mardi 14 juillet 2020    || Inscription
BanniereNews
 
 

D'après les fuites orchestrées par Edward Snowden, la NSA déchiffre le HTTPS et le SSL, via un programme dénommé BullRun.

Le Guardian, le New York Times et le ProPublica, publient de nouvelles révélations tirées des documents de l’ancien agent de la NSA, Edward Snowden. Selon eux, l’agence de renseignement américaine (la NSA) et son équivalent britannique, le GHCQ (Government Communications Headquarters) ont mis au point, ensemble, un programme du nom de BullRun permettant de déjouer HTTPS et le SSL. Ces méthodes de chiffrement sont utilisées pour protéger la confidentialité des données des internautes. Sont concernées notamment les transactions bancaires, les communications personnelles, les secrets d’affaires, les informations médicales…

Pour Stéphane Bortzmeyer, ingénieur en R & D spécialisé en réseaux et sécurité et auteur d’un billet sur ce thème (« La cryptographie nous protège-t-elle vraiment de l’espionnage par la NSA ou la DGSE ? »), ces nouvelles révélations n’apportent rien de nouveau et frôlent le sensationnalisme : « Je ne pense pas que la NSA puisse tout déchiffrer dans l’absolu mais elle peut sûrement le faire dans certains cas. Tous ces algorithmes de cryptographie, ces logiciels, bénéficient de beaucoup d’examens par des chercheurs indépendants, étrangers etc. Tout le monde peut y participer, c’est donc difficile à croire qu’une grosse faille puisse rester inconnue si longtemps. »

En 2007, par exemple, des failles sont trouvées dans le « générateur de nombres aléatoires ». « On pensait à l’époque qu’elle provenait d’une erreur. Les révélations de cette année ont seulement mis en lumière que ces failles n’étaient pas une « erreur » mais bien une volonté délibérée de la part de la NSA », explique Stéphane Bortzmeyer en guise d'exemple.

Secret de polichinelle

L’Agence américaine de renseignement travaillerait aussi en amont avec les entreprises technologiques : elle ferait intégrer, ainsi, dans ces systèmes de déchiffrement, des « portes ouvertes » (« Back doors ») rendant ainsi plus facile l’espionnage de données. Elle participerait aussi à la définition des standards mondiaux de chiffrement pour qu’ils leur soient avantageux. Le GCHQ a également un programme baptisé « Edgehill » qui permet de déchiffrer le trafic des sociétés suivantes : Hotmail, Google, Yahoo et Facebook. Skype pourrait bien être la prochaine entreprise visée.

Selon Stéphane Bortzmeyer, cette installation de portes dérobées par les Américains n’est qu’un secret de polichinelle : « Si la machine de l’utilisateur est trahie à la base, la cryptographie ne sert donc à rien. Celle-ci ne protège que les données en transit (quand elles « voyagent »). S’il y a des portes dérobées dès le début, le logiciel a accès aux données en clair, et ici la cryptographie ne protège pas les données. »

La responsabilité des médias

Autre question : fallait-il publier ce genre de documents ? En effet, les responsables américains du renseignement ont demandé expressément de ne pas rendre publiques ces informations : elles pourraient servir à « des cibles étrangères » justement dans la ligne de mire de ce programme de déchiffrement. Ces derniers pourraient alors changer leur comportement et migrer vers des formes de chiffrement qui n’entrent plus dans les compétences du programme BullRun.

Les deux médias à l’origine de cette information, le New York Times et le ProPublica se sont défendus en expliquant que son importance, au regard de la défense des libertés des citoyens, légitimait leur décision. Ils craignent notamment « des conséquences non prévues » en raison de « l’affaiblissement de la sécurité des communications. » Selon le quotidien américain : « Les médias n’ont pas mentionné certains aspects mais ont décidé de publier l’article en raison de l’importance d’un débat public sur les actions du gouvernement qui affaiblissent les outils les plus puissants censés protéger la vie privée des Américains et d’autres ».




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143031
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI