NSA : tout ne serait pas encore décryptable
Sur la base des documents exfiltrés par Edward Snowden, nous savons désormais que la NSA a pratiquement accès à toutes les données sur internet. Toutes ? Non, certaines méthodes de chiffrement semblent encore résister.
Les documents exfiltrés par Edward Snowden ont permis de mettre sous le feu des projecteurs les pratiques de la NSA. On sait désormais que l’agence de renseignement américaine a pratiquement accès à toutes les données sur internet, enfin pas tout à fait toutes…
C’est lors d’une conférence organisée le dimanche 28 décembre 2014, dans le cadre du Chaos Computer Congress de Hambourg, que les journalistes américains Jacob Appelbaum et Laura Poitras sont fait le point sur les outils vulnérables à la curiosité de la NSA et ceux qui résistent encore aux tentatives d’intrusion des espions américains et à leurs alliés britanniques, australiens, canadiens ou néo-zélandais. C’est parallèlement à une parution dans le magazine allemand Der Spiegel, que ces nouvelles révélations se sont bien évidemment encore une fois appuyées sur des documents exfiltrés par Edward Snowden.
C’est ainsi que l’on apprend par exemple que la sécurité de Skype a été contournée dès la fin 2011, ce qui a permis à l’agence américaine de mettre en place une collecte de données à grande échelle sur le système de communications de Microsoft.
Alors que les technologies VPN sont censées protéger les communications, il est fait état que bon nombre d’entre elles ont été percées par l’agence de Fort Meade. Alors qu’il est fait mention de l’espionnage des VPN utilisés par le gouvernement grec ou encore celui de SecurityKiss, il est également précisé que la NSA prévoyait de déchiffrer 20 000 communications de réseaux privés virtuels par heure fin 2011 selon un document datant de 2009. Alors que le protocole PPTP (Point-to-Point Tunneling Protocol) est particulièrement friable face aux assauts de l’agence, l’utilisation d’IPSec (Internet Protocol Security) ne suffit pas plus à échapper à la curiosité de la NSA.
Alors que nombreux sont ceux qui préconisent la sécurité forte apportée par https, le « s » de ce protocole censé signifier « sécurisé » s’apparente en fait plus à « supercherie » vu que la NSA et ses alliés interceptent ce genre de communications sécurisées par millions. D’après un document de la NSA, il est fait mention de décoder 10 millions de connexions https par jour fin 2012.
Le constat est le même pour SSH, un protocole notamment utilisé par les administrateurs pour se connecter de manière sécurisée à des équipements informatiques à distance. Les espions de Fort Meade sont parfaitement capables de déchiffrer certaines communications en SSH, ce qui permet de gagner des données d’accès pour pouvoir accéder par la suite à des systèmes critiques, comme des routeurs.
Ces exemples démontrent bien la volonté de la NSA de percer le moindre secret, et cela à grande échelle. Dans un des documents publiés par Der Spiegel, il est notamment fait mention que le chiffrement est une « menace ». Il est écrit : « Il y a de cela 20 ans, le fait que des communications soient chiffrées signifiait qu’elles renfermaient très probablement des renseignements d’une puissance étrangère, car seuls les gouvernements et d’autres cibles importantes avaient les ressources pour acheter ou développer puis implémenter des communications chiffrées. Aujourd’hui, n’importe quel utilisateur d’internet peut accéder à des pages Web via le système commercial de chiffrement fort fourni par https, et les entreprises de toute taille peuvent implémenter des réseaux privés virtuels (VPN) permettant à leurs employés d’accéder de façon sécurisée à des données sensibles ou appartenant à l’entreprise, et ce depuis n’importe où dans le monde ».
Grâce aux documents exfiltrés par Edward Snowden, on connait désormais l’existence du programme Bullrun, une initiative de la NSA qui vise à casser le plus grand nombre possible de techniques de chiffrement, via de multiples techniques (influence sur les standards, backdoors ou utilisation de la force brute), un effort sur le long terme vu que Bullrun existait depuis une décennie selon un document datant de 2010.
Dans ce paysage où la sécurité vis-à-vis de la curiosité de la NSA semble impossible, Jacob Appelbaum et Laura Poitras s’appuient sur de nouveaux documents, publiés ce weekend, pour dire que les systèmes de cryptographie forte « implémentés convenablement » étaient « une des rares choses sur lesquels vous pouviez vous reposer », dans le sens de dire que cela permet encore d’échapper à l’agence américaine.
Selon ces nouveaux documents d’Edward Snowden, certaines technologies de chiffrement résistent aux analystes de la NSA, en tout cas résistaient aux limiers de l’agence en 2012, la date de rédaction des documents en question. C’est typiquement le cas des systèmes de messagerie utilisant un chiffrement fort comme Zoho ou le réseau d’anonymisation Tor, basé à la fois sur le chiffrement et la répartition des données d’un utilisateur sur de multiples nœuds.
Il en va de même pour TrueCrypt. Mais pour une raison indéterminée, le développement de ce programme de chiffrement dont a abruptement été stoppé en mai dernier, peut-être sous la pression des agences de renseignement.
Le protocole OTR (Off-The-Record) qui code les messages instantanés pose également de gros problèmes à la NSA.
Les pires cauchemars pour la NSA sont les systèmes qui associent plusieurs technologies, par exemple Tor avec le système de messagerie instantanée CSpace et le système de voix sur IP ZRTP. Dans ce cas de figure, l’agence parle « d’une perte quasi totale de connaissance sur les communications et sur la présence de la cible ».
Si ZRTP, conçu par Phil Zimmermann pour sécuriser les échanges vocaux et les messages texte sur téléphones mobiles, résiste, son fameux programme de chiffrement PGP (Pretty Good Privacy) utilisé pour coder mails et documents semble tout autant résister aux assauts des espions de Fort Meade.
Au final, on se rend compte que les éditeurs de solutions de sécurité ne sortent pas grandis de ce bilan, ce qui justifie grandement la perte de confiance des utilisateurs. Le constat est aussi qu’il existe heureusement encore des solutions pour maintenir un semblant de vie privée loin des regards de la NSA.