Marissa Mayer, la PDG de Yahoo!, lors d’une conférence en 2014.

Marissa Mayer, la PDG de Yahoo!, lors d’une conférence en 2014. | JULIE JACOBSON/AP

Yahoo! a conçu et mis en place en 2015 un programme informatique pour surveiller en temps réel les boîtes e-mail de tous ses utilisateurs, afin d’y détecter des mots-clés : c’est ce qu’affirme une enquête de l’agence Reuters, s’appuyant sur les témoignages de deux anciens employés. Selon Reuters, ce programme a été conçu pour répondre à une directive américaine, restée secrète, qui pourrait émaner d’une demande de la NSA (les services de renseignement) ou du FBI (la police fédérale).

Yahoo! n’a démenti que très partiellement les accusations, se bornant à assurer que l’entreprise respectait les lois américaines. Les détails de ce programme sont encore largement inconnus – tout juste sait-on que son but était d’identifier, en temps réel, des « sélecteurs », des mots-clés dans le jargon des services de renseignement, qui peuvent être aussi bien un mot qu’une adresse e-mail ou l’adresse IP d’une machine.

Ces révélations ont provoqué la colère des associations de défense des libertés, à commencer par la puissante American Civil Liberties Union, qui dénonce une atteinte au quatrième amendement de la Constitution américaine garantissant le droit à la protection contre les perquisitions abusives. « Il est vraiment décevant que Yahoo! n’ait pas cherché à contester cette demande de surveillance de masse », estime l’organisation. Aux Etats-Unis, la surveillance des citoyens est très strictement encadrée par la loi et la jurisprudence.

Une illusion de réforme

En début d’année, Apple s’était opposé à une demande un peu différente, mais qui présente des similarités juridiques. Le FBI avait demandé à l’entreprise de concevoir un outil permettant de déverrouiller le téléphone chiffré de l’un des terroristes ayant commis l’attentat de San Bernardino. Apple avait contesté cette demande, arguant notamment qu’un service d’enquête ne pouvait demander à une entreprise privée de concevoir un outil spécifique. Le FBI était finalement parvenu à déverrouiller le téléphone sans l’aide d’Apple, mais Yahoo! aurait pu contester cette demande en se basant, au minimum, sur les mêmes arguments.

Lire aussi : Le FBI renonce à demander l’aide d’Apple pour déverrouiller un iPhone dans l’Etat de New York

Pour Amnesty International comme pour le lanceur d’alerte Edward Snowden, qui a révélé l’existence du système de surveillance d’Internet mis en place par la NSA américaine, cette nouvelle affaire Yahoo! démontre dans tous les cas que les réformes du renseignement entreprises depuis 2013 n’ont été qu’une illusion. « Souvenez-vous, pendant les négociations sur l’accord sur les transferts de données entre l’Europe et les Etats-Unis, le gouvernement américain disait que ce type de choses n’arriverait jamais », écrit Edward Snowden sur Twitter. Les opposants à cet accord, voté cette année et qui permet aux entreprises de stocker les données de citoyens européens aux Etats-Unis, arguaient notamment qu’il permettrait aux Etats-Unis de continuer à surveiller massivement les Européens – les engagements pris par Washington étant très vagues.

Lire aussi : A peine adopté, l’accord Privacy Shield sur les données personnelles est déjà menacé

L’ombre de PRISM

Ce nouveau scandale rappelle directement l’un des programmes les plus controversés – et encore mal connu – de la NSA américaine : PRISM. Ce programme, dont l’existence a été révélée en 2013 par des documents Snowden, montrait que la NSA avait un accès direct aux données de très grandes entreprises américaines, dont Google, Apple, Facebook ou Yahoo!. Ces dernières avaient vivement contesté avoir eu connaissance de l’existence de PRISM, et ont toutes assuré ne jamais y avoir participé. Sollicités ce 4 octobre par la presse américaine, Apple, Facebook, Microsoft et Google ont toutes nié avoir reçu une demande similaire à celle faite à Yahoo!.

Lire aussi : Bataille d'informations autour de l'outil de surveillance "Prism"

L’existence du programme de surveillance de Yahoo! a été gardée largement secrète au sein de l’entreprise. Le directeur de la sécurité de Yahoo! n’était même pas au courant jusqu’à ce que le programme arrive à un stade avancé. En mai 2015, après avoir découvert ce qu’il pensait être un piratage externe, Alex Stamos, le responsable de la sécurité informatique de Yahoo!, avait alerté la direction de l’entreprise – et découvert qu’il s’agissait d’un programme interne, autorisé par la PDG ,Marissa Mayer, qui ne l’avait pas mis au courant. M. Stamos avait alors démissionné de Yahoo!, avant d’être embauché par Facebook.

Ces révélations n’ont aucun rapport avec les piratages massifs dont a par ailleurs été victime Yahoo!, et dont l’existence a été révélée fin septembre. Les mots de passe et informations personnelles de 500 millions d’utilisateurs ont été dérobés par un ou des pirates, et le service a peut-être été victime d’un deuxième piratage similaire.

Lire aussi : 500 millions de comptes d’utilisateurs de Yahoo! ont été piratés