La surveillance des ordinateurs et des réseaux consiste à surveiller l'activité informatique et les données stockées localement sur un ordinateur ou les données transférées sur des réseaux informatiques tels qu'Internet . Cette surveillance est souvent effectuée de manière secrète et peut être effectuée par des gouvernements, des entreprises, des organisations criminelles ou des particuliers. Elle peut être légale ou non et peut nécessiter ou non l'autorisation d'un tribunal ou d'autres organismes gouvernementaux indépendants. Les programmes de surveillance des ordinateurs et des réseaux sont aujourd'hui très répandus et presque tout le trafic Internet peut être surveillé.
La surveillance permet aux gouvernements et autres organismes de maintenir le contrôle social , de reconnaître et de surveiller les menaces ou toute activité suspecte ou anormale, et de prévenir et d'enquêter sur les activités criminelles . Avec l'avènement de programmes tels que le programme Total Information Awareness , de technologies telles que les ordinateurs de surveillance à haut débit et les logiciels biométriques , et de lois telles que la loi sur l' assistance aux communications pour l'application de la loi , les gouvernements possèdent désormais une capacité sans précédent de surveiller les activités des citoyens.
De nombreux groupes de défense des droits civiques et de la vie privée , tels que Reporters sans frontières , l' Electronic Frontier Foundation et l' American Civil Liberties Union , ont exprimé leur inquiétude quant au fait que la surveillance croissante des citoyens pourrait aboutir à une société de surveillance de masse , avec des libertés politiques et/ou personnelles limitées. Cette crainte a conduit à de nombreux procès, comme Hepting v. AT&T . Le groupe hacktiviste Anonymous a piraté des sites Web gouvernementaux pour protester contre ce qu'il considère comme une « surveillance draconienne ».
Surveillance du réseau
La grande majorité de la surveillance informatique consiste à surveiller les données personnelles et le trafic sur Internet . Par exemple, aux États-Unis, la loi sur l'assistance aux communications pour l'application de la loi exige que tous les appels téléphoniques et le trafic Internet à haut débit ( courriers électroniques , trafic Web , messagerie instantanée , etc.) soient disponibles pour une surveillance en temps réel et sans entrave par les agences fédérales chargées de l'application de la loi.
La capture de paquets (également connue sous le nom de « reniflage de paquets ») est la surveillance du trafic de données sur un réseau . Les données envoyées entre ordinateurs via Internet ou entre n'importe quel réseau prennent la forme de petits morceaux appelés paquets, qui sont acheminés vers leur destination et réassemblés en un message complet. Un appareil de capture de paquets intercepte ces paquets, afin qu'ils puissent être examinés et analysés. La technologie informatique est nécessaire pour effectuer une analyse du trafic et trier les données interceptées pour rechercher des informations importantes/utiles. En vertu de la loi sur l'assistance aux communications pour l'application de la loi , tous les fournisseurs de télécommunications américains sont tenus d'installer une telle technologie de capture de paquets afin que les forces de l'ordre fédérales et les agences de renseignement puissent intercepter tout le trafic Internet haut débit et VoIP ( Voice over Internet Protocol ) de leurs clients. Ces technologies peuvent être utilisées à la fois par les services de renseignement et pour des activités illégales.
Les données recueillies par ces renifleurs de paquets sont bien trop nombreuses pour que des enquêteurs humains puissent les examiner manuellement. Ainsi, les ordinateurs de surveillance automatisés d'Internet passent au crible la vaste quantité de trafic Internet intercepté, filtrent et signalent aux enquêteurs les éléments d'information « intéressants », par exemple l'utilisation de certains mots ou expressions, la visite de certains types de sites Web ou la communication par courrier électronique ou par chat avec une certaine personne ou un certain groupe. Information Awareness Office , la NSA et le FBI dépensent des milliards de dollars par an pour le développement, l'achat, la mise en œuvre et l'exploitation de systèmes qui interceptent et analysent ces données, en extrayant uniquement les informations utiles aux forces de l'ordre et aux agences de renseignement.
Des systèmes similaires sont désormais utilisés par le département de la sécurité iranien pour distinguer plus facilement les citoyens pacifiques des terroristes. Toute cette technologie aurait été installée par les sociétés allemandes Siemens AG et finlandaise Nokia .
