Un ex-avocat de la NSA: la cyber-guerre se déroule entre les entreprises de haute technologie et le gouvernement américain

Stewart Baker sur scène au Sommet du Web à Dublin

Stewart Baker a déclaré qu’Apple et Google pourraient être en train de limiter leur activité dans des marchés comme la Chine et la Russie par le chiffrement des données des utilisateurs

The Guardian, Jemima Kiss, 4 novembre 2014

La bataille sur le cryptage des données de service des utilisateurs Internet a planté les entreprises technologiques américaines contre le gouvernement américain lui-même, a déclaré mardi l’ancien avocat général de la NSA, Stewart Baker.

Prenant la parole lors au Sommet du Web à Dublin, Baker a affirmé que les mouvements opérés par Google et Apple et d’autres afin de crypter les données de l’utilisateur étaient plus hostiles à la collecte occidentale de renseignements que pour la surveillance établie par la Chine ou la Russie.

« Le département d’Etat a financé certains de ces outils, tels que Tor, qui a été utilisé dans les révolutions du Printemps Arabe ou pour passer le pare-feu chinois, mais ces crypto-guerres opposent principalement le gouvernement américain et les entreprises américaines, » a-t-il dit dans une conversation avec l’éditeur des projets spéciaux, James Ball.

Lire la suite: http://www.theguardian.com/technology/2014/nov/04/nsa-cyberwar-stewart-baker-cloudflare-snowden

Pourquoi la NSA casse notre cryptage – et pourquoi nous devrions y être attentif – Matthew Green – TEDxMidAtlantic

Cette conférence a été donnée lors d’un événement local de TEDx, produite indépendamment des conférences TED. Le cryptage remonte aux Pères fondateurs et à la Déclaration des Droits. Maintenant, la National Security Agency des États-Unis casse et sape les technologies de cryptage de base qui alimentent Internet, en disant que cela est fait pour notre propre protection contre les terroristes. Mais sommes-nous en train de sacrifier nos libertés pour la peur?

Matthew Green est professeur adjoint à la recherche de la science informatique à l’Université Johns Hopkins. Ses recherches portent sur la sécurité et la cryptographie informatiques, et en particulier la façon dont la cryptographie peut être utilisée pour promouvoir la vie privée. Son travail inclut des techniques pour accéder en toute sécurité aux bases de données médicales, améliorer l’anonymat des Bitcoin, et analyser les systèmes de sécurité déployés. Avant de rejoindre la faculté Johns Hopkins, il a été un membre du personnel technique principal chez AT & T Laboratories.

(youtube)

Nous ne serons pas protégés de la NSA tant que nous utiliserons des solutions américaines

3427561_3_b3dd_le-siege-de-la-nsa-a-fort-meade-dans-le_6cdb6fd700c809687baf1005c99823cbBart Preneel, jeudi 27 février 2014 à 07h00

Les révélations d’Edward Snowden prouvent que la NSA accomplit parfaitement son travail: la révolution numérique permet de collecter, de stocker et d’analyser d’énormes quantités d’informations sous le slogan “In God we trust, all others we monitor. “ Le rapport du Parlement européen adressé à Echelon en 2001 a démontré que la NSA était passée maître dans l’art d’intercepter les communications. En outre, la NSA collecte des métadonnées: qui communique avec qui et quand, avec quel appareil et depuis quel endroit.

Mais grâce à Snowden, nous savons aujourd’hui que la NSA n’en reste pas là. L’Agence nationale de sécurité américaine a ainsi demandé à des acteurs cloud de premier plan de mettre à disposition des informations tirées du cloud (le programme Prism). En outre, leurs communications internes est interceptée (le programme Muscular placé sous le contrôle de l’agence britannique GCHQ). La solution au problème semble évidente: crypter simplement toutes les informations transmises sur l’internet et enregistrées dans le cloud. Elles restent ainsi hors de portée de la NSA. Mais il va de soi que la NSA anticipe. Quand un acteur internet encode des informations, l’Agence peut lui demander au moyen d’une dénommée ‘lettre de sécurité’ la clé secrète du serveur Web et lui interdire de communiquer à ce sujet. Lorsque cette situation s’est produite avec l’email provider Lavabit, ce dernier a finalement décidé de mettre la clé sous la porte. De plus, la NSA a investi dans le sabotage des normes cryptographiques (comme EC Dual RNBG). Ensuite, elle a convaincu certaines entreprises américaines de reprendre ces normes par défaut dans leurs produits. Enfin, la NSA investit en masse dans le craquage des méthodes de cryptage existantes. Un cryptage réellement sécurisé des informations n’est donc plus aussi facile. Les autorités européennes adoptent une position ambivalente à l’égard du cryptage universel: cet encodage les empêche d’intercepter facilement des informations, même dans un cadre parfaitement légal. Par ailleurs, il est un fait que le cryptage protège les données mais pas les métadonnées. Pour ce faire, vous devez disposer d’outils comme TOR qui permettent – dans une certaine mesure – de cacher les sites Web visités.

