Depuis quelques années et l'évolution planétaire du réseau Internet, nombreux sont ceux qui ont compris qu'il était vital pour eux de se tenir informés de ce qu'il s'y passait.
L'industrie fournit depuis fort longtemps de parfaites panoplies de logiciels de veille stratégique et d'e-réputation, qui permettent à des sociétés notamment d'anticiper les tendances et la concurrence, de réagir à l'actualité ou de construire une posture de communication en fonction d'évènements bien précis.
Outre-Atlantique, il semble que certaines institutions ait décidé de mettre en oeuvre des moyens plus adaptés aux derniers usages des internautes : les médias sociaux. Pour preuve la bataille que livre actuellement l'EPIC au DHS.
EPIC contre DHS, le choc des titans
Mais qui sont donc ces super-héros qui se livrent sans vergogne une terrible bataille ?
D'un côté, l'EPIC (Electronic Privacy Information Center) est un groupement d'interêt public, crée en 1994. Sa mission est d'attirer l'attention sur les problèmes liés aux libertés civiles, de protéger la vie privée, le premier amendement, et les valeurs constitutionnelles.
De l'autre, le DHS (Department of Homeland Security), département de la Sécurité intérieure des Etats-Unis, crée en 2002. En réponse aux attentats du 11 septembre 2001, son objectif est d'organiser et d'assurer la sécurité intérieure du pays.
Dans tout combat, il y a une arme, ce sera ici le FOIA (Freedom Of Information Act), loi américaine fondée sur le principe de la liberté d'information, qui oblige les agences fédérales à transmettre leurs documents, à quiconque en fait la demande.
(source: Wikipedia)
au programme : la surveillance des médias
Selon l'EPIC, le DHS annonce en février 2011, vouloir lancer un progremme permettant de surveiller le contenu des médias (traditionnels et sociaux).
Les supports visés sont nombreux : forums en ligne, blogs, sites Internet publics et autres lieux de conversations en ligne. Les collecteurs des informations le sont tout autant : agences fédérales, d'état, locales et étrangères, ainsi que des partenaires du secteur privé.
La technique utilisée est des plus simples : utilisation de profils fictifs sur les médias sociaux afin d'espionner les autres utilisateurs de ces services. Pas d'embarres non plus sur le stockage des données personnelles, qui est fixé à 5 ans.
le début d'une longue enquête
Il n'en fallait pas autant pour que l'EPIC se lance dans un combat long et fastidieux : obtenir plus d'informations sur ce programme.
Avril 2011: l'EPIC transmet une demande FOIA pour obtenir des documents du DHS, détaillant le programme de surveillance des médias.
Décembre 2011: l'EPIC intente des poursuites contre le DHS, qui déclare néanmoins qu'il va lancer un programme de supervision des données sur les services Facebook et Twitter, via l'emploi de comptes fictifs, et le stockage de données durant 5 ans.
Janvier 2012: premier retour d'informations du DHS qui déclare vouloir surveiller les mouvements de dissidence politique, et vouloir surveiller le traitement fait aux activités du DHS dans les médias. Un document de près de 300 pages est communiqué à l'EPIC (disponible ici). Nous y retrouvons notamment le prix des prestations contractées auprès d'une entreprise spécialisée, la liste des sites ciblés (~120) et retenus (Facebook et Twitter), mais aussi une liste de sites qui ont été surveillés durant les Jeux Olympiques d'Hiver de 2010 à Vancouver.
Février 2012: l'EPIC demande au Congrès Américain de suspendre le programme du DHS, au motif de violation du premier amendement. Le DHS prétend que le programme n'a pas vocation à surveiller les réactions du public aux propositions du gouvernement, mais seulement d'examiner les critiques envers l'agence.
vous reprendrez bien un peu de FOIA
L'EPIC n'a néanmoins pas souhaité en rester là et a publié fin février 2012, un document fourni par le DHS dans le cadre des demandes FOIA : intitulé "Analyst’s Desktop Binder" (le classeur de bureau de l'analyste°. Ce document (disponible ici) n'est autre que le petit guide de surveillance des médias fourni par le DHS à ses fournisseurs de services.
A la différence du précédent document quelque peu indigeste, ce dernier, d'environ 40 pages, nous apporte beaucoup plus de détails:
- justification de la création d'un IOI (Item Of Interest) ou point d'intérêt (page 10)
- critères de classification des points d'intérêts (pages 10 à 13)
- sources crédibles d'informations (page 14)
- copies d'écran du système web "Media Monitoring Capability" (pages 15 à 20)
- liste des mots-clés utilisés pour la surveillance (pages 20 à 23)
- règles de gestion des PII (Personally Identifiable Information) ou informations personnelles (page 24 à 25)
- liste de médias audiovisuels à surveiller (page 33)
pour surveiller quoi ?
A propos des sources d'informations, il est à noter qu'elles sont découpées en quatre zones et que le journal français "Le Monde" joue en 1ère division !
Au sujet des informations personnelles, quelques règles sont simples : autorisation de citer les têtes connues du DHS si ils sont morts, ne pas mentionner les personnes privées, ... sauf par téléphone via la ligne de support fournie !
Les chaines audiovisuelles "Animal Planet", "Food Network", "Discovery Kids" et "The Weather Channel" sont sous surveillance ? à moins que le DHS ait pris le premier bouquet TV à disposition et nous donne simplement la liste des chaines !
Hello World !
Vous savez à présent comment éviter ou déclencher la création d'un IOI sur Facebook et Twitter. Néanmoins, à y regarder de plus près l'utilisation de certains mots-clés est assez fréquente dans les métiers de la sécurité, donc méfiance.
La preuve, j'en ai au moins trouvé 16 : "Task Force", "NOC", "Threat", "Mitigation", "Recovery", "Attack", "Cloud", "Leak", "Virus", "Quarantine", "Bridge", Power", "Execution", "Pirates", "Warning", "Disaster"... sans compter ceux de la rubrique Cyber-Security.
A noter que le site web ANIMAL, qui a révélé la possession par l'EPIC du dernier document, communique lui aussi la liste des mots-clés utilisés par le DHS.
Vincent
Crédit photo : © Anton Prado - fotolia.com
Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.