Nos confrères de Spiegel.de se sont penchés sur de nouveaux documents dérobés par Edward Snowden. Il est cette fois-ci question de protocoles de chiffrement des données et de leur robustesse face aux attaques de la NSA. Il s'agit néanmoins d'informations vieilles de deux ans, ce qui laisse la place à de nombreux changements. Il est néanmoins intéressant de voir ce qui ne posait pas de problème à l'agence gouvernementale ainsi que les moyens mis en place pour arriver à ses fins.
Ce n'est plus un secret depuis longtemps : la NSA dispose de moyens colossaux afin d'espionner les communications qui passent par Internet. Mais accéder aux données est une chose, pouvoir les décrypter en est une autre. Via les documents emportés par Edward Snowden, nos confrères de Spiegel.de ont pu avoir accès à des informations classifiées traitant justement des moyens de décryptages dont dispose la NSA.
Voyage dans le temps : la robustesse des systèmes de chiffrements vue par la NSA en 2012
Problème, ces documents sont déjà relativement vieux puisqu'ils datent de 2012 et, comme nous avons déjà eu l'occasion de l'évoquer, le chiffrement des données évolue parfois rapidement au point qu'une technique jugée fiable peut passer rapidement aux oubliettes, même si c'est relativement rare. Contrairement à la loi de Moore en informatique, il n'existe aucune règle et il est donc impossible de prédire ce qu'il va se passer demain, dans un an, cinq ans, ou cinquante ans. Une chose est néanmoins certaine : un système qui ne posait pas de problème particulier à la NSA en 2012, ne devrait pas en poser davantage maintenant, sauf s'il a évolué entre temps bien évidemment.
Selon les documents que se sont procurés nos confrères, la NSA divisait les différents systèmes de chiffrements en cinq catégories suivant leur degré de résistance. Cela va de « trivial » à « catastrophique » niveau qui comprend les protocoles les plus à même de résister à ses attaques, du moins voilà deux ans.
Voici quelques exemples, qui seraient valables pour l'année 2012 si l'on en croit les documents de Spiegel.de :
- Trivial : suivre le parcours d'un document sur Internet
- Mineur : enregistrer un chat privé sur Facebook
- Modéré : décrypter un email envoyé via le service de messagerie russe mail.ru
- Majeur : utiliser des services comme Zoho, Tor, TrueCrypt ou OTR
- Catastrophique : un mélange entre Tor et un service de chiffrement des données ou le protocole ZRTP
2012-2014 : rien ne semble avoir changé sur les messageries instantanées
Les deux premiers niveaux ne posaient donc pas de problèmes particuliers à la NSA en 2012 et, concernant les messageries instantanées, la situation ne semble pas avoir spécialement évolué depuis. En novembre dernier, l'EFF publiait en effet un comparatif de la sécurité des messageries et le manque de chiffrement se faisait alors cruellement ressentir sur certaines. Pour autant, rappelons que des solutions alternatives comme Cryptocat existent, et qu'elles permettent de chiffrer simplement vos conversations, y compris lors d'un chat sur Facebook par exemple.
Difficile de savoir ce qu'il en est exactement pour le service de mail russe aujourd'hui. On peut néanmoins noter que, depuis 2012, la société derrière mail.ru s'est développée aux États-Unis avec des services comme My.com et la messagerie myChat. La société n'est pour autant pas installée outre-Atlantique et son siège se trouve en Europe, aux Pays-Bas, « ce qui pourrait être un bon point pour les gens qui s'inquiètent que la NSA les espionne » précisaient alors nos confrères de Venture Beat.
Mail.ru semble donc se méfier de l'oncle Sam, mais la société a-t-elle revu ses systèmes de protection ? Impossible à dire pour le moment. On notera par contre que, suite aux révélations d'Edward Snowden, d'autres sociétés comme Google, Microsoft et Yahoo ont prévu de passer au chiffrement intégral des données, un point intéressant, mais pas toujours suffisant comme nous allons le voir un peu plus loin.
Tor, un des problèmes « majeurs » de la NSA en 2012, se retrouve affaibli en 2014
Au quatrième niveau, les choses se corsaient un peu pour la NSA en 2012. Il est par exemple question du réseau Tor, prisé par certains car il offre une certaine dose d'anonymat. Néanmoins, nous avons appris depuis que la NSA surveille étroitement The onion router (Tor) et tente de percer ses défenses depuis près de 8 ans maintenant. Rappelons aussi qu'il y a cinq mois, Tor annonçait officiellement avoir été piraté, sans préciser l'ampleur des dégâts ni l'origine précise de l'attaque.
Plus récemment, Europol et le FBI annonçaient avoir fermé plus de 410 « services » (de 27 sites différents) sur le réseau Tor. Troels Oerting, directeur du centre européen de lutte contre la cybercriminalité, précisait fièrement que « cette fois-ci, nous avons également frappé les services sur le Darknet utilisant Tor où, pendant un certain temps, les criminels eux-mêmes se considéraient comme étant hors de portée. Nous pouvons maintenant montrer qu'ils ne sont ni invisibles ni intouchables. Les criminels peuvent courir, mais ils ne peuvent pas se cacher ». Si Europol et le FBI disposent des moyens nécessaires, la NSA devrait sans aucun doute être en mesure d'en faire autant.
Le cas très particulier de TrueCrypt : entre doute, certification et expertise
Passons maintenant au chiffrement des données via TrueCrypt et des conversations via OTR, qui posaient des problèmes « majeurs » à la NSA. S'il est question de la robustesse du chiffrement et de l'algorithme utilisé, ce n'est pas le seul point qui embêterait l'agence gouvernementale. En effet, le fait que le code source soit accessible à tout le monde rend délicate la mise en place de portes dérobées, sous quelques formes que ce soient. Une précaution qui n'a pas lieu d'être sur des logiciels propriétaires.
Du coup, même lorsqu'un service d'une société américaine comme Apple, Facebook ou Google est surveillé, via des accords internes (Patriot Act) par exemple, si une surcouche OTR ou TrueCrypt est ajoutée, la NSA ne serait pas en état de déchiffrer les conversations, du moins si l'on en croit les documents que nos confrères ont eus entre les mains.
Tant que ces deux services résistent, il n'y a donc pas de raison que les choses aient changée en l'espace de deux ans. Si OTR semble tenir bon pour le moment, le cas de TrueCrypt est bien plus compliqué. En effet, le site a fermé fin mai en indiquant que son logiciel n'était « pas sécurisé, car il peut contenir des failles de sécurités non corrigées ». Aucune explication supplémentaire n'a été donnée et certains y ont vu la conséquence d'une importante pression de la part de la NSA, sans pouvoir néanmoins le prouver.
Avant de tirer sa révérence, l'outil de chiffrement TrueCrypt avait lancé une campagne de financement participatif afin de passer un audit de son code. Cette dernière a été un succès et, malgré l'arrêt de TrueCrypt, elle a été menée à bien. iSec indiquait alors « n'avoir trouvé aucune preuve de la présence de portes dérobées ou de code malveillant », et ce, malgré la présence de quelques vulnérabilités présentées plus comme des bugs qu'autre chose. On notera que la mouture analysée est la 7.1a, la même qui est certifiée CSPN (Certification de Sécurité de Premier Niveau) par l'ANSSI.
Quoi qu'il en soit, il existe toujours un doute sur TrueCrypt et, même si certains continuent de l'utiliser, celui-ci est un pari risqué quand il est question du chiffrement des données. Du côté de la NSA, le problème « majeur » lié à Truecrypt ne devrait plus être aussi important qu'en 2012, une partie de ses utilisateurs préférant sans doute se tourner vers des solutions alternatives... reste à voir si ces derniers sont plus faciles d'accès pour la NSA.
2012 - 2014 : même combat pour le protocole ZRTP ?
Montons encore d'un cran avec les systèmes « catastrophiques » pour la NSA (du moins ceux qui l'étaient en 2012) : l'utilisation du protocole ZRTP. Pour rappel, il se base sur le SRTP, qui est une version chiffrée du protocole RTP, mais avec un échange de clés via la méthode de Diffie-Hellman. Ce protocole tire son « Z » du nom de l'un de ses contributeurs : Phil Zimmermann, le créateur de PGP. Nos confrères indiquent d'ailleurs que dans les documents publiés récemment on retrouve la phrase suivante : « il n'y a pas de méthode de décryptage pour les messages chiffrés via PGP » (comme pour OTR donc) et rien ne laisse penser que les choses aient évolué depuis.
Pour la petite histoire, sachez que le BlackPhone, dont Phil Zimmermann est le co-fondateur de la société à son origine, utilise justement le protocole ZRTP avec sa suite logicielle Silent Phone. Pour rappel, et contrairement à ce qui avait été annoncé, ce smartphone ultra-sécurisé n'avait pas été « rooté » en cinq minutes en août dernier.
Le VPN et ses différents protocoles de chiffrement
Spiegel.de s'attaque ensuite à un morceau relativement intéressant et qui a créé une petite polémique : les VPN (réseaux privés virtuels) via IPsec et le protocole SSH. En effet, on a parfois pu lire que tous les deux auraient été « cassés » par la NSA, mais les choses sont loin d'être aussi simples. Concernant SSH, l'article de Spiegel.de et les documents de la NSA mis en ligne ne sont pas très précis. Il est en effet simplement question de « décrypter parfois le protocole Secure Shell (SSH) » et de « potentiellement récupérer des noms d'utilisateurs et des mots de passe ». Aucune précision n'est donnée concernant la méthode utilisée et les conditions nécessaires pour en profiter.
How crypto reporting works /cc @NullDereference @yawnbox @nikiblack pic.twitter.com/3WD9XD7MLN
— Tony Arcieri (@bascule) 29 Décembre 2014
Selon nos confrères, « théoriquement, un VPN crée un tunnel sécurisé entre deux points sur Internet. Toutes les données qui transitent par ce tunnel sont chiffrées. Quand il s'agit du niveau de confidentialité, virtuel est également le mot qui convient ». En s'appuyant sur les documents dérobés par Edward Snowden, ils précisent que fin 2011 la NSA aurait « surveillé » près de 20 000 connexions VPN sécurisées.
Mais cela ne veut pas forcément dire que la NSA a brisé les différents protocoles de chiffrement utilisés par les VPN, comme IPsec par exemple. C'est d'ailleurs le sens d'un billet publié par No Hats au titre évocateur : « n'arrêtez pas d'utiliser IPsec pour l'instant ». En effet, si on utilise ce protocole correctement, il n'y aurait pas de risque particulier selon nos confrères. Il faut notamment bien penser à activer Perfect Forward Secrecy et éviter les PreSharedKeys (PSK) indique No Hats.
De plus, il est important de bien faire la distinction entre IPsec, qui ne semble pas avoir de souci particulier, et le protocole IKE (Internet Key Exchange) qui permet d'échanger les clés de chiffrement. Et c'est justement sur ce point que le bât blesse puisque la NSA pouvait directement utiliser des portes dérobées dans les routeurs afin de récupérer les fameuses clés, sans avoir à briser le VPN donc. Mais une autre solution pourrait également être de passer par une attaque en force brute afin de décrypter les clés PSK (si elles ne sont pas suffisamment robustes), pour ensuite déchiffrer les données. On est donc relativement loin d'un « cassage » d'IPsec.
Au final, si on configure correctement son VPN, notamment avec des clés suffisamment fortes (un point qui est valable pour tous les systèmes de chiffrement), il ne devrait pas y avoir de souci particulier. Il faut également prendre soin de lancer son VPN sur des machines sécurisées afin d'éviter de laisser trainer une entrée cachée qui rendrait caduc tout système de chiffrement.
Tenter de contrôler et d'orienter les normes à leur source
Mais la soif de contrôle de la NSA ne s'arrêterait pas là et l'agence préparerait le terrain bien en amont « en se rendant dans les réunions de l’Internet Engineering Task Force (IETF) » par exemple. Pour rappel, ce groupe participe notamment à l'élaboration des nouveaux standards d'Internet. Le but de cette manœuvre ? « Affaiblir les normes de chiffrements » afin de pouvoir ensuite les casser plus facilement précisent nos confrères. On se souviendra par exemple de l'histoire du générateur de nombres aléatoires Dual_EC_DRBG qui n'était finalement pas si aléatoire que cela, facilitant ainsi le cassage des codes générés.
Si la NSA dispose de gigantesques moyens techniques avec une puissance de calcul très importante, il n'en reste pas moins que plusieurs protocoles de chiffrement résistent encore et toujours. Prenons le cas du RSA (asymétrique) ou de l'AES (symétrique) par exemple. Avec des clés suffisamment robustes, une attaque par force brute est certes possible, mais pourrait prendre des milliards d'années, alors qu'avec une clé trop simple, le code peut être cassé en quelques secondes seulement. Pour autant, cela ne signifie pas que l'AES ou le RSA sont « tombés » et qu'ils ne sont plus sûrs, juste que le choix des paramètres de base n'était pas correct.
Les armes de la NSA : force brute, portes dérobées, sinon le stockage et la patience
De son côté, l'agence gouvernementale multiplie les alternatives afin d'aller au plus rapide, c'est-à-dire trouver un moyen détourné d'obtenir les informations, sans avoir à s'attaquer de manière brutale à un chiffrement, même si cela ne lui fait apparemment pas peur. Cela peut passer par des portes dérobées présentes dans le matériel (ordinateur, routeurs, etc.), les logiciels, ou bien par l'exploitation de failles de sécurités.
On se souviendra par exemple de l'épisode Heartbleed durant lequel des serveurs laissaient fuiter de très nombreuses informations non chiffrées. Et, même si la NSA n'en avait pas officiellement eu connaissance durant les mois ou les années qui ont précédé sa découverte (la faille aurait été présente pendant près de deux ans), elle a très bien pu récolter des données à tout va à ce moment-là pour ensuite s'en servir ultérieurement. Si tout cela ne suffit pas, Spiegel.de indique qu'il reste de toute façon un dernier recours à la NSA et à ses alliés : « pirater les ordinateurs de leurs cibles ou les routeurs afin de récupérer les clés de chiffrement », soit via Internet à l'aide de virus par exemple, soit en intervenant physiquement sur les machines afin d'y ajouter des mouchards.
Mais au final, même pour des données chiffrées qui ne sont pour le moment pas décryptables, le temps joue pour la NSA. En effet, l'agence est en mesure de stocker d'immenses quantités d'informations, qu'elles soient ou non chiffrées. Elle peut ainsi mettre de côté celles qui résistent en attendant que tombe dans ses filets la clé permettant de les déchiffrer ou bien de nouveaux algorithmes plus puissants et venant à bout du chiffrement. Dans tous les cas, il reste toujours les métadonnées, une niche d'information à ne pas sous-estimer.
Existe-t-il un moyen de se protéger des attaques de la NSA, et ce, quel que soit le vecteur (cryptage, portes dérobées, virus, etc.) ? Dans un billet publié l'année dernière, Stéphane Bortzmeyer, architecte système et réseau à l'AFNIC, a apporté des éléments de réponse. Il recommande notamment d'utiliser des logiciels dont le code source est public et de faire de même pour les algorithmes.