Même si nous cryptons tout, il faut toujours permettre à l’utilisaeur d’accéder à ses données sur son ordinateur. Mais la sécurisation des données traitées dans un ordinateur est bien plus complexe que celle des données en transit ou stockées. Pourquoi? Nos ordinateurs sont incroyablement complexes. Le processeur renferme plusieurs centaines de millions voire plus d’un milliard de transistors. Un système d’exploitation possède entre 10 et 100 millions de lignes de code. Sans oublier les middleware, drivers, navigateurs et applications. Tous les informaticiens savent qu’il est tout bonnement impossible de rendre un système d’une telle complexité exempt de tout bug pour un prix abordable. Chaque année, des milliers de bugs sont rapportés par les fournisseurs ICT. En général, les brèches sont rapidement colmatées. Le crime organisé et les autorités se penchent sur la création de nouveaux bugs: les uns pour en tirer un avantage financier et les autres pour obtenir des données sensibles. Pour la NSA, il doit être particulièrement tentant de demander aux entreprises ICT de lui révéler en premier les bugs ou – mieux encore – d’intégrer délibérément de subtiles faiblesses supplémentaires. Le secteur ICT comprend les risques qui y sont liés et ne le fera qu’à contrecœur. Les révélations de Snowden prouvent que lorsque la NSA intervient au moyen de lettres de sécurité (secrètes), les entreprises ne peuvent pas communiquer à ce sujet.

De plus, la culture “Ship now and patch later” a mené à des mises à jour automatiques et régulières de toutes les composantes de nos systèmes. Ces mises à jour varient en fonction des machines. Si la NSA parvient à prendre le contrôle du mécanisme de mise à jour, elle peut l’exploiter pour s’emparer de chaque machine.

En résumé, la NSA ne se limite plus depuis longtemps à de simples écoutes: elle procède à des attaques actives qui lui permettent de contrôler de certains ordinateurs. Pour des cibles spécifiques, surtout celles qui ne sont pas liées à l’internet, l’agence va même jusqu’à ajouter des composantes en interceptant les ordinateurs durant leur transport. Il faut s’attendre à ce que les révélations de Snowden inspirent d’autres pays à faire aussi bien, voire mieux.

Il n’existe qu’une seule manière d’assurer une sécurisation optimale dans un tel contexte: contrôler la conception complète de chaque composant de votre machine, du matériel au logiciel. De cette façon, vous pouvez être certain qu’aucune lacune n’y a été intégrée. Ce qui vient de l’extérieur doit être inspecté jusque dans les moindres détails sur la base d’une description complète. De surcroît, vous devez pouvoir contrôler l’entièreté de la chaîne d’approvisionnement pour avoir la certitude que votre ordinateur n’a pas été modifié. Enfin, vous devez aussi contrôler toutes les mises à jour. Seul un grand pays ou une multinationale peut se permettre d’adopter une telle approche. Les autres doivent rechercher des partenaires. Une question se pose alors: à qui pouvez-vous encore faire confiance?

Source: http://datanews.levif.be/ict/opinion/chroniques/nous-ne-serons-pas-proteges-de-la-nsa-tant-que-nous-utiliserons-des-solutions-americaines/opinie-4000541266288.htm

Jacob Appelbaum compare les programmes de la NSA à « l’occupation militaire de tout l’Internet »

Jacob Appelbaum au Parlement Européen

Jacob Appelbaum, expert en sécurité informatique, parle dans cette vidéo d’une « capacité offensive » des systèmes de la NSA (au contraire d’une capacité défensive souvent avancée par les services secrets pour justifier l’espionnage massif), en citant notamment les programmes FoxAcid et Quantum, et en expliquant exactement comment ces systèmes fonctionnent quand les services secrets américains choisissent de cibler un individu particulier dans le cadre de l’espionnage de la NSA.

Cet expert en informatique qualifie le système de la NSA comme étant un outil « incroyablement effrayant ». Des sélecteurs de la NSA permettent d’atteindre directement un ordinateur et d’activer la surveillance à distance. Jacob Appelbaum insiste en comparant cela au cantonnement des soldats, car ces systèmes permettent de cibler les usagers chez eux et de les surveiller sans aucune nécessité pour la NSA de se déplacer. C’est une militarisation de l’espace internet.

Le système TOR, développé par des hackers dont fait partie Jacob Appelbaum, est, toujours selon l’expert informatique, un moyen efficace d’échapper aux nombreux systèmes de surveillance de la NSA. Même si le système TOR n’est certainement pas parfait, il permet néanmoins de crypter les informations et de compliquer la tâche de la NSA dans l’accès aux données des personnes ciblées, protégeant ainsi une partie des utilisateurs.

Voir aussi la vidéo: « Jacob Appelbaum au Parlement Européen » (traduite en français)

Scandale Prism: la NSA peut décrypter les communications codées sur Internet

France 24, le 6 septembre 2013

Transactions bancaires, courriels, données médicales… D’après les révélations de plusieurs médias jeudi, l’agence nationale de sécurité américaine serait capable de décrypter toutes sortes d’échanges codés sur Internet.

La NSA est capable de décoder l’essentiel des systèmes de cryptage sur internet, des courriels aux transactions bancaires, selon des révélations jeudi de plusieurs médias risquant d’ajouter aux critiques contre les méthodes de surveillance de l’agence de renseignement américaine.

Avec son homologue britannique du GCHQ, l’Agence nationale de sécurité (NSA) « a largement compromis les garanties données par les sociétés internet à leurs clients sur la sécurité de leur communication », affirme le Guardian, à l’origine de ces révélations avec le New York Times et ProPublica.

Les trois médias s’appuient sur des documents fournis par Edward Snowden, l’ancien consultant de la NSA dont les révélations depuis le mois de juin ont provoqué une vive polémique aux Etats-Unis et dans le monde sur les atteintes aux libertés publiques et à la vie privée.

Malgré les promesses de transparence du président Barack Obama sur ces programmes, l’addition des révélations, y compris celles de jeudi, dessine les contours d’une organisation toute puissante aux capacités d’intrusion qui semblent illimitées.

Les communications sur internet sont l’objet d’un cryptage informatique automatique, qu’il s’agisse de courriels, de discussions instantanées, de transactions bancaires en ligne ou encore de transfert de données médicales.

A la faveur d’un programme ultra-secret nommé Bullrun, l’agence de renseignement américaine peut « casser » ces systèmes de cryptage (VPN, SSL) et déchiffrer ce qui s’échange, affirment le Times, le Guardian et ProPublica, une organisation à but non-lucratif spécialisée dans le journalisme d’investigation.

Casser les codes : première mission de la NSA

D’après les documents dont ces médias divulguent la teneur, la NSA et le GCHQ ont réussi à obtenir les « clés » des différents systèmes de cryptage grâce à leurs supercalculateurs et à la coopération des sociétés internet, parfois obtenue à coup d’injonctions judiciaires.

De précédentes révélations d’Edward Snowden avaient déjà permis de lever le voile sur certains programmes de l’agence américaine, comme celui de recueil de millions de métadonnées téléphoniques (numéro appelé, durée de l’appel…) et de surveillance d’internet (Prism).

Mais de fait, « casser les codes » est la mission première de l’agence chargée des interceptions électroniques créée en 1952.

C’est même une priorité, selon un document de 2007 cité par le Times: « A l’avenir, les superpuissances seront reconnues ou brisées sur la base de la puissance de leurs programmes d’analyse cryptologique ».

« C’est le prix à payer pour que les Etats-Unis maintiennent un accès et une utilisation non entravés du cyber-espace », poursuit le document.

Le New York Times et ProPublica rapportent que des responsables américains du renseignement leur ont demandé de ne pas publier ces informations, craignant que ces révélations ne conduisent certaines cibles de ce programme à changer de méthodes de cryptage ou de mode de communication.

« Les médias n’ont pas mentionné certains aspects mais ont décidé de publier l’article en raison de l’importance d’un débat public sur les actions du gouvernement qui affaiblissent les outils les plus puissants censés protéger la vie privée des Américains et d’autres », affirme le New York Times.

Sollicitée par l’AFP, la direction nationale du renseignement (ODNI) américain n’a pas réagi dans l’immédiat.

Si cette capacité à déchiffrer des communications sécurisées peut aider à prévenir des attentats, elle risque d’avoir des « conséquences non prévues en affaiblissant la sécurité des communications », note également le quotidien.

« Le risque quand vous créez une porte d’accès dérobée dans des systèmes est que vous ne soyez pas le seul à l’exploiter », explique Matthew Green, un chercheur en cryptographie cité par le Times.

« Alors même que la NSA exige davantage de pouvoir pour empiéter sur notre vie privée au nom de la cybersécurité, elle rend internet moins sécurisé et nous exposent aux pirates informatiques, à l’espionnage étranger et à une surveillance illégale », a dénoncé dans un communiqué l’association de défense des libertés civiles ACLU.

AFP

Source: http://www.france24.com/fr/20130906-scandale-prism-nsa-capable-decrypter-communications-codees-internet

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives