Le service de sécurité américain utilise-t-il encore et toujours des portes dérobées chez les firmes technologiques US? Et si oui, quelle est leur fréquence d’abus par des tiers, comme cela est arrivé chez Juniper par exemple? La NSA a refusé de répondre à ce genre de questions.
Après les déballages d’Edward Snowden en 2013, le monde a appris que le gouvernement américain – NSA en tête – recourait à diverses pratiques de mise sur écoute massive. C’est ainsi qu’il collaborait avec des entreprises incorporant un accès spécial pour le service de renseignements. Il arrivait aussi que les Etats-Unis imposent aux entreprises des normes qu’ils pouvaient eux-mêmes ‘craquer’.
La NSA conclut-elle encore et toujours ce genre d’accord avec les entreprises technologiques? Tente-t-elle encore et toujours de générer des points faibles, et sa politique est-elle aujourd’hui différente de ce qu’elle était il y a sept ans encore? Voilà quelques questions que le sénateur démocrate Ron Wyden a posées à la NSA, mais qui sont restées sans réponse.
Dans un entretien accordé à l’agence Reuters, le sénateur passe en revue les risques. ‘Les portes dérobées secrètes en cryptage constituent une menace pour la sécurité nationale et pour celle de nos familles. C’est une question de temps, avant que des pirates ou des criminels étrangers les abusent et sapent ainsi la sécurité nationale américaine’, déclare Wyden à Reuters. ‘Le gouvernement n’a aucun rôle à jouer dans la mise en place de portes dérobées dans la technologie de cryptage que les Américains utilisent.’
Juniper
Le fait que ce genre de faille soit utilisé par d’autres hackers, a entre-temps été démontré à plusieurs reprises. En 2015, Juniper dut ainsi signaler une fuite causée par la NSA, mais qui fut par la suite abusée par d’autres. L’entreprise déclare aujourd’hui s’opposer à cette pratique. Mais elle est loin d’exclure que ce genre de chose se fasse encore chez elle ou chez d’autres fournisseurs technologiques américains.
Trois ex-collaborateurs signalent à Reuters que cette pratique a été légèrement adaptée. Avant d’incorporer une porte dérobée, l’organisation doit en mesurer les inconvénients possibles et prévoir un avertissement au cas où elle serait découverte et manipulée par des ennemis des Etats-Unis. Reste évidemment à savoir si c’est la NSA qui effectue cette évaluation et/ou si elle est elle-même capable de découvrir en temps voulu l’abus par des tiers.
Imposer un cryptage déchiffrable
Wyden déclare à Reuters vouloir enquêter sur ce qui s’est réellement passé chez Juniper et si les pratiques de la NSA ont entre-temps changé. Il y a ainsi encore beaucoup d’incertitude à propos de Dual Elliptic Curve (Dual EC), à savoir une technologie de cryptage que les Etats-Unis voulaient faire agréer comme une norme globale.
La firme de sécurité RSA aurait accepté dix millions de dollars pour intégrer Dual EC dans un système de sécurité. Plus tard, lors des déballages d’Edward Snowden, l’entreprise expliqua ne pas avoir incorporé sciemment une porte dérobée. Cette même Dual EC joua aussi un rôle dans le problème de sécurité ayant touché les pare-feu des routeurs internet de Juniper.
On ne sait formellement pas si la NSA utilise aujourd’hui encore de grandes firmes technologiques à des fins d’espionnage. Un ex-collaborateur du service de renseignements a déclaré à l’agence Reuters que beaucoup de firmes technologiques sont devenues nettement plus réticentes qu’avant à propos d’une collaboration avec la NSA. Mais les activités se poursuivraient néanmoins, parce que les informations qu’elle peut ainsi obtenir, sont précieuses.
Une entreprise qui n’est, elle, pas vraiment réticente en la matière, c’est Amazon, là même ou l’ex-directeur de la NSA, Keith Alexander, siège depuis peu au sein du conseil d’administration.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici