L’alliance des 5 eyes, 9 eyes, 14 eyes. C’est quoi ?

Alors que la population est de plus en plus sensible à la surveillance mondiale, les gens cherchent également de plus en plus d’informations sur les alliances des Five Eyes, Nine Eyes et 14 Eyes. Ce guide est régulièrement mis à jour avec de nouvelles informations afin de vous expliquer tout ce que vous devez impérativement savoir.

Les termes « Five Eyes », « Nine Eyes » et « 14 Eyes » apparaissent souvent dans la communauté internet, en particulier lorsqu’il est question de VPN et d’autres outils de protection de la vie privée.

En bref, il s’agit simplement d’alliances internationales de surveillance représentant divers pays du monde. Ces alliances de surveillance travaillent ensemble pour collecter et partager entre elles massivement des données de surveillance de la population. Ce réseau espionne les gens depuis des décennies, avec des politiques établies remontant à la Seconde Guerre mondiale, comme nous le verrons plus loin.

Les organismes d’État à l’origine de ces efforts collaborent souvent avec les fournisseurs d’accès à Internet et d’autres grandes entreprises technologiques pour exploiter les infrastructures clés de la surveillance des données. Cela fait de votre fournisseur d’accès Internet, par exemple, un adversaire local qui vous espionne pour le compte des organismes d’État. Et non, ce n’est pas une théorie conspiratrice, mais des faits réels et prouvés. Ces pratiques sont bien documentées dans les documents de surveillance PRISM et aussi dans le tristement célèbre exemple de la salle 641a avec AT&T et la NSA. Heureusement, il existe des solutions simples pour assurer la sécurité de vos données, que nous allons aborder ci-dessous.

Dans ce guide, nous expliquerons les différentes alliances de surveillance « X » Eyes et pourquoi ce sujet est important dans le choix des outils de protection de la vie privée. Voici ce que nous allons aborder :

Les Five Eyes

L’alliance de surveillance Five Eyes (FVEY) comprend les pays suivants :

  • Australie
  • Canada
  • Nouvelle-Zélande
  • Royaume-Uni
  • États-Unis

L’histoire de cette alliance remonte à la Seconde Guerre mondiale et à l‘accord UKUSA, qui a été officiellement promulgué après la guerre en 1946. Cet accord a officialisé un partenariat entre le Royaume-Uni et les États-Unis pour la collecte et le partage de renseignements. Ce partenariat s’est poursuivi tout au long de la guerre froide et n’a fait que se renforcer depuis le lancement de la « guerre mondiale contre le terrorisme » au début des années 2000.

Edward Snowden a remis sur le devant de la scène l’alliance de surveillance Five Eyes en 2013 lorsqu’il a révélé les activités de surveillance du gouvernement américain et de ses alliés.

Vous trouverez ci-dessous les différentes agences de surveillance « 5 Eyes » qui travaillent ensemble pour collecter et enregistrer vos activités :

entreprises liées aux 5 eyes

Il n’est pas surprenant que certains des pays de Five Eyes cités ci-dessus soient aussi les pires espions de la vie privée en ligne :

  • Royaume-Uni – Depuis l’adoption de la loi sur l’Investigatory Power Act en 2016, les fournisseurs d’accès à Internet et les télécoms enregistrent l’historique de la navigation, les temps de connexion et les messages texte. Les données sont conservées pendant deux ans et sont accessibles aux agences gouvernementales britanniques et à leurs partenaires sans aucun mandat.
  • États-Unis – Le gouvernement américain a mis en place des méthodes de collecte de données de surveillance de masse de type Orwell avec l’aide de grands fournisseurs de services Internet et de télécommunications (voir le programme PRISM). En mars 2017, les fournisseurs de services internet ont reçu l’autorisation légale d’enregistrer l’activité des utilisateurs et de la vendre à des tiers. Bien entendu, les fournisseurs d’accès à Internet collectent des données sur leurs clients depuis de nombreuses années, bien avant l’adoption de cette loi en 2017.
  • Australie – L’Australie a également mis en place des lois de grande envergure sur la conservation des données, similaires à celles du Royaume-Uni.

Une autorité d’Etat dans les pays de 5 Eyes


Qu’il s’agisse de la NSA aux États-Unis ou du GCHQ au Royaume-Uni, les « 5 yeux » abritent les agences de surveillance les plus puissantes au monde.

L’autre inconvénient des pays du « 5 Eyes » est qu’ils ont une autorité énorme pour forcer les entreprises à enregistrer et à transmettre des données. Aux États-Unis, le Patriot Act a inauguré un nouveau niveau de pouvoir pour la collecte de données fédérales, notamment par l’utilisation de lettres de sécurité nationale. Nous observons les mêmes tendances au Royaume-Uni, en Australie et dans d’autres pays.

Les Nine Eyes

Les pays faisant parti des Nine Eyes:

  • Les 5 pays des Five Eyes
  • Danemark
  • France
  • Pays-Bas
  • Norvège

L’existence de l’alliance Nine Eyes est référencée dans diverses sources en ligne et est devenue bien connue suite aux révélations de Snowden en 2013. Elle n’est qu’une extension de l’alliance Five Eyes, avec une coopération similaire pour la collecte et le partage de données de surveillance de masse.

Les 14 Eyes

Les 14 pays de cette alliance de surveillance sont :

  • Les 9 pays des Nine Eyes
  • Allemagne
  • Belgique
  • Italie
  • Suède
  • Espagne

Comme auparavant, l’accord de surveillance initial a été étendu à ces autres pays. Le nom officiel de ce groupe de pays est appelé SIGINT Seniors Europe (SSEUR).

La coopération entre la NSA, le GCHQ et les 5 Eyes

Divers documents gouvernementaux, publiés par les canaux officiels de la FOIA, révèlent les relations étroites entre la NSA et le GCHQ. Ces deux entités de surveillance étant les plus puissantes au monde et ayant des liens historiques, il n’est pas surprenant qu’elles travaillent en étroite collaboration.

Un document top-secret de la NSA datant de 1985, qui a été publié en 2018 via une demande de la FOIA, révèle que l’étroite coopération se poursuit aujourd’hui, sur la base de l’accord UKUSA au sens large :

L’accord UKUSA, daté du 5 mars 1946, comporte douze courts paragraphes et a été rédigé de manière si générale qu’à l’exception de quelques noms propres, il n’a pas été modifié. Il a été signé par un représentant britannique du London Signals Intelligence Board et par le haut responsable américain du State-Army-Navy Communications Intelligence Board (une organisation qui a précédé l’actuel National Foreign Intelligence Board). Les principes restent intacts, ce qui permet un partenariat complet et interdépendant. En effet, l’accord de base permet l’échange de tous les résultats COMINT, y compris le produit final et les données collatérales pertinentes de chaque modèle pour des cibles du monde entier, à moins qu’il ne soit spécifiquement exclu de l’accord à la demande de l’une ou l’autre des parties.
(traduit de l’anglais)

traduit de l’anglais – Document original disponible ici

Un autre document top-secret de la NSA datant de 1997 (officiellement publié en 2018) détaille l’étroite coopération entre la NSA et le GCHQ :

Certains GCHQ [expurgés] existent uniquement pour satisfaire les missions de la NSA. La NSA et le GCHQ s’occupent conjointement des plans de collecte afin de réduire les doubles emplois et de maximiser la couverture grâce à des sites communs et à une répartition des tâches, malgré la fermeture de certains sites.

traduit de l’anglais – Document original disponible ici

Avec la référence aux « sites communs » ci-dessus, il est important de parler d’ECHELON.

Le système de surveillance ECHELON


ECHELON est un réseau de stations d’espionnage utilisé par les pays de Five Eyes pour l’espionnage à grande échelle et la collecte de données. Le Guardian a décrit ECHELON comme suit :

Un réseau mondial de stations d’espionnage électroniques qui peuvent écouter les téléphones, les fax et les ordinateurs. Il peut même suivre les comptes bancaires. Ces informations sont stockées dans les ordinateurs d’Echelon, qui peuvent conserver des millions de dossiers sur les personnes. Officiellement, cependant, Echelon n’existe pas. Bien que les preuves de l’existence d’Echelon se soient multipliées depuis le milieu des années 1990, l’Amérique nie catégoriquement son existence, tandis que les réponses du gouvernement britannique aux questions sur le système sont évasives.

Traduit de l’anglais – source The Guardian

Malgré ceci, certains dénonciateurs ont confirmé ce qui se passe dans les coulisses. Perry Fellwock et Margaret Newsham se sont tous deux présentés pour documenter divers aspects d’ECHELON au public.

L’importance d’éviter les 5 yeux

protection vie privée en ligne

Bien que les pays membres des alliances 9 et 14 Eyes aient des préoccupations en matière de protection de la vie privée, le plus important à éviter est celui des Five Eyes (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande). Par conséquent, si la sécurité de vos données est essentielle pour vous, il suffit d’éviter les Five Eyes.

Certaines personnes disent que les inquiétudes concernant ces juridictions de surveillance sont exagérées ou malavisées, et que cela n’a pas vraiment d’importance. Vous entendez souvent cet argument de la part des sociétés de VPN (et de leurs distributeurs) qui sont basées aux États-Unis ou au Canada, par exemple. Cette façon de penser est de la désinformation et ignore la réalité des faits.

De nombreux exemples prouvent les risques associés aux entreprises soucieuses de la protection de la vie privée qui opèrent dans les juridictions de Five Eyes. En voici quelques-uns:

  • Riseup, un VPN et un service de mail basé à Seattle, a été contraint de collecter des données sur les utilisateurs pour les agents du gouvernement et a également été frappé d’un « bâillon » pour empêcher toute divulgation à leurs utilisateurs. (Ils n’ont pas pu non plus mettre à jour leur Warrant Canary).
  • Lavabit, un autre service de courrier électronique basé aux Etats-Unis, a été pratiquement obligé de fermer après que le gouvernement américain ait exigé des clés de décryptage et un accès complet aux courriers électroniques des utilisateurs. (Plutôt que de se conformer à ces exigences, le propriétaire a fermé l’entreprise).
  • IPVanish, un service VPN basé aux Etats-Unis, a été forcé de collecter des données sur les utilisateurs pour une enquête criminelle du FBI, tout en prétendant être un « no logs VPN » et en n’alertant pas ses utilisateurs sur ce qui se passait.
  • HideMyAss, un service VPN britannique, a également reçu l’ordre d’un tribunal de collecter des données sur les utilisateurs et de les remettre aux autorités pour une enquête criminelle. Cette information a été connu après l’enquête.
    Ce ne sont là que quelques cas qui ont été révélés publiquement, mais vous pouvez être sûrs qu’il y a d’autres exemples dont nous n’avons pas connaissance.

Un cauchemar pour la vie privée


Comme nous pouvons le voir dans ces exemples, lorsque les autorités obligent les entreprises à collecter et à transmettre des données, elles leur signifient généralement aussi un ordre de silence. Cette mesure est prise par le biais de lettres de sécurité nationale et empêche l’entreprise de divulguer des informations à ses clients.

Ces lois donnent essentiellement au gouvernement le pouvoir de contraindre une entreprise légitime soucieuse de la protection de la vie privée à devenir un outil de collecte de données pour les organismes publics, sans aucun avertissement ni notification. Même les Warrant Canary sont inefficaces et illégaux dans des endroits comme les États-Unis.

Ignorer la juridiction d’un service de protection de vos données est totalement inconscient.

Outils de protection recommandés (dans les bonnes juridictions)


L’un des principaux objectifs de Anonyme2.0 est de tester, de rechercher et de recommander des outils de protection de la vie privée et de sécurité qui répondent à des critères spécifiques. Étant donné l’importance que nous accordons à la sécurité et à la confiance dans les données, la juridiction est un facteur clé que nous prenons en considération.

En termes de juridiction, notre principale préoccupation est d’éviter les pays « Five Eyes ». Après tout, certains des pays « 9 et 14 yeux » ont effectivement des lois strictes en matière de protection de la vie privée, surtout en comparaison avec les États-Unis et le Royaume-Uni.

