Alors que l’on s’approche doucement des deux ans des premières révélations d’Edward Snowden, le gouvernement américain a bien du mal à défendre sa ligne de conduite dans la cyberdéfense du territoire. Mike Rogers, directeur de la NSA, a tenté hier de faire le point sur ce qui était attendu des grandes entreprises de l’informatique, tout en reconnaissant qu’il existait un risque d’impact financier.
Un assortiment juridique et technologique d’armes et de protections
Quelques mois après les grandes révélations sur le programme Prism, la commissaire européenne Viviane Reding avait prévenu les États-Unis : cette surveillance massive devait être sérieusement revue et corrigée, sous peine que les entreprises concernées n’aient à subir un revers financier. Elle prévoyait une crise de confiance et le risque que les clients européens notamment ne se tournent vers des solutions beaucoup plus locales. Mais, comme on a pu le voir dans le cas de l’Allemagne par exemple, les réactions protectionnistes ont également été politiques.
Hier, lors d’une conférence réunissant notamment des journalistes et des responsables techniques d’entreprises, le directeur de la NSA a tenté de présenter une vision unifiée de la cyberdéfense américaine. Bientôt deux ans après les premières révélations sur Prism, la « sécurocratie » américaine a du mal à convaincre, surtout quand il s’agit d’expliquer l’importance et le bien-fondé des backdoors, ou portes dérobées, dans les produits commercialisés.
Mais pour Mike Rogers, il ne fait aucun doute que les États-Unis doivent s’armer. Il reprend ainsi l’attaque de Sony Pictures par la Corée du Nord et explique : « Si vous examinez la topologie de l’attaque […], elle rebondit littéralement à travers toute la planète avant d’arriver en Californie. Une infrastructure répartie sur de multiples continents, dans de multiples zones géographiques ».
Les États-Unis ont donc besoin de posséder un assortiment juridique et technologique d’armes et de protections. Les plus efficaces sont manifestement les trous dans les technologies de chiffrement selon Mike Rogers, d’où les actuels pourparlers avec les entreprises pour négocier des portes dérobées, même si le directeur n’aime pas ce terme : « Ce n’est pas le mot que j’emploierais, parce que quand je l’entends, je me dis : « Tiens, ça parait louche, pourquoi ne passeront-on par l’entrée principale, de manière publique ? ». Nous pouvons créer une infrastructure juridique pour tout cela ». Rogers aimerait donc être plus proactif sur ce qui a aujourd’hui des relents d’illégalité.
Comme pour l'arme nucléaire, la nécessité de la dissuasion totale
Pour le directeur de la NSA, il ne fait aucun doute que les efforts ne doivent pas se relâcher, quel qu’en soit le prix. Pourquoi ? « Nous ne sommes pas mûrs, et nous ne sommes clairement pas là où nous devrions être » a-t-il martelé. Il a tracé un parallèle avec l’arme atomique pour tenter de mieux expliciter sa vision de la cyberdéfense : « Prenez l’exemple nucléaire. Si vous replongez dans les dix, vingt premières années, nous étions toujours en train de débattre sur « Bon, quels sont les concepts fondamentaux de la dissuasion ? ». Cette fameuse idée de destruction mutuelle assurée – qui ne s’est pas développée en cinq ans. Tout a pris du temps. La cyberdéfense n’est pas différente ». En d’autres termes, il s’agit de faire comprendre aux autres puissances que personne ne peut attaquer les États-Unis sans en subir les conséquences.
Il reconnait pourtant que les mesures à prendre pourraient avoir un impact négatif sur les finances des entreprises. Mais il s’agit selon lui d’un risque à prendre, puisque le jeu en vaut clairement la chandelle : « Je pense que cette inquiétude […] est légitime. Quel est l’impact économique de tout ceci ? Je pense simplement qu’entre une combinaison de technologie, légalité et politique, nous pourrions être dans une meilleure position qu’actuellement ».
Il n'y a aucun problème avec les portes dérobées
En outre, Rogers estime que les portes dérobées ne sont pas réellement un vrai problème pour la sécurité. Une position étonnante après de nombreuses interventions d’experts pour dénoncer la création et l’entretien de ces véritables trous dans les défenses. La situation est d’autant plus ubuesque que cela revient à faire l’apologie de ces percées comme autant de conditions sine qua non pour assurer la protection des États-Unis. Mais comme déjà vu, il est délicat de garantir que ces portes dérobées ne seront pas utilisées par d’autres que les agences de sécurité. Si ces backdoors étaient exploitées par des pirates, comment les acteurs impliqués réagiraient-ils ?
Ces sujets n’intéressent pas le directeur de la NSA. La question-même de l’intérêt des portes dérobées n’est pas sujette à débat. Il a affirmé que l’agence possédait un grand nombre de cryptanalystes et qu’il ne s’agissait en aucun cas d’une problématique de faisabilité technique. Il a répété cependant que l’intégralité de la problématique de ces backdoors devait prendre place dans de nouvelles fondations juridiques.
Parlons-en calmement
Cette infrastructure juridique a notamment été pointée du doigt par Alex Stamos, directeur de l’information et de la sécurité chez Yahoo. Inquiet des implications de ce « travail en commun », il a notamment demandé au directeur de la NSA si les entreprises américaines devaient accorder à d’autres pays ce que les États-Unis demandent. Comme on peut le voir dans la transcription de l’échange sur JustSecurity.org, Rogers n’a pas réellement répondu, se contentant d’indiquer que l’infrastructure de communication serait justement le bon espace pour régler le problème.
Mike Rogers rejoint ici la volonté de Barack Obama de structurer les échanges entre entreprises et les instances gouvernementales. Il a par exemple présenté officiellement la création d’une nouvelle agence, baptisée Cyber Threat Intelligence Integration Center, dont la mission serait de rassembler toutes les informations liées aux cybermenaces. Une sorte d’équivalent au National Counterterrorism Center créé au lendemain des attentats du 11 septembre 2001, en réaction à la carence de recoupement des informations réparties entre la CIA, la NSA et le FBI notamment.