Le jeu de loi de Wikipédia

DM écrit: Je ne comprends d'ailleurs pas le raisonnement de Loys à ce sujet: même si les serveurs de Wikipédia (ou Facebook etc.) étaient ailleurs qu'aux États-Unis, rien n'empêcherait la NSA de demander un accès discret, un petit arrangement entre amis, et de l'obtenir dans les mêmes conditions que si les serveurs étaient aux États-Unis.

Si les serveurs de Wikipédia étaient localisés ailleurs qu'aux Etats-Unis, l'accès à ces serveurs (en dehors de toute collaboration de l'hébergeur) serait tout simplement illégal aux yeux de la loi américaine.
En réalité, ce qui est le plus choquant dans cette affaire, c'est que l'accès "sans condition" aux visiteurs non-Américains de Wikipédia est tout ce qu'il y a de plus légal, simplement parce que les serveurs sont aux Etats-Unis.
Quant à la collaboration avec un service de renseignement quand il est d'un pays autre que l'hébergeur, on a vu ce qu'il en était avec l'affaire Pierre-sur-Haute.

Une question de Béotien que je me pose :

DM écrit: Le passage à SSL (https) permet effectivement d'empêcher les interceptions des communications (si on exclut diverses attaques, assez voyantes, du type remplacement des clefs). Toutefois, il n'empêche aucunement les services spécialisés de demander (discrètement) aux gestionnaires des sites de donner accès aux données.

Si le "gestionnaire" (ici la Wikimedia Foundation) a en sa possession une telle base de données qu'il héberge sur ses serveurs américains, en quoi l'accès à ces données est-il protégé de la curiosité des services de renseignements américains ?

@Loys: Je pense qu'en cas de demande "discrète" auprès d'une entreprise américaine, voire étrangère mais ayant des activités significatives aux USA, il n'y a pas de différence sensible entre des serveurs situés aux États-Unis et à l'étranger.
Google a de nombreux serveurs hors États-Unis. Par exemple, si je fais un "traceroute" depuis mon bureau jusqu'aux serveurs Google, je trouve 19ms A/R. C'est loin de ce qu'il faut ne serait-ce que pour aller aux USA par une fibre optique... (faites le calcul). Donc les serveurs auxquels les utilisateurs français "parlent" sont en Europe. On peut parier qu'ils ne font pas de différence pour leur collaboration avec les services américains entre ce qui passe par ces serveurs et ceux aux USA.
Autre point de réflexion: vous avez remarqué à quel point le gouvernement français, après quelques rodomontades présidentielles, s'est fait discret sur cette affaire d'espionnage, et même a détourné l'avion présidentiel bolivien de peur qu'Edward Snowden ne soit à bord? On peut parier que la France a accès (à titre secondaire, évidemment) aux informations recueillies par les services américains, à des buts de "lutte contre le terrorisme".

Par ailleurs, j'aimerais bien que quelqu'un cite la loi américaine précisément : qu'est-ce qui relève de l'obligation, et qu'est-ce qui relève de la collaboration officieuse car on aime faire copain avec le gouvernement?

Google a de nombreux serveurs hors États-Unis. Par exemple, si je fais un "traceroute" depuis mon bureau jusqu'aux serveurs Google, je trouve 19ms A/R. C'est loin de ce qu'il faut ne serait-ce que pour aller aux USA par une fibre optique... (faites le calcul).

Euh...

Donc les serveurs auxquels les utilisateurs français "parlent" sont en Europe.

J'ai cru comprendre effectivement que Google se reposait sur des serveurs auxiliaires, les Google global cache servers avec des data-centers sur quatre continents pour stocker les contenus les plus populaires et alléger autant que possible le trafic (voir ce fil de discussion : www.laviemoderne.net/veille/nos-vies-dig...rnet-americain-wired ).
Mais tout laisse à croire que les requêtes des internautes, pour être centralisées, exploitées et monétisées, continuent d'être stockées sur des serveurs américains.

Autre point de réflexion: vous avez remarqué à quel point le gouvernement français, après quelques rodomontades présidentielles, s'est fait discret sur cette affaire d'espionnage, et même a détourné l'avion présidentiel bolivien de peur qu'Edward Snowden ne soit à bord? On peut parier que la France a accès (à titre secondaire, évidemment) aux informations recueillies par les services américains, à des buts de "lutte contre le terrorisme".

Peut-être. Autre hypothèse encore plus plausible : www.laviemoderne.net/veille/nos-vies-dig...opeens?start=20#6628

DM écrit: Par ailleurs, j'aimerais bien que quelqu'un cite la loi américaine précisément : qu'est-ce qui relève de l'obligation, et qu'est-ce qui relève de la collaboration officieuse car on aime faire copain avec le gouvernement?

J'ai répondu en partie un peu plus haut.

