L'EFF a porté plainte contre la NSA pour obtenir des renseignements sur les processus de décision qui conduisent l'agence américaine à ne pas faire connaître l'existence de failles de sécurité qui peuvent mettre en danger les données personnelles des internautes.

L'Electronic Frontier Foundation (EFF), qui avait déjà attaqué les programmes de surveillance de la NSA, a trouvé un nouvel angle intéressant pour obtenir une condamnation judiciaire, ou au moins politique, de l'agence de renseignement américaine. L'organisation de défense des droits et libertés numériques a annoncé mardi avoir porté plainte contre la NSA pour obtenir les documents qui démontrent que l'agence choisit délibérément de ne pas divulguer des failles de sécurité majeures qui mettent en péril la protection des données personnelles des Américains (et du reste du monde).

En avril dernier, la Maison Blanche avait reconnu publiquement que la NSA cachait l'existence de failles de sécurité dont elle avait connaissance, pour pouvoir les exploiter dans ses missions de collecte d'informations. L'administration de Barack Obama avait alors expliqué qu'elle procédait à un examen interne des risques et bénéfices d'une éventuelle divulgation. Si le fait de ne pas provoquer la correction d'une faille est jugé plus rentable pour les Etats-Unis que le fait de divulguer son existence, alors la NSA conserve la faculté d'exploiter la faille de sécurité en toute discrétion. 

Provoquer un débat public sur les risques et bénéfices

C'est notamment ce que la NSA est suspectée d'avoir fait avec la faille Heartbleed, avec la bénédiction de la Maison Blanche. Pendant deux ans, l'agence de renseignement — qui dément — aurait profité de la faille de OpenSSL pour collecter en clair le contenu de communications que les utilisateurs croyaient parfaitement chiffrées.

Avec sa plainte, l'EFF demande à obtenir les documents officiels de la NSA qui décrivent le processus de sélection des failles "zero-day" qui sont divulguées. L'organisation avait fait une demande à l'administration le 6 mai dernier, restée sans réponse. C'est donc par la voie judiciaire qu'elle espère obtenir satisfaction.

L'EFF ne dit pas si elle a l'intention de poursuivre la NSA sur la base de ces documents, si elle découvre que l'agence a mis délibérément en danger les données personnelles d'internautes. Pour le moment, elle se contente de souhaiter que les processus de décision soient rendus publics, parce que "le public a un intérêt fort à connaître comment ces agences pèsent les risques et bénéfices" de la divulgation ou de la dissimulation d'une faille.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !