L’EFF attaque la NSA pour sa mainmise sur des failles de sécurité 0-day

L’Electronic Frontier Foundation a déposé plainte contre la NSA. L’agence de sécurité est accusée de ne pas avoir transmis de réponses à des demandes portant sur les failles 0-day qu'elle est accusée d'avoir utilisées. Explications.

L'exploitation des failles : un jeu dangereux 

Parmi l’ensemble des informations acquises grâce aux documents dérobés par Edward Snowden à la NSA, certaines touchent à l’utilisation des failles 0-day. Ces brèches, d’autant plus dangereuses qu’elles sont exploitables sans que le moindre correctif ne soit disponible, sont des armes puissantes dans l’obtention des données au cours d’un espionnage. Grâce à elles, la NSA peut profiter des faiblesses d’un produit sans que son utilisateur puisse se défendre.

Le problème inhérent de cette tactique est que la NSA n’est pas le seul acteur à faire usage de ces failles. Le danger est sérieux : plus la faille 0-day est utilisée, plus elle a de risque d’être exploitée par d’autres personnes. C’est en cela d’ailleurs qu’Edward Snowden avait accusé l’agence de « mettre le feu au futur d’Internet ». Le lanceur d’alertes indiquait par-là que le nombre de failles en circulation augmentait avec le temps, créant de vastes menaces potentielles pour Internet tout entier.

L'EFF veut en savoir plus sur la gestion des failles 

L’Electronic Frontier Foundation souhaitait en savoir davantage sur ces failles et spécialement la manière dont elles étaient gérées. La crise HeartBleed a secoué le monde de la sécurité et certains signes pointent vers une connaissance de cette faille par la NSA. Le bureau central du renseignement (ODNI) avait nié, en expliquant que chaque faille faisait l’objet d’un examen approfondi. Baptisé « Vulnerabilities Equities Process », il doit permettre d’analyser ces trous de sécurité pour déterminer s’il est plus judicieux d’en informer l’éditeur concerné ou de la garder de côté.

Un point souligné par l’analyste Eva Galperin de Global Policy : « Puisque ces failles affectent potentiellement la sécurité des utilisateurs dans le monde entier, le public veut savoir comment ces agences mesurent les avantages et les inconvénients d’utiliser des failles 0-day plutôt que de les révéler à leurs éditeurs ».

Problème : les rouages de ce processus n’étant pas connu, il était impossible pour l’EFF de savoir sur quels critères le bureau du renseignement se basait pour prendre ses décisions. La conséquence étant bien sûr qu’on ne pouvait pas savoir quelles failles avaient été révélées et quelles autres étaient toujours utilisées activement. L’EFF avait donc écrit une demande le 6 mai pour en apprendre davantage sur le processus, comme le permet la loi Freedom of Information Act (FOIA).

Une plainte pour accélérer l'obtention des informations 

La fondation, comme elle l’indique dans son communiqué, s’est lassée d’attendre la réponse de l’ODNI, quand bien même ce dernier avait accepté d’envoyer les documents demandés. Elle a donc déposé plainte auprès d’un tribunal du Northern District de Californie. Selon Andrew Crocker, l’un des juristes de l’EFF, cette plainte « cherche la transparence sur l’un des éléments les moins bien connus des outils de la communauté du renseignement américain : les failles de sécurité ». Il explique par ailleurs que « ces documents sont importants pour le genre de débat informé » qui doit prendre place aux États-Unis.

Les failles de sécurité sont un sujet d’autant plus sensible que des documents de Snowden montraient qu’en plus de repérer les vulnérabilités, la NSA pouvait en créer. L’agence jouit en effet d’une position unique lui permettant de fortement influencer le développement des protocoles de sécurité, surtout si ceux-ci doivent être plus tard utilisés par les administrations de l’État. 

Une épée de Damoclès 

Il est certain que les failles jouent un rôle clé dans le réseau de surveillance américain. Le site RT rappelle à ce sujet que le groupe formé par Obama pour inspecter les méthodes de la NSA avait suggéré que les failles 0-day avaient tout intérêt à être colmatées le plus rapidement possibles, car elles concernaient aussi les ordinateurs et les réseaux des administrations américaines. Le même groupe indiquait cependant qu’en de rares exceptions, une brève autorisation pouvait permettre les agences de se servir de telles failles, après approbation des décideurs concernés.

C’est finalement ce qu’essaye de savoir l’EFF : qui décide quoi, sur quels critères, et pour combien de temps. En l’état, il est difficile de savoir si l’exploitation des failles se fait effectivement durant un cours laps de temps avant d’être rapporté à l’éditeur concerné, ou si elle continue pendant plusieurs années.