Le ressortissant américain L’Agence de sécurité achète sans mandat de grandes quantités de données de navigation Internet disponibles dans le commerce sur des Américains, selon le directeur sortant de l’agence.
Le directeur de la NSA, le général Paul Nakasone, a révélé cette pratique dans une lettre adressée au sénateur Ron Wyden, défenseur de la vie privée et démocrate de haut rang au sein de la commission sénatoriale du renseignement. Wyden a publié la lettre jeudi.
Nakasone a déclaré que la NSA achète « divers types » d’informations auprès de courtiers en données « à des fins de renseignement étranger, de cybersécurité et de missions autorisées », et que certaines des données peuvent provenir d’appareils « utilisés à l’extérieur – et dans certains cas, à l’intérieur – des États-Unis. États. »
« La NSA achète et utilise des données Netflow disponibles dans le commerce liées à des communications Internet entièrement nationales et à des communications Internet où un côté de la communication est une adresse de protocole Internet américain et l’autre est situé à l’étranger », a déclaré Nakasone dans la lettre.
Les enregistrements Netflow contiennent des informations hors contenu (également appelées métadonnées) sur le flux et le volume du trafic Internet sur un réseau, qui peuvent révéler l’origine des connexions Internet et quels serveurs ont transmis des données à un autre. Les données Netflow peuvent être utilisées pour suivre le trafic d’activité réseau via des VPN et peuvent aider à identifier les serveurs et les réseaux utilisés par des pirates malveillants.
La NSA n’a pas précisé auprès de quels fournisseurs elle achète des enregistrements Internet disponibles dans le commerce.
Dans une lettre de réponse adressée au Bureau du directeur du renseignement national (ODNI), qui supervise la communauté du renseignement américain, Wyden a déclaré que ces métadonnées Internet « peuvent être tout aussi sensibles » que les données de localisation vendues par les courtiers en données pour leur capacité à identifier les Américains. activité privée en ligne.
« Les enregistrements de navigation sur le Web peuvent révéler des informations sensibles et privées sur une personne en fonction de l’endroit où elle visite Internet, notamment en visitant des sites Web liés à des ressources en santé mentale, des ressources pour les survivants d’agression sexuelle ou de violence domestique, ou en visitant un fournisseur de télésanté qui se concentre sur la naissance. contrôle ou médicaments d’avortement », a déclaré Wyden dans un communiqué.
Wyden a déclaré qu’il avait eu connaissance de la collecte de documents Internet nationaux par la NSA en mars 2021, mais qu’il n’avait pas pu partager l’information publiquement jusqu’à ce qu’elle soit déclassifiée. En tant que membre de la commission sénatoriale du renseignement, Wyden est autorisé à recevoir et à lire des documents classifiés, mais ne peut pas les partager publiquement. La NSA a levé les restrictions après que Wyden ait suspendu la nomination du prochain directeur de la NSA, a déclaré le sénateur.
La pratique selon laquelle la communauté du renseignement américain achète de grandes quantités de données disponibles dans le commerce auprès de courtiers en données privés, bien que n’étant pas nouvelle, n’a été rendue publique qu’en juin 2023. L’ODNI n’a pas révélé quelles agences de renseignement américaines achetaient les données, ni indiqué si elle savait . De son propre aveu, l’ODNI avait déclaré à l’époque que les données achetées commercialement « apportent clairement une valeur en matière de renseignement », mais « soulèvent des problèmes importants liés à la vie privée et aux libertés civiles ».
La NSA n’est pas la seule agence gouvernementale américaine à s’appuyer sur des données achetées commercialement pour la collecte de renseignements ou les enquêtes. Des rapports précédents montrent que la Defense Intelligence Agency a acheté l’accès à une base de données commerciale contenant les données de localisation des Américains en 2021 sans mandat. L’Internal Revenue Service a également utilisé les données de localisation achetées auprès d’un courtier en données pour identifier les suspects, tout comme le Département de la sécurité intérieure pour suivre les migrants sans papiers, sans mandat dans les deux cas.
Mais l’utilisation de données commerciales par la communauté du renseignement américain soulève des questions sur la légalité de cette pratique, à un moment où la NSA fait face à un examen minutieux du Congrès concernant l’expiration de ses pouvoirs de surveillance légale et à des réprimandes indirectes de la part du gouvernement fédéral.
Dans sa lettre à l’ODNI, Wyden a cité les récentes mesures coercitives de la Federal Trade Commission contre les courtiers en données comme soulevant de « sérieuses questions sur la légalité » des agences gouvernementales achetant l’accès aux données des Américains.
Plus tôt ce mois-ci, la FTC a interdit à X-Mode, un courtier de données prolifique qui partageait les données de localisation des utilisateurs d’applications de prière musulmanes avec des sous-traitants militaires, de vendre des données de localisation téléphonique et a ordonné à l’entreprise de supprimer les données qu’elle a collectées. Une semaine plus tard, la FTC a intenté une action similaire contre InMarket, un autre courtier en données, affirmant que la société n’avait pas obtenu le consentement explicite des utilisateurs avant de collecter leurs données de localisation et avait interdit au courtier en données de vendre les données de localisation précises des consommateurs.
Cela place les départements et agences gouvernementaux qui utilisent des données obtenues commercialement, comme la NSA, dans un espace juridique gris.
Contactée par courrier électronique vendredi, la porte-parole de la FTC, Juliana Gruenwald Henderson, a déclaré que le régulateur n’avait aucun commentaire sur l’utilisation des données commerciales par la NSA.
Les agences gouvernementales doivent généralement obtenir un mandat approuvé par le tribunal avant d’obtenir des données privées sur les Américains auprès d’un téléphone ou d’une entreprise technologique. Mais les agences américaines ont contourné cette exigence en arguant qu’elles n’ont pas besoin d’un mandat si les informations, comme les enregistrements de localisation précis ou les données de flux net, sont ouvertement en vente à quiconque souhaite les acheter – bien que cette théorie juridique n’ait toujours pas été testée devant les tribunaux américains.
Pour sa part, la NSA a déclaré dans sa lettre à Wyden qu’elle n’était « au courant d’aucune exigence dans la loi américaine ou dans l’opinion judiciaire. . . que [the Department of Defense] obtenir une ordonnance du tribunal afin d’acquérir, d’accéder ou d’utiliser des informations, telles que [commercially available information]qui est également disponible à l’achat pour les adversaires étrangers, les entreprises américaines et les particuliers, ainsi que pour le gouvernement américain.
Wyden a appelé l’ODNI à mettre en œuvre une politique qui autorise uniquement les agences d’espionnage américaines à acheter des données sur les Américains qui répondent aux normes de la FTC en matière de vente légale de données ; sinon, l’agence devrait supprimer les données. Wyden a déclaré que si une agence de renseignement américaine a un besoin spécifique de conserver les données, elle devrait au moins en informer le Congrès, voire le grand public.
On ne sait toujours pas si la NSA achète également l’accès aux bases de données de localisation, comme l’ont fait d’autres agences gouvernementales fédérales.
Nakasone a déclaré dans sa lettre à Wyden que la NSA n’achète ni n’utilise les données de localisation collectées à partir de téléphones ou de véhicules « connus pour se trouver aux États-Unis », laissant ouverte l’interprétation selon laquelle la NSA pourrait acquérir des données disponibles dans le commerce si elle n’était pas connue. proviennent d’appareils américains.
Lorsqu’il a été contacté par courrier électronique, le porte-parole de la NSA, Eddie Bennett, a confirmé que la NSA collectait des données de flux Internet disponibles dans le commerce, mais a refusé de clarifier ou de commenter les remarques de Nakasone.
Vous pouvez contacter Zack Whittaker par Signal au +1 646.755.8849 ou par e-mail. Vous pouvez également partager des fichiers et des documents avec TechCrunch via notre SecureDrop.