Dernièrement, de nombreuses actualités ont abordé les multiples tentacules de la NSA depuis qu’Edward Snowden a fait les premières révélations sur le programme Prism. De grandes entreprises américaines sont ainsi pointées du doigt pour leur participation directe, ce dont elles se défendent. Alors que nous évoquions ce matin la situation de Microsoft, des informations contradictoires circulent au sujet d’Android, auquel la NSA a effectivement contribué.
Prism, un terreau pour de multiples craintes
Les échos du programme Prism se propagent et provoquent de nombreuses réactions, qu’il s’agisse de paranoïa chez les utilisateurs, de fatalisme, de déclarations politiques ou d’ondes de choc diplomatiques. Prism permet à la NSA d’aspirer un très grand nombre de données à travers le monde, à la condition que ce ne soit pas (en théorie) sur le sol américain. Les documents détenus par Edward Snowden et révélés graduellement par The Guardian et le Washington Post ont déjà permis d’en apprendre beaucoup sur les rouages internes, mais certains aspects clés, telle que la relation « directe » entre les entreprises et la NSA, restent encore flous.
SELinux, la première participation de la NSA à des projets open source
Ce matin, nous exposions le cas de Microsoft, mais l’éditeur fait partie d’un lot de sociétés censément impliquées dans Prism. Google en fait également partie et c’est justement Android dont il est maintenant question. La NSA ne pratique pas uniquement des activités dans le plus grand secret et certains travaux sont connus. C’est le cas notamment de ceux qui ont mené à la création de SELinux, autrement dit Security-Enhanced Linux, une fonctionnalité permettant d’améliorer la sécurité du système libre.
Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet. Bien qu’il s’agisse de travaux menés par la NSA, ils comportaient une différence capitale avec les activités décrites depuis plusieurs semaines : le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.
De Linux à Android
De Linux, on passe fort logiquement à Android, le système mobile de Google étant basé sur le célèbre noyau. Or, voilà qu’un article publié récemment par Bloomberg se penchait justement sur le cas de cette plateforme équipant désormais les trois quarts des smartphones vendus dans le monde (selon IDC). Problème : non seulement la NSA a développé une version spécifique de SELinux pour Android, mais Google a confirmé que ce code était bien implémenté dans son système.
Les premières contributions de la NSA au code d’Android datent de 2011. Elles ont trait là encore à l’isolation des applications pour empêcher tout accès non autorisé aux données qu’elles contiennent. Une porte-parole de la NSA a confirmé à Bloomberg que le but était tout simplement d’augmenter le niveau global de sécurité des appareils mobiles. Seulement voilà, du seul fait que la NSA avait participé au développement d’Android, des craintes se sont fait jour.
Pourquoi se pencher sur la sécurité d'Android ?
Bloomberg indiquait ainsi s’être procuré une présentation de la NSA datant de 2011 et dans laquelle l’agence expliquait que le programme pour Android servait deux objectifs : mieux comprendre la sécurité du système mobile et lui apporter des barrières supplémentaires. Bien qu’aucun lien réel n’ait pu être établi avec Prism ou tout autre programme de surveillance, il devenait raisonnable d’estimer qu’il y avait peut-être « anguille sous roche ».
Pourtant, comme le rappelle justement la porte-parole de la NSA, « le code-source est disponible publiquement à toute personne souhaitant l’utiliser, et cela inclut la possibilité de le vérifier ligne par ligne ». Selon la présentation récupérée par Bloomberg, l’agence avait simplement décidé de créer un projet séparé car Android avait ses propres spécificités, tant dans sa construction que dans sa finalité.
Mais alors, pourquoi la NSA se serait-elle penchée sur la plateforme mobile de Google ? L’hypothèse la plus probable tient dans la politique du gouvernement américain et de ses émanations, tel que le département de la Défense, concernant la gestion des appareils mobiles utilisés dans un cadre officiel. Comme nous l’indiquions en mai dernier, le Pentagone a mené des tests pour dégager un tronc commun servant de référentiel de sécurité. Il est donc plus que probable que dans une optique de projet à long terme, la NSA ait été impliquée dans la création des conditions nécessaires à l’utilisation d’Android. Le projet étant open source, il était d’autant plus simple pour l’agence d’y participer.
Des contributions en dormance pour l'instant
Contrairement à SELinux toutefois, le code développé par la NSA pour Android est beaucoup plus récent. Le projet a été ainsi officiellement lancé en janvier 2012 et il comportait entre autres une chasse aux failles de sécurité. Selon Bloomberg, une partie du code « Security-Enhanced Android » est déjà présente dans les versions les plus récentes d’Android et donc dans des modèles tels que le Galaxy S4 et le HTC One. Elle n'est cependant pas active par défaut, ce qui pourrait changer dans les prochains moutures.
Et pourtant, l’article de Bloomberg se termine sur une note particulièrement troublante : « La NSA écrit en silence du code pour le système Android de Google ». Il est aisé d’imaginer que la NSA fait tout ce qu’elle peut pour installer des portes dérobées dans Android. Cependant, et comme nous l’avons déjà indiqué, la grande différence tient dans l’aspect open source et dans la possibilité pour des milliers de développeurs d’inspecter le code. Jeff Zemlin, directeur de la Linux Foundation, a d’ailleurs indiqué que la NSA n’avait ajouté aucun moyen « d’écouter aux portes », en précisant que le code avait justement « été vérifié par de nombreuses personnes ».
Difficile donc de juger de la situation, d’autant qu’aucun document volé par Snowden n’a encore été révélé pour aborder cette problématique. Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d'une quelconque agence gouvernementale » pour ses produits.
Commentaires (115)
#1
J’adore la dernière phrase
" />
edit: ya un bug dans l’odre des comms ou quoi ?
#2
C’est l’énorme avantage du code open source largement public et diffusé.
#3
#4
#5
#6
Ben voyons, la NSA débarque tel le père noël pour améliorer le niveau de sécurité d’Androïd???? sans retour sur investissement??
La faille qui touchait les 99% des appareils c’était quoi alors…
" />
#7
La question est de savoir si les entreprises US ont encore un mot à dire face au gvt et agences US… avec le Patriot Act…
Si elles refusent => terroriste => Guantanamo
#8
#9
Notez qu’Apple, troisième principal acteur pour les systèmes d’exploitation, a indiqué via une porte-parole ne pas accepter « de code source d’aucune agence gouvernementale » pour ses produits.
Attention à la double négation…
#10
#11
Je ne veux pas dire de bêtises mais le code IPSec n’était pas aussi open source?
#12
#13
#14
Si la NSA veut des failles, ils sont capables de les chercher eux-mêmes (ou faire appel à des prestataires je suppose). Et même si ils préféraient les failles faites maison, ils les proposeraient de manière un peu plus détournée, pas avec un mail @nsa.gov.
#15
#16
#17
#18
#19
Donc la NSA participe juste pour apporter sa pierre à l’édifice sans arrière pensée ? Hahahaha !
#20
#21
#22
#23
#24
#25
#26
Oui bon , je me doutais un peu que ça n’avait rien à voir en fait…
" />" />
Pour la participation sur la sécurité, je vois pas pourquoi ils donneraient cela dans le code d’androïd en général, sur les téléphones de leur administration Ok, mais le reste?
#27
#28
#29
Le NSA a beaucoup de branche cela ne m’étonnerais pas que cette acte soit vraiment positif pour une fois ^^ pis bon si il veulent des failles le mieux c’est de les chercher pas de les créer en mettant sa signature a la limite il le ferais anonymement ça serait plus crédible
#30
#31
#32
#33
Et Ubuntu mobile, quelqu’un l’a testé pour voir ?
#34
Vue qu’ils ont un accord avec google qui leur permet d’avoir accès directement aux données qu’ils veulent, je ne vois pas vraiment pourquoi il faudrait s’inquiéter d’un bout de code venant de la NSA.
À mon avis ils se sont dit que patcher certaines failles éviterait que d’autres gouvernements les espionnent (eux et les américains).
#35
#36
#37
#38
Après, a NSA espionne avec grand nombre d’outils : c’est pas parce que t’as un OS bien protégé que tes communications (quel que soit le protocole) sont elles-mêmes protégées, puis, PRIMS est un système d’écoute de communication, pas nécessairement un système qui peut voir ce que fait chacun sur son propre ordi.
#39
Cet aspect Open-Source ouvert aux audits extérieurs me fait penser, je ne sais pouquoi, aux débats concernant l’open-bar micro$oft de notre ministère de la défense… open-bar oui, mais pour qui exactement ?" />
#40
Bon, ben reste BlackBerry, Bada , MeeGo…
Quoique, pour le dernier on Intel…
Et pour Bada je ne sais pas si il est toujours distribué.
#41
#42
#43
#44
#45
Android
Winphone
iPhone
Reste quoi ?
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
Damned, je peux plus éditer : lien correct :
http://web.archive.org/web/20000520001558/http://www.microsoft.com/security/bulletins/backdoor.asp
(dur dur les http imbriqué pour la balise URL)
#58
si ça se trouve. Google n’est qu’une société écran de la NSA.
Moi qui pensait que c’était Google qui avait avalé la NSA, j’ai tout faux
#59
#60
#61
#62
Mais qui fait donc ces présentations de type à moitié PowerPoint pour Prism et UPStream ?! Quelle horreur ! " />
Vous savez l’image de la mort qui tue qui présente Prism et UPStream !!
" />
#63
Quel intérêt d’espionner le terminal, puisqu’ils ont déjà accès à tout le cloud Google, ce dernier contenant toutes les informations nécessaires sur l’utilisateur.
#64
#65
setenforce 0
de rien " />
#66
#67
#68
#69
#70
#71
J’adore le mode avion permanent " />" />" />" />" />
Pour moi, ce n’est pas un problème" />
#72
#73
http://www.leparisien.fr/international/la-russie-accepte-de-donner-asile-a-snowden-12-07-2013-2977619.php
http://actualite.portail.free.fr/insolite/12-07-2013/les-services-secrets-russes-reviennent-agrave-la-machine-agrave-eacutecrire/" />
#74
Cela me fait penser que doit vérifier ma batterie " />" />" />
#75
#76
Ouais ben en attendant les Feds ne sont pas les bienvenus à la Def Con …
http://it.slashdot.org/story/13/07/11/0258228/def-con-advises-feds-not-to-attend…
#77
#78
#79
Autre chose, peut-on faire passer un smartphone pour un PC portable en changeant d’OS ? (je suis sérieux ici " />)
#80
#81
#82
intro pixar version NSA
#83
#84
#85
#86
#87
SHA1 et 2 sortent des labos de la NSA… confiance?
#88
#89
#90
#91
#92
#93
#94
#95
#96
#97
http://slashdot.org/topic/datacenter/hp-keeps-installing-secret-backdoors-in-ent… " />
#98
#99
#100
Android
Winphone
iPhone
Reste quoi ?
OPENMOKO
c’est libre mais faut bidouiller un poil
#101
#102
#103
http://www.developpez.com/actu/37163/Aucun-OS-mobile-ne-respecterait-la-liberte-...
ben si ! selon eux même le hard est, si ce n’est libre, du moins bien connu et analysé.
Hardware components were selected based on the requirement of publicly available documentation.
" />
edit et ce n’est pas un android hein !
#104
#105
#106
#107
#108
#109
#110
#111
Je dois pas avoir été clair.
Mais jusqu’à preuve du contraire ‘ne’ est bien une négation, ‘pas’ en est une aussi.
Maintenant vous faites comme vous voulez.
Et j’ignore où j’ai écrit que bonjour veut dire au revoir.
Faut peut être arrêter la drogue justement.
#112
#113
Tout ce là n’est que pur fantasme. Google se fait juste aider de professionnels pour améliorer la qualité de ses produits, c’est tout. D’ailleurs ils le disent :
http://www.androidauthority.com/nsa-android-code-239118/
#114
Entendu il y a quelques années par un responsable d’une entreprise “kaki” dans mon école.
Si l’un d’entre vous veut un stage / job très très bien payé, à vie, et que cette personne est un génie, je veux me débarrasser de SELinux, aujourd’hui c’est impossible…
il y avait aussi la phrase “La question n’est pas de savoir s’il y a une backdoor, la question est de savoir combien il y en a”.
#115