acte controversé. Comment le Royaume-Uni teste secrètement un nouveau système pour espionner les utilisateurs sur Internet

En 2016, le Royaume-Uni a adopté l’ Investigatory Powers Act ("Investigatory Powers Act"). Cet événement a conduit à la création d’un système spécial avec lequel vous pouvez suivre l’activité Internet des utilisateurs vivant sur le territoire de cet État démocratique.

Au cours des deux dernières années, les forces de l’ordre ont travaillé avec des sociétés Internet à travers le Royaume-Uni pour développer et tester secrètement une technologie de surveillance spécifique. Grâce à lui, ils ont pu enregistrer et stocker les données de navigation sur Internet de chaque utilisateur résidant dans le pays.

Les tests, qui ont été effectués par deux FAI non identifiés, le ministère de l’Intérieur et la National Crime Agency, ont été effectués à la suite de l’adoption de la controversée Investigative Powers Act, entrée en vigueur fin 2016. En cas de mise en œuvre réussie de cette résolution, le gouvernement serait en mesure de déployer une surveillance au niveau national.

Bien que la National Crime Agency ait déclaré qu’un "travail important" avait été accompli dans le processus de mise en œuvre de la loi, les détails de la mise en œuvre du décret n’ont pas été divulgués. Cette approche des forces de l’ordre est déjà contestée devant les tribunaux. Il n’y a eu aucune annonce publique concernant le début d’un test ou d’une surveillance des utilisateurs sur le réseau. De plus, de nombreux initiés qui suivent les activités de la police et des agences gouvernementales affirment qu’ils ne peuvent pas parler de la nouvelle technologie en raison de leurs propres problèmes de sécurité.

Il reste un procès lié à la mise en œuvre de la "loi sur les pouvoirs d’enquête", entrée en vigueur en 2016. L’acte lui-même est associé à la Snooper’s Charter Act. Sur la base de l’ensemble de ces réglementations, l’État a pu créer des enregistrements de la connexion de chaque utilisateur au réseau. Ils contiennent des informations complètes sur les actions effectuées par l’utilisateur sur Internet. En d’autres termes, il s’agit de métadonnées sur sa vie sur Internet : qui il est, ce qu’il fait, avec qui il communique, ce qui l’intéresse. Sur la base de la loi sur les pouvoirs d’enquête, l’État ou la police peuvent exiger d’une société Internet qu’elle conserve l’historique de navigation d’un utilisateur particulier pendant 12 mois.

La première de ces demandes a été formulée en juillet 2019. C’est alors que les dossiers d’activité des utilisateurs ou ICR ont été mis à l’épreuve (selon le rapport du commissaire ). La deuxième plainte, intentée contre un autre FAI dans le cadre du même litige, est apparue en octobre 2019. Le procès lui-même est toujours en cours. Des contrôles réguliers sont effectués par la police pour s’assurer que les données collectées ne violent pas le droit à la vie privée des utilisateurs. Une fois que le programme de collecte de données aura été soigneusement testé, il sera examiné par le gouvernement national pour adoption au niveau national.

Cependant, les groupes de défense des droits civiques soutiennent que le manque de transparence entourant de telles poursuites suggère qu’un tel programme de collecte de données n’est pas idéal. «Il a fallu plusieurs années pour que le procès lié à la collecte des données des utilisateurs devienne public. Cela suggère que le système même qui suit l’activité des utilisateurs sur le réseau doit être amélioré », déclare Heather Burns, experte politique d’ Open Rights Group, une organisation britannique de protection de la vie privée et de la liberté sur Internet.

Burns dit que le procès de collecte d’ICR a amené les FAI à " déterrer beaucoup plus d’informations personnelles sur les utilisateurs que prévu ". Elle ajoute qu’on ne sait pas exactement quelles données ont été recueillies à la suite de l’essai. "Je suis frappé par le manque de transparence dans cette collecte et ce stockage massifs des données personnelles des résidents britanniques."

Tout le procès est entouré de secret. On ne sait pas quelles données sont collectées, quelles entreprises y sont impliquées et comment les informations obtenues sont utilisées par des tiers. Le ministère de l’Intérieur a refusé de fournir des détails sur l’essai, affirmant qu’il n’était "pas si important" et qu’il n’était mené que pour déterminer quelles données pouvaient être obtenues à partir de telles pratiques. Les rapports de l’ICR ont été conçus pour découvrir des crimes graves et empêcher qu’ils ne se reproduisent à l’avenir, selon le ministère de l’Intérieur.

"Nous soutenons une initiative parrainée par le ministère de l’Intérieur visant à créer des enregistrements de l’activité des utilisateurs sur le Web pour répondre à des objectifs techniques, juridiques et politiques", a déclaré un porte-parole de la National Crime Agency. L’agence elle-même a dépensé au moins 130 000 £ sur deux contrats externes pour construire des systèmes de surveillance techniques de base. Il convient de noter que des documents liés à la mise en œuvre de la «loi sur les pouvoirs d’enquête» de juin 2019 indiquent qu’un «travail important» a déjà été effectué pour mettre en œuvre des enregistrements de l’activité des utilisateurs sur Internet.