Le développement rapide d'Internet est devenu une forme de communication de premier ordre. De plus en plus de personnes sont potentiellement soumises à la surveillance d'Internet. La surveillance des réseaux présente des avantages et des inconvénients . Par exemple, les systèmes décrits comme « Web 2.0 » ont eu un impact considérable sur la société moderne. Tim O'Reilly, qui a été le premier à expliquer le concept de « Web 2.0 », a déclaré que le Web 2.0 fournit des plates-formes de communication « générées par les utilisateurs », avec du contenu autoproduit, ce qui incite davantage de personnes à communiquer avec leurs amis en ligne. Cependant, la surveillance d'Internet présente également un inconvénient. Un chercheur de l'Université d'Uppsala a déclaré que « la surveillance du Web 2.0 s'adresse à de grands groupes d'utilisateurs qui contribuent à produire et à reproduire de manière hégémonique la surveillance en fournissant du contenu généré par les utilisateurs (autoproduit). Nous pouvons caractériser la surveillance du Web 2.0 comme une autosurveillance de masse ». Les sociétés de surveillance surveillent les gens pendant qu'ils se concentrent sur leur travail ou leurs loisirs. Pourtant, les employeurs eux-mêmes surveillent également leurs employés . Les femmes le font pour protéger les actifs de l'entreprise et contrôler les communications publiques, mais surtout pour s'assurer que leurs employés travaillent activement et sont productifs. Cela peut affecter émotionnellement les gens, car cela peut provoquer des émotions comme la jalousie. Un groupe de recherche déclare : « ... nous avons entrepris de tester la prédiction selon laquelle les sentiments de jalousie conduisent à « espionner » un partenaire via Facebook, et que les femmes sont particulièrement susceptibles de se livrer à la surveillance de leur partenaire en réponse à la jalousie ». L'étude montre que les femmes peuvent devenir jalouses d'autres personnes lorsqu'elles font partie d'un groupe en ligne.
Les assistants virtuels sont devenus socialement intégrés dans la vie de nombreuses personnes. Actuellement, les assistants virtuels tels qu'Alexa d'Amazon ou Siri d'Apple ne peuvent pas appeler le 911 ou les services locaux. Ils sont constamment à l'écoute des commandes et enregistrent des parties de conversations qui aideront à améliorer les algorithmes. Si les forces de l'ordre peuvent être appelées à l'aide d'un assistant virtuel, elles pourraient alors avoir accès à toutes les informations enregistrées pour l'appareil. L'appareil est connecté à l'Internet du domicile, de ce fait, les forces de l'ordre seraient à l'endroit exact où se trouve la personne qui appelle les forces de l'ordre. Bien que les appareils d'assistance virtuelle soient populaires, beaucoup débattent du manque de confidentialité. Les appareils écoutent toutes les conversations du propriétaire. Même si le propriétaire ne parle pas à un assistant virtuel, l'appareil écoute toujours la conversation dans l'espoir que le propriétaire aura besoin d'aide, ainsi que pour recueillir des données.
Surveillance d'entreprise
La surveillance des activités informatiques par les entreprises est très courante. Les données collectées sont le plus souvent utilisées à des fins de marketing ou vendues à d'autres entreprises, mais elles sont également régulièrement partagées avec des agences gouvernementales. Elles peuvent être utilisées comme une forme de veille économique , qui permet à l'entreprise de mieux adapter ses produits et/ou services aux attentes de ses clients. Les données peuvent également être vendues à d'autres entreprises afin qu'elles puissent les utiliser aux fins susmentionnées, ou elles peuvent être utilisées à des fins de marketing direct, comme des publicités ciblées , où les publicités sont ciblées sur l'utilisateur du moteur de recherche en analysant son historique de recherche et ses e-mails (s'il utilise des services de messagerie Web gratuits), qui sont conservés dans une base de données.
Ce type de surveillance est également utilisé pour établir des objectifs commerciaux de surveillance, qui peuvent inclure les suivants :
- Prévenir l'utilisation abusive des ressources. Les entreprises peuvent décourager les activités personnelles improductives telles que les achats en ligne ou la navigation sur Internet pendant les heures de travail. Le suivi des performances des employés est un moyen de réduire le trafic réseau inutile et de réduire la consommation de bande passante du réseau .
- Promouvoir le respect des politiques. La surveillance en ligne est un moyen de vérifier le respect par les employés des politiques de réseautage de l'entreprise.
- Prévenir les poursuites judiciaires. Les entreprises peuvent être tenues responsables de discrimination ou de harcèlement des employés sur le lieu de travail. Les organisations peuvent également être impliquées dans des poursuites pour violation de droits d'auteur par le biais d'employés qui distribuent du matériel protégé par le droit d'auteur sur les réseaux d'entreprise.
- Protection des dossiers. La législation fédérale exige que les organisations protègent les informations personnelles. La surveillance peut déterminer le degré de conformité aux politiques et programmes de l'entreprise en matière de sécurité des informations. La surveillance peut également empêcher l'appropriation illégale d'informations personnelles et les éventuels spams ou virus.
- Protection des actifs de l'entreprise. La protection de la propriété intellectuelle , des secrets commerciaux et des stratégies commerciales est une préoccupation majeure. La facilité de transmission et de stockage des informations rend impératif le suivi des actions des employés dans le cadre d'une politique plus large.
Le deuxième volet de la prévention consiste à déterminer la propriété des ressources technologiques. La propriété des réseaux, serveurs, ordinateurs, fichiers et courriers électroniques de l'entreprise doit être explicitement mentionnée. Il convient de faire une distinction entre les appareils électroniques personnels d'un employé, qui doivent être limités et interdits, et ceux appartenant à l'entreprise.
Par exemple, Google Search stocke des informations d'identification pour chaque recherche sur le Web. Une adresse IP et la phrase de recherche utilisée sont stockées dans une base de données pendant 18 mois. Google analyse également le contenu des e-mails des utilisateurs de son service de messagerie Web Gmail afin de créer des publicités ciblées en fonction de ce dont les gens parlent dans leurs correspondances électroniques personnelles. Google est, de loin, la plus grande agence de publicité sur Internet : des millions de sites placent les bannières et les liens publicitaires de Google sur leurs sites Web afin de gagner de l'argent grâce aux visiteurs qui cliquent sur les publicités. Chaque page contenant des publicités Google ajoute, lit et modifie des « cookies » sur l'ordinateur de chaque visiteur. Ces cookies suivent l'utilisateur sur tous ces sites et recueillent des informations sur ses habitudes de navigation sur le Web, en gardant une trace des sites qu'il visite et de ce qu'il fait lorsqu'il est sur ces sites. Ces informations, ainsi que les informations de leurs comptes de messagerie et les historiques des moteurs de recherche, sont stockées par Google pour être utilisées pour créer un profil de l'utilisateur afin de fournir une publicité mieux ciblée.
Le gouvernement américain a souvent accès à ces bases de données, soit en produisant un mandat, soit en le demandant simplement. Le Département de la sécurité intérieure a ouvertement déclaré qu'il utilisait les données collectées auprès des agences de crédit à la consommation et de marketing direct pour enrichir les profils des individus qu'il surveille.
Logiciels malveillants
En plus de surveiller les informations envoyées sur un réseau informatique, il existe également un moyen d'examiner les données stockées sur le disque dur d'un ordinateur et de surveiller les activités d'une personne utilisant l'ordinateur. Un programme de surveillance installé sur un ordinateur peut rechercher des données suspectes dans le contenu du disque dur, surveiller l'utilisation de l'ordinateur, collecter des mots de passe et/ou signaler les activités en temps réel à son opérateur via la connexion Internet. Un enregistreur de frappe est un exemple de ce type de programme. Les programmes d'enregistrement de frappe normaux stockent leurs données sur le disque dur local, mais certains sont programmés pour transmettre automatiquement des données sur le réseau à un ordinateur distant ou à un serveur Web.
Il existe plusieurs façons d'installer ce type de logiciel. La plus courante est l'installation à distance, à l'aide d'une porte dérobée créée par un virus informatique ou un cheval de Troie . Cette tactique présente l'avantage de soumettre potentiellement plusieurs ordinateurs à une surveillance. Les virus se propagent souvent à des milliers ou des millions d'ordinateurs et laissent des « portes dérobées » accessibles via une connexion réseau, qui permettent à un intrus d'installer des logiciels à distance et d'exécuter des commandes. Ces virus et chevaux de Troie sont parfois développés par des agences gouvernementales, telles que CIPAV et Magic Lantern . Le plus souvent, cependant, des virus créés par d'autres personnes ou des logiciels espions installés par des agences de marketing peuvent être utilisés pour accéder à des sites grâce aux failles de sécurité qu'ils créent.
Une autre méthode consiste à « pirater » l'ordinateur pour y accéder via un réseau. Un attaquant peut alors installer un logiciel de surveillance à distance. Les serveurs et les ordinateurs dotés de connexions haut débit permanentes sont les plus vulnérables à ce type d'attaque. Une autre source de failles de sécurité est la divulgation d'informations par les employés ou l'utilisation de tactiques de force brute par les utilisateurs pour deviner leur mot de passe.
Il est également possible d'installer physiquement un logiciel de surveillance sur un ordinateur en accédant à l'endroit où l'ordinateur est stocké et en l'installant à partir d'un disque compact , d'une disquette ou d'une clé USB . Cette méthode présente un inconvénient avec les dispositifs matériels dans la mesure où elle nécessite un accès physique à l'ordinateur. Stuxnet est un ver bien connu qui utilise cette méthode de propagation .
Analyse des réseaux sociaux
Une forme courante de surveillance consiste à créer des cartes de réseaux sociaux à partir de données provenant de sites de réseaux sociaux ainsi que d'informations d'analyse de trafic provenant d'enregistrements d'appels téléphoniques tels que ceux de la base de données d'appels de la NSA et de données de trafic Internet collectées dans le cadre de la CALEA [35] . Ces « cartes » de réseaux sociaux sont ensuite exploitées pour extraire des informations utiles telles que les intérêts personnels, les amitiés et les affiliations, les désirs, les croyances, les pensées et les activités.
De nombreuses agences gouvernementales américaines telles que la Defense Advanced Research Projects Agency (DARPA) , la National Security Agency (NSA) et le Department of Homeland Security (DHS) investissent actuellement massivement dans la recherche impliquant l'analyse des réseaux sociaux. La communauté du renseignement estime que la plus grande menace pour les États-Unis vient des groupes décentralisés, sans chef et géographiquement dispersés. Le moyen le plus simple de contrer ces types de menaces est de trouver des nœuds importants dans le réseau et de les supprimer. Pour ce faire, il faut disposer d'une carte détaillée du réseau.
Jason Ethier de l'Université Northeastern, dans son étude sur l'analyse moderne des réseaux sociaux, a déclaré ce qui suit à propos du programme d'analyse évolutive des réseaux sociaux développé par l' Information Awareness Office :
Le programme d'algorithmes SSNA a pour objectif d'étendre les techniques d'analyse des réseaux sociaux pour aider à distinguer les cellules terroristes potentielles des groupes légitimes de personnes... Pour réussir, le programme SSNA aura besoin d'informations sur les interactions sociales de la majorité des personnes à travers le monde. Étant donné que le ministère de la Défense ne peut pas facilement faire la distinction entre les citoyens pacifiques et les terroristes, il lui sera nécessaire de recueillir des données sur les civils innocents ainsi que sur les terroristes potentiels.
— Jason Ethier
Surveillance à distance
Il a été démontré qu'il est possible de surveiller les ordinateurs à distance à l'aide d'équipements disponibles dans le commerce, en détectant les radiations émises par le moniteur à tube cathodique . Cette forme de surveillance informatique, connue sous le nom de TEMPEST , consiste à lire les émanations électromagnétiques des appareils informatiques afin d'en extraire des données à des distances de plusieurs centaines de mètres.
Les chercheurs d'IBM ont également découvert que, sur la plupart des claviers d'ordinateur, chaque touche émet un bruit légèrement différent lorsqu'elle est enfoncée. Les différences sont identifiables individuellement dans certaines conditions, et il est donc possible d'enregistrer les frappes de touches sans avoir besoin d'exécuter un logiciel d'enregistrement sur l'ordinateur associé.
En 2015, les législateurs de Californie ont adopté une loi interdisant à tout personnel d'enquête de l'État de forcer les entreprises à transmettre des communications numériques sans mandat, baptisée Electronic Communications Privacy Act. Au même moment en Californie, le sénateur d'État Jerry Hill a présenté un projet de loi obligeant les forces de l'ordre à divulguer davantage d'informations sur leur utilisation et les informations provenant du dispositif de suivi téléphonique Stingray . Comme la loi est entrée en vigueur en janvier 2016, elle obligera désormais les villes à fonctionner avec de nouvelles directives concernant la manière et le moment où les forces de l'ordre utilisent cet appareil. Certains législateurs et personnes occupant une fonction publique ont désapprouvé cette technologie en raison du suivi sans mandat, mais maintenant si une ville veut utiliser cet appareil, elle doit être entendue lors d'une audience publique. Certaines villes ont abandonné l'utilisation du StingRay, comme le comté de Santa Clara.
Il a également été démontré par Adi Shamir et al. que même le bruit haute fréquence émis par un processeur comprend des informations sur les instructions en cours d'exécution.
