Bart Preneel
Nous ne serons pas protégés de la NSA tant que nous utiliserons des solutions americaines
Les révélations d’Edward Snowden prouvent que la NSA accomplit parfaitement son travail: la révolution numérique permet de collecter, de stocker et d’analyser d’énormes quantités d’informations sous le slogan “In God we trust, all others we monitor. ” Le rapport du Parlement européen adressé à Echelon en 2001 a démontré que la NSA était passée maître dans l’art d’intercepter les communications. En outre, la NSA collecte des métadonnées: qui communique avec qui et quand, avec quel appareil et depuis quel endroit.
Les révélations d’Edward Snowden prouvent que la NSA accomplit parfaitement son travail: la révolution numérique permet de collecter, de stocker et d’analyser d’énormes quantités d’informations sous le slogan “In God we trust, all others we monitor. ” Le rapport du Parlement européen adressé à Echelon en 2001 a démontré que la NSA était passée maître dans l’art d’intercepter les communications. En outre, la NSA collecte des métadonnées: qui communique avec qui et quand, avec quel appareil et depuis quel endroit.
Mais grâce à Snowden, nous savons aujourd’hui que la NSA n’en reste pas là. L’Agence nationale de sécurité américaine a ainsi demandé à des acteurs cloud de premier plan de mettre à disposition des informations tirées du cloud (le programme Prism). En outre, leurs communications internes est interceptée (le programme Muscular placé sous le contrôle de l’agence britannique GCHQ). La solution au problème semble évidente: crypter simplement toutes les informations transmises sur l’internet et enregistrées dans le cloud. Elles restent ainsi hors de portée de la NSA. Mais il va de soi que la NSA anticipe. Quand un acteur internet encode des informations, l’Agence peut lui demander au moyen d’une dénommée ‘lettre de sécurité’ la clé secrète du serveur Web et lui interdire de communiquer à ce sujet. Lorsque cette situation s’est produite avec l’email provider Lavabit, ce dernier a finalement décidé de mettre la clé sous la porte. De plus, la NSA a investi dans le sabotage des normes cryptographiques (comme EC Dual RNBG). Ensuite, elle a convaincu certaines entreprises américaines de reprendre ces normes par défaut dans leurs produits. Enfin, la NSA investit en masse dans le craquage des méthodes de cryptage existantes. Un cryptage réellement sécurisé des informations n’est donc plus aussi facile. Les autorités européennes adoptent une position ambivalente à l’égard du cryptage universel: cet encodage les empêche d’intercepter facilement des informations, même dans un cadre parfaitement légal. Par ailleurs, il est un fait que le cryptage protège les données mais pas les métadonnées. Pour ce faire, vous devez disposer d’outils comme TOR qui permettent – dans une certaine mesure – de cacher les sites Web visités.
Même si nous cryptons tout, il faut toujours permettre à l’utilisaeur d’accéder à ses données sur son ordinateur. Mais la sécurisation des données traitées dans un ordinateur est bien plus complexe que celle des données en transit ou stockées. Pourquoi? Nos ordinateurs sont incroyablement complexes. Le processeur renferme plusieurs centaines de millions voire plus d’un milliard de transistors. Un système d’exploitation possède entre 10 et 100 millions de lignes de code. Sans oublier les middleware, drivers, navigateurs et applications. Tous les informaticiens savent qu’il est tout bonnement impossible de rendre un système d’une telle complexité exempt de tout bug pour un prix abordable. Chaque année, des milliers de bugs sont rapportés par les fournisseurs ICT. En général, les brèches sont rapidement colmatées. Le crime organisé et les autorités se penchent sur la création de nouveaux bugs: les uns pour en tirer un avantage financier et les autres pour obtenir des données sensibles. Pour la NSA, il doit être particulièrement tentant de demander aux entreprises ICT de lui révéler en premier les bugs ou – mieux encore – d’intégrer délibérément de subtiles faiblesses supplémentaires. Le secteur ICT comprend les risques qui y sont liés et ne le fera qu’à contrecoeur. Les révélations de Snowden prouvent que lorsque la NSA intervient au moyen de lettres de sécurité (secrètes), les entreprises ne peuvent pas communiquer à ce sujet.
De plus, la culture “Ship now and patch later” a mené à des mises à jour automatiques et régulières de toutes les composantes de nos systèmes. Ces mises à jour varient en fonction des machines. Si la NSA parvient à prendre le contrôle du mécanisme de mise à jour, elle peut l’exploiter pour s’emparer de chaque machine.
En résumé, la NSA ne se limite plus depuis longtemps à de simples écoutes: elle procède à des attaques actives qui lui permettent de contrôler de certains ordinateurs. Pour des cibles spécifiques, surtout celles qui ne sont pas liées à l’internet, l’agence va même jusqu’à ajouter des composantes en interceptant les ordinateurs durant leur transport. Il faut s’attendre à ce que les révélations de Snowden inspirent d’autres pays à faire aussi bien, voire mieux.
Il n’existe qu’une seule manière d’assurer une sécurisation optimale dans un tel contexte: contrôler la conception complète de chaque composant de votre machine, du matériel au logiciel. De cette façon, vous pouvez être certain qu’aucune lacune n’y a été intégrée. Ce qui vient de l’extérieur doit être inspecté jusque dans les moindres détails sur la base d’une description complète. De surcroît, vous devez pouvoir contrôler l’entièreté de la chaîne d’approvisionnement pour avoir la certitude que votre ordinateur n’a pas été modifié. Enfin, vous devez aussi contrôler toutes les mises à jour. Seul un grand pays ou une multinationale peut se permettre d’adopter une telle approche. Les autres doivent rechercher des partenaires. Une question se pose alors: à qui pouvez-vous encore faire confiance?
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici