Dernièrement, de nombreuses actualités ont abordé les multiples tentacules de la NSA depuis qu’Edward Snowden a fait les premières révélations sur le programme Prism. De grandes entreprises américaines sont ainsi pointées du doigt pour leur participation directe, ce dont elles se défendent. Alors que nous évoquions ce matin la situation de Microsoft, des informations contradictoires circulent au sujet d’Android, auquel la NSA a effectivement contribué.
Prism, un terreau pour de multiples craintes
Les échos du programme Prism se propagent et provoquent de nombreuses réactions, qu’il s’agisse de paranoïa chez les utilisateurs, de fatalisme, de déclarations politiques ou d’ondes de choc diplomatiques. Prism permet à la NSA d’aspirer un très grand nombre de données à travers le monde, à la condition que ce ne soit pas (en théorie) sur le sol américain. Les documents détenus par Edward Snowden et révélés graduellement par The Guardian et le Washington Post ont déjà permis d’en apprendre beaucoup sur les rouages internes, mais certains aspects clés, telle que la relation « directe » entre les entreprises et la NSA, restent encore flous.
SELinux, la première participation de la NSA à des projets open source
Ce matin, nous exposions le cas de Microsoft, mais l’éditeur fait partie d’un lot de sociétés censément impliquées dans Prism. Google en fait également partie et c’est justement Android dont il est maintenant question. La NSA ne pratique pas uniquement des activités dans le plus grand secret et certains travaux sont connus. C’est le cas notamment de ceux qui ont mené à la création de SELinux, autrement dit Security-Enhanced Linux, une fonctionnalité permettant d’améliorer la sécurité du système libre.
Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet. Bien qu’il s’agisse de travaux menés par la NSA, ils comportaient une différence capitale avec les activités décrites depuis plusieurs semaines : le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.
De Linux à Android
De Linux, on passe fort logiquement à Android, le système mobile de Google étant basé sur le célèbre noyau. Or, voilà qu’un article publié récemment par Bloomberg se penchait justement sur le cas de cette plateforme équipant désormais les trois quarts des smartphones vendus dans le monde (selon IDC). Problème : non seulement la NSA a développé une version spécifique de SELinux pour Android, mais Google a confirmé que ce code était bien implémenté dans son système.
Les premières contributions de la NSA au code d’Android datent de 2011. Elles ont trait là encore à l’isolation des applications pour empêcher tout accès non autorisé aux données qu’elles contiennent. Une porte-parole de la NSA a confirmé à Bloomberg que le but était tout simplement d’augmenter le niveau global de sécurité des appareils mobiles. Seulement voilà, du seul fait que la NSA avait participé au développement d’Android, des craintes se sont fait jour.
Pourquoi se pencher sur la sécurité d'Android ?
Bloomberg indiquait ainsi s’être procuré une présentation de la NSA datant de 2011 et dans laquelle l’agence expliquait que le programme pour Android servait deux objectifs : mieux comprendre la sécurité du système mobile et lui apporter des barrières supplémentaires. Bien qu’aucun lien réel n’ait pu être établi avec Prism ou tout autre programme de surveillance, il devenait raisonnable d’estimer qu’il y avait peut-être « anguille sous roche ».
Pourtant, comme le rappelle justement la porte-parole de la NSA, « le code-source est disponible publiquement à toute personne souhaitant l’utiliser, et cela inclut la possibilité de le vérifier ligne par ligne ». Selon la présentation récupérée par Bloomberg, l’agence avait simplement décidé de créer un projet séparé car Android avait ses propres spécificités, tant dans sa construction que dans sa finalité.
Mais alors, pourquoi la NSA se serait-elle penchée sur la plateforme mobile de Google ? L’hypothèse la plus probable tient dans la politique du gouvernement américain et de ses émanations, tel que le département de la Défense, concernant la gestion des appareils mobiles utilisés dans un cadre officiel. Comme nous l’indiquions en mai dernier, le Pentagone a mené des tests pour dégager un tronc commun servant de référentiel de sécurité. Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.
Des contributions en dormance pour l'instant
Contrairement à SELinux toutefois, le code développé par la NSA pour Android est beaucoup plus récent. Le projet a été ainsi officiellement lancé en janvier 2012 et il comportait entre autres une chasse aux failles de sécurité. Selon Bloomberg, une partie du code « Security-Enhanced Android » est déjà présente dans les versions les plus récentes d’Android et donc dans des modèles tels que le Galaxy S4 et le HTC One. Elle n'est cependant pas active par défaut, ce qui pourrait changer dans les prochains moutures.
Et pourtant, l’article de Bloomberg se termine sur une note particulièrement troublante : « La NSA écrit en silence du code pour le système Android de Google ». Il est aisé d’imaginer que la NSA fait tout ce qu’elle peut pour installer des portes dérobées dans Android. Cependant, et comme nous l’avons déjà indiqué, la grande différence tient dans l’aspect open source et dans la possibilité pour des milliers de développeurs d’inspecter le code. Jeff Zemlin, directeur de la Linux Foundation, a d’ailleurs indiqué que la NSA n’avait ajouté aucun moyen « d’écouter aux portes », en précisant que le code avait justement « été vérifié par de nombreuses personnes ».
Difficile donc de juger de la situation, d’autant qu’aucun document volé par Snowden n’a encore été révélé pour aborder cette problématique. Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d'une quelconque agence gouvernementale » pour ses produits.
