L’Agence américaine de sécurité nationale a mis en place, depuis une décennie, un vaste et coûteux programme pour mettre à mal le cryptage et le chiffrement des communications sur l’Internet, révèlent plusieurs médias anglo-saxons.
Les dernière révélations publiées jeudi 5 septembre par le “Guardian”, le “New York Times” et “Pro Publica”, issues des documents fournis par l’ex-informaticien de la CIA en fuite Edward Snowden, montre que la NSA (National security agency) a une sainte horreur des communications cryptées sur l’Internet. Rien d’étonnant pour une agence dont la mission est le renseignement électronique et l’interception de communications confidentielles susceptibles de fournir des informations dans le cadre de la lutte contre le terrorisme, rappelle le “New York Times”.
Mais “ce qu’il y a de vraiment choquant, c’est l’ampleur et les moyens mis en œuvre par la NSA depuis le début des années 2000 pour arriver à ses fins”, remarque Gérôme Billois, expert au Cercle de la sécurité et travaillant pour le cabinet Solucom, l’un des leaders français en sécurisation des réseaux d’information. L’agence américaine dépense, en effet, 250 millions de dollars par an (plus de 190 millions d’euros) “pour influencer les éditeurs et constructeurs de solutions de sécurité afin d’obtenir des facilités leur permettant de contourner les mécanismes de chiffrement des communications électroniques”, précise ce spécialiste.
En clair et sans décodeur
Une débauche de moyens qui permet, en théorie, à la NSA “d’être virtuellement assise à côté de n’importe quel internaute qui l’intéresse et de lire par dessus son épaule des mails ou des communications censées être confidentielles et cryptées”, explique Jean-François Beuze, fondateur et PDG de Sifaris, une société française de sécurité informatique. Concrètement, ces cyber-espions américains, dans le cadre d’un programme baptisé « Bullrun », ont accès en clair et sans décodeur à une majorité des informations qui transitent sur des sites en “https” (les services de courriers électroniques comme Gmail, les réseaux sociaux, sites de banques en ligne et de commerce électronique). “On s’en doutait depuis plusieurs années, ces révélations confirment que c’est bien le cas”, résume Jean-François Beuze.
Pour ce faire, la NSA n’a même pas besoin de suer sang et eau pour “casser” toutes les technologies de cryptage qui existent sur le Net. L’agence s’est, en effet, assurée qu’une partie d’entre elles soient inutiles face à la curiosité de ses espions. Comment ? En obtenant d’une part que certains fournisseurs de solutions de cryptage – qui ne sont pas cités dans les dernières révélations – installent des portes dérobées dans leurs produits pour que les agents de la NSA puissent facilement avoir accès aux données non cryptées. D’autre part et cette fois-ci à l’insu de ces entreprises : elle s’est assurée que les normes de chiffrement utilisées pour développer les solutions de cryptage soient moins fiables et donc plus facile à exploiter.
Îlots de confidentialité ?
Pour autant, ces révélations ne signifient pas que la NSA peut lire sans effort toutes les données cryptées qui circulent sur le Net. “Il reste des mécanismes de chiffrement dont on est sûr qu’ils ne comportent pas de failles ‘made in NSA’. Mais il y en a très peu et ils sont beaucoup plus difficiles à utiliser”, souligne Gérôme Billois. L’Electronic Frontier Foundation, une association américaine de défense de la liberté d’expression sur l’Internet, suggère à ceux qui désirent compliquer la tâche à la NSA d’utiliser des outils de chiffrement « open-source » comme le PGP (Pretty good privacy). Comme des communautés entières de développeurs ont accès au code de ces programmes, il est plus difficile d’y intégrer des failles de sécurité sans être découvert. “Utiliser le PGP reste une solution pour ne pas écrire de manière totalement transparente aux yeux de la NSA”, reconnaît Jean-François Beuze.
Mais même dans les cas de ces quelques îlots de confidentialité des communications, la NSA peut toujours, le cas échéant, utiliser des bonnes vieilles méthodes pour “casser” le cryptage d’une communication électronique. “La NSA en a les compétences et les moyens, cela prendra juste plus de temps et d’argent pour y arriver”, souligne Jean-François Beuze.
Pour Gérôme Billois, les vrais perdants de cette affaire pourraient bien être les fournisseurs de solutions de chiffrement dont la cote de confiance risque de prendre un coup auprès des entreprises “qui les soupçonneront de permettre à la NSA d’avoir un accès en clair aux données”. Sans compter les internautes eux-mêmes. Rien ne dit, en effet, que les failles de sécurité créées de toutes pièces par la NSA n’ont pas été reperées par des cybercriminels qui pourraient alors les exploiter à des fins tout autre que la lutte contre le terrorisme.
