Une proposition de loi obligerait les sociétés Internet à espionner leurs utilisateurs

Pour le compte de la DEA

Un projet de loi bipartisan vise à lutter contre le fléau des ventes de drogues sur les réseaux sociaux, qui ont causé de nombreuses overdoses et la mort de jeunes Américains. Le projet de loi obligerait les plateformes Internet à signaler toute activité suspecte liée aux stupéfiants à la Drug Enforcement Administration (DEA), une agence fédérale américaine d'application de la loi dépendant du département de la Justice des États-Unis, chargée de lutter contre le trafic et la distribution de drogues aux États-Unis.

Les partisans du projet de loi affirment qu’il s’agit d’une mesure nécessaire pour endiguer une crise de santé publique, tandis que ses opposants craignent qu’il ne porte atteinte à la protection de la vie privée et ne transforme l’internet en un appareil d’espionnage fédéral. Des organisations comme l'ACLU (American Civil Liberties Union - Union américaine pour les libertés civiles) et l'Electronic Frontier Foundation (EFF) dénoncent les problèmes de rédaction et de conception du projet de loi, qui pourrait avoir des effets imprévus à long terme.

L'ACLU a annoncé en decembre 2020 dans un communiqué officiel sur son site qu'elle intentait une action en justice contre le FBI. L'organisation accusant alors le service fédéral de police judiciaire et de renseignement intérieur d'infiltrer discrètement les dispositifs chiffrés, comme les téléphones portables, par le biais de son laboratoire de piratage EDAU. La plainte exigeait plus de transparence de la part du FBI sur sa capacité à accéder aux informations stockées sur les appareils mobiles personnels et demande des informations sur ce que le gouvernement fédéral a dans sa boîte à outils.


« Ces dernières années, les gouvernements ont intensifié leurs efforts pour accéder aux informations contenues dans nos téléphones portables et nos ordinateurs personnels. Des informations accessibles au public indiquent que l'Unité d'analyse des dispositifs électroniques (EDAU), une équipe au sein du FBI, a acquis ou est en train d'acquérir un logiciel qui permet au gouvernement de déverrouiller et de déchiffrer des informations qui sont autrement stockées en toute sécurité sur les téléphones portables », avait déclaré l'ACLU dans un communiqué.

Le Cooper Davis Act est un projet de loi qui vise à lutter contre les ventes de drogues sur Internet en obligeant les plateformes à signaler au gouvernement toute activité suspecte liée aux stupéfiants. Le projet de loi exigerait que les fournisseurs de services Internet, comme les médias sociaux, le cloud ou la messagerie, surveillent et rapportent au procureur général toute preuve de la vente ou de la distribution illégales de substances contrefaites ou contrôlées, comme le fentanyl, la méthamphétamine ou les médicaments sur ordonnance.

Le projet de loi ne précise pas comment les plateformes doivent identifier les trafiquants de drogue, mais il leur impose de fournir des données personnelles sur les utilisateurs soupçonnés à la DEA. Le projet de loi ne donne pas de critères clairs pour déterminer qui est un trafiquant de drogue et qui ne l’est pas, laissant aux plateformes le soin de le faire. Le projet de loi obligerait également les plateformes à transmettre à la DEA des informations personnelles et sensibles sur les utilisateurs soupçonnés, comme leur adresse IP, leur nom d’écran, leur adresse e-mail ou leurs informations de paiement.

Les risques du Cooper Davis Act pour la lutte contre les ventes de drogues sur Internet

Les critiques voient un certain nombre de dangers inhérents au Cooper Davis Act, mais le plus important est qu'il pourrait effectivement subvertir les protections déjà limitées du quatrième amendement des Américains lorsqu'il s'agit d'Internet. « À l'heure actuelle, la loi fédérale protège les données des utilisateurs et limite la manière dont les plateformes et autres entités peuvent les partager avec les forces de l'ordre », déclare Cody Venzke, conseiller politique principal à l'ACLU. Mais Cooper Davis « créerait explicitement une exception à ces protections », ajoute-t-il.

En mars de cette année, le FBI a admis qu'il achetait des données de localisation des Américains. En effet, un rapport de Motherboard indique que cinq responsables des services de renseignement des États-Unis ont participé à une audition du Sénat sur les menaces mondiales. Lors de l'audience, le sénateur Ron Wyden (D - OR) aurait posé la question au directeur du FBI, Christopher Wray : « le FBI achète-t-il des informations sur la géolocalisation des téléphones des citoyens américains ? » Le directeur du FBI a répondu que son agence ne le faisait pas actuellement, mais aurait reconnu qu'elle l'avait fait par le passé. Il aurait limité sa réponse aux données que les entreprises recueillent spécifiquement à des fins publicitaires.