Messageries sécurisées en dehors de Five Eyes


Utiliser un service de courrier électronique sécurisé et privé dans une juridiction sûre est une évidence. Pensez-y :

  • Il a été constaté que Gmail donnait à des tiers un accès complet aux e-mails des utilisateurs et permettait également de suivre tous les achats grâce aux reçus qui se trouvaient dans votre boîte de réception.
  • Les annonceurs sont autorisés à scanner les comptes Yahoo et AOL pour « identifier et segmenter les clients potentiels en détectant les signaux d’achat contextuels et les achats passés ».
  • Il a été constaté que Yahoo scannait les courriels en temps réel pour les agences de surveillance américaines.

Alternatives – Voici quelques-uns de nos services de messagerie électronique sécurisés préférés :

  • ProtonMail (Suisse)
  • Tutanota (Allemagne)
  • Mailbox.org (Allemagne)
  • Posteo (Allemagne)
  • (Belgique)
  • Runbox (Norvège)
  • Site web Countermail (Suède)
  • Site web du CTemplar (Islande)
  • Site web KolabNow (Suisse)

Les meilleurs VPN en dehors de Five Eyes


Comme mentionné ci-dessus, les fournisseurs de services internet collectent activement des données pour les agences gouvernementales du monde entier. Ils le font soit en espionnant activement les connexions, soit en enregistrant simplement toutes vos requêtes DNS. En outre, les annonceurs et autres tiers suivront et enregistreront votre activité en ligne qui est liée à votre adresse IP unique.

Un bon service VPN est essentiel dans ce cas. Un VPN crypte tout votre trafic entre votre ordinateur/appareil et le serveur VPN auquel vous êtes connecté. Non seulement cela rend votre trafic et vos activités en ligne totalement illisibles pour votre fournisseur d’accès Internet et d’autres tiers, mais cela cache aussi efficacement votre adresse IP et votre emplacement.

Voici les meilleurs VPN pour 2020 qui sont situés dans des juridictions respectueuses de la vie privée :

Nous faisons de notre mieux pour tenir à jour les tests des VPN afin de refléter les derniers résultats, les changements de société et les nouvelles fonctionnalités.

Note : Certaines personnes s’inquiètent des journaux et de la collecte de données avec les VPN (les logs). Heureusement, il existe quelques VPN sans logs vérifiés qui ont subi des audits indépendants pour confirmer leur politique d’absence de logs :

  • ExpressVPN a fait l’objet d’un audit indépendant réalisé par PricewaterhouseCoopers. Cet audit a confirmé la politique de « no log » et a également vérifié la fonction TrustedServer d’ExpressVPN, qui consiste à faire fonctionner tous les serveurs VPN en mode « RAM-disk », ce qui rend impossible le stockage de tout journal sur les serveurs.
  • NordVPN a également fait l’objet d’un audit auprès de PwC AG à Zurich, en Suisse, afin de confirmer les mesures essentielles de protection de la vie privée et la politique d’absence de journaux. NordVPN s’est engagé à faire l’objet d’audits annuels par des tiers, tout en étant soumis à des audits de sécurité indépendants et à des tests de sécurité réalisés par Versprite.

Confiance et Juridiction


En fin de compte, la juridiction n’est qu’un des nombreux facteurs à prendre en compte lors de la sélection d’outils de protection de la vie privée fiables pour vos besoins particuliers. Son importance dépend de votre propre situation, en particulier de votre niveau de menace et des types d’adversaires contre lesquels vous cherchez à vous protéger.

Pour ceux qui recherchent un niveau de protection de la vie privée et de sécurité plus élevé, la juridiction est en effet importante, surtout si l’on considère le pouvoir croissant des gouvernements à forcer les entreprises à communiquer des données et à enregistrer les utilisateurs.

La confiance est également un facteur important que vous devez prendre en considération. Après tout, un VPN peut fonctionner dans une « bonne » juridiction étrangère, tout en continuant à mentir aux clients et à fournir des données aux agences gouvernementales. Prenez par exemple PureVPN, un service « sans logs » basé à Hong Kong qui a fourni aux autorités américaines des logs de connexion pour une affaire pénale.

C’est là que la confiance est essentielle. Heureusement, pour renforcer la confiance, des entreprises plus soucieuses de la protection de la vie privée font l’objet d’audits indépendants et de vérifications par des tiers. Outre les audits de VPN que nous avons mentionnés ci-dessus, nous constatons également cette tendance avec les gestionnaires de mots de passe et, parfois, avec les services de courrier électronique sécurisés.