Le catalogue des outils de la NSA

Selon le magazine allemand Der Spiegel, la NSA dispose d’une multitude d’outils pour forcer les portes dérobées de produits – une nouvelle révélation dans l’intarissable saga Snowden.

Outre un département composé de pirates de première force (TAO), la NSA possède aussi tout un éventail d’outils servant à forcer les portes dérobées dans toute une série de produits de connectivité et de sécurité, peut-on lire dans une nouvel article publié dans Der Spiegel. Le magazine a pu prendre connaissance d’un document de 50 pages qui est décrit comme un ‘catalogue de vente par correspondance, dans lequel les collaborateurs de la NSA peuvent commander des technologies de rapatriement de données chez les personnes/organisations ciblées’. Selon Der Spiegel, le département responsable – ANT, alias Advanced of Access Network Technology – a manifestement pu s’infiltrer dans quasiment toutes les architectures sécuritaires des principaux acteurs ICT. Der Spiegel cite quelques noms tels Juniper, Cisco, Dell, mais aussi… Huawei! D’autres fabricants de produits de masse auraient également été les victimes des activités d’ANT. Le département ANT proposerait non seulement du hardware (comme des câbles de contrôle ‘adaptés’), mais aussi des solutions logicielles (susceptibles d’être installées à distance). C’est ainsi qu’il existerait des versions piratées de logiciels BIOS, ainsi que des possibilités d’adapter le firmware dans les disques durs de Western Digital, Seagate, Maxtor et Samsung. Grâce aux moyens d’ANT, les ‘implants’ d’autres départements de la NSA peuvent se frayer un passage vers les systèmes ciblés et y rester actifs, même après des ‘reboots et autres upgrades’.

Le catalogue sur lequel Der Spiegel a mis la main via Snowden, date de 2008, mais il va de soi qu’ANT ne s’est entre-temps pas reposé sur ses… lauriers, comme le conforme la promesse de ‘nouveaux outils’.

Non coupable?

L’existence des produits ANT rend assurément quelque peu plus crédibles les affirmations de divers producteurs, selon lesquelles ils n’ont pas collaboré avec la NSA, afin d”affaiblir’ leurs produits. Il serait en effet assez naïf de la part de ces entreprises de croire qu’une telle ‘supercherie’ ne serait jamais découverte, et de ne pas prendre conscience des conséquences de telles révélations pour leur image. Aujourd’hui, les chiffres de vente de pas mal d’entreprises ICT américaines dans le domaine de la connectivité et de la sécurité semblent en effet accuser sérieusement le coup car la méfiance des utilisateurs est à présent réellement très grande.

Or il est bien connu que si la confiance s’acquiert petit à petit, elle se perd nettement plus rapidement. Pour ces entreprises, il s’agit donc d’investir pas mal d’argent et de travail pour contrôler les possibles vulnérabilités de leurs produits (software, asics,…), les sécuriser… et en convaincre ensuite les clients potentiels. Ces derniers feraient du reste bien d’être plus créatifs à propos des clauses de dédommagement et de sanction pénale dans les futurs contrats (ne serait-ce que parce qu’en tant qu’utilisateurs, ils continueraient d’assumer la responsabilité des conséquences de l’abus possible de données, etc.).

La situation pourrait complètement tourner au vinaigre, si les utilisateurs souhaitaient mieux se protéger contre la cybercriminalité (de la part tant des hackers que des pouvoirs publics)… et ne faisaient dans ce but pas confiance dans les moyens disponibles (comme les pare-feu, etc.) à cause des piratages possibles. Le comble de l’ironie, c’est que l’article de Der Spiegel fait aussi référence à Huawei. Les clients sont-ils prêts en effet à se tourner vers un fournisseur, dont les produits sont peut-être dotés – comme on peut le craindre – de portes dérobées par plus d’une autorité? Poser la question,…