Dans une communication récente, la NSA indique qu’elle rend public 91% des failles qu’elle découvre dans des logiciels. Les 9% restants pouvant être conservés secrets pour « raisons de sécurité nationale ».
La transparence est un exercice compliqué. Surtout quand on a des choses à cacher. C’est la conclusion qu’on pourrait tirer de la dernière tentative en date de communication de la NSA.
Sur fond de slogan, tel que : « les hommes et les femmes de la NSA font la différence », l’agence de surveillance américaine indiquait ainsi prendre très au sérieux son « engagement pour un Internet fiable, sûr, interopérable et ouvert ». Elle précisait ensuite pour étayer son discours que 91% des failles découvertes (ou achetées) par ses experts sont communiquées aux éditeurs impliqués.
Les esprits attentifs auront remarqué qu’il manque 9% pour atteindre les 100%. Parmi ce petit pourcentage restant, la NSA indique que certains trous de sécurité ont été également découverts par les éditeurs et corrigés. D’autres sont conservés secret par l’agence pour des « raisons de sécurité nationale ».
Des failles de sécurité pour espionner
Et c’est là qu’est le vrai fond du débat, en définitive. La question du pourcentage ou du nombre de failles de sécurité détectées et communiquées n’est que la manifestation d’un problème plus profond.
Comme le faisait remarquer un ancien responsable de la Maison blanche, à Reuters, on peut « raisonnablement présumer » que la NSA se sert des failles qu’elles gardent dans ses archives pour espionner et récolter des informations sur des utilisateurs. Sans oublier qu’il peut être aisé et sans enjeu de communiquer sur des failles mineures quand on garde dans sa manche des failles bien plus dangereuses, qui peuvent, par exemple, permettre la prise de contrôle à distance d’un appareil.
D’ailleurs, Chaouki Bekrar, le fondateur de Zerodium, société experte en achat et ventes de failles zero day, indiquait récemment à Reuters que le dernier exploit qui permet de hacker un iPhone à distance serait « probablement vendu à des clients américains seulement », parmi lesquels des agences gouvernementales et « de très grosses entreprises ».
Un début de changement ?
Pour autant, depuis les révélations d’Edward Snowden, sous l’impulsion de l’administration Obama et notamment du Conseil national de la sécurité, qui contrôle désormais ce processus, la NSA communique davantage les failles qu’elle trouve, le plus tôt possible, avant que ces failles ne soient utilisées par d’autres. C’est en tout cas une tendance qu’un officiel de l’administration Obama mettait en avant, tout en reconnaissant que cette amélioration n’est pas encore corroborée par les chiffres.
