Le piratage d’une partie des produits réseau de Juniper a fait couler beaucoup d’encre, particulièrement la découverte de la porte dérobée. Cependant, l’origine de cette faille est auréolée de mystère, même si les soupçons s’orientent vers la NSA, et plus globalement le monde du renseignement. Selon certains documents d’Edward Snowden, l’agence américaine connaissait en fait l’existence de cette porte.
Les pare-feu de la gamme NetScreen de Juniper embarquent le système d’exploitation ScreenOS pour gérer l’intégralité des opérations à réaliser. Or, plusieurs versions, dont la plus ancienne remonte à plus de deux ans, étaient vulnérables : une porte dérobée avait été placée par un auteur inconnu. Exploitée, elle permettait un accès complet aux fonctionnalités et aux données, avec des facilités pour déchiffrer le contenu transitant par les connexions VPN.
Juniper avait diffusé un correctif en urgence, et la situation a été assez grave pour déclencher une réaction chez Cisco, le concurrent annonçant qu’un audit de sécurité complet était lancé sur plusieurs de ses produits. Parallèlement, il apparaissait que la porte dérobée pouvait être une version remaniée d’une autre vulnérabilité laissée précédemment par la NSA, mais les avis divergeaient dans ce domaine.
La NSA connaissait l'existence de failles depuis plusieurs années
Ryan Gallagher et Glenn Greenwald, principaux journalistes de The Intercept, ont donc diffusé un nouveau document d’Edward Snowden. Signalons tout de suite qu’il ne fait pas référence directement à la porte dérobée dont il a été question ces derniers jours, mais le contenu en est éloquent. Il montre en effet que la NSA connaissait l’existence de failles depuis au moins 2011 dans les produits Juniper, et qu’elle n’en avait pas averti le constructeur.
On tombe ici directement dans la double-mission particulière de la NSA : protéger les infrastructures américaines et trouver les armes qui pourront potentiellement être utilisées demain. L’agence de sécurité avait même publié il y a quelque temps une infographie pour indiquer que 91 % des failles de sécurité trouvées faisaient l’objet d’un bulletin d’avertissement à la société concernée. Mais la NSA ne donnant aucune indication temporelle, il était impossible de savoir si les failles avaient été exploitées avant d’être renvoyées vers l’entreprise.
Le renseignement anglais les a exploitées avec succès
Le document de Snowden montre en fait que non seulement la NSA savait, mais qu’elle s’est gardé ces vulnérabilités sous la main pour pouvoir les exploiter à sa guise en cas de besoin. Malheureusement, on ne sait pas si ces brèches ont bien été utilisées. Cependant, il indique clairement que le GCHQ, équivalent anglais de la NSA, a pu exploiter ces failles dans 13 produits de Juniper. On sait donc qu’au moins une agence les a utilisées, même si le document ne donne pas de lien direct entre la NSA et le GCHQ, ce dernier ayant très bien pu découvrir les vulnérabilités par ses propres moyens.
Cela étant, et connaissant les liens très étroits entre les États-Unis et le Royaume-Uni dans ce domaine, il est probable qu’une communication ait eu lieu. Dès lors, il est permis de penser que la NSA a également exploité ces failles, mais il n’y a aucune indication sur la fréquence ou les dates.
Les informations publiées suggèrent également que la découverte des brèches ferait suite à un partage d’informations renforcé entre Juniper et la NSA en 2010. L’analyse des ingénieurs aurait alors permis de trouver une série de failles, a priori utilisées plus tard par les deux agences alliées pour surveiller l’avancement des technologies chez Juniper. La NSA aurait en effet estimé que les progrès rapides sur la sécurité pouvaient devenir à terme un problème pour le renseignement. Un cas que l’on peut finalement rapprocher des débats actuels sur le chiffrement et sur la manière dont il interfère dans les enquêtes et le travail général des forces de l’ordre.
Le chainon manquant
Aucune des parties impliquées n’a cependant formulé de réponse précise au sujet de ce document. La NSA n’a tout simplement pas réagi, le GCHQ s’est contenté de répondre (comme d’accoutumée) qu’il respectait un cadre juridique strict pour ses activés, et Juniper a répété que seule la sécurité de ses produits importait et qu’il ne travaillait avec personne dans le seul but d’introduire des portes dérobées.
The Intercept fait cependant écho aux propos du chercheur Matt Blaze, pour qui la récente porte dérobée ne correspondrait pas aux failles de 2011 dont il est question dans le document de Snowden. Ces dernières seraient plutôt liées à un programme spécifique de la NSA, « FEEDTROUGH », dévoilé en 2007 par le journal allemand Der Spiegel et chargé de collecter justement des failles sur les produits.
Mais même si le lien ne devait pas être établi, le document montre encore une fois les objectifs troubles de la NSA. Le problème est toujours le même : si 13 failles ont été découvertes en 2011 et exploitées à de multiples reprises, cela signifie que d’autres ont pu les découvrir et les exploiter. Traduction, Juniper aurait dû être averti dès le départ de l’existence de ces vulnérabilités afin de les corriger, et ainsi augmenter la sécurité générale des réseaux, ses produits étant utilisés dans de vastes infrastructures.
