Six sénateurs américains, dont Ron Wyden et Elizabeth Warren, ont adressé une lettre urgente au Directeur du renseignement national pour avertir que les Américains utilisant des services VPN commerciaux pourraient perdre sans le savoir leurs protections constitutionnelles contre la surveillance.
Ce que demandent les sénateurs
Les législateurs exigent des réponses sur la façon dont les agences de renseignement américaines traitent le trafic internet provenant de nœuds de sortie VPN situés à l'étranger. Leur préoccupation principale : comme un VPN achemine le trafic via des serveurs dans d'autres pays, les systèmes de surveillance peuvent automatiquement classer ce trafic comme « étranger », déclenchant des pouvoirs de collecte jamais destinés aux citoyens américains.
La lettre cite spécifiquement la Section 702 du Foreign Intelligence Surveillance Act (FISA) et le Décret exécutif 12333, deux des cadres juridiques les plus étendus pour la collecte de données de communication. Selon les sénateurs, les utilisateurs de VPN sont pris dans ce filet à leur insu.
Comment fonctionne la Section 702 de la FISA
La Section 702, reautorrisee par le Congres en 2024, permet a la NSA et aux autres agences de collecter les communications de cibles etrangeres sans mandats individuels. Elle prevoit toutefois des protections pour les personnes americaines : les citoyens americains et les residents permanents ne sont pas censes etre deliberement cibles. Le probleme est que les systemes automatises ne peuvent souvent pas faire la difference entre un citoyen americain utilisant un serveur VPN a Francfort et un ressortissant allemand envoyant des communications depuis la meme ville.
Le Decret executif 12333 va encore plus loin : il regit la collecte de donnees en dehors des Etats-Unis avec encore moins de contraintes juridiques que la Section 702. Lorsque le trafic VPN d'un Americain transite par un serveur dans un pays etranger, ce trafic peut relever de la collecte au titre du D.E. 12333, ou les protections des personnes americaines sont plus limitees.
Le problème de mauvaise classification
Les systèmes de collecte de renseignement déterminent l'origine géographique du trafic en regardant l'adresse IP. Un VPN masque l'adresse IP réelle de l'utilisateur et la remplace par celle du serveur VPN, généralement situé dans un autre pays. Les systèmes automatisés peuvent alors classer ce trafic comme étranger, privant l'utilisateur des protections constitutionnelles.
Ampleur du problème
L'utilisation des VPN aux États-Unis a considérablement augmenté ces dernières années. Des dizaines de millions d'Américains utilisent des services VPN pour protéger leurs données sur les réseaux Wi-Fi publics, préserver leur vie privée et, de plus en plus, en raison d'une prise de conscience croissante des pratiques de surveillance. Si les inquiétudes des sénateurs sont fondées, un très grand nombre d'Américains bénéficient actuellement de moins de protections légales qu'ils ne le croient.
Consequences pour la vie privee et la liberte sur internet
Cette lettre intervient a un moment ou la relation entre les outils de protection de la vie privee et la surveillance gouvernementale fait l'objet d'un examen intense dans le monde entier. Dans ce contexte, l'inquietude que l'utilisation d'un VPN - un outil specialement commercialise pour la confidentialite - puisse paradoxalement exposer les utilisateurs a une plus grande surveillance gouvernementale est particulierement frappante.
Les defenseurs des libertes civiles soulignent que c'est exactement le type de consequence involontaire qui survient lorsque des pouvoirs de surveillance concus pour le renseignement etranger sont appliques sans transparence ni controle adequats. Les utilisateurs aux Etats-Unis et a l'etranger qui comptent sur les VPN pour proteger leurs communications suivent cette affaire de pres.