Mon raisonnement est simple. La distance entre Paris et New York (représentative d'Europe / États-Unis) est d'environ 6000 km. La vitesse de la lumière dans le vide est d'environ 300000 km/s; l'indice optique du verre d'une fibre optique est d'environ 1,5, donc une vitesse de l'ordre de 200000 km/s dans une fibre. Il faut donc de l'ordre de 6000/200000 = 0.03s pour faire l'aller Europe-US, donc 60 ms pour un aller-retour.
Il est donc impossible d'obtenir un aller-retour en 19 ms depuis la France pour un serveur aux États-Unis. Les serveurs de première ligne de Google pour les européens sont donc en Europe.
Maintenant, il est possible que ces serveurs se contentent de fournir les pages d'accueil, images etc. qui ne dépendent pas des requêtes des utilisateurs, et que celles-ci soient toutes traitées aux États-Unis.
Cette discussion technique nous écarte cependant du sujet. Je déplore que sur ces sujets graves, les articles de presse mélangent obligations légales et petits arrangements, "piratage" et accès parfaitement consenti, interception de communications non chiffrées et cassage de sécurité. Ceci rend les problèmes assez incompréhensibles y compris pour des personnes ayant certaines connaissances en informatique, et complètement incompréhensibles pour ceux qui ne les ont pas.

L'hypothèse d'une collaboration internationale de l'espionnage d'Internet vous semble saugrenue. Pourtant:
en.wikipedia.org/wiki/Alliance_Base
Et d'après Forbes
www.forbes.com/sites/timworstall/2013/06...r-prism-and-the-nsa/
"Madsen named seven EU countries that have been substantially engaged in communications intelligence gathering alongside the US. These are Britain, Denmark, the Netherlands, France, Germany, Spain, and Italy. Those seven countries have formal second and third party status under the NSA’s signals intelligence agreements, and are contractually bound to the US.
Under international intelligence agreements – most of which remain secret – nations are categorised according to their trust level. In the western world the US is defined as First Party while the UK, Canada, Australia and New Zealand are Second Party (trusted relationships). All others are third party (less trusted) or fourth party (secret) relationships."
À en croire Forbes, donc, il y a un accord secret France/USA d'interception de communications, certes moins rapproché que le fameux UKUSA.
Ne trouvez-vous pas que cela expliquerait fort bien le comportement du gouvernement français (faire mine de s'insurger publiquement, mais sans conséquences concrètes... et obéir quand on nous demande de bloquer l'avion d'Evo Morales)?
Du point de vue de l'antiterrorisme français, il est sans doute intéressant d'avoir accès à ces informations en plus de celles récoltées en local par le fameux "Frenchelon" et ses successeurs (insérer ici la mythologie journalistique sur l'existence de super-ordinateurs dans les sous-sols de la DGSE). En effet, tout le monde (y compris les terroristes) consulte Google, tandis qu'il n'y a pas de raison pour qu'une communication entre deux islamistes non installés en France passe par la France.

Je ne sais pas ce qui vous fait dire que je trouve votre hypothèse "saugrenue" : elle me paraît même très probable. En revanche je ne suis pas sûr que le terme "collaboration" soit adapté, compte tenu de la hiérarchie établie entre les pays amis des États-Unis.
Sur ma question de Béotien (voir plus haut), auriez-vous des éléments de réponse ? Je ne connais strictement rien au protocole SSL.

SSL (ou TLS) est un protocole de chiffrement de communications, utilisé notamment dans https (http sécurisé). Les correspondants sont authentifiés (enfin, pour le https, on authentifie le site auquel on accède, mais plus rarement l'internaute) et la communication est chiffrée. Correctement utilisé, cela empêche l'écoute des communications, et ce même si l'on a un malveillant actif (qui non seulement peut écouter les communications, mais supprimer, ajouter ou modifier des messages).
Bien entendu, l'utilisation de SSL ne supprime pas les risques aux extrémités de la communication: soit que le correspondant "balance" directement ses données aux services spécialisés, soit que les données soient stockées dans des bases mal sécurisées.
Autrement dit: quand vous accédez à gmail, vous êtes en https (ou en imap/ssl), ce qui évite que vos communications et donc vos courriers ne soient espionnés par votre prestataire Internet (ou votre voisin, si vous utilisez du wifi non chiffré). En revanche, cela n'empêche absolument pas Google de balancer vos données aux services français ou américains.
Pour empêcher cela, il faudrait que les données soient chiffrées sur votre poste de travail et envoyées déjà chiffrées à Google (ou autre prestataire), qui ne pourrait pas faire grand chose avec (si ce n'est savoir qui les lit et d'où). Cependant, cela empêcherait Google d'indexer vos données, y compris pour votre usage à vous (par exemple, pour vous permettre de retrouver les courriels envoyés par telle ou telle personne).
La possibilité de faire faire des calculs sur des données (p.ex. recherches) à des prestataires extérieurs sans pour autant leur donner accès aux données déchiffrées est un sujet actuel de recherches.
Notez également que même sans pouvoir lire les données chiffrées, un prestataire peut déjà obtenir énormément d'informations par simple analyse de trafic (qui parle à qui). Imaginez par exemple le cas d'un voyageur qui se balade dans un pays autoritaire, et accède au Web via une machine à l'extérieur de ce pays, via un protocole chiffré. Les autorités savent où il est simplement en détectant les connexions à cette machine (ceci suppose qu'il soit le seul à l'utiliser, donc que ce ne soit pas un service très courant dans ce pays).