Résumé : Le gouvernement américain a longtemps défendu la collecte massive des métadonnées téléphoniques via le programme Section 215, en minimisant son impact sur la vie privée et en affirmant qu'il ne s'agissait que de données peu intrusives. Cependant, une récente cyberattaque attribuée à des pirates chinois, ayant ciblé AT&T et exposé les métadonnées des agents du FBI, a révélé les risques réels de ces pratiques. Ces données, qui pourraient être utilisées pour identifier des agents et leurs contacts, montrent que les métadonnées sont bien plus révélatrices que ce que les agences de renseignement ont longtemps prétendu. Cette situation met en lumière l'hypocrisie du FBI et de la NSA, qui ont nié pendant des années les dangers de cette collecte tout en la protégeant, avant de s'inquiéter soudainement de ses conséquences lorsqu'ils en sont eux-mêmes victimes.

Le deuxième meilleur argument du gouvernement (après le « Third Party Doctrine* ») pour justifier sa collecte massive de métadonnées téléphoniques de citoyens américains dans le cadre du programme de surveillance Section 215 (aujourd'hui en partie disparu) était le suivant : il ne s'agit que de métadonnées. Comment pourraient-elles être dangereuses ? (Et si elles sont si peu utiles à la NSA, au FBI et aux autres, alors comment se fait-il que nous les utilisions pour tuer des gens ?)

Tout en essayant de repousser les attaques contre les collectes de la section 215 (dont la plupart sont régies [au sens le plus large du terme] par la doctrine des tiers), la NSA et son équivalent national, le FBI, ont insisté sur le fait que la collecte et le stockage de quantités massives de métadonnées téléphoniques ne constituaient pas davantage une violation de la constitution qu'une violation de la vie privée.

Soudain, en raison de la compromission massive et continue des principales entreprises de télécommunications américaines par des pirates informatiques soutenus par l'État chinois, le FBI s'inquiète de la collecte massive de ses propres métadonnées téléphoniques par une agence gouvernementale (cf Kevin Collier sur Bluesky).

Les dirigeants du FBI ont prévenu qu'ils pensaient que des pirates informatiques qui s'étaient introduits dans le système d'AT&T Inc. l'année dernière avaient volé des mois de fichiers d'appels et de textes de leurs agents, entraînant une course au sein du bureau pour protéger les identités des informateurs confidentiels, comme le montre un document examiné par Bloomberg News. […] Les données incluraient les numéros de téléphone portable des agents et les numéros avec lesquels ils ont appelé et envoyé des SMS, selon le document. Les enregistrements des appels et des SMS qui n'ont pas été effectués sur le réseau AT&T, comme par le biais d'applications de messagerie chiffrées, ne faisaient pas partie des données volées.

L'agence estime (à juste titre !) que les métadonnées pourraient être utilisées pour identifier les agents, ainsi que leurs contacts et leurs sources confidentielles. Bien sûr que c'est possible. C'est pourquoi la NSA aimait les collecter. Et c'est pourquoi le FBI appréciait les données auxquelles il n'avait pas besoin d'un mandat pour accéder. (Mais ne prétendons pas que ces données ont été « volées ». Elles ont été dupliquées et exfiltrées, mais AT&T n'a pas soudainement perdu des milliers d'enregistrements générés par des agents du FBI et leurs contacts).

Le problème, bien sûr, est que la communauté du renseignement a constamment minimisé cet aspect précis de la collecte en vrac, affirmant qu'elle n'était pas plus intrusive que l'analyse de chaque courrier national ( !) ou la collecte de millions d'enregistrements de cartes de crédit, simplement parce que le quatrième amendement (tel qu'interprété par la Cour suprême) ne dit pas que le gouvernement n'a pas le droit de le faire.

Les piratages de ce type présentent des risques bien réels pour les personnes qui en sont victimes. Il en va de même lorsque c'est le gouvernement américain qui le fait. Il ne s'agit pas simplement d'un tas de données qui sont pour la plupart inutiles. La collecte de métadonnées en masse permet au gouvernement américain de faire la même chose que les pirates chinois : identifier des individus, repérer leurs réseaux personnels et, à partir de là, transformer les chiffres en opérations adverses - qu'il s'agisse de l'arrestation de terroristes présumés ou de la compromission d'agents du gouvernement américain par des forces étrangères hostiles.

Ce n'est pas l'ironie de la situation qui est à retenir. C'est que le FBI et la NSA ont passé des années à prétendre que les craintes exprimées par les militants et les législateurs étaient exagérées. Les responsables ont affirmé à plusieurs reprises que ces informations n'avaient pratiquement aucune utilité, bien qu'ils aient déployé de nombreux efforts pour éviter que le gouvernement fédéral ne mette fin à cette collecte. En fin de compte, le programme de métadonnées téléphoniques (du moins en ce qui concerne les lignes fixes) a été supprimé. Mais il y a un soupçon d'hypocrisie flagrante dans l'inquiétude soudaine du FBI quant à ce que peuvent révéler de « simples » métadonnées.

source :

https://www.techdirt.com/2025/01/23/phone-metadata-suddenly-not-so-harmless-when-its-the-fbis-data-being-harvested/

* = En droit américain, la Third-Party Doctrine est un principe juridique qui stipule que les informations que vous communiquez volontairement à un tiers (comme une banque, un fournisseur d'accès Internet ou une compagnie de téléphone) ne sont plus considérées comme privées et peuvent être obtenues par le gouvernement sans mandat de perquisition. En d'autres termes, en partageant vos données avec une autre partie, vous renoncez à votre droit à la vie privée sur ces informations spécifiques.