La NSA élude les questions du Congrès sur l'installation de portes dérobées dans les produits technologiques

Et cherche des accords avec des entreprises pour avoir un accès spécial à leurs produits

L'agence américaine de renseignement élude les questions du Congrès sur les portes dérobées dans les produits technologiques,
la NSA cherche depuis longtemps des accords avec des entreprises pour avoir un accès spécial à leur produit

La National Security Agency (NSA) des États-Unis réduit les efforts d'une enquête du Congrès visant à déterminer si elle continue de placer des prétendues portes dérobées dans les produits technologiques commerciaux. Selon les critiques, cette pratique controversée porte préjudice à la fois à l'industrie américaine et à la sécurité nationale.

La NSA cherche depuis longtemps des accords avec des entreprises technologiques en vertu desquelles ces entreprises créeraient un accès spécial pour l'agence d'espionnage dans leurs produits, selon les révélations de l'ancien sous-traitant de la NSA Edward Snowden et des rapports relayés par la presse américaine.

Ces prétendues portes dérobées permettent à la NSA et à d'autres agences de scanner de grandes quantités de trafic sans mandat. Les défenseurs de cette pratique affirment que cette pratique a facilité la collecte de renseignements vitaux dans d'autres pays, y compris l'interception de communications terroristes.

Après les divulgations d’Edward Snowden, l'agence a développé de nouvelles règles dans l’optique de réduire les risques d'exposition et de compromission, ont déclaré à Reuters trois anciens responsables du renseignement. Mais les assistants du sénateur Ron Wyden, un démocrate de premier plan au sein de la commission du renseignement du Sénat, affirment que la NSA a refusé de fournir ne serait-ce que l'essentiel de ces nouvelles lignes directrices.

« Les portes dérobées soi-disant secrètes sur les technologies de chiffrement sont une menace pour la sécurité nationale et la sécurité de nos familles - ce n'est qu'une question de temps avant que des hackers ou des criminels étrangers ne les exploitent de manière à nuire à la sécurité nationale américaine », a déclaré Wyden. « Le gouvernement ne devrait jouer aucun rôle dans la mise en place de portes dérobées secrètes dans la technologie de chiffrement utilisée par les Américains. »


La NSA a refusé de dire en quoi consiste les mises à jour ses politiques sur l'obtention d'un accès spécial aux produits commerciaux. Les responsables de la NSA ont déclaré que l'agence avait rétabli la confiance avec le secteur privé grâce à des mesures telles que des avertissements sur les failles logicielles.

« À la NSA, il est courant d’évaluer en permanence les processus pour identifier et déterminer les meilleures pratiques », a déclaré Anne Neuberger, qui est à la tête de la direction de la cybersécurité de la NSA, déjà âgée d’un an. « Nous ne partageons ni sur les processus ni sur des procédures spécifiques ».

Trois anciens hauts responsables de l'agence de renseignement ont déclaré à Reuters que la NSA exige désormais qu'avant d’installer une porte dérobée, l'agence doit peser les retombées potentielles et diffuser une sorte d'avertissement si la porte dérobée venait à être découverte et manipulée par des « adversaires ».

La quête continue d'accès caché survient alors que les gouvernements des États-Unis, du Royaume-Uni, d’Australie et d'ailleurs cherchent des lois qui obligeraient les entreprises technologiques à laisser les gouvernements voir le trafic non chiffré. Les défenseurs du chiffrement fort affirment que les efforts parfois bâclés de la NSA pour installer des portes dérobées dans des produits commerciaux montrent les dangers de telles exigences.

Les détracteurs des pratiques de la NSA estiment qu'elles créent des cibles pour les « adversaires », sapent la confiance dans la technologie américaine et compromettent les efforts visant à persuader les alliés de rejeter la technologie chinoise qui pourrait être utilisée pour l'espionnage, car les équipements américains peuvent également être utilisés à de telles fins.

Dans au moins un cas, un adversaire étranger a pu profiter d'une porte dérobée qui a été placée par le renseignement américain, selon Juniper Networks Inc, qui a déclaré en 2015 que son équipement avait été compromis. Dans une déclaration précédemment non rapportée aux membres du Congrès en juillet vue par Reuters, Juniper a déclaré qu'un gouvernement national anonyme s’était servi du mécanisme créé par la NSA. La NSA a déclaré aux membres du personnel de Wyden en 2018 qu'il y avait un rapport sur les « leçons apprises » sur l'incident de Juniper et d'autres, selon le porte-parole de Wyden, Keith Chu.

