Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

L'affaire SWIFT

Document T.Lombry

Quand Big Brother surveille nos finances

Le 23juin 2006 éclatait l'affaire SWIFT : le "New York Times", le "Wall Street Journal" et d'autres quotidiens américains révélèrent que la CIA avec l’accord de l’Administration Bush et de la société SWIFT (Society for Worldwide Interbank Financial Telecommunications) avaient mis en place un programme de surveillance de la finance internationale.

SWIFT transmettait régulièrement depuis les attentats du 11 septembre 2001 (WTC) des données confidentielles aux autorités de la CIA et au Département du Trésor (UST) au nom de la lutte contre le financement du terrorisme international.

L'Union européenne accusa la société financière de violer les dispositions communautaires en matière de protection des données personnelles. Aussitôt SWIFT et la Banque Centrale Européenne (BCE) sollicitèrent l'ouverture de négociations entre l'Union européenne et l'administration américaine pour trouver une issue légale au problème.

Toutefois, le 22 octobre 2006,  le "New York Times" fit son Mea Culpa, reconnaissant que "l'action de SWIFT était apparemment légale" et qu'il n'y avait "pas de preuve du détournement allégué d'information", activités qui par ailleurs "étaient couvertes par le secret imposé par l'UST".

Une telle volte-face et l'implication des services secrets dans une affaire financière ne peuvent que susciter notre curiosité. Que cache l'affaire SWIFT ?

Le rôle de SWIFT

Nous travaillons tous régulièrement avec cette société sans même le savoir. En effet, notre banquier fait appel aux services de SWIFT dès que nous réalisons une opération financière.

Depuis 1973, la société financière belge basée à La Hulpe près de Bruxelles, gère quotidiennement des millions de messages financiers standardisés échangés par quelque 8300 institutions financières (principalement des banques, des sociétés de courtage et des gestionnaires de fonds) distribuées dans 208 pays, y compris la norme connue sous le nom de code BIC (ou code SWIFT).

SWIFT propose essentiellement deux services transactionnels interbancaires : un système de messagerie et un mécanisme de transfert de fichiers. SWIFT ne fait pas transiter d’argent. Il s’agit d’un système décentralisé de paiement. SWIFT assure le transfert de données financières relatives aux paiements (virements, etc), au crédit documentaire ou aux titres, y compris les transactions internationales en devises.

SWIFT a développé un système de messages standardisés qui transitent sur le réseau SWIFTNet depuis 2001. De leur côté, les institutions financières négocient directement leurs transactions, sans passer par une centrale de paiement. En tout, ce sont plus de 14 millions de messages SWIFT qui sont échangés chaque jour sur le réseau, représentant une valeur supérieure à 5 trillions de dollars (2007). Le trafic augmente de 17% chaque année.

Depuis 2003, les messages sont encodés en langage XML et sont encapsulés dans un protocle IP protégé par un système de chiffrement basé sur une infrastructure à clé publique (PKI). Les systèmes d'identification, d'authentification, d'encryption, les certificats numériques, les cartes à puce et le compartimentage des services sont donc des concepts banalisés chez SWIFT qui leur permettent de garantir l'intégrité et la confidentialité de leurs données.

Rôle des agences américaines

Que viennent faire les Etats-Unis dans cette affaire financière ? Cela n'a rien à voir avec une affaire de fraude comme dans le cas de Clearstream par exemple. C'est une affaire avant tout de politique internationale et de respect des législations européenne et américaine.

La Central Intelligence Agency, CIA

Ainsi que nous l'avons vu à propos du programme Echelon, la CIA est une agence de renseignements, mais pas du genre de ceux que vous pouvez obtenir au guichet du bureau du tourisme, mais plutôt ceux relatifs à l'espionnage ! Ses fonds demeurent encore partiellement secrets et servent à protéger les Etats-Unis et ses intérêts à l'étranger. 

La CIA fut créée en 1947 dans le but de coordonner les activités de renseignements des Etats-Unis, d'évaluer et de diffuser les informations pouvant affecter la sécurité nationale. Ce qui nous intéresse ici est le fait que les agents de la CIA ont le devoir de communiquer le moins possible avec le public et les autorités mais, paradoxalement, ils n'hésitent pas à se montrer ostenciblement à l'occasion pour intimider leurs opposants.

La CIA intervient également dans les Affaires étrangères en craquant les codes d'accès aux messages cryptés dès que l'information est susceptible de mettre en danger les citoyens américains.

