Alors même que les révélations autour des activités de la NSA continuent, certains se posent la question des retombées sur la vie quotidienne. Selon le cryptologue Bruce Schneier, les dangers sont non seulement réels, mais ils sont également inévitables.
Crédits : thisisbossi, licence Creative Commons
Les portes dérobées, une chasse aux trésors
L’un des aspects les plus polémiques et les plus mystérieux du travail de la NSA (National Security Agency) est la manière dont elle cherche à incorporer des portes dérobées dans certains produits d’utilisation courante. On a pu voir ce matin par exemple que l’agence américaine de sécurité avait bel et bien contacté Linus Torvalds pour inclure au moins une porte dans le noyau Linux. Bien qu’a priori rien de tel n’ait été fait, la question demeure de l’étendue des démarches entreprises dans ce domaine.
Le cryptologue Bruce Schneier était récemment à une conférence au Capitol américain au sujet des dégâts que la NSA allait immanquablement provoquer sur l’ensemble d’internet. Expert reconnu, son nom est devenu davantage connu lorsqu’il a aidé le journal anglais The Guardian à décrypter les documents du lanceur d’alertes Edward Snowden.
Internet, cette arme à double tranchant
Il ne fait aucun doute pour lui que la NSA n’a pas réfléchi aux conséquences à long terme de sa campagne contre le terrorisme. Dans sa précipitation à faire d’internet une « arme », l’agence aurait ainsi brisé les bases défensives du réseau. La raison en est simple : si de telles portes dérobées existent, ou si des failles découvertes sont tenues secrètes, d’autres, moins bien intentionnés, pourront les utiliser.
Ces failles, qu’elles soient volontaires ou non, sont autant d’accès pour les pirates et les autres gouvernements. Si ce sont bien des portes dérobées, elles ont en outre un caractère plus ou moins permanent, car leur présence même répond d’une demande précise, et une ouverture a été aménagée dans le but de récupérer des informations. Il estime ainsi que les méthodes de surveillance et d’attaques de la NSA pourraient bien devenir les « thèses de doctorat de demain ».
Le gouvernement américain devrait laisser l'IETF travailler seul
Son discours portait également sur le travail réalisé par l’organisme de standardisation IETF (Internet Engineering Task Force) : « Durant la dernière décennie, nous avons bâti des standards dans lesquels la sécurité était optionnelle. L’IETF travaille désormais sur des manières de renforcer internet pour le rendre mieux sécurisé face à l’ensemble des acteurs concernés. Ce n’est pas à cause de la surveillance de la NSA. Ils [l’IETF] considèrent qu’internet subit une attaque et a donc besoin d’être renforcé, pas seulement contre la NSA, mais contre tout le monde. Nous pensons que nous avons actuellement une avance de deux à trois ans sur ce que les criminels peuvent faire à ce jour ».
Pourtant, il considère que la course menée par la NSA ne peut mener que dans un mur. Les méthodes utilisées vont nécessairement être percées à jour par les autres gouvernements : « La NSA peut avoir un budget plus important, ils ne sont pas faits de magie ». Comment réparer les dégâts ? En laissant tout simplement l’industrie de la sécurité et sa communauté faire le travail, sans qu’un seul gouvernement n’intervienne dans le processus : « Dans le passé, le monde pensait en général que nous agissions pour le bien commun. Ce modèle de gouvernance a disparu, et le monde ne nous voit plus vraiment comme le gentil intendant d’internet. Il y a des pays pires que les États-Unis qui utilisent nos méthodes pour justifier les leurs ». Il estime d’ailleurs que l’IETF a une importante carte à jouer avec l’IPv6 : « Si le gouvernement libère la voie, nous pouvons sécuriser internet ».
De la pertinence des futures lois
Durant la même conférence, la sénatrice républicaine Zoe Lofgren a pour sa part indiqué que la NSA était prise dans une spirale sans fin d’autojustification basée sur les lois Patriot Act, Foreign Intelligence Surveillance Act et Stored Communications Act. Selon elle, les agissements de la NSA sont tels que ce sujet est devenu l’un des rares à établir un véritable consensus bipartisan : il faut agir. Elle et un autre sénateur républicain, Jim Sensenbrenner, l’un des auteurs du Patriot Act d’ailleurs, travaillent ainsi à un nouveau texte, le Freedom Act, qui limiterait les pouvoirs de la NSA et mettrait en place une infrastructure nécessaire à la diffusion d’informations pertinentes dans ce domaine.
Cela étant, Schneier avertit que l’ensemble du processus législatif présente une carence importante : il n’y a pas assez d’experts techniques impliqués. Se pose pour lui la question de la pertinence des lois qui seraient alors votées, craignant que leur champ d’application soit très rapidement dépassé par l’évolution toujours très rapide des technologies.