La NSA a transformé internet en « une vaste plateforme de surveillance »

Underworld 149
Vincent Hermann

De nouveaux documents d’Edward Snowden, révélés par le New York Times, Pro Publica et The Guardian, braquent les projecteurs sur un aspect bien précis du travail de la NSA : le déchiffrement des données circulant sur Internet. Un éclairage cru sur les travaux de l’agence de sécurité américaine, accumulés sur plus de vingt années, et sur la manière dont elle s’est infiltrée dans de nombreuses technologies de sécurité.

GCHQ

Crédits : UK Ministry of Defence, licence Creative Commons

Depuis l’accord liant le journal anglais The Guardian au New York Times, ce dernier possède une partie des documents dérobés par Edward Snowden à la NSA. De très nombreuses informations ont déjà été dévoilées depuis plus de deux mois, mais l’affaire prend un nouveau tournant. Des documents révélés par plusieurs journaux permettent d’en apprendre davantage sur les travaux spécifiques menés par le renseignement américain sur les technologies de chiffrement des données.

Au début des années 1990, le chiffrement des données n’avait pas le même degré d’utilisation qu’aujourd’hui. Il servait essentiellement pour les communications très importantes entre les pays, ou dans les échanges diplomatiques, notamment à travers les Nations Unies. Cependant, les années 2000 ont changé la donne : le chiffrement est devenu plus présent, sur les emails, les connexions HTTPS, les échanges de données au sens large, la compression des archives Zip ou RAR et bien d’autres éléments. Or, dans de nombreux cas, la NSA s’est tenue derrière, dans une double mission paradoxale et génératrice de bombes à retardements.

L’un des secrets les mieux gardés

L’agence de sécurité nationale américaine a dans les grandes lignes deux missions : la lutte antiterroriste et la protection de la sécurité, ce qui passe par celles des moyens de communication. La NSA a été impliquée dans la conception et l’amélioration de très nombreuses technologies de chiffrement. Une implication qui a beaucoup servi à ménager des portes.

Les documents révélés par le New York Times, The Guardian et Pro Publica, et fournies par Edward Snowden, attestent d’une intense activité dans l’agence au début des années 2000. La NSA a investi des milliards de dollars dans du matériel capable de déchiffrer le contenu intercepté. Il s’agissait alors de réaliser dans l’ombre ce qu’elle n’avait pu obtenir officiellement dans les années 90. Des superordinateurs ont donc été conçus spécialement et assemblés pour répondre à ces besoins. À ce moment-là, la machinerie était complétée par deux autres efforts : participer aux technologies de chiffrement pour mieux les plier à sa volonté et multiplier les contacts avec les entreprises pour les obliger à participer plus activement à la surveillance.

Un mémo datant de 2010, adressé par la NSA à son équivalent anglais, le GCHQ, indique sans équivoque que l’agence est capable de briser les protections de la plupart des solutions présentes sur internet. L’effort reste constant et un budget non déterminé est alloué à l’amélioration des capacités matérielles et logicielles. On imagine également que l’agence recrute, ou tente de recruter des experts en cryptanalyse.

Investir et affaiblir les technologies de sécurité

La NSA considère que briser ces protections est un point essentiel de sa mission. Elle y investit donc son énergie, malgré l’opprobre publique, les demandes d’explications du Congrès américain ou encore les verdicts particulièrement critiques d’un juge de la FISC (Foreign Intelligence Surveillance Court). Pour mieux préparer le terrain et faciliter son travail, la NSA pratique également l’affaiblissement des technologies de sécurité. Et l’agence en a touché beaucoup, du SSL aux VPN, en passant par les protections de la 4G.

C’est ici que l’on reparle également des accords noués avec les entreprises telles que Facebook, Google, Microsoft ou encore Yahoo. Des sociétés qui se défendent tant bien que mal, allant jusqu’à déposer plainte contre le gouvernement pour obtenir la permission d’en dévoiler davantage sur les requêtes qui leurs sont faites. Mais ces nouveaux documents ne parlent pas de requêtes : ils abordent une fois de plus la participation active.

On rejoint ici le thème abordé dans notre actualité sur Skype et Hotmail/Outlook.com. Pour lutter contre la montée en puissance des solutions de chiffrement, l’une des techniques est tout simplement d’obtenir les informations avant que le chiffrement n’intervienne. On parle bien ici de « backdoors », ou de porte dérobées, présentes dans ces entreprises. Mais cette information soulève de nombreux problèmes et questions.

