Le vote du Sénat du 12 juin sur la FISA 702 expose les utilisateurs de VPN à un risque de surveillance

Le vote du Sénat du 12 juin sur la FISA 702 expose les utilisateurs de VPN à un risque de surveillance

Un vote du Sénat prévu le 12 juin sur le renouvellement de la Section 702 de la FISA suscite un regain d’attention de la part des défenseurs de la vie privée, pour des raisons qui dépassent largement le débat habituel sur les libertés civiles. Au cœur de la préoccupation se trouve un risque spécifique et sous-médiatisé : les Américains qui utilisent des VPN pour protéger leur trafic Internet pourraient, par inadvertance, se rendre plus visibles à la surveillance gouvernementale sans mandat, plutôt que moins. Comprendre pourquoi nécessite d’examiner de près la manière dont la loi définit les communications « étrangères ».

Comment la Section 702 de la FISA cible le trafic des serveurs étrangers et pourquoi les VPN se retrouvent dans la ligne de mire

La Section 702 de la FISA autorise les agences de renseignement américaines à collecter des communications sans mandat lorsque celles-ci impliquent des cibles étrangères situées en dehors des États-Unis. La loi n’est explicitement pas censée cibler les citoyens ou résidents américains. Mais le mécanisme par lequel le trafic est classé comme « étranger » crée une faille importante.

Lorsque vous vous connectez à un VPN, votre trafic Internet est acheminé via un serveur VPN avant d’atteindre sa destination. Si ce serveur est situé en dehors des États-Unis, ou s’il est exploité par une entreprise dont le siège est à l’étranger, les agences de renseignement peuvent classer le trafic qui y transite comme provenant de l’étranger. Dans le cadre actuel de la Section 702, cette classification peut suffire à placer les communications dans le champ de la collecte, peu importe que la personne qui génère ce trafic soit un Américain installé chez lui.

Il ne s’agit pas d’un cas limite hypothétique. Les serveurs VPN sont par conception répartis dans le monde entier. De nombreux fournisseurs exploitent des infrastructures dans des dizaines de pays pour offrir aux utilisateurs de meilleures vitesses et options d’accès. Chacun de ces serveurs basés à l’étranger constitue un point potentiel de reclassification juridictionnelle en vertu du libellé actuel de la Section 702.

Quels utilisateurs de VPN sont les plus à risque en vertu de la loi actuelle

Tous les utilisateurs de VPN ne sont pas exposés au même niveau de risque. Le risque est le plus élevé pour les personnes qui se connectent régulièrement à des serveurs en dehors des États-Unis, en particulier dans des pays considérés comme hostiles ou présentant un intérêt de renseignement élevé. Les journalistes communiquant avec des sources étrangères, les militants et les voyageurs d’affaires utilisent fréquemment des serveurs en Europe, en Asie et ailleurs, et leur trafic peut en conséquence être signalé pour collecte.

Mais le risque ne se limite pas aux cas très médiatisés. Des utilisateurs ordinaires qui choisissent un serveur étranger pour diffuser du contenu, réduire la latence ou accéder à des services géo-restreints pourraient également voir leurs communications aspirées dans les bases de données de renseignement. Une fois collectées, ces données peuvent être consultées par les forces de l’ordre nationales via ce que les critiques appellent le mécanisme de « recherche par porte dérobée », permettant des recherches dans les communications des Américains sans jamais obtenir de mandat.

Le contexte législatif plus large est également important ici. Les utilisateurs de VPN aux États-Unis évoluent déjà dans un environnement réglementaire compliqué, comme l’illustrent les récentes actions au niveau des États. Les législateurs du Wisconsin ont récemment retiré une disposition d’interdiction des VPN d’un projet de loi en cours suite à la réaction du public, un rappel que le statut juridique de l’utilisation des VPN aux États-Unis est mis à l’épreuve sur plusieurs fronts simultanément.

Ce que signifie le positionnement juridictionnel dans le choix d’un fournisseur VPN

Le risque de surveillance lié à la Section 702 de la FISA pour les VPN ajoute une dimension à la sélection des fournisseurs que la plupart des guides comparatifs ignorent totalement. La force du chiffrement et les politiques de non-conservation des journaux sont importantes, mais tout comme l’emplacement physique des serveurs d’un fournisseur et la juridiction légale qui régit l’entreprise elle-même.

Un fournisseur VPN constitué aux États-Unis et exploitant des serveurs exclusivement à l’intérieur des frontières américaines reste soumis à la loi sur la surveillance intérieure, mais son trafic est moins susceptible d’être signalé dans le cadre de la Section 702 ciblant les étrangers. Inversement, les fournisseurs dont le siège se trouve dans des pays hors de la juridiction américaine mais avec des serveurs aux États-Unis présentent un profil différent. Et les fournisseurs ayant des serveurs dans des pays participant à des accords de partage de renseignement, comme l’alliance des Cinq Yeux, peuvent offrir une protection moindre que ce que leur marketing laisse entendre.

Pour les utilisateurs qui comptent sur les VPN pour une véritable protection de la vie privée, en particulier face au risque de surveillance de la Section 702 de la FISA, l’écran de sélection du serveur ne se résume plus à la vitesse. C’est une décision juridictionnelle aux implications juridiques réelles.

Ce que demandent les défenseurs de la vie privée avant le vote du Sénat du 12 juin

Les groupes de défense des libertés civiles pressent les sénateurs de traiter plusieurs problèmes spécifiques avant de renouveler la Section 702. La demande la plus importante est la fermeture de la faille des recherches par porte dérobée, qui permet actuellement aux forces de l’ordre nationales d’interroger les bases de données de la Section 702 pour les communications des Américains sans mandat. Sans cette correction, le renouvellement préserverait un mécanisme qui contourne effectivement les protections du Quatrième Amendement.

Les défenseurs réclament également un libellé explicite clarifiant comment la classification du trafic fonctionne lorsque les communications transitent par des serveurs intermédiaires, y compris les infrastructures VPN. L’absence de cette clarté est précisément ce qui crée le problème d’exposition des VPN. Sans une définition légale claire distinguant une cible étrangère du trafic acheminé par l’étranger, les agences de renseignement conservent un large pouvoir discrétionnaire pour englober les communications des utilisateurs américains.

Le vote du 12 juin déterminera non seulement si la Section 702 est maintenue, mais aussi si le Congrès traite cette ambiguïté comme acceptable. La lutte sur la légalité des VPN et la pression réglementaire au niveau des États reflète une tension plus large dans la politique américaine entre les intérêts de sécurité et les droits individuels à la vie privée, que le vote du Sénat résoudra ou repoussera.

Ce que cela signifie pour vous

Si vous utilisez régulièrement un VPN, le débat sur le renouvellement de la Section 702 est directement pertinent pour votre vie privée. Voici des mesures concrètes à prendre avant et après le vote du 12 juin :

• Examinez l’emplacement de vos serveurs VPN. Comprenez quels serveurs vous utilisez le plus souvent et où ils sont physiquement situés. Les serveurs en dehors des États-Unis présentent une exposition plus élevée dans le cadre actuel de la Section 702.
• Vérifiez la juridiction de votre fournisseur. Renseignez-vous sur le lieu de constitution de votre fournisseur VPN et s’il est soumis à la procédure judiciaire américaine. Cela affecte les données qui peuvent être exigées de l’entreprise.
• Suivez le résultat du vote du Sénat. Si la Section 702 est renouvelée sans la correction de la recherche par porte dérobée, le risque pour les Américains utilisant des serveurs VPN étrangers reste inchangé ou pourrait augmenter.
• Contactez vos sénateurs. Les groupes de défense de la vie privée ont publié des modèles et des outils de contact pour exhorter les législateurs à ajouter des exigences de mandat avant l’adoption du renouvellement.

Le vote du Sénat du 12 juin est une fenêtre étroite pour corriger un défaut structurel de la loi américaine sur la surveillance qui affecte directement des millions d’utilisateurs de VPN. Comprendre le risque de surveillance lié à la Section 702 de la FISA pour les VPN est la première étape pour faire des choix éclairés concernant votre propre vie privée numérique.