Juridiction VPN : les Alliances 5 Eyes, 9 Eyes, 14 Eyes et la surveillance.

La surveillance des données est pratiquée depuis des décennies par les services de renseignement du monde entier, et au cœur de ce système, nous retrouvons l’alliance des Eyes déclinée en trois strates. Ces alliances prennent aujourd’hui le nom de 5 Eyes, 9 Eyes ou 14 Eyes, chacune employant plus ou moins de ressources dans la surveillance des données.

Bien que la surveillance et la collecte de données ne soient pas de nouvelles pratiques, l’affaire Edward Snowden a mis en lumière le fait que tout citoyen peut potentiellement être soumis à cette surveillance. Des traités de coopération entre nations facilitent l’échange d’informations entre différents services de renseignement, souvent à la frontière de la légalité. Ces accords sont désormais désignés sous les noms de 5 Eyes, 9 Eyes ou 14 Eyes, chacun d’eux utilisant diverses ressources pour la surveillance des données.

Les fournisseurs de VPN évoquent souvent ces alliances pour soutenir un argument marketing selon lequel leurs données seraient protégées de la surveillance gouvernementale. Cependant, pour ceux qui sont réellement préoccupés par leur vie privée en ligne, la proximité d’un fournisseur de VPN avec une de ces alliances est à prendre en compte. Voici ce qu’il faut savoir sur les alliances des 5/9/14 Eyes.

Qu’est-ce que l’Alliance 5/9/14 Eyes ?

Incroyable mais vrai, la première alliance, celle des 5 Eyes, a été fondée bien avant la création d’Internet, au moins 20 ans auparavant, et 10 ans avant que le terme « informatique » apparaisse. Cette alliance a été inaugurée à la fin de la Seconde Guerre mondiale avec la signature de l’accord UKUSA (United Kingdom – United States Communications Intelligence Agreement) en 1946 entre les États-Unis et le Royaume-Uni, bientôt rejoints par l’Australie, la Nouvelle-Zélande et le Canada.

Ce traité avait pour but de favoriser le partage de renseignements entre alliés pendant les débuts de la Guerre froide. À l’époque, ce ne sont pas des données personnelles qui étaient interceptées, mais des télécommunications via le réseau ECHELON. Avec l’évolution technologique, les fax, les e-mails et plus tard les métadonnées ont été captés par les stations de surveillance d’ECHELON.

Dans les années 1980, plusieurs pays européens ont exprimé le souhait de rejoindre ce cercle de coopération, menant à la création des 9 Eyes, qui inclut les cinq pays initiaux ainsi que quatre autres pays avec des prérogatives et ressources réduites. Enfin, suite aux révélations d’Edward Snowden en 2013, la découverte d’une troisième alliance, celle des 14 Eyes, a été rendue publique, avec des pouvoirs encore plus restreints.

Ces alliances ont été établies dans le but de renforcer la sécurité nationale face à l’URSS et à ses alliés. Cependant, l’affaire Snowden a révélé que leurs missions s’étaient orientées vers une surveillance de masse des citoyens depuis les attentats terroristes du 11 septembre 2001. Dans la plupart des démocraties modernes, la surveillance de masse est reglementée par la loi, mais les alliances permettent de contourner certains obstacles juridiques.

Par exemple, si la France souhaite surveiller ses propres citoyens, elle peut se tourner vers l’un de ses alliés pour le faire, évitant ainsi une potentielles censure du Conseil constitutionnel ou une procédure judiciaire longue. C’est ce qu’on appelle la surveillance par procuration.

Quelles différences entre les trois alliances ?

Les trois alliances de surveillance n’ont pas les mêmes ressources, pouvoirs ni même influence sur les politiques de sécurité. Voyons en quoi elles diffèrent, d’abord dans leur composition :

L’alliance 5 Eyes : le noyau de la surveillance

L’alliance originelle, composée de ces cinq pays, pose les bases de la coopération sur les activités de surveillance. En tant que membres fondateurs, ils ont accès au plus vaste réseau de surveillance comprenant ECHELON, mais aussi PRISM (un programme américain de surveillance des activités en ligne), XKeyscore (un programme de surveillance développé par l’alliance des 5 Eyes) et Tempora (un programme britannique visant à collecter les données passant par les câbles sous-marins en fibre optique).

Cette grande collecte de données inclut les télécommunications, les e-mails, les transactions financières et même les messages sur des applications de messagerie cryptées grâce à des « backdoors ». Les révélations d’Edward Snowden sur ces pratiques ont ébranlé les concepts d’anonymat en ligne, prouvant que personne n’est véritablement anonyme sur Internet.

L’alliance 9 Eyes : un cercle étroit de partenaires

Après l’alliance très anglo-saxonne des 5 Eyes, il y a celle des 9 Eyes, incluant des alliés européens : la France, les Pays-Bas, le Danemark et la Norvège. Bien qu’ils n’aient pas accès à l’extrême précision du réseau des 5 Eyes, ces pays participent néanmoins à des activités de surveillance en ligne et échangent les données collectées avec leurs alliés.

Pour les pays européens de l’alliance des 9 Eyes, cette coopération avec les 5 Eyes leur permet d’exploiter leur expertise en matière de renseignement tout en demeurant en dehors du bloc anglo-saxon. Pour ce dernier, cela permet d’étendre leur surveillance à une partie de l’Europe.