« La NSA affirme maintenant qu'elle ne peut pas localiser ce document », a déclaré Chu à Reuters.


La NSA aurait soudoyé RSA Security afin que celle-ci puisse fragiliser ses algorithmes de chiffrement

La NSA a recherché de nombreux moyens pour accéder à des équipements, parfois en concluant des accords commerciaux pour inciter les entreprises à insérer des portes dérobées, et dans d'autres cas en manipulant les normes (notamment en définissant des processus afin que les entreprises adoptent sans le savoir des logiciels que les experts de la NSA peuvent casser), selon des rapports de la presse américaine.

En 2013, ces stratégies ont fait couler beaucoup d’encre lorsque Snowden a divulgué des documents y faisant référence.

Les entreprises technologiques qui ont ensuite été exposées pour avoir conclu des accords qui permettaient un accès par porte dérobée, y compris le pionnier de la sécurité RSA, ont perdu leur crédibilité et leurs clients. D'autres entreprises américaines ont perdu des affaires à l'étranger, les clients se méfiant de la portée de la NSA.

Tout cela a suscité un examen de la politique de la Maison Blanche.

« Il y avait des espèces de processus "d’apprentissage de leçons" » a déclaré l'ancien coordinateur de la cybersécurité de la Maison Blanche Michael Daniel, qui conseillait le président de l'époque, Barack Obama, lorsque Snowden a divulgué les fichiers relatifs à l’espionnage. Une commission spéciale nommée par Obama a déclaré que le gouvernement ne devrait jamais « subvertir » ou « affaiblir » les produits technologiques ou compromettre les normes.

La Maison Blanche n'a pas publiquement adopté cette recommandation, mais a plutôt renforcé les procédures d'examen pour déterminer s'il faut utiliser les failles logicielles récemment découvertes pour les cyberopérations offensives ou les corriger pour améliorer la défense, ont déclaré Daniel et d'autres.

Les contrats secrets du gouvernement pour un accès spécial aux données sont restés en dehors de l'examen officiel.

« La NSA avait des contrats avec des entreprises à tous les niveaux pour les aider, mais cela relève du secret défense », a déclaré un avocat de la communauté du renseignement.

L’exemple le plus frappant des risques inhérents à l’approche de la NSA concernait un composant du système de chiffrement appelé Dual Elliptic Curve, ou Dual EC. L'agence de renseignement a travaillé avec le département du commerce pour faire accepter la technologie en tant que norme mondiale, mais les cryptographes ont montré plus tard que la NSA pouvait exploiter Dual EC pour accéder aux données chiffrées.

Un rapport datant de 2013 affirme que la NSA aurait soudoyé RSA Security afin que celle-ci puisse fragiliser ses algorithmes de chiffrement. À l’époque, RSA Security était à l’origine de plusieurs solutions de chiffrement RSA populaires utilisées par un nombre important d’entreprises. Selon Reuters, qui a cité deux sources proches du dossier, la NSA aurait payé 10 millions de dollars à RSA Security, afin que l’entreprise introduise une porte dérobée dans l’algorithme de chiffrement utilisé par sa solution BSafe.

RSA a déclaré publiquement qu'elle n'aurait pas sciemment installé une porte dérobée, mais sa réputation a été ternie et la société a été vendue.


Juniper Networks a reconnu avoir installé Dual EC dans le cadre d'une « exigence du client »

Deux ans plus tard, en 2015, c’est Juniper Networks qui a été en période trouble via Dual EC. Fin 2015, le fabricant de commutateurs Internet a révélé avoir détecté un code malveillant dans certains produits pare-feu. Les chercheurs ont déterminé plus tard que les hackers avaient transformé les pare-feu en leur propre outil d'espionnage en modifiant la version Juniper de Dual EC.

Juniper a peu parlé de l'incident. Mais la société a reconnu en 2016 qu'elle avait installé Dual EC dans le cadre d'une « exigence du client », selon un message jusque-là non divulgué vu par Reuters. Des chercheurs sont persuadés que le client en question était une agence gouvernementale américaine, car seuls les États-Unis sont connus pour avoir insisté sur le Dual EC ailleurs.

Juniper n'a jamais identifié le client et a refusé de commenter cette histoire.

De même, l'entreprise n'a jamais identifié les hackers. Mais deux personnes proches de l'affaire ont déclaré à Reuters que les enquêteurs avaient conclu que le gouvernement chinois était derrière...