Des armes à double tranchant 

D’une part, les backdoors sont des armes à double tranchant. C’est là que la mission de la NSA devient paradoxale de manière inhérente à ses intentions : briser le chiffrement de n’importe quel contenu, tout en protégeant les communications américaines. En affaiblissant volontairement les technologies, la NSA facilite donc son travail, mais elle crée également des opportunités pour des tiers. Matthew D. Green, chercheur en cryptographie, a ainsi indiqué au New York Times : « C’est le risque quand vous introduisez une porte dérobée dans les systèmes, vous n’êtes pas le seul à l’exploiter. Ces portes pourraient aussi agir contre les communications américaines. »

gchq prism nsa

L'un des documents d'Edward Snowden, publié par The Guardian

D’autre part, la séparation entre la participation active et les actions secrètes n’est pas claire. Certains documents indiquent que des entreprises américaines, notamment celles possédant des solutions de type cloud, participent aux programmes de la NSA. D’autres suggèrent en revanche que ce que l’agence n’obtient pas de manière volontaire, elle le prend par la force.

On trouve ainsi d’une part le « Sigint Enabling Project » dont la mission est de préparer le terrain avec les entreprises pour négocier certains accès et rendre leurs produits « exploitables ». Cela passe par des logiciels, mais également par le matériel. Toujours selon les documents de Snowden, la NSA a ainsi pu négocier l’inclusion de portes dérobées dans des puces, sans pour autant que l’on sache lesquelles. Si elle n’y parvient pas, elle se sert de failles de sécurité pour obtenir quand même les données. Opérateurs de téléphonie, fournisseurs d’accès et même gouvernements, tout y passe. Le Times aborde en particulier l’exemple d’une agence étrangère de renseignement qui avait commandé du matériel informatique. La NSA a obtenu du constructeur américain qu’il insère une porte dérobée dans le produit avant qu’il soit livré.

Clés de chiffrement : le gigantesque trousseau de la NSA

Les solutions de chiffrement de données requièrent des clés pour retrouver le contenu original. Ces clés font l’objet de toutes les attentions à l’agence. Et pour cause : si elle ne peut pas casser le chiffrement ou obtenir le contenu, il lui suffit d’utiliser la clé.

Toujours selon les documents de Snowden, la NSA possède ainsi une grande collection de clés. Un véritable trousseau lui permettant de déchiffrer de très nombreux contenus en provenance d’internet ou d’entreprises. Une partie de ces clés sont le résultat de négociations avec les concernés. Le Key Recovery Service s’occupe ainsi de surveiller les nouveaux produits commerciaux pour en récupérer les précieux sésames. Si les négociations échouent ou si pour une raison quelconque la clé n’est pas obtenue facilement, la NSA tente de l’obtenir autrement. Selon plusieurs experts interrogés par le New York Times, l’agence pourrait bien pirater directement les serveurs. Et pour faire en sorte que cet aspect reste secret, la NSA ne partage ses clés avec d’autres agences que si leur obtention a été légale.

Un pot de miel

La NSA travaille depuis longtemps à trouver des moyens efficaces de faciliter sa mission. Parmi ceux-là, le Commercial Solutions Center invite officiellement les éditeurs de solutions de sécurité à venir présenter leur travail pour bénéficier d’une expertise technique, et donc d’améliorations potentielles.

Cependant, ce centre possède une entité cachée. Dans un premier temps, la NSA procède bien à ladite expertise technique et participe à l’amélioration du produit lorsque cela est possible. Mais dans un second temps, la technologie est transférée à d’autres experts qui vont la disséquer et y inclure des vulnérabilités spécifiques. L’opération est d’après les documents répétée systématiquement pour tous les produits en lien avec Internet, qu’ils soient logiciels ou matériels, chaque fois que c’est possible. L’objectif est toujours le même : manipuler les technologies de protection avant qu’elles ne deviennent trop utilisées.

Parmi les autres moyens détournés, on note également celui du NIST (National Institute of Standards and Technology). Dans un standard approuvé en 2006 par ce dernier, on trouve quatre algorithmes, chacun basé sur une technique différente de chiffrement. Le quatrième, nommé Dual_EC_DRBG était très lent et semblait favoriser certains nombres plutôt que d’autres. Il aurait donc dû être supprimé, mais fut laissé en place, à l’insistance de la NSA.

Un monde de l'ombre 

Le New York Times, comme le Guardian, soulignent que la NSA a accompli finalement dans l’ombre une grande part de ce qu’elle voulait mettre en place. Ainsi, il y a plus de vingt ans, le renseignement s’est inquiété de la montée en puissance de PGP (Pretty Good Privacy), une solution de chiffrement pour les emails. Quelques années après, l’administration Clinton avait proposé un projet baptisé Clipper Chip qui aurait permis à la NSA d’obtenir une clé permanente. Le débat était devenu public et le projet avait été abandonné en 1996.

Actuellement, la NSA disposerait d’un budget de 250 millions de dollars par an pour ses opérations dans le domaine du chiffrement, ce qui inclut l’approche des entreprises liées à internet pour « influencer sous couverture » leurs produits. L’ensemble du dispositif est efficace car particulièrement discret. Le Guardian mentionne ainsi que les analystes ont pour instruction de « ne jamais poser de questions ou spéculer sur les sources ou les méthodes ».

Un secret particulièrement bien gardé car uniquement connu de responsables dans ce que l’on nomme les « Five Eyes » (les Cinq Yeux), autrement dit les agences de renseignement des États-Unis, du Royaume-Uni, de la Nouvelle-Zélande, de l’Australie et du Canada. Les documents révèlent que le GCHQ anglais dispose lui aussi de puissantes capacités pour déchiffrer le contenu circulant sur internet, notamment depuis les services de Microsoft, Google, Yahoo et Facebook (les « quatre grands »).

Le renseignement américain a demandé aux journaux de ne pas publier les articles

Cette titanesque « campagne secrète pour briser et affaiblir la sécurité sur internet » (selon Pro Publica) est jusqu’ici un véritable « succès ». Avec le New York Times et The Guardian, ils précisent tous que le renseignement américain a spécifiquement demandé à ce que ces détails ne soient pas publiés. Le Times, qui explique plus en détails cet aspect de la problématique, indique que même si des « faits spécifiques » ont été enlevés, les articles ont quand même été publiés pour la « valeur du débat public sur les agissements du gouvernement ».

Pour la NSA, seule l’efficacité à déchiffrer l’information importe. De fait, dans un mémo datant de 2007, l’agence indiquait que « dans le futur, des superpuissances se feront ou seront brisées sur la base de leurs programmes de cryptanalyse ». L’élan pourrait toutefois connaître un sérieux ralentissement du fait de la publication des articles. Le phénomène est le même que dans d’autres secteurs de la sécurité, ou du partage de fichiers : avec l’augmentation de la pression, de nouvelles solutions seront trouvées.

La solution ? Rendre le déchiffrement des données plus onéreux 

Le Guardian rappelle d’ailleurs les propos tenus en juin par Edward Snowden : seuls des systèmes forts de chiffrement, correctement et indépendamment implémentés, peuvent garantir une protection. Le risque pour la NSA est que le niveau global de chiffrement augmente, perturbant son travail. Le même Guardian a d’ailleurs publié un second article portant déjà sur plusieurs manières de ralentir le travail de l’agence : utiliser Tor, TLS et IPSec pour les communications, utiliser éventuellement un autre ordinateur qui n’a jamais été connecté à internet pour manipuler des données sensibles, ne pas se fier aux solutions commerciales de chiffrement, telles que BitLocker de Microsoft, mais sur des standards, et préférer des méthodes de chiffrement symétriques plutôt que des infrastructures à clé publique.

Bruce Schneier, l’auteur de cet article, donne quelques exemples des solutions utilisées : GPG, Silent Circle, Tails, OTR, TrueCrypt ou encore BleachBit. Car il l’affirme : « La NSA a transformé le tissu-même d’internet en une vaste plateforme de surveillance, mais ils n’ont pas de pouvoirs magiques. Ils sont limités par les mêmes réalités économiques que le reste d’entre nous, et notre meilleure défense est de rendre cette surveillance aussi onéreuse que possible ». La traduction est simple : plus le chiffrement est puissant, plus le contenu est long à déchiffrer, plus l’opération coûte de l’argent.

Le débat public que la protection de la vie privée, déjà intense, ne fait probablement que commencer


chargement
Chargement des commentaires...