Débat sur le chiffrement : la NSA face à ses choix

Le mot du jour est : ambivalence 8
image dediée
Crédits : zmeel/iStock
Securité

Le directeur de la NSA, Mike Rogers, a affirmé récemment que le chiffrement était crucial et que le débat actuel sur son contournement était une perte de temps. Une attitude ambivalente pour l’agence de renseignement, de multiples documents ayant montré son acharnement à contourner cette sécurité.

Le chiffrement est au cœur de tous les débats désormais. Un fait dû en bonne partie aux révélations d’Edward Snowden, grâce à de très nombreux documents dérobés à la National Security Agency. Le chiffrement est maintenant propulsé par de nombreuses entreprises, la confiance du client étant un rouage critique du chiffre d’affaires.

Le chiffrement au cœur des débats

Cette technologie est un pivot dans la préservation de la vie privée, mais également de la sécurité dans un sens plus large. De nombreux arguments s’affrontent, chacun propulsé en fonction de la partie concernée. Pour les associations de défense des libertés civiles et de la vie privée, le chiffrement n’est par exemple pas négociable. Pour les forces de l’ordre et les agences de renseignement, il peut bloquer les enquêtes et devrait être limité. Il n’est donc pas étonnant de voir tant de propositions autour de l’inclusion de portes dérobées dans les produits, avec les dangers manifestes que l’on connait.

Aux États-Unis, le chiffrement est l’objet d’opinions tranchées. James Comey, directeur du FBI, s’en était par exemple pris à Apple et Google pour l’arrivée du chiffrement intégral (ou presque) dans leurs systèmes. Il était particulièrement ennuyé par « la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi », un point souvent martelé par les tenants de la porte dérobée. En novembre dernier, James Baker, conseiller général du FBI, indiquait pour sa part que le « génie du chiffrement » était « sorti de sa bouteille ». Ce qui n’avait pas empêché le directeur, un mois plus tard, de relancer une attaque contre le chiffrement de bout-en-bout et d’afficher sa volonté de trouver une solution.

Débattre de la pertinence du chiffrement ? « Une perte de temps »

Quant à la NSA, son attitude était déjà ambivalente. Elle possède une mission double, qui est à la fois de protéger les États-Unis et de chercher des moyens d’aller récupérer les informations dont elle estime avoir besoin. Cette seconde facette l’amène à récolter des failles 0-day - en vue de les exploiter au moment opportun – ou encore à participer à certains développements afin d'y laisser des portes dérobées. C’est bien l’agence américaine qui avait proposé l’idée des clés fragmentées, irréaliste sur un plan technique, et c’est bien son directeur, l’amiral Mike Rogers, qui affirmait en mai dernier que le chiffrement était « une partie fondamentale du futur », tout en militant pour une infrastructure légale qui permettrait de récupérer les informations voulues.

Cette ambivalence est toujours là, exprimée par le même Mike Rogers. Il participait vendredi à l’Atlantic Council à Washington et est intervenu dans le cadre du débat sur le chiffrement. Il a rebondi sur le danger grandissant pour les États-Unis de subir des cyberattaques, et les cas de Sony Pictures ou même de l’administration américaine ne sont que des exemples de ce qui attend le pays. À la lumière de la guerre qui s’annonce, une utilisation plus large du chiffrement semble la solution. Il est allé jusqu’à indiquer que le seul fait de débattre sur la pertinence de cette sécurité « n’est qu’une perte de temps ».

« Nous allons faire face à des temps difficiles »

Le directeur de la NSA aimerait que le débat puisse enfin évoluer, en tenant pour acquis que le chiffrement n’est pas une option : « Ce que nous devons donc nous demander, en partant de cette base, c’est quel est le moyen de faire avec ? Et comment répondre ces inquiétudes très légitimes [émanant] de multiples perspectives ? ». Rogers a également rebondi sur la question désormais classique du curseur se déplaçant entre la sécurité et le respect de la vie privée. Ni l’un, ni l’autre « ne devrait diriger la suite » : « Nous devons répondre à ces deux impératifs. Nous allons faire face à des temps difficiles ».