L'Agence est sous la responsabilité directe du président et de la National Security Council (NSC). Pour une meilleure transparence, aujourd'hui la CIA rapporte régulièrement devant le Senate Select Committee on Intelligence ainsi qu'à un second comité permanent et depuis 1980 à différents pouvoirs exécutifs. Mais comme de coutume, il n'est pas dans les habitudes de l'Agence d'entrer en relations officielles avec les gouvernements pas plus qu'avec l'Union Européenne et moins encore avec la Commission Nationale de l'Informatique et des Libertés, la CNIL, dont nous reparlerons.

La National Security Agency, NSA

Document NSA/Lombry

Créée en 1952 sous l'administration Truman, la NSA a pour mission de fournir des renseignements et de conduire des missions de haute sécurité en collaboration avec les services de l'armée des Etats-Unis.

Très discrète, jusqu'en 1957 le public américain ignora l'existence de la NSA, qui de ce fait sera surnommée "No Such Agency" (pas de telle agence) par les journalistes.

La NSA existe pourtant bien. Elle dépend du Département de la Défense (DoD) mais travaille pour l'ensemble de l'US Intelligence Community.

Au fil du temps, la NSA s'est spécialisée dans toutes sortes d'activités touchant la cryptologie, qu'elle soit militaire ou civile et bien entendu dans la lutte anti-terrorisme, épaulant les agents de la CIA et du FBI.

A l'image de la CIA, la NSA est responsable de la sécurité des communications des Etats-Unis, qu'il s'agisse de la surveillance ou de la collecte d'informations gouvernementales, commerciales ou même personnelles, transmises par des moyens radiofréquences, numériques (Internet) ou tout autre mode de transmission.

Comme la CIA, la NSA a développé un réseau de renseignements international. Elle est à l'origine du système d'espionnage Echelon. Plus près de nous, rappelons que c'est la NSA qui a imposé le niveau de sécurité C2 sur les interfaces réseaux des systèmes d'exploitation.

Le Département du Trésor

De son côté le Département du Trésor (Trésor) a pour mission de promouvoir les conditions de prospérité et de stabilité sur le territoire des Etats-Unis mais également d'encourager la prospérité et la stabilité dans le reste du monde.

Le Trésor considère donc qu'il joue un rôle de "steward" comme il dit, auprès des systèmes économique et financier américains et celui de participant influent l'économie internationale. Sa responsabilité auprès des citoyens américains est de créer des opportunités économiques et d'emplois pour tous afin d'assurer la croissance durable du pays.

Le Trésor est une agence fédérale qui est responsable de la prospérité et de la sécurité économique et financière des Etats-Unis, et, en tant que telle, est responsable d'un large éventail d'activités sur les plans intérieur et international. Cela inclut le conseil au Président sur des sujets économiques et financier et l'augmente de sa gouvernance dans les institutions financières. 

Sur le plan international qui nous occupe ici, le Trésor travaille en collaboration avec les autres agences fédérales (FBI, CIA, NSA, SEC, etc), les gouvernements des autres nations et les Institutions Financières Internationales (IFI) pour encourager la croissance économique, l'amélioration du niveau de vie, et enfin pour prévoir et prévenir autant que possible les crises économiques et financières.

SWIFT entre le marteau et l'enclume

Connaissant le rôle des différents acteurs de cette affaire, on comprend un peu mieux pourquoi l'administration américaine a sollicité la collaboration de SWIFT pour ses devoirs d'enquêtes complémentaires sur le terrorisme. Si on comprend les motivations américaines, leur méthode est pour le moins cavalière.

Le problème vient du fait que sans concertation et dans la confidentialité la plus totale, les Etats-Unis ont exigé que la société belge leur transmette les millions de messages à caractère financier qu'elle traite à l'insu des propriétaires des comptes bancaires et de l'autorité de surveillance de la vie privée.

Alex Türk, le président de la CNIL, estime que SWIFT a fait l'objet d'un contrôle par les autorités américaines "en dehors du cadre légal de coopération normalement établi aux fins d'échange d'informations financières entre gouvernements."

Cette surveillance représente de l'espionnage économique et commercial, une activité tout aussi criminelle que le terrorisme puisque toutes deux sont punies des mêmes peines. Selon le vice-président de la Commission de la vie privée, Willem Debeuckelaere, SWIFT a été contrainte à six reprises depuis juillet 2006 de transmettre des données personnelles au Trésor américain.

En novembre 2006, l'Union européenne reprocha officiellement à SWIFT de violer les règles européennes sur la protection des données. Mais SWIFT se trouvait entre le marteau et l'enclume. En effet, au nom de la traque des terroristes, comme d'autres entreprises, SWIFT s'exécutait et continue de le faire bon gré mal gré car, selon l'administration américaine, l'analyse des transferts d'argent a permis de déjouer plusieurs attentats et notamment d'arrêter Riduan Isamuddin, alias Hambali, le cerveau des attentats de Bali perpétrés en 2002 (202 tués et 209 blessés suite à l'explosion de 3 bombes dans la région de Kuta. La responsabilité incombait à des réseaux indonésiens proches d'Al Qaïda).

Beaucoup de comptes appartenant à des entreprises qui ont des bureaux sur le sol américain, leurs dirigeants ont également été contraints de montrer leurs livres comptables aux autorités américaines. Selon la CNIL, "au prétexte de traquer les circuits de financement du terrorisme et donc, de prévenir la menace terroriste, les Américains se mettent en situation de tout observer : les transferts financiers vers les Etats-Unis comme les flux financiers intra-européens ou de l'Europe vers l'Afrique et l'Asie ; les comportements des banques comme ceux d'entreprises appartenant à des secteurs sensibles de l'économie : des groupes pétroliers ou aéronautiques... Cela pose problème !" Quoiqu'en pensait les Etats-Unis, pour l'Europe ce tansfert d'information restait illégal.

Apprenant l'existence de ces activités d'espionnage, la CNIL a tenté de faire pression auprès de l'Union européenne pour que l'administration Bush cesse d'accéder sans autorisation aux données bancaires transitant par le réseau SWIFT.

La réponse de Big Brother

Avec l’accord de SWIFT, la CIA a pu étudier les centres névralgiques de la finance mondiale. Ce programme, mené sous le contrôle du département du Trésor, "nous a ouvert une fenêtre unique et excellente sur les opérations des réseaux terroristes et constitue, sans aucun doute, un exemple d'utilisation légale et adéquate de notre autorité", souligne Stuart Levey, sous-secrétaire du département du Trésor chargé du terrorisme et du renseignement financier.

Comment les Etats-Unis justifient-ils cet espionnage des flux financiers ? L’administration Bush défend sa légalité. Au Trésor, on souligne que les lois américaines restreignant l'accès aux transactions financières individuelles ne s'appliquent pas au réseau SWIFT qui est considéré non pas comme une banque ou une institution financière, mais comme un prestataire de services de messagerie. Le Trésor ajoute que seules les communications SWIFT des entités suspectées d’être liées au terrorisme ont été étudiées.

Selon John Snow, le secrétaire au Trésor, le renseignement est pour la CIA "un outil essentiel de la guerre contre le terrorisme, basé sur des pouvoirs légaux appropriés et doté de procédures de contrôle et de sauvegarde efficaces", et d'ajouter qu'il ne s'agit pas de "pêche au filet" qui ramasserait sans distinction toutes les transactions financières des Américains, mais "plutôt une pêche au harpon très précise au cœur des activités terroristes."

Mais le "New York Times" cite d'autres responsables proches du programme, qui estiment plutôt que la communauté du renseignement évolue là dans une "zone grise" de la loi et que la révélation de ces méthodes "hautement inhabituelles" de surveillance financière pourrait avoir des conséquences sur le réseau SWIFT. Un ancien fonctionnaire fédéral considère même qu'il s'agit dun "énorme potentiel pour des abus."

Réactions belges

SWIFT explique que la coopération avec les pouvoirs publics est une de ses traditions, et que le cadre de ce programme a été négocié avec le Renseignement américain, tout en "protégeant la confidentialité de ses clients."

Document T.Lombry

De son côté, Bruxelles a ouvert le 24 juin 2007 une double enquête sur cette affaire d’espionnage. Madame Laurette Onckelinckx, ministre de la Justice, a notamment chargé la Cellule de Traitement des Informations Financières (CTIF), de "faire une analyse juridique pour voir si tout ce qui a été fait l'a été en respect des règles du droit belge". Elle a par ailleurs démenti les informations parues dans la presse belge, selon lesquelles elle connaissait depuis plusieurs semaines l’existence de ce système.

La Banque Nationale de Belgique (BNB) a quant à elle reconnu le 24 juin qu'elle était au courant de l'activité des autorités américaines. "Nous avions eu l'information dans le cadre de nos activités de surveillance" de SWIFT, a indiqué un porte-parole de la BNB, se refusant à dire depuis quand. C'est alors que des journalistes eurent vent du scandale et portèrent l'affaire sur la place publique.

Plans d'actions

La CNIL souhaitait de la transparence et une surveillance plus importante de SWIFT, mais l'entreprise belge était réticente et envisageait d'autres solutions.

Jusqu'à présent, les banques centrales européennes n'avaient aucun pouvoir sur les décisions américaines et n'exerçaient qu'un contrôle fonctionnel pour s'assurer de la stabilité du système financier. 

En revanche, SWIFT et les 2000 banques internationales actionnaires souhaitaient que des mesures soient prises pour renforcer la sécurité des données de leur système. Trois mesures avaient déjà été préconisées par les membres du Conseil d'administration. Il s'agissait de mettre en place un groupe de travail, d'enregistrer la société dans le cadre de référence du "Safe Harbor" (politique d'exonération) et enfin de réviser l'architecture du système SWIFT, surtout au niveau de la régionalisation des transferts de données (dont le rapatriement des données européennes en Europe).

Depuis décembre 2006, SWIFT négociait un compromis avec la Commission de la protection de la vie privée. En appliquant les règles de "Safe Harbor", SWIFT pouvait continuer à transférer des données vers les Etats-Unis tout en respectant les stricts principes européens en matière de protection de la vie privée. Le compromis fut signé le 29 mars 2007.

Transparence et respect de la vie privée

Le 15 juin 2007 SWIFT annonçait dans un communiqué de presse que le Conseil d'administration avait approuvé le second plan de ré-architecture du réseau, SWIFT Phase 2. 

La direction confirmait qu'à l'avenir SWIFT s'engageait à ne plus stocker aux Etats-Unis les données confidentielles relatives aux transactions européennes : "la ré-architecture permettra de stocker les données intra-européennes en Europe". Il est donc déjà acquis que la société tiendra compte des impératifs sur la confidentialité des données.

Le 21 juin 2007 la CNIL a finalement obtenu la transparence et une protection de la vie privée. C'est la première fois que les autorités américaines acceptaient un contrôle extérieur sur leurs activités.

Selon un membre du Conseil d'administration de SWIFT, "les Etats-Unis demandent toujours des données sur les transferts d'argent. Modifier les statuts et les flux de l'entreprise seront longs et compliqués".

Restructuration du réseau

Entre 2007 et 2008, l'entiereté du réseau SWIFT migra son infrastructure vers le nouveau protocole SWIFT Phase 2 dont la sécurité est renforcée et plus simple à gérer grâce au système "Relationship Management Application" (RMA).

Document T.Lombry

Cette mise à jour a toutefois imposé aux milliers de banques de mettre à jour leurs systèmes de paiments internationaux (cf ce schéma de l'environnement SWIFT client). Le système RMA est opérationnel depuis le 1 janvier 2009.

Depuis 2009, SWIFT dispose de trois centres de données, l'un installé aux Etats-Unis, l'autre aux Pays-Bas, et le troisième en Suisse.

Actuellement, bien que les sites opérationnels européens servent de backup au site américain, les informations des membres européens ne seront plus recopiées aux Etats-Unis, évitant ainsi une brèche de confidentialité (sur le plan du respect de la vie privée) telle qu'on la conçoit en Europe.

Une architecture distribuée répartit les messages en deux zones, une zone de messaging européenne et une zone de messaging trans-atlantique. Les messages de la zone européenne sont stockés aux Pays-Bas et une partie dans le centre opérationnel suisse, les messages de la zone trans-atlantique sont stockés aux Etats-Unis et en partie dans le centre opérationnel suisse, laquelle est séparée des messages de la zone européenne. Les données des pays non européens sont stockés par défaut dans la zone trans-atlantique, mais les membres peuvent choisir de stocker leurs données dans la zone européenne.

Et voilà comment l'Europe a dû protéger ses données de la convoitise de Big Brother...

Vous trouverez plus d'information sur la conformité (compliance) notamment sur la transparence et la protection des données dans la rubrique Conformité du site de SWIFT.

Retour aux Technologies


Back to:

HOME

Copyright & FAQ