« À ma connaissance, nous n'achetons pas actuellement d'informations provenant de bases de données commerciales comprenant des données de localisation dérivées de la publicité sur Internet. Je crois savoir que nous avons déjà acheté de telles informations dans le cadre d'un projet pilote spécifique de sécurité nationale, mais ce projet n'est plus actif depuis un certain temps », aurait déclaré Wray. Il aurait ajouté que l'agence s'appuyait désormais sur une « procédure autorisée par un tribunal » pour obtenir des données de localisation auprès des entreprises.

Le FBI aurait déjà acheté l'accès aux données Netflow, qu'une société appelée Team Cymru obtient des FAI. Certains médias ont obtenu les détails du contrat passé entre le FBI et la société par le biais d'une demande au titre de la loi sur la liberté de l'information (Freedom of Information Act, FOIA). Le contrat ne donne pas beaucoup d'informations sur la raison pour laquelle le FBI a fait l'acquisition de données. Toutefois, en 2017, le gouvernement a payé un total de 76 450 dollars pour ces informations. Ce que le bureau a fait de ces informations reste un mystère.

En théorie, le quatrième amendement est censé interdire les perquisitions et les saisies de biens privés sans mandat, ce qui signifie que les policiers ne peuvent pas défoncer votre porte et fouiller dans vos affaires sans une décision de justice. Ce principe fonctionne assez bien dans le monde réel, mais devient résolument confus lorsqu'il s'agit du web. Étant donné qu'une grande partie des données « personnelles » des Américains est désormais stockée par des plateformes propriétaires, il est difficile de dire que ces données appartiennent réellement à l'utilisateur. Elles appartiennent plutôt à l'entreprise, ce qui signifie que si cette dernière souhaite partager « vos » données avec le gouvernement, elle serait également en droit de le faire.

Toutefois, les entreprises ne cherchent pas nécessairement à le faire régulièrement et la vie privée des internautes est partiellement protégée contre les perquisitions gouvernementales dans les données des entreprises par le Stored Communications Act (SCA), une loi de 1986 qui stipule que la police doit obtenir un mandat ou une citation à comparaître avant de pouvoir fouiller dans les comptes numériques d'une personne.

Mais le SCA souffre déjà d'un certain nombre de lacunes et les critiques soulignent que le Cooper Davis Act créerait encore une autre exception lorsqu'il s'agit d'activités liées à la drogue. Le SCA est spécifiquement censé protéger les communications privées des internautes, en obligeant les policiers à obtenir un mandat avant de les fouiller. Or, selon Venzke, la dernière version du projet de loi Cooper Davis autorise les fournisseurs d'accès à internet à « remettre des messages, des courriels, des messages privés » et d'autres communications personnelles aux forces de l'ordre « sans notification à l'utilisateur, sans contrôle judiciaire et sans mandat ».

Selon certains analystes, ce projet de loi ne se contente pas de réduire les droits en ligne des Américains. Essentiellement, il transformerait une grande partie de l'internet en une aile officieuse du gouvernement fédéral, en déchargeant les agences de police d'une partie de leur travail d'enquête sur les épaules des grandes entreprises technologiques. Au lieu que la DEA se charge de trouver un individu suspecté de trafic de stupéfiants et obtenir une ordonnance du tribunal pour obtenir ses données numériques, les entreprises technologiques seraient chargées de trouver le suspect pour la DEA et seraient alors obligées d'envoyer au gouvernement une tonne d'informations.

La loi Cooper Davis pourrait avoir des conséquences inattendues

Le Cooper Davis Act est un projet de loi qui s’inspire d’une autre politique, fédérale connue sous le nom de 2258A, existante qui oblige les plateformes web à signaler les contenus pédopornographiques au gouvernement. Le projet de loi voudrait faire la même chose pour les ventes de drogues sur Internet, mais il ne donne pas de directives claires sur la manière dont les plateformes doivent identifier et signaler les trafiquants de drogue. Les critiques soulignent que les activités liées à la drogue sont plus difficiles à détecter que les abus d’enfants, car elles utilisent un langage codé et subtil. Ils s’inquiètent des conséquences sur la vie privée et la sécurité des internautes.

En vertu du règlement 2258A, les plateformes web sont tenues de signaler tout contenu suspecté d'abus pédosexuels à la CyberTipline du National Center for Missing and Exploited Children (NCMEC), une organisation à but non...