Des centaines de milliers de courriels de Canadiens sont collectés quotidiennement par le Centre de la sécurité des télécommunications (CST), l'agence fédérale de cyberespionnage.
Voilà ce que révèlent des documents secrets dévoilés par le lanceur d'alerte américain Edward Snowden et analysés par la CBC, en collaboration avec le site The Intercept.
Ces documents, qui datent de 2010, mettent en lumière un outil appelé PonyExpress, qui permet au CST d'intercepter, chaque jour, quelque 400 000 courriels à destination et en provenance du gouvernement canadien.
Ces courriels sont ensuite filtrés, à la recherche d'éventuelles menaces pour les réseaux informatiques du gouvernement canadien, comme des virus, des logiciels malveillants, ou des tentatives d'hameçonnage. Selon les documents, environ quatre courriels par jour contiennent un élément qui pousse le CST à prévenir les responsables informatiques de ministères ou d'agences fédérales de menaces potentielles.
En principe, en vertu du Code criminel, le CST ne peut espionner, en masse, le contenu des courriels ou des appels téléphoniques de Canadiens. Cependant, l'agence bénéficie d'exemptions ministérielles justifiées par la protection des infrastructures informatiques.
Les courriels sont conservés par le CST pendant « des jours ou des mois », tandis que leurs métadonnées (destinateur, destinataire, date et lieu de l'envoi) peuvent être conservées pendant des années.
L'expert en sécurité informatique Chris Parsons, du groupe de réflexion Citizen Lab, de l'Université de Toronto, a pris connaissance des documents. Selon lui, il est tout à fait légitime, pour le CST, de surveiller les communications des Canadiens avec le gouvernement, pour des raisons de sécurité informatique.
Toutefois, la durée pendant laquelle les courriels sont conservés et leur éventuelle utilisation a posteriori peuvent soulever des inquiétudes. « Quand on collecte d'immenses volumes de données, ce n'est pas seulement pour attraper les méchants. Elles sont entreposées pendant des années ou des mois, et elles peuvent être utilisées n'importe quand à l'avenir ».
Pourquoi conserver les données?
Selon le professeur d'informatique à l'Université Queen's David Skillicorn, la conservation des données peut aider les responsables de la sécurité des réseaux à corriger des vulnérabilités.
« Parfois, quand ils découvrent quelque chose, ils vont vouloir revenir en arrière pour vérifier s'il s'agit de la première fois qu'une attaque de la sorte survient. En ce sens, les données conservées peuvent leur être très utiles », explique-t-il.
Le professeur Skillicorn se dit par ailleurs très impressionné par le niveau de sophistication des techniques employées par le CST pour contrer les attaques.
De son côté, le Centre de sécurité des télécommunications dit que seules les données pertinentes sont conservées, et que celles qui ne présentent aucune menace sont effacées. Cependant, l'agence ne veut pas dire après combien de temps elle efface ces données, pour ne pas aider ceux qui mènent des attaques informatiques contre le gouvernement.
Mais pour l'avocat Micheal Vonn, de l'Association des libertés civiles de la Colombie-Britannique, les Canadiens devraient pouvoir en savoir beaucoup plus sur la collecte de leurs données personnelles, sans pour autant compromettre la sécurité nationale.
« Il est affligeant d'être mis au courant de ces détails au compte-gouttes plutôt que d'avoir un débat national, démocratique et approprié sur la question », dit-il.
En février 2011, on apprenait que les réseaux informatiques de différents ministères canadiens avaient été visés. L'attaque avait notamment forcé le Conseil du Trésor et le ministère des Finances à fermer leur accès au réseau Internet.
En avril 2014, la faille informatique Heartbleed avait forcé Ottawa à suspendre la plupart de ses services en ligne.