Logiciels de police et logiciels gouvernementaux
Dans les pays germanophones, les logiciels espions utilisés ou créés par le gouvernement sont parfois appelés govware . Certains pays comme la Suisse et l'Allemagne disposent d'un cadre juridique régissant l'utilisation de tels logiciels. Parmi les exemples connus, on trouve les MiniPanzer et MegaPanzer suisses et le R2D2 allemand (trojan) .
Policeware est un logiciel conçu pour surveiller les citoyens en surveillant les discussions et les interactions de ses citoyens. Aux États-Unis, Carnivore a été la première incarnation d'un logiciel de surveillance du courrier électronique installé secrètement dans les réseaux des fournisseurs de services Internet pour enregistrer les communications informatiques, y compris les courriers électroniques transmis. Magic Lantern est une autre application de ce type, exécutée cette fois sur un ordinateur ciblé dans un style cheval de Troie et effectuant l'enregistrement des frappes au clavier. CIPAV , déployé par le FBI, est un logiciel espion/cheval de Troie polyvalent.
La puce Clipper , autrefois connue sous le nom de MYK-78, est une petite puce matérielle que le gouvernement peut installer dans les téléphones, conçue dans les années 90. Elle était destinée à sécuriser les communications et les données privées en lisant les messages vocaux codés et en les décodant. La puce Clipper a été conçue sous l’administration Clinton pour « … protéger la sécurité personnelle et nationale contre une anarchie de l’information en développement qui favorise les criminels, les terroristes et les ennemis étrangers. » Le gouvernement l’a présentée comme la solution aux codes secrets ou aux clés cryptographiques créés par l’ère de la technologie. Ainsi, cela a suscité une controverse dans l’opinion publique, car la puce Clipper est considérée comme le prochain outil « Big Brother ». Cela a conduit à l’échec de la proposition Clipper, même si de nombreuses tentatives ont été faites pour faire avancer le programme.
Le « Consumer Broadband and Digital Television Promotion Act » (CBDTPA) était un projet de loi proposé au Congrès des États-Unis. Le CBDTPA était connu sous le nom de « Security Systems and Standards Certification Act » (SSSCA) alors qu'il était à l'état de projet et a été rejeté en commission en 2002. Si le CBDTPA était devenu une loi, il aurait interdit la technologie qui pourrait être utilisée pour lire du contenu numérique protégé par le droit d'auteur (comme la musique, la vidéo et les livres électroniques) sans gestion des droits numériques (DRM) qui empêchait l'accès à ce matériel sans l'autorisation du titulaire du droit d'auteur.
La surveillance comme aide à la censure
La surveillance et la censure sont deux choses différentes. La surveillance peut être effectuée sans censure, mais il est plus difficile de pratiquer la censure sans certaines formes de surveillance. Et même lorsque la surveillance ne conduit pas directement à la censure, la connaissance ou la croyance répandue qu’une personne, son ordinateur ou son utilisation d’Internet sont surveillés peut conduire à l’autocensure .
En mars 2013, Reporters sans frontières a publié un rapport spécial sur la surveillance d’Internet , qui examine l’utilisation des technologies de surveillance des activités en ligne et d’interception des communications électroniques afin d’arrêter des journalistes, des journalistes-citoyens et des dissidents. Le rapport comprend une liste des « États ennemis d’Internet », Bahreïn , la Chine , l’Iran , la Syrie et le Vietnam , pays dont les gouvernements sont impliqués dans une surveillance active et intrusive des fournisseurs d’informations, entraînant de graves violations de la liberté d’information et des droits de l’homme. La surveillance des ordinateurs et des réseaux est en augmentation dans ces pays. Le rapport comprend également une deuxième liste des « entreprises ennemies d’Internet », Amesys (France), Blue Coat Systems (États-Unis), Gamma (Royaume-Uni et Allemagne), Hacking Team (Italie) et Trovicor (Allemagne), des entreprises qui vendent des produits susceptibles d’être utilisés par les gouvernements pour violer les droits de l’homme et la liberté d’information. Aucune de ces listes n’est exhaustive et elles sont susceptibles d’être étendues à l’avenir.
La protection des sources n’est plus seulement une question d’éthique journalistique. Les journalistes doivent se doter d’un « kit de survie numérique » s’ils échangent des informations sensibles en ligne, les stockent sur le disque dur d’un ordinateur ou sur un téléphone portable. Les personnes associées à des organisations de défense des droits de l’homme de premier plan, à des groupes dissidents, à des groupes de protestation ou à des groupes de réforme sont invitées à prendre des précautions supplémentaires pour protéger leur identité en ligne.