lundi 9 septembre 2013

Affaire Snowden : jusqu'ici tout va bien (pour la NSA) ?

Nul besoin, a priori, pour qui lit ces lignes de présenter Bruce Schneier. Qui est probablement l'expert international le plus connu en matière de cybersécurité, particulièrement pour la cryptographie. Avec sans doute Kevin Mitnick en ce qui concerne le piratage (hacking) et, dans un autre registre, le condamné Bradley Manning et l'exilé Edward Snowden.

L'affaire Snowden donc, dont la déflagration est loin d'être terminée, ressemble à un tsunami où la vague suivante se révèle encore plus chargée d'énergie dévastatrice que la précédente. Tsunami d'amplitude mondiale qui, de révélations en confirmations, pourrait imposer à moyen et à long terme deux changements majeurs assurément positifs :
- la prise de conscience de la façon d'appréhender la sécurité de l'information (j'y reviendrai dans un autre article) ;
- l'obligation d'une plus grande transparence vis à vis des citoyens. 

Que penser, en effet, des relations incestueuses entre certains États de droit (1) et de grandes entreprises technologiques (FAI, éditeurs, cabinet d'expertises) ? On peut même sans doute aller plus loin en envisageant des renforcements législatifs encadrant des pratiques déviées, sinon dévoyées, de surveillance généralisée. Dont la légitimité dans le cadre de la lutte contre le terrorisme, la criminalité ou même le contre-espionnage semblait jusqu'ici faire sens et qui, subitement, échappe à l'entendement  puisque toutes les données mondialement échangées sont surveillées, analysées et (probablement) stockées par la NSA (et le GCHQ) !

Mais revenons à Bruce Schneier dont le Guardian vient de publier un article de référence. Sobre et limpide, il y expose les conclusions de sa propre analyse après avoir lu et étudié plusieurs centaines de documents révélés par Snowden. Schneier s'intéresse à comprendre la "profondeur" des possibilités techniques de la NSA qui, de fait, s'annoncent importantes sinon impressionnantes. Quel que soit le système d'exploitation, les outils et les moyens de protection mis en œuvre, l'agence américaine est parfaitement capable de pénétrer n'importe quel ordinateur connecté. Même bien protégé et utilisant des moyens chiffrés de protection (2), le temps et des moyens proportionnés seront mis en œuvre jusqu'à en permettre la pénétration. Sans coup férir.

Schneier propose à la fin de son article un certain nombre de recommandations organisationnelles et de dispositifs techniques permettant de ralentir sinon d'entraver les monstrueuses capacités de la NSA. Il ne m'intéresse pas ici de les exposer ni de me focaliser sur les aspects cryptographiques. Ce qui retient mon attention est résumé à ce seul paragraphe : "The NSA also attacks network devices directly: routers, switches, firewalls, etc. Most of these devices have surveillance capabilities already built in; the trick is to surreptitiously turn them on. This is an especially fruitful avenue of attack; routers are updated less frequently, tend not to have security software installed on them, and are generally ignored as a vulnerability." (3).

Pour faire simple, ce qui intéresse la NSA ce sont les "métadonnées". Par la récupération de l'ensemble du trafic via les équipements de transports (de données) et d'interconnexion de dorsales (backbones), la NSA possède une capacité d''interception, de stockage et d'analyse (a posteriori) globale. Même si nombreux étaient les spécialistes et, plus simplement les internautes, à l'envisager très sérieusement, un nouveau grand pas vers la vérité réalité vient d'être fait, une partie du voile est tombé. So what? (4)

La question des conséquences à court terme ne se posent pas, aucun des nombreux pays espionné n'ayant - au mieux - qu'émis des protestations d'usage bien peu convaincantes. Les internautes eux sont, pour le moment, juridiquement inaudibles. A moyen et surtout long terme, les conséquences envisageables pourraient potentiellement être plus significatives. Et donc ? A suivre !

 
(1) assertion volontaire en regard des qualités supposées d'un État dit de droit. Au confluent de la morale, de la philosophie et de la politique, il est raisonnable de se demander si une loi, parce qu'elle légalise une pratique extrêmement discutable, est juste et justifiée
(2) l'utilisation d'un mécanisme cryptographique pour échanger des données se révèle parfaitement inutile si les données de l'ordinateur de l'expéditeur ou du destinataire sont "localement" non chiffrées et accessibles
(3) "La NSA s'attaque également aux périphériques réseau directement : routeurs, commutateurs, pare-feux, etc. La plupart de ces équipements ont des capacités de surveillance natifs, l'astuce est de les activer subrepticement. Il s'agit d'une voie particulièrement fructueuse d'attaque; les routeurs sont moins souvent mis à jour, ont tendance à ne pas avoir d'outil de sécurité embarqué, et ils sont généralement ignorés en tant que vulnérabilité."
(4) Et donc ?

5 commentaires:

Anonyme a dit…

Le dernier développement qui fait du bruit, le chiffrement, semble pourtant signifier que les métadonnées ne sont pas le seul centre d'intérêt.

Comme il est permis de douter qu'une grosse faille ait permis le casse de SSL, comment ne pas suspecter que la collaboration soit allée plus loin, surtout si l'exhaustivité reste de mise (excluant les certificats de complaisance): Divulgation de leurs clef privées à la NSA par les acteurs US du web?

MGOITRUST a dit…

Que d'actus sur la cybercriminalité et le piratage. C'est devenu l'affaire de tous, cependant des actions simples et à la porté de tous nous permettrait de nous protéger. (Mots de passe,gestion de droits d'acces...) L'humain est le premier aspect à prendre en compte.

Si vis pacem a dit…

@Anonyme
Je n'ai pas dit que les métadonnées étaient leur seul centre d'intérêt, j'ai simplement fait un choix de me concentrer sur ce point.

Effectivement, le chiffrement possède un intérêt fort, surtout pour une Agence dont l'ADN est la crypto !

Votre hypothèse d'une collaboration plus active entre les acteurs US du web et la NSA n'est évidemment pas à exclure.

Peut-être que les prochains épisodes de l'affaire Snowden (et il y en aura d'autres !) viendra l'infirmer ou le confirmer ?!


@MGOITRUST
C'est exact.

Les fondamentaux (de la cybersécurité) et l'humain comme maillon fort sont les "deux mamelles" de la réduction des risques !

Anonyme a dit…

Vous pensez réellement que la nsa ou toute autre entité puisse avoir la capacité d'outre passer tous les matériels et logiciels concourant a la ssi ?

Si vis pacem a dit…

@Anonyme

Votre question, intéressante au demeurant, n'en est pas moins compliquée !
A priori, l'utilisation de moyens de chiffrement forts, une implémentation de ceux-ci à "l'état de l'art" et des usages maîtrisés devraient le permettre. Seulement, la confiance repose ici essentiellement sur des algorithmes cryptographiques donnés comme inviolés jusqu'à présent.

Autrement dit et pour faire (un peu) dans le poncif, la sécurité à 100% n'existe pas et le meilleur système soit-il n'est pas invulnérable. Question de temps, de volonté et de moyens !