Royaume-Uni, a également reçu une ordonnance du tribunal pour collecter des données et partager celles-ci avec les autorités pour une enquête criminelle. Cela n’a été révélé qu’après les poursuites engagées.
Il ne s’agit que d’exemples de cas qui ont été rendus publics. Il est très probable qu’il existe d’autres exemples dont nous n’avons pas encore connaissance.
Accords de partage de données
Les accords de surveillance internationaux tels que les alliances des cinq, neuf et quatorze yeux permettent aux pays membres de profiter, comme l’indique l’EFF, du « plus petit dénominateur commun en matière de protection de la vie privée ».
En d’autres termes, chaque pays participant bénéficie des données de surveillance de masse que les autres membres apportent.
Les pratiques de partage de renseignements de ces pays ont de profondes implications pour les utilisateurs d’Internet et les VPN en particulier. Il est raisonnable de supposer que si l’une de ces nations a accès à vos données, elles peuvent alors être partagées avec d’autres pays.
Si une loi renforçant les capacités de surveillance électronique est adoptée dans l’un de ces pays, c’est comme si la même législation était adoptée dans chaque pays impliqué dans l’accord.
Cela signifie qu’il y a de fortes chances que votre activité soit collectée et partagée avec une agence de renseignement, peu importe où vous vous trouvez dans le monde.
Emplacements des serveurs virtuels et serveurs loués
Certains services VPN louent leurs serveurs à des centres de données pour réduire les coûts opérationnels. Cela rend l’exploitation d’un réseau de serveurs international nettement moins chère que la possession de serveurs.
Bien que cela puisse réduire les frais généraux d’un fournisseur de VPN, cela peut être problématique en termes de confidentialité.
Les serveurs VPN loués appartiennent au centre de données qui les loue. Il est possible que le centre de données conserve des journaux de votre activité, indépendamment de la politique de journalisation de l’entreprise VPN.
En fonction de la juridiction du centre de données, les autorités locales pourraient également contraindre l’hôte du serveur à conserver ou à partager les données des utilisateurs.
Dans ce cas, la juridiction et la politique de journalisation de l’entreprise VPN sont inutiles. Les autorités locales peuvent aller directement à l’hôte du serveur pour saisir l’information dont elles ont besoin.