Parmi les principaux FAI du Royaume-Uni, seul Vodafone a confirmé qu’il n’avait participé à aucun test lié au stockage des données d’activité Internet de ses utilisateurs. Les représentants de BT, Virgin Media et Sky ont refusé de commenter cette situation, et l’opérateur mobile Three n’a pas du tout répondu à une demande des journalistes. Les petits FAI affirment qu’ils n’ont participé à aucun test de nouveaux programmes de sécurité.

Très probablement, les fournisseurs de services sont gênés par une loi qui les empêche de divulguer publiquement les données qu’ils collectent. Un tel secret compromet la modernisation et le test de l’ensemble du réseau Internet dans son ensemble. Une section de la loi sur les pouvoirs d’enquête stipule que les entreprises de télécommunications ou les personnes travaillant dans le domaine ne sont pas autorisées à parler publiquement ou en privé de "l’existence ou du contenu" de toute commande liée au stockage des données personnelles des utilisateurs.

L’Investigative Powers Act est une loi à plusieurs niveaux qui définit la manière dont les forces de l’ordre au Royaume-Uni peuvent collecter et traiter des données liées à des activités criminelles. Depuis son adoption en 2016, la loi a conduit à des réformes radicales de la sécurité des données au Royaume-Uni. Les forces de l’ordre ont acquis plus de contrôle sur les informations privées des résidents du pays, expliquant que les téléphones, ordinateurs et autres gadgets peuvent être piratés par des intrus. Dans le cadre de ces changements, les ICR (User Activity Reports) ont été introduits en tant que nouveau type de données pouvant être collectées et stockées à des fins de sécurité.

Les enregistrements de l’activité des personnes sur Internet peuvent contenir des informations sur les applications qu’ils ont utilisées ; les domaines qu’ils ont visités ; Adresse IP spécifique à leur réseau. Avec cette quantité d’informations, la police peut connaître le début et la fin de la session d’un utilisateur sur le réseau, ainsi que la quantité de données reçues ou envoyées depuis son appareil. Bien que les métadonnées ne puissent pas indiquer directement ce que vous regardiez exactement sur une page particulière sur Internet, elles comportent toujours un risque pour votre vie privée. Entre autres choses, les ICR contiennent des informations sur l’état de santé, les affiliations politiques et les intérêts personnels des utilisateurs. Les documents du ministère de l’Intérieur indiquent qu’" il n’y a pas un seul ensemble de données qui est collecté pour créer un ICR". Tous les journaux seront conservés par les FAI pendant la durée requise.

Cinq ans se sont déjà écoulés depuis l’adoption de la loi. En 2016, nombre de ses aspects semblaient plutôt controversés – et la création de l’ICR figurait en tête de liste. Edward Snowden a qualifié la loi de " surveillance la plus extrême de l’histoire de la démocratie occidentale ". Il convient également de noter qu’après l’entrée en vigueur de la loi, de multiples procédures judiciaires ont eu lieu concernant la quantité de données personnelles des utilisateurs que les FAI peuvent collecter.

Bien que la loi ait été adoptée en novembre 2016, il est probable que les systèmes nécessaires pour collecter des informations sur l’activité Internet de tous les utilisateurs au Royaume-Uni doivent encore être développés. Lors de la discussion de la loi en 2015, de nombreux fournisseurs de services Internet ont annoncé que l’ICR était un type de données complètement nouveau, car rien de similaire n’a encore été développé dans le monde.

Hugh Woolford, alors directeur de l’exploitation de Virgin Media, a déclaré qu’un tel espionnage nécessite «la mise en miroir de tout le trafic sur notre réseau afin qu’il puisse être filtré plus tard ». D’autres ont fait valoir que de tels systèmes coûteraient à l’État plus que les 175 millions de livres sterling initialement budgétés par le ministère de l’Intérieur pour mettre en œuvre la loi. Par conséquent, les dépenses des gens en services Internet pourraient augmenter.

La "loi sur les pouvoirs d’enquête" devrait être soigneusement étudiée l’année prochaine. Il doit être révisé cinq ans et six mois après son adoption. Burns soutient que c’est une chance d’améliorer la transparence du processus de collecte de données lui-même et de comprendre comment la loi fonctionne dans la pratique. "Nous devons nous assurer que les ICR collectent la bonne quantité de données sur l’activité des utilisateurs sur le réseau", dit-elle. "Il est également nécessaire de garantir que toute mesure visant à intensifier cette pratique ne sera pas prise par l’État et les forces de l’ordre à l’avenir."

Selon Filaire.