En 2021, lorsque Google et Amazon ont négocié un contrat de cloud computing de 1,2 milliard de dollars avec le gouvernement israélien, le client a formulé une demande inhabituelle : ils devaient accepter d'utiliser un code secret dans le cadre d'un arrangement ultérieurement appelé « mécanisme de clignement d'œil ».
Cette exigence découlait de la crainte d'Israël que les données stockées sur les plateformes cloud des géants technologiques mondiaux puissent être accessibles aux forces de l'ordre étrangères. Pour éviter cela, Israël voulait que Google et Amazon contournent leurs obligations légales dans d'autres pays.
Comme d'autres grandes entreprises technologiques, les services cloud de Google et Amazon se conforment régulièrement aux demandes de la police, des procureurs et des agences de sécurité pour transmettre des données clients dans le cadre d'enquêtes. Ce processus est souvent secret, et les entreprises sont généralement interdites d'informer les clients lorsque leurs données ont été partagées, que ce soit en raison de pouvoirs légaux ou d'ordonnances judiciaires.
Inquiète de perdre le contrôle de ses données au profit d'autorités étrangères, Israël a conçu un système d'alerte secret. Les entreprises devaient intégrer des signaux dans les paiements au gouvernement israélien, les alertant chaque fois que des données israéliennes étaient divulguées à des tribunaux ou enquêteurs étrangers.
Selon des documents divulgués examinés par le Guardian, dans le cadre d'une enquête conjointe avec +972 Magazine et Local Call, Google et Amazon ont accepté ce « mécanisme de clignement d'œil » pour sécuriser le contrat lucratif. L'enquête, basée sur ces documents et des descriptions d'officiels israéliens, montre comment les entreprises ont accepté une série de « contrôles » stricts et non conventionnels dans le cadre de l'accord de 2021, connu sous le nom de Projet Nimbus. Google et Amazon ont tous deux nié avoir évité des obligations légales.
Ces contrôles incluent des dispositions empêchant les entreprises américaines de restreindre l'utilisation de leurs services cloud par diverses agences gouvernementales, services de sécurité et unités militaires israéliennes. Selon les termes de l'accord, les entreprises ne peuvent pas suspendre ou retirer l'accès d'Israël à leur technologie, même si Israël viole leurs conditions d'utilisation.
Les officiels israéliens ont inclus ces mesures pour répondre à des menaces anticipées. Ils craignaient que Google ou Amazon ne cèdent à la pression d'employés ou d'actionnaires et coupent l'accès d'Israël si leur technologie était liée à des violations des droits de l'homme dans les territoires palestiniens occupés. Ils redoutaient aussi que les entreprises ne fassent face à des contestations judiciaires à l'étranger, notamment concernant l'utilisation de leur technologie dans l'occupation militaire de la Cisjordanie et de Gaza.
L'accord Nimbus semble interdire à Google et Amazon de prendre le type d'action unilatérale que Microsoft a récemment prise en désactivant l'accès de l'armée israélienne à une technologie utilisée pour la surveillance indiscriminée d'appels téléphoniques palestiniens. Microsoft, qui fournit des services cloud au secteur militaire et public israélien, avait soumissionné pour le contrat Nimbus mais l'a perdu face à ses concurrents après avoir refusé certaines demandes israéliennes.
Ces dernières années, les activités cloud de Google et Amazon, comme celle de Microsoft, ont été scrutées quant au rôle de leur technologie – et spécifiquement du contrat Nimbus – dans la guerre de deux ans d'Israël à Gaza. Durant cette offensive, qu'une commission d'enquête de l'ONU a conclu impliquer des actes de génocide, l'armée israélienne s'est fortement appuyée sur des fournisseurs cloud pour stocker et analyser de vastes quantités de données et de renseignements. Un ensemble de données concernait une vaste collection d'appels palestiniens interceptés, qui étaient stockés sur la plateforme cloud de Microsoft jusqu'en août. Des sources du renseignement ont indiqué que l'armée israélienne envisageait de transférer ces données vers des centres de données d'Amazon Web Services (AWS).
Interrogé par le Guardian pour savoir s'il était au courant du plan israélien de transférer les données de surveillance de masse vers son cloud, Amazon n'a pas répondu. Un porte-parole de l'entreprise a déclaré qu'Amazon respecte « la confidentialité de nos clients et nous ne discutons pas de notre relation sans leur consentement, ni n'avons de visibilité sur leurs charges de travail » stockées dans le cloud.
Amazon et Google ont tous deux nié contourner des ordres légalement contraignants lorsqu'on les a interrogés sur le mécanisme de clignement d'œil. Un porte-parole de Google a déclaré : « L'idée que nous, en tant qu'entreprise américaine, éluderions nos obligations légales envers le gouvernement américain, ou dans tout autre pays, est catégoriquement fausse. »
Si vous avez des informations liées à cette histoire, vous pouvez contacter Harry Davies et Yuval Abraham via les méthodes sécurisées suivantes :
- Utilisez la fonction de messagerie sécurisée de l'appli Guardian, qui est chiffrée de bout en bout et cachée dans l'activité normale de l'appli. Téléchargez l'appli, allez dans le menu, sélectionnez 'Messagerie sécurisée' et choisissez l'équipe 'UK Investigations'.
- Envoyez un message à Harry via Signal Messenger en utilisant le nom d'utilisateur hfd.90.
- Pour une communication moins sensible, envoyez un e-mail à harry.davies@theguardian.com.
- Si vous pouvez utiliser en toute sécurité le réseau Tor, accédez à la plateforme SecureDrop du Guardian.
- Visitez theguardian.com/tips pour plus d'options de contact sécurisées et des conseils.
Le porte-parole de Google a également fait référence à des déclarations précédentes selon lesquelles Israël avait accepté de suivre les politiques de Google, ajoutant : « Nous avons été très clairs concernant le contrat Nimbus, son objectif, et les conditions de service et la politique d'utilisation acceptable qui le régissent. Rien n'a changé. Cela semble être une nouvelle tentative de laisser faussement entendre le contraire. »
Cependant, des documents du gouvernement israélien ont révélé que les officiels croyaient avoir obtenu des concessions significatives de Google et Amazon après que les entreprises aient accepté d'ajuster leurs processus internes et de prioriser les demandes israéliennes par rapport à leurs conditions contractuelles standard. Une note gouvernementale diffusée des mois après la signature de l'accord notait : « [Les entreprises] comprennent les sensibilités du gouvernement israélien et sont prêtes à accepter nos exigences. »
Le contrat Nimbus, nommé d'après les formations nuageuses imposantes, est un projet clé du gouvernement israélien pour stocker les données du secteur public et militaire dans des centres de données commerciaux. Il s'étend initialement sur sept ans et pourrait être prolongé. Bien que les données soient hébergées dans les nouveaux centres de données de Google et Amazon en Israël, les officiels craignaient que l'évolution des lois américaines et européennes ne permette aux forces de l'ordre d'accéder plus facilement aux données via des demandes directes ou des assignations.
Pour répondre à ce risque, les officiels israéliens ont inclus des contrôles spécifiques dans l'accord Nimbus.
Selon l'accord Nimbus, les entreprises sont tenues d'envoyer un message codé – appelé un « clin d'œil » – au gouvernement israélien. Ce message révélerait l'identité du pays qui les a contraintes à remettre des données israéliennes, même si elles sont légalement empêchées de le divulguer. Des documents divulgués du ministère israélien des Finances, qui contiennent la version finalisée de l'accord, indiquent que ce code secret prendrait la forme de paiements étiquetés comme « compensation spéciale » effectués par les entreprises au gouvernement israélien.
Selon les documents, ces paiements doivent être effectués dans les 24 heures suivant le transfert des informations et doivent correspondre à l'indicatif téléphonique du pays étranger concerné. Les montants varient de 1 000 à 9 999 shekels. Par exemple :
- Si Google ou Amazon fournit des informations aux autorités américaines (indicatif +1) et ne peut pas divulguer leur coopération, ils doivent payer 1 000 shekels au gouvernement israélien.
- S'ils reçoivent une demande de données israéliennes de l'Italie (indicatif +39), ils doivent payer 3 900 shekels.
Si les entreprises sont empêchées par une ordonnance de non-divulgation de même laisser entendre quel pays a reçu les données, elles doivent payer un montant par défaut de 100 000 shekels (environ 30 000 $) au gouvernement israélien.
Des experts juridiques, y compris d'anciens procureurs américains, ont qualifié cet arrangement de très inhabituel et risqué pour les entreprises. Ils ont noté que de tels messages codés pourraient violer les lois américaines exigeant que les entreprises gardent les assignations confidentielles. Un ancien avocat du gouvernement américain a remarqué : « Cela semble vraiment astucieux, et si le gouvernement américain ou un tribunal devait le comprendre, je ne pense pas qu'ils seraient particulièrement compréhensifs. »
Plusieurs experts ont décrit le mécanisme comme une solution de contournement « intelligente » qui pourrait respecter la lettre de la loi mais pas son esprit. Un ancien haut responsable de la sécurité américaine a déclaré : « C'est assez génial, mais c'est risqué. »
Les officiels israéliens semblent avoir reconnu ces préoccupations, notant dans des documents que leurs demandes concernant la manière dont Google et Amazon répondent aux ordres américains « pourraient entrer en collision » avec la loi américaine. Les entreprises seraient alors confrontées à un choix entre « violer le contrat ou violer leurs obligations légales ».
Ni Google ni Amazon n'ont répondu aux questions du Guardian sur l'éventuelle utilisation de ce code secret depuis l'entrée en vigueur du contrat Nimbus. Un porte-parole d'Amazon a déclaré : « Nous avons un processus mondial rigoureux pour répondre aux ordres légaux et contraignants concernant les demandes de données clients. Nous n'avons mis en place aucun processus pour contourner nos obligations de confidentialité sur les ordres légalement contraignants. » Google a refusé de commenter les demandes israéliennes qu'il avait acceptées, mais a qualifié de « faux » de « laisser entendre que nous étions en quelque sorte impliqués dans des activités illégales, ce qui est absurde. » Un porte-parole du ministère israélien des Finances a nié « l'insinuation de l'article qu'Israël oblige les entreprises à enfreindre la loi », la qualifiant de sans fondement.
Les officiels israéliens ont également exprimé des craintes que des activistes et des groupes de droits puissent faire pression sur Google et Amazon ou chercher des ordonnances judiciaires dans des pays européens pour restreindre ou mettre fin à leurs activités avec Israël si leur technologie était liée à des violations des droits de l'homme. Pour atténuer ces risques, Israël a inclus dans l'accord Nimbus des dispositions interdisant aux entreprises de révoquer ou de limiter l'accès d'Israël à leurs plateformes cloud, même si les politiques des entreprises changent.
Les entreprises peuvent restreindre leurs services si elles estiment que l'utilisation par Israël de leur technologie enfreint leurs conditions d'utilisation ou va à l'encontre de leurs politiques. Cependant, selon une analyse du ministère des Finances, tant qu'Israël ne viole pas les droits d'auteur ou ne revend pas la technologie, le gouvernement est autorisé à utiliser tout service permis par la loi israélienne.
Les politiques d'utilisation acceptable standard de Google et Amazon interdisent toutes deux l'utilisation de leurs plateformes cloud pour porter atteinte aux droits légaux d'autrui ou pour s'engager dans des activités causant un préjudice grave à des individus. Pourtant, un officiel israélien impliqué dans le projet Nimbus a déclaré qu'il n'y avait aucune restriction sur le type de données, y compris les informations militaires et de renseignement, pouvant être stockées sur ces plateformes. Les termes de l'accord, tels que vus par le Guardian, accordent à Israël le droit de migrer ou de générer tout contenu qu'il souhaite dans le cloud.
Israël a inclus ces dispositions pour empêcher les entreprises d'interrompre les services si elles jugeaient un client préjudiciable à leurs intérêts. L'année dernière, The Intercept a rapporté que le projet Nimbus fonctionnait sous des politiques confidentielles modifiées, et un document interne divulgué indiquait que Google comprenait qu'il ne pouvait pas limiter l'utilisation par Israël de ses services.
En revanche, Microsoft a récemment suspendu l'accès d'Israël à certains services cloud et d'IA après avoir confirmé des rapports selon lesquels l'armée avait stocké une vaste collection d'appels palestiniens interceptés sur sa plateforme Azure. Microsoft a informé l'armée israélienne que cette utilisation violait ses conditions de service et a déclaré qu'il ne soutenait pas la surveillance de masse des civils.
En vertu de l'accord Nimbus, Google et Amazon sont interdits de prendre des mesures similaires, car cela serait considéré comme discriminatoire envers le gouvernement israélien. Violer cela pourrait entraîner des pénalités financières et des poursuites pour rupture de contrat.
Un porte-parole du ministère israélien des Finances a souligné que Google et Amazon sont liés par des obligations contractuelles strictes qui protègent les intérêts clés d'Israël. Ils ont refusé de divulguer les termes confidentiels de l'accord, déclarant qu'ils ne valideraient pas les affirmations de l'article en révélant des détails commerciaux privés.
Questions Fréquemment Posées
Bien sûr. Voici une liste de FAQ concernant la demande rapportée d'Israël à Google et Amazon d'utiliser un signal secret, formulée dans un ton conversationnel naturel avec des réponses directes et claires.
**Questions de Niveau Débutant**
1. **De quoi parle cette histoire en termes simples ?**
C'est un rapport selon lequel le gouvernement israélien aurait demandé à des géants technologiques comme Google et Amazon d'utiliser un signal secret et caché dans leurs systèmes. Ce signal aurait identifié et priorisé certains utilisateurs ou données, leur permettant potentiellement de contourner les règles légales standard ou les restrictions de service.
2. **Qu'est-ce qu'un signal secret (covert signal) ?**
Un signal secret est un morceau de code caché, un drapeau numérique ou une poignée de main secrète au sein d'un système logiciel. Il n'est pas visible pour l'utilisateur moyen et est conçu pour déclencher une action spéciale et privée, comme accorder un accès qui serait normalement bloqué.
3. **Pourquoi Israël ferait-il une telle demande ?**
Les rapports suggèrent que c'était lié à la sécurité nationale et à l'application de la loi. L'objectif était probablement de s'assurer que du personnel israélien autorisé spécifique puisse continuer à utiliser ces services cloud sans interruption, même si un ordre légal restreindrait normalement l'accès pour cette région.
4. **Est-ce que Google et Amazon ont réellement fait cela ?**
Selon les rapports à l'origine de ces questions, les entreprises n'ont pas accepté de mettre en œuvre ce système de signal secret. Elles auraient décliné la demande.
**Questions Intermédiaires / Avancées**
5. **Quelles directives légales essayaient-ils de contourner ?**
Bien que non toujours spécifiées, de telles demandes visent typiquement à contourner des directives légales potentielles, comme des sanctions, des lois sur la localisation des données ou des coupures d'Internet imposées par le gouvernement. Le signal secret créerait une exception secrète à ces règles pour un groupe sélectionné.
6. **Comment un signal secret fonctionnerait-il techniquement ?**
Techniquement, cela pourrait fonctionner de plusieurs manières. Par exemple, les identifiants de connexion d'un utilisateur ou l'adresse IP de son appareil pourraient être marqués d'un indicateur caché. Lorsque le système détecte ce marqueur, il routerait son trafic via un chemin spécial sans restriction, ignorant les filtres standard appliqués à tous les autres.
7. **Quelles sont les plus grandes préoccupations éthiques ici ?**
* **Saper l'État de Droit :** Cela crée une porte dérobée secrète qui contourne les lois et régulations qui s'appliquent à tous les autres.
* **Complicité des Entreprises :** Cela force les entreprises privées à choisir entre aider un gouvernement et maintenir leurs propres principes de neutral