L’alliance 14 Eyes, ou SIGINT Seniors Europe

Le dernier cercle, celui des 14 Eyes, regroupe les pays des alliances des 5 Eyes et des 9 Eyes ainsi que l’Allemagne, l’Espagne, l’Italie, la Belgique et la Suède. Ce groupe élargi, dont la coopération est plus flexible, jouit d’une existence « officielle » plus affirmée que celle des 9 Eyes, qui est une catégorie informelle d’alliés proches des 5 Eyes. L’alliance des 14 Eyes est également connue sous le nom de SIGINT Seniors Europe (SSEUR), un groupe réuni autour des responsables des services de renseignement électronique européens et américains (NSA, DGSE, GCHQ, etc.) qui échangent des informations.

Tout comme les 9 Eyes, ces pays n’engagent pas une surveillance et collecte de données aussi large que les 5 Eyes, mais peuvent toujours partager les résultats de leurs collectes avec leurs partenaires. Les membres de l’alliance des 14 Eyes tendent à mutualiser leurs renseignements dans la base de données SIGDASYS (Signals Intelligence Data System), généralement à des fins militaires ou antiterroristes.

Les alliés proches des Eyes : 5 Eyes Plus, SSPAC et autres partenaires

Pour ceux soucieux de leur vie privée en ligne, il est important de noter qu’il n’y a pas seulement 14 pays dont il faut se méfier. Les trois cercles de surveillance incluent également des alliés en dehors de leurs alliances, ainsi que d’autres groupements similaires. Par exemple, les agences de renseignement électronique d’Israël, de Corée du Sud, de Japon et de Singapour entretiennent des liens étroits avec la NSA américaine.

Il arrive aussi que l’alliance des 5 Eyes invite temporairement d’autres pays sur des dossiers spécifiques. La France a été impliquée dans des discussions sur la cybersécurité face aux ingérences russes et chinoises, ainsi que sur les essais balistiques de la Corée du Nord.

Outre le SSEUR, il existe également un SSPAC (SIGINT Seniors of the Pacific) depuis 2005, composé des membres des 5 Eyes avec la France, l’Inde, Singapour, la Corée du Sud et la Thaïlande. En Orient, on trouve une structure équivalente, la SCO (Shanghai Cooperation Organization), qui regroupe la Chine, la Russie, l’Inde, le Kazakhstan, le Pakistan, l’Ouzbékistan, le Tadjikistan et le Kirghizistan.

Faut-il éviter les VPN établis dans un pays membre de l’alliance des 5/9/14 Eyes ?

Maintenant que nous avons un aperçu des alliances des 5/9/14 Eyes, il est compréhensible que les fournisseurs de VPN en parlent fréquemment dans leur communication pour inciter à utiliser leurs services. Un VPN peut augmenter notre niveau de confidentialité et si l’idée que vos données personnelles soient entre les mains d’une puissance étrangère vous préoccupe, leur utilisation est fortement conseillée.

Certains pays membres des alliances des Eyes appliquent des lois strictes sur les VPN, comme aux États-Unis, où un fournisseur de VPN peut être contraint d’enregistrer l’activité de ses clients. Il existe une solution à cela : le warrant canary, généralement visible dans les rapports de transparence. Il s’agit d’une déclaration stipulant que l’entreprise n’a pas reçu de demande d’informations des autorités. Si le warrant canary disparaît du rapport, cela peut indiquer que le VPN a été visité par le FBI ou d’autres agences.

Néanmoins, les affirmations de certains fournisseurs de VPN concernant les Eyes nécessitent d’être nuancées. Le cadre légal d’un pays membre des Eyes peut effectivement poser problème en matière de vie privée en ligne, mais le degré de gravité varie d’un pays à l’autre. En résumé, un VPN basé dans un pays des 14 Eyes ou ses alliés n’est pas forcément à proscrire, surtout en Europe, où le RGPD protège mieux les données personnelles. Cependant, il est couramment recommandé d’éviter les VPN basés dans ces pays pour limiter son exposition, et même d’éviter de se connecter à des serveurs situés chez un membre des 14 Eyes.

L’essentiel est de s’orienter vers des VPN no-logs, qui ne gardent pas de journaux de connexion, ou qui recourent à des serveurs 100 % RAM, effaçant les données au redémarrage. Par exemple, lorsque les autorités turques ont saisi un serveur d’ExpressVPN en 2017 dans le cadre d’une enquête sur le meurtre de l’ambassadeur russe Andrei Karlov, aucune donnée n’a pu être récupérée. Il faut donc considérer globalement le cadre légal et la transparence politique du VPN, et non se baser sur un critère unique.

À lire aussi :
Un VPN rend-il vraiment anonyme en ligne ? Démêlons le vrai du faux sur les réseaux privés virtuels et la confidentialité des données

Quels VPN échappent à la surveillance des 5/9/14 Eyes ?

Contrairement aux pays membres des alliances des 5/9/14 Eyes, il existe des juridictions où la protection de la vie privée en ligne est essentielle. Le Panama et les Îles Vierges britanniques sont souvent cités, tout comme l’Islande. Cependant, plusieurs pays auparavant considérés comme sûrs pour les VPN axés sur la confidentialité voient leurs lois évoluer vers la rétention des métadonnées, comme c’est le cas pour la Suisse, ainsi que la Finlande, la Grèce, la Malaisie ou encore Hong Kong.

Pour ceux qui souhaitent toujours échapper à la surveillance des alliances des 5/9/14 Eyes, voici une liste de VPN à privilégier :

• NordVPN : basé au Panama + politique de no-log
• ProtonVPN : basé en Suisse (bientôt en Allemagne) + politique de no-log
• ExpressVPN : basé aux Îles Vierges britanniques + politique de no-log
• CyberGhost VPN : basé en Roumanie + politique de no-log
• VyprVPN : basé en Suisse + politique de no-log
• Astrill VPN : basé aux Seychelles + politique de no-log