Passer au contenu

Le chiffrement, un “vrai problème de sécurité nationale” pour la NSA

Après le FBI et le GCHQ , au tour de la NSA de s’attaquer aux nouvelles méthodes de chiffrement des acteurs du net. Son directeur, Mike…

Après le FBI et le GCHQ , au tour de la NSA de s’attaquer aux nouvelles méthodes de chiffrement des acteurs du net. Son directeur, Mike Rogers, estime que le chiffrement des données est « un vrai problème de sécurité nationale ». Cependant, il entend répondre aux inquiétudes juridiques et commerciales des entreprises high-tech et souhaite désormais que son agence puisse agir publiquement.

nsa_chiffrement_sécurité_nationale

Pour l’établissement d’un “cadre légal” en collaboration avec les géants du Net

C’est lors d’une conférence sur la cybersécurité, Cybersecurity for a new America, lundi 23 décembre à Washington, et en présence notamment de journalistes, experts en cryptographies et responsables techniques de firmes high-tech, que le directeur de la NSA est sorti du bois.

Face à toujours plus de chiffrement de données et smartphones réputés inviolables, le directeur de la NSA aimerait poser les bases d’un « cadre légal », en accord avec les entreprises du Net, permettant à son agence d’avoir accès aux données nécessaires (cloud, données mobiles, etc.) et empêcher que ces outils “soient utilisés à des fins criminelles ou d’espionnage“.

Surtout, il estime que les États-Unis ne sont pas suffisamment armés contre les cyberattaques, dans la manière de s’en protéger comme d’y répondre, juridiquement et technologiquement.
Pour appuyer ses propos, il prend l’exemple récent de la cyberattaque perpétrée contre Sony Pictures par la Corée du Nord (théorie remise en cause par certains experts, dont la France) :

« Si vous examinez la topologie de l’attaque […], elle rebondit littéralement à travers toute la planète avant d’arriver en Californie. Une infrastructure répartie sur de multiples continents, dans de multiples zones géographiques ».

Le maintien des “portes dérobées” est nécessaire

C’est pourquoi l’amiral juge nécessaire le maintien de portes dérobées. Rejetant le terme de « backdoor », il insiste pour que cet accès soit « public », autrement dit, connu et permis par les entreprises, et ainsi sortir les activités de la NSA de leur clandestinité.

Mike Rogers, directeur de la NSA
Mike Rogers, directeur de la NSA

‘Backdoor’, ce n’est pas le mot que j’emploierais, parce que quand je l’entends, je me dis : ‘Tiens, ça parait suspect, pourquoi ne passerait-on par l’entrée principale, de manière publique ?’. Nous pouvons créer une infrastructure juridique pour tout cela.

Cette volonté sonne un peu comme un aveu de défaite dans la guerre qui se mène entre géants du web et agences de renseignement depuis que les Snowden’s Files ont révélé au grand jour les pratiques de surveillance de masse de la NSA. Jusqu’ici, la NSA avait joué à la belle indignée, niant une à une les révélations extraites des documents subtilisés par le lanceur d’alerte Edward Snowden et/ou assurant que ses activités étaient menées en « toute légalité » ou « dans le strict cadre de la loi ». Insuffisant pour les géants du web qui ont répliqué à cout de rapport de transparence, action en justice (à l’image de Twitter), déclarations choc (Mark Zuckerberg notamment) et méthodes de chiffrement dernier cri.

Sur la question d’un accès public, Mike Rogers peine à expliquer les protections juridiques ou technologiques qui seraient mises en place pour s’assurer que l’accès offert au gouvernement US aux données sensibles des entreprises high-tech ne donne pas lieu à des abus de la part des agences de renseignement… que l’on sait coutumière du fait.
La NSA réclame donc un assouplissement des mesures prises en conséquence de ses actes, quand ces mêmes entreprises craignent d’être assimilées aux pratiques gouvernementales et de perdre leurs clients déjà passablement échaudés par les polémiques passées.

Le chiffrement toujours plus important de certains services proposés est une partie de la réponse fournie. La NSA tient donc à assurer que ces backdoors seront utilisées à bon escient, sans violation de la vie privée et sans compromettre le chiffrement. Néanmoins, il concède que ces mesures pourraient avoir un impact pour les produits américains sur la scène internationale. Mais selon lui, c’est un risque à prendre, la sécurité nationale est en jeu :

Je pense que cette inquiétude […] est légitime. Quel est l’impact économique de tout ceci ? Je pense simplement qu’entre une combinaison de technologie, légalité et politique, nous pourrions être dans une meilleure position qu’actuellement.

NSA_USA

Impliquer plutôt que combattre les géants du Net sur le sujet de la sécurité nationale

Le maintien des backdoors n’est donc pas un sujet pour lui, tant il parait évident. Pourtant, nombre d’experts dénoncent cette volonté puisque, légale ou non, une backdoor est une faille de sécurité potentiellement exploitable par n’importe qui. La NSA est d’ailleurs passée maitre dans l’art de découvrir des backdoors sur quelques systèmes que ce soit, en prenant surtout soin de ne prévenir personne afin d’exploiter clandestinement ces failles.

Pour le directeur de la NSA, le sujet des backdoors est avant tout juridique et c’est sur cet aspect, et cet aspect seul, que la NSA et les géants du web doivent travailler.
Ce cadre légal n’est pourtant pas exempt de failles et un échange tendu, retranscrit par Just Security, a eu lieu sur cette question entre Alex Stamos, le responsable de la sécurité de Yahoo, et Mike Rogers : « Si nous mettons en place des accès spécifiques pour le gouvernement américain, pensez-vous que, sachant que nous avons 1,3 milliard d’utilisateurs à travers le monde, nous devrions également mettre en place des moyens similaires pour le gouvernement chinois ? Pour la Russie ? L’Arabie Saoudite ? Ou la France ? A quel pays devons-nous donner l’accès ? »

Mike Rogers s’est contenté de botter en touche, gêné aux entournures, en rappelant la nécessité de mettre en place un cadre légal : « je crois tout simplement que c’est réalisable ».
Cette nouvelle philosophie s’inscrit dans un mouvement plus large initié par la présidence Obama depuis plusieurs semaines. Les pourparlers entamés avec les géants du web en sont l’illustration, tout comme la volonté affichée d’impliquer, plutôt que combattre, les acteurs du Net sur le sujet de la sécurité nationale.
Tout l’enjeu est de trouver un juste milieu entre la possibilité pour les entreprises de proposer des services de chiffrement de données dont seul l’utilisateur détient la clé, et la possibilité pour les agences de renseignement d’accéder à ces données lorsque cela le requiert. Pour l’amiral, ce débat s’apparente déjà à du « tout ou rien ».

USA_NSA_réforme

Le Patriot Act arrivant à son terme en juin, l’administration Obama tente peut-être de trouver une solution alternative à sa reconduite, entraînant celle de la section 215 permettant à la NSA de mettre n’importe quelle personne sur écoute sans mandat judiciaire. Un donnant donnant où chacun serait gagnant : un accès « public » accordé à la NSA en contrepartie du respect d’un cadre défini conjointement. Cependant, un tel accord nécessite la confiance de chacune des parties, qu’aucun cadre légal ne peut forcer. La boulimie et l’anarchie dont la NSA a fait preuve dans l’exercice de ses activités, couplées à une image publique désastreuse, ne va pas faciliter les échanges.

« Nous ne sommes pas mûrs, et nous ne sommes clairement pas là où nous devrions être », a-t-il concédé. Pour tenter de convaincre son auditoire, il a pris l’exemple de l’arme atomique et le bénéfice dissuasif qu’elle impose.
« Prenez l’exemple nucléaire. Si vous replongez dans les dix, vingt premières années, nous étions toujours en train de débattre sur « Bon, quels sont les concepts fondamentaux de la dissuasion ? ». Cette fameuse idée de destruction mutuelle assurée – qui ne s’est pas développée en cinq ans. Tout a pris du temps. La cyberdéfense n’est pas différente ».

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

10 commentaires
  1. Sécurité != espionnage.
    Ils se focalisent sur des méthodes qui leur permettront d’attaquer les gens normaux ou les suspects les moins dangereux, et de l’autre côté ils se prennent des cyber-attaques comme celle de Sony Entertainment.
    On en est arrivés au stade où leur discours relève d’une Novlangue : les mots perdent leur sens et se dévoient entièrement. Il faut relire Chomsky pour comprendre que la sécurité nationale n’a plus rien à voir avec la sécurité et encore moins avec la nation.

  2. le responsable de la securite chez yahoo a clairement pose la bonne question.
    pourquoi seulement la NSA, et donc les US, devrait y avoir acces ?

    nous sommes dans une ere se tournant vers la mondialisation et pas l’inverse. il faudrait donc idealement une organisation plus ouverte pour gerer ce type de probleme et le GAF(A) l’a bien compris

  3. S’il est possible de chiffrer ses données, alors ceux qui ont un intêret immédiat à passer entre les mailles du filet (terroristes chez les USA, pédophiles chez les Français, journalistes chez les Chinois) pourront continuer d’utiliser ces solutions de chiffrement et seuls les utilisateurs “qui n’ont rien à cacher” seront espionnés.
    Donc, basé sur ce principe, son discours tout entier ne tiens pas la route.

  4. Comment dire … quel c** 🙂 ! Et surtout il est pas gonflé le monsieur
    Quand on pense qu’ils ont mis sur écoute des patrons, des présidents, la commission européenne… Qu’ils ont détourné des informations politiques et économiques a leur unique profit.
    Que cela n’a servi a rien en terme de sécurité intérieure… Combien de terroristes arrêtés ?
    Qu’ils ont volontairement exploites des failles sans le dire (ce qui a permis a d’autre d’en profiter) et qu’il vient nous parler de sécurité ???
    L’insécurité c’est eux qui l’a créée dans le monde ! Et pas que sur internet.
    Stuxnet… les centrales nucléaires… quel incidence çà aurait pu avoir ?

    Et surtout même en créant une open door pour eux, rien ne les empercheraient de continuer a utiliser des back door,.dans les logiciels qui ne sont pas américains…

    Si cette open door est créée, il faudrait bannir les sociétés américaines des territoires européens. – point barre –

  5. Je pense que tu mélange un peu. Tu parles de NSA et de Sony Music. En forcant le trait on pourrait aussi mélangé par exemple, l’état français et le journal du geek, non? En l’occurance, pourquoi la NSA protégerait Sony Music ou on pourrait dire que c’est de la faute de l’état si le site le journal du geek est attaqué?

  6. Backdoor et zéro days exploité clandestinement par la NSA… et pas que la NSA.

    Faut pas rêver, laisser ce genre d’accès facilitera le travail (lol) de la NSA, et des autres acteurs sans scrupule.

    La meilleur sécurité c’est un chiffrage a toute épreuve, y compris des agences gouvernementale.

    Avec l’arrivée des CubeSat, les différent canaux de communication numérique qui se multiplie, le terrorisme n’a pas fini d’être endigué, surtout que eux, ils restent a la pointe technologiaque. Et c’est pas des backdoor public qui vont permettre a la NSA de lutter.

    Ce genre de réforme ne changera rien, il permettra simplement un contrôle, un flicage plus conséquent des citoyen qui seront destitués de leur intimités / vie privé.

  7. En fait Hoover et Nixon étaient des petits rigolos, des artisans. les espèces de malades en place maintenant doivent rêver d’une société à la 1984

  8. Si les américains veulent espionner tout leur pays, c’est leur problème. Mais là, c’est le monde entier qu’ils veulent espionner. Et seuls ! Les mesures sont prises aux Stats, mais s’appliquent sur l’ensemble du globe. C’est pas normal. Les décisions européennes (sans les vanter) respectent la limite du territoire, ce qui me parait plus juste.

  9. @Flo : le principe de la sécurité nationale, c’est que la population et les intérêts économiques, par exemple Sony Pictures, ne soient pas mis en danger par des menaces extérieures. C’est un peu l’idée du contrat social. Si tu essaies d’aller physiquement voler les données de Sony, outre le service de sécurité qui ne fera pas grand chose, c’est la police, donc l’État, qui te tombe dessus.
    La NSA, l’agence de la sécurité nationale, se préoccupe cependant beaucoup plus de comment voler les données des américains et des autres, que de préserver celles des entreprises et des citoyens américains. On se demanderait presque le lien avec la sécurité nationale, du coup.

Les commentaires sont fermés.

Mode