La position de Mike Rogers se renforce donc avec le temps, et la position officielle de la NSA diffère nettement de celle du FBI. Michael Hayden, ancien directeur de l’agence de renseignement, indiquait déjà il y a deux semaines qu’il était en désaccord avec James Comey et sa vision du chiffrement : « Je pense en fait que le chiffrement de bout-en-bout est bon pour les États-Unis ». Mais quelles que soient les affirmations de la NSA, l’ambivalence n’est jamais loin, et il existe une marge potentiellement importante entre les prises publiques de parole et les actions menées en secret.

Le petit guide de l'ambivalence

En 2013, le Washington Post, alors l’un des rares journaux à posséder les documents d’Edward Snowden, publiait des informations sur le « budget noir » de l’agence. On y apprenait qu’elle possédait un programme entièrement dévolu à la cassure des « solutions adverses de chiffrement » qui nécessitait des investissements lourds dans la cryptanalyse. Selon ces mêmes documents, le budget alloué atteignait les 10 milliards de dollars, dont un milliard consacré à l’exploitation de toutes les brèches possibles dans un réseau donné.

La NSA est également très friande des failles 0-day, et cet aspect de son travail est devenu si médiatique que l’agence a fini par publier une infographie expliquant que 91 % des failles collectées faisaient l’objet de communications aux éditeurs concernés en vue de les corriger. Mais l’agence ne disait ni ce qui se passait réellement avec les 9 % restants, ni au bout de combien de temps les failles avaient été signalées. Rien n’empêchait de fait une exploitation active avant d’être « libérées ». La NSA ne donnait non plus aucun chiffre, ce qui rendait ces proportions peu lisibles.

Or, ces failles peuvent parfaitement être exploitées pour affaiblir et contourner le chiffrement. La récente affaire des pare-feux de Juniper a montré qu’un simple bout de code pouvait représenter un immense danger s’il réussissait à être glissé au bon endroit. Le rôle précis de la NSA reste à déterminer, mais on sait que l’agence connaissait l’existence de 13 failles dans ces produits depuis 2011.

Combat perdu d'avance... ou déjà remporté ?

La NSA affirme donc aujourd’hui que le chiffrement n’est pas une option, tout en cherchant les moyens de le contourner. Mais si le discours se fait plus marqué, c’est potentiellement que l’agence estime désormais que le combat, sans être perdu, s’annonce si difficile qu’il coûterait beaucoup trop cher. Et si Mike Rogers aime à dire qu’il faut « se poser les bonnes questions », c’est peut-être qu’il envisage d’autres solutions… ou tout simplement que l’agence sait déjà obtenir les informations qu’elle veut.

L’année dernière, une étude menée en collaboration par Microsoft et les universités Johns Hopkins, du Michigan, de Pennsylvanie et autres mettait en avant certaines faiblesses dans la méthode d’échange de clés Diffie-Hellman, très utilisée pour la confidentialité persistante des données. De manière plus générale, la conclusion était que l’on pouvait attaquer un « bout » dans le chiffrement de bout-en-bout, dès lors que l’on avait l’expertise et les moyens nécessaires.

Les informations chiffrées ne sont pas les seules disponibles

Il faut rappeler enfin que l’on peut obtenir des informations précises sans contourner nécessairement le chiffrement. Les agences savent depuis longtemps exploiter les informations périphériques, comme les métadonnées, pour obtenir des renseignements cruciaux. Ce flot de métadonnées a été en partie court-circuité pour la NSA avec l’arrivée du Freedom Act, qui l’empêche de recevoir sans limite tout ce qui touche aux communications téléphoniques. Mais il ne s’agit que d’une source parmi d’autres, et les documents de Snowden ont montré que l’agence possède un titanesque maillage relationnel dans lequel une cible fait « vibrer » les fils, comme au sein d’une toile d’araignée.

Quant à la prise de position de Mike Rogers, elle reste importante. On se souvient que la Maison Blanche avait indiqué qu’elle renonçait à l’idée des portes dérobées, mais malgré des demandes répétées de certaines entreprises et d’associations comme l’EFF, elle ne s’est pas engagé à le défendre activement. Alors que de nombreux pays, et tout particulièrement la France, réfléchit très sérieusement aux backdoors, l’opinion du directeur de la NSA peut jouer un rôle. Rien n’est pour autant gravé dans le marbre, surtout dans un pays où les attaques contre Snowden ont redoublé suite aux attentats du 13 novembre à Paris.

Publiée le 25/01/2016 à 11:36
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...