‘La NSA indirectement responsable d’une fuite chez le fabricant de routeurs Juniper’
La faille sécuritaire découverte la semaine dernière par le fabricant de routeurs Juniper pourrait être indirectement causée par le service de renseignements américain NSA.
Voilà ce que conclut le fondateur de l’entreprise de sécurité Comsecuris, Ralf-Philipp Weinmann, annonce Wired ce mardi.
Juniper a récemment découvert un code étrange dans ScreenOS, le logiciel qui commande les NetScreen Firewalls de l’entreprise. Tout semble indiquer que ce code se trouvait depuis 2012 déjà dans le système d’exploitation, ce qui fait que des personnes mal intentionnées pouvaient à distance avoir accès à des appareils et mettre sur écoute des connexions VPN. La semaine dernière, l’entreprise pointait déjà du doigt la NSA comme responsable. Or, cela semble à présent se confirmer indirectement.
Car si la NSA n’a pas elle-même activement créé la faille dans la sécurité, le service d’espionnage serait en tout cas quand même indirectement coupable. Juniper a en effet utilisé un algorithme probablement sciemment affaibli par les autorités, malgré son statut controversé. La porte dérobée ainsi créée semble avoir été exploitée par une vulnérabilité dans l’algorithme que la NSA a conçu. Ensuite, elle a été adaptée et abusée. Selon Weinmann, les correctifs (patches) sortis la semaine dernière par Juniper n’ont pas résolu le problème, parce que l’algorithme vulnérable est encore et toujours utilisé.
Débat sur les portes dérobées
La fuite a été repérée au moment même où le débat sur l’utilisation de portes dérobées fait de plus en plus rage. Des candidats aux élections présidentielles américaines se mêlent à la discussion – Hillary Clinton déclare par exemple ne pas être pour ou contre – alors que le directeur d’Apple, Tim Cook, affirmait hier encore qu’il était absolument contre: “La réalité, c’est que si vous créez une porte dérobée, elle sera accessible à tout le monde, les bons comme les méchants.”
Une loi sur l’espionnage en Grande-Bretagne
Aujourd’hui, Apple a annoncé également s’opposer à une loi sur l’espionnage en préparation en Grande-Bretagne. Le géant technologique entend continuer de crypter les données, afin de les protéger contre un contrôle des pouvoirs publics. Mais l’entreprise explique qu’elle devrait effectuer des adaptations, afin qu’iMessage puisse être mis sur écoute, quelque chose que les autorités britanniques démentent par ailleurs. Il y aurait aussi une clause dans la loi, par laquelle l’entreprise devrait obligatoirement collaborer au piratage de ses clients, ce qui, selon Apple, pourrait détériorer gravement la confiance de ces derniers.
Apple reçoit le soutien des fournisseurs internet britanniques. Ceux-ci se verraient en effet contraints par la nouvelle loi de conserver pendant un an l’historique de navigation de leurs clients, selon Nutech. Pour ces fournisseurs, cela reviendrait non seulement à enfreindre le respect de la vie privée de leurs clients, mais cela leur coûterait aussi beaucoup d’argent.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici