Archives de catégorie : Sans catégorie

Non, le chiffrement n’est pas mort.

facepalmC’est le genre de lecture qui donne mal à la tête. Un titre accrocheur, des propos confus, une conclusion risible. Les 11 raisons pour lesquelles le chiffrement est (presque) mort. Notez qu’il s’agit en fait d’une traduction de l’anglais, publié un peu partout sur la toile au cours des derniers jours. Comme quoi la qualité d’un article n’a rien à voir avec la portée de sa diffusion. Son auteur a clairement lu un truc ou deux, parce que plusieurs de ses « arguments » ont une origine véridique. C’est la conclusion donnée qui laisse sérieusement à désirer. Voici mes commentaires, faiblesse par faiblesse.

« L’absence de preuve dans le chiffrement, apparaît juste un algorithme mathématique, certes impressionnant, avec beaucoup d’exposants et d’indices, il est situé au coeur du cryptage mais n’apporte pas de preuve absolue. » En effet, la vaste majorité des algorithmes de chiffrements ne sont pas supportés par des preuves complètes de leur sécurité. De nouvelles avancées en mathématique pourraient démontrer des failles irréconciliables dans des algorithmes jugés aujourd’hui solide. La sécurité de certains, tel que décrit dans l’article, dépend de la complexité de problèmes mathématiques classiques, comme la factorisation en nombres premiers pour l’algorithme RSA. Ces limitations sont bien connues et comprises des cryptographes depuis longtemps. Ce n’est certainement pas un « problème » pour le chiffrement en général. Lorsqu’un algorithme considéré jusqu’alors comme solide est finalement brisé, il est remplacé par un autre. C’est déjà arrivé et ça arrivera probablement encore. Oui, c’est dérangeant, mais on est loin, très loin de la catastrophe appréhendée. Ce n’est certainement pas un argument pour prédire la mort du chiffrement!

« Bon nombre de nos hypothèses quant à la sécurité du chiffrement sont basées sur la croyance que les gens vont partager toutes leurs connaissances sur les vulnérabilités, mais il n’y a pas de garantie que quiconque le fera. Les agences de renseignement par exemple gardent régulièrement leurs connaissances pour elles-mêmes. » Cette seconde « faiblesse » semble confondre les vulnérabilités logicielles avec celles des algorithmes de chiffrement. Ces dernières sont beaucoup plus rares que les premières. Est-ce possible qu’une organisation découvre une faille importante dans AES (par exemple) et l’exploite sans en parler? Oui, et c’est même déjà arrivé (comme Enigma pendant la seconde guerre mondiale). Mais cela ne veut pas dire que « le chiffrement est presque mort », et encore moins que « les technologies de chiffrement sont remises en cause ».

« La chaîne de sécurité est longue et jamais parfaite. » Un truisme que n’importe quel professionnel de la sécurité sait intuitivement. En quoi est-ce un argument contre le chiffrement? Mystère. Surtout que le chiffrement est, dans la grande majorité des cas, le maillon fort de cette chaîne de sécurité – c’est l’humain qui est habituellement le maillon faible.

« Beaucoup d’algorithmes assurent qu’il faudrait  » des millions d’heures » pour essayer tous les mots de passe possibles. Donc un temps incroyablement long pour se rendre compte que seul Amazon peut avoir un demi-million d’ordinateurs à louer à l’heure. » De façon générale, la sécurité des algorithmes de chiffrement repose sur l’effort théorique nécessaire à déchiffrer un message crypté en essayant, successivement, chaque combinaison possible de clés. Sauf que dans le cas de AES-256 par exemple, où la clé fait 256 bits, on ne parle pas de « millions d’heures », mais de « plusieurs fois l’âge de l’univers, pour un ordinateur de la taille de la galaxie ». C’est à ce genre d’échelle que les algorithmes modernes sont conçus. Et ce n’est pas le parc informatique d’Amazon (ou de toute autre entreprise ayant accès à une importante puissance de calcul) qui y changera quoi que ce soit.

Un commentaire similaire peut être fait pour la faiblesse suivante: « Les cartes vidéo sont également faciles à craquer. Le même matériel peut fonctionner avec des millions de mots de passe. Les GPU sont des ordinateurs parallèles incroyables et ils sont moins chers que jamais. » En effet, mais même avec toutes les cartes vidéos de l’univers, personne ne réussira jamais à pratiquer un brute force de 256 bits. L’auteur fait référence aux mots de passe, ce qui n’est pas du tout la même chose, et confirme encore une fois qu’il ne sait pas vraiment de quoi il parle.

« Vous pensez télécharger ce qu’il y a de plus sûr. Vous avez appliqué toutes les mises à jour, vous avez nettoyé toutes les «cochonneries » et vous avez désactivé tous les processs bi-zarres. Félicitations […] Ce serait parfait, si l’hyperviseur en arrière-plan ne pouvait faire tout ce qu’il voulait à votre code ou à votre mémoire. » Et quel est le rapport avec les technologies de chiffrement? Il faudrait demander à l’auteur.

« L’hyperviseur et le BIOS ne sont que quelques-unes des couches cachées de la manière la plus évidente. Pratiquement chaque appareil dispose d’un firmware, qui peut être remarquablement poreux. Il est rarement touché par l’extérieur de sorte qu’il est rarement durci. » Une deuxième « faiblesse » qui n’a strictement aucun rapport avec le chiffrement.

« […]l’augmentation incessante des correctifs de sécurité suggère que c’est sans fin. Au moment où vous avez fini de lire cet article, il y a probablement deux nouveaux correctifs d’installés. N’importe laquelle de ces failles pourrait compromettre votre chiffrement. Il n’y a pas de fin, ni de limites, après une porte dérobée. » L’auteur confond les vulnérabilités logicielles avec les portes dérobées (de l’anglais « backdoor »). Les premières sont des erreurs fortuites de programmation. Les secondes sont des vulnérabilités volontaires. Dans les deux cas, ça n’a toujours aucun lien avec le chiffrement (mais bon, on commence à s’habituer).

« La battage médiatique autour du chiffrement met l’accent sur la force de l’algorithme, mais glisse généralement sur le fait que l’algorithme de sélection de clé est tout aussi important. Votre chiffrement peut être super efficace, si l’espion peut deviner la clé, fini l’efficacité. » Les spécialistes sont parfaitement au courant de la nécessité de se fier à des nombres aléatoires cryptographiquement sécuritaire. Peut-être que le « battage médiatique » n’en fait pas mention, mais les technologies en prennent certainement compte. Peut-être que l’auteur devrait cesser de lire les médias, et plutôt s’intéresser à la littérature professionnelle qui couvre ce sujet.

« L’un des attraits des logiciels open source, c’est qu’ils peuvent découvrir des bugs, peut-être pas tout le temps, mais de temps en temps. » Les algorithmes de chiffrement modernes sont toujours « open source ». Ce que cela veut dire, c’est que ces algorithmes sont considérés comme sécuritaires même si leur fonctionnement interne est connu de tous. Les remarques de l’auteur concernent les principes de logiciel libre tel qu’utilisés en programmation – un contexte complètement différent. Il fait référence à « une ligne supplémentaire » dans le code de l’iOS d’Apple. Il est vrai que l’implantation d’algorithme de chiffrement est souvent source de vulnérabilités. Mais cela n’a rien à voir avec le chiffrement comme tel.

« Il est possible que le destinataire du mail utilise une autorité de certification différente de la vôtre, à partir de là un espion peut se glisser dans le contact. Il y a justement des centaines d’autorités de certification dans le monde ce n’est pas un souci hypothétique. Certaines de ces autorités sont sous le contrôle des gouvernements locaux et peuvent créer n’importe quel certificat. » Miracle! Je suppose qu’il fallait garder espoir: après s’être ridiculisé avec ses 10 premières faiblesses, l’auteur amène finalement un bon point! Les certificats de chiffrement sont utilisés pour identifier les partis impliqués lors d’une communication. Par exemple, ils permettent aux utilisateurs de s’assurer que le site web qu’il fréquente est bien celui de leur banque, et non pas une copie produite par un criminel cherchant à la personnifier. Et oui, la sécurité du système de certificats utilisés sur le web est considérée comme problématique, depuis plusieurs années déjà. Des solutions sont envisagées, mais aucune ne s’est démarquée jusqu’à récemment. Cela dit, ce n’est pas en soi une raison pour s’empêcher d’effectuer des transactions commerciales sur la toile, par exemple.

Le chiffrement n’est pas mort – loin de là en fait. Les algorithmes d’aujourd’hui sont très sécuritaires par rapport à ceux utilisés il y a quelques années. La sécurité de l’information fait face à plusieurs problèmes, parfois irrésoluble, et les défis sont nombreux. Mais ce n’est pas une raison pour en inventer.

Marqué

De la sécurité des installations électriques

electric_substationLes médias québécois ont rapporté mardi un acte de sabotage sur un transformateur du poste Joly, près de Québec. Les malfaiteurs s’en sont attaqués à l’huile minérale nécessaire à leur isolement électrique. Selon la source citée par La Presse, le ou les coupables connaissaient bien le fonctionnement de ces équipements ainsi que leur point faible (question de transparence: j’ai travaillé plusieurs années pour Hydro-Québec, en tant qu’employé et consultant).

Ce n’est pas la première fois qu’on s’en prend ainsi à l’infrastructure électrique; au Québec, certains se souviendront d’une bombe placée sur un pylône en 2004. Plus récemment, un autre poste électrique, Californien celui-ci, a subit d’important dommage – dans ce cas si, les coupables ont tout simplement utilisé des armes à feu pour mettre hors d’usage 17 (!) transformateurs.

Les enquêtes sont en cours, mais peu importe les motivations qui se cachent derrière ces évènements disparates, on peut comprendre l’anxiété des autorités. La grille électrique est une infrastructure critique pour n’importe quel pays industrialisé, et la perte d’un poste électrique névralgique au mauvais moment pourrait avoir des conséquences très fâcheuses pour la région touchée.

On a souvent discuté dans le passé que les compagnies électriques pourraient être la cible de cyber attaques, et l’importance de s’en prémunir, mais ces exemples montrent qu’elles peuvent tout autant être vulnérables à des menaces plus conventionnelles. Et avant qu’on crie à l’incompétence, sécuriser convenablement le tout n’est pas une tâche si évidente que ça quand on parle de centaines de postes, souvent loin des zones urbaines ou difficiles d’accès.

Heureusement, les autorités sont parfaitement au courant de la situation. En Amérique – incluant au Québec – des règles de sécurité particulières doivent être respectées pour l’ensemble des installations et systèmes considérés critiques pour l’intégrité de la grille électrique. Ces règles sont imposées à travers des normes dictées par la North American Electric Reliability Corporation.

Depuis 2 ans, un exercice annuel panaméricain a également lieu, le GridEx, qui rassemble l’ensemble des acteurs privés et publics, et qui a pour but de simuler une panne d’envergure du réseau électrique. Il ne s’agit que d’une simulation papier, aucune « panne » n’a réellement lieu, mais ce genre d’exercice permet quand même aux participants de mieux comprendre et d’échanger sur les risques auxquels ils font face, et sur les moyens disponibles pour les mitiger.

Pour mieux comprendre le conflit en Ukraine

Comme plusieurs, je suis la crise ukrainienne avec intérêt. Même si je me vois mal la commenter – c’est un sujet loin de mon expertise professionnelle – cela pourrait changer si des éléments de guerre électronique (cyberwarfare) se mettaient de la partie. Compte tenu de la nature du conflit, ça ne serait guère surprenant, et certaines voix ont commencés à en faire mention. Il s’agit d’un développement que je vais certainement surveiller de très près.

En attendant, je me contente de lire d’autres plus renseignés que moi. Un de mes plaisirs coupables depuis quelque temps est le blogue de John R. Schindler, professeur en sécurité nationale au US Naval War College. J’ai commencé à suivre M. Schindler à cause de ses écrits sur Snowden. Mais ce n’est que cet hiver, suite au Maidan et à l’annexion de la Crimée, que je l’ai découvert comme une source très intéressante pour comprendre ce petit coin du monde. Attention: Schindler est un vieux de la vielle, un expert en relation russo-américaine et de la guerre froide, et défend résolument la pax americana. Son style et son langage peut être rebutant pour certains, mais il compense largement par sa très grande maîtrise du sujet.

Dans le même registre, Tom Nichols (un collègue de Schindler) est tout aussi intéressant, et son tempérament cordial le rend un peu plus accessible.

Pour finir cette courte mise à jour, un documentaire français, « Poutine pour toujours », diffusé sur TV5 il y a quelques jours, qui brosse un portrait intéressant de l’homme derrière le pays et explique son ascension au pouvoir. Très actuel – même s’il a été tourné avant la crise Ukrainienne et n’en fait donc pas mention.

Marqué

La pornographie

Lindsay Lohan. Je suis certain que c'est une bonne personne.

Lindsay Lohan. Je suis certain que c’est une bonne personne.

Jetez un coup d’œil à cet article, qui décrit plusieurs activités de surveillance de la NSA, notamment ses relations avec les entreprises de télécommunications américaines. Vous pouvez le lire au complet si ça vous chante, même s’il est plutôt long. Et il est probable que vous n’y appreniez pas grand-chose si vous avez suivi le dossier au cours des derniers mois. Vous serez peut-être déçu par le manque de détails et de preuves matérielles référencées pour les appuyer. Même l’identité du délateur n’est pas révélée.

Finalement, c’est un article plutôt terne. Pas excitant. Je suis certain que vous l’aurez finalement oublié dans une semaine. En attendant et si ce n’est pas déjà fait, remarquez sa date de publication: le 10 mai 2006. Surprise! Cet article est paru 7 ans avant la sortie de Snowden de l’année dernière.

Comment est-ce possible? L’article du USA Today discute pourtant de plusieurs des faits reprochés récemment à la NSA. Il y a 8 ans de cela! Pourquoi n’en avions-nous pas entendu parler? Oh, il avait bien créé un certain remous, pendant quelques jours, mais sans s’imposer dans le cycle médiatique américain. Une réaction fort différence de celle qu’on a réservée à Snowden. Mais pourquoi donc?

On peut commencer par observer les différences entre l’article du USA Today et ceux de Glenn Greenwald, le journaliste qui a travaillé depuis le début avec l’illustre délateur de la NSA, et qui est certainement l’un des grands architectes de son succès.

Comme discuté plus haut, l’article du USA Today ne mentionne pas l’identité de la ou des sources qui ont servi de base à son écriture. Il tente de brosser un portrait général de la situation. Il donne aussi la parole à plusieurs représentants américains, leur permettant d’expliquer certaines des allégations amenées – on peut croire ou non à la véracité de ces explications, mais il ne fait pas vraiment de doute que l’auteur a fourni les efforts nécessaires pour contextualiser ses allégations.

Greenwald a procédé d’une manière complètement différente avec Snowden. Ses nombreux articles portent moins sur l’expérience de Snowden que sur les documents sensibles qu’il a divulgués. En s’appuyant sur des documents individuels (et comme Snowden est soupçonné d’en avoir volé plus d’un million, ce n’est pas le contenu qui manque), Greenwald a été en mesure de publier ses articles au compte goûte, semaine en semaine, ce qui est une excellente stratégie pour s’assurer de demeurer présent dans le cycle médiatique. Les autorités américaines y ont également répondu, mais post-facto, et Greenwald en a profité pour les prendre de pieds, en publiant des jours plus tard de nouvelles allégations venant directement contredire les explications officielles. L’identité du délateur n’est pas cachée, mais est au contraire centrale à l’exercice – Snowden est devenu l’ambassadeur emblématique des critiques envers la NSA et son programme de surveillance domestique. Finalement, les articles de Greenwald contiennent beaucoup de détails techniques sur les opérations et les cibles de la NSA; bien qu’il dit s’efforcer de ne publier que ce qu’il considère pertinent, une grande quantité d’information divulguée suite à la fuite de Snowden n’a strictement aucun rapport avec cette surveillance domestique.

Les propos et les allégations sont en grande partie les mêmes, à 7 ans d’intervalle. La différence vient dans la présentation de cette information.

L’article du USA Today suit la structure classique du journalisme d’enquête. Certains lui reprocheront d’utiliser une source anonyme, mais c’est une réaction moderne: plusieurs scandales américains (le Watergate vient immédiatement à l’esprit) ont été dévoilés suite à des fuites de sources anonymes. Mais en bout du compte, le résultat n’est guère attrayant, et ce n’est pas si surprenant que cela qu’il soit passé sous le radar.

La stratégie de Greenwald suit un modèle complètement différent. Elle est plutôt axée sur la volonté de maximiser l’impact de la nouvelle et sa durée. Greenwald est un polémiste et son travail vise autant à informer qu’à supporter ses idéaux libertariens et ceux de Snowden. En bout du compte, ce n’est plus vraiment de l’information: c’est de la pornographie. De la « security porn », une expression que certains commentateurs ont commencé à utiliser.

Le lecteur moyen qui a suivi à chaque semaine, pendant des mois, des révélations toujours plus croustillantes sur une agence dont les activités lui étaient, la plupart du temps, complètement inconnues, ne cherche pas tant à s’informer qu’à se divertir. Et les révélations sur la NSA compétitionnent avec d’autres types de divertissement. On suit la descente aux enfers du renseignement américain comme on suit les dernières frasques de Lindsay Lohan; la chute des grands a toujours été un spectacle populaire. Plus le scandale est juteux, plus il est biaisé et provoquant, plus on attend avec impatience le prochain chapitre. Personne ne se préoccupe réellement du sort de Lohan, tout comme personne ne se préoccupe réellement des conséquences des divulgations de Snowden sur la politique étrangère des pays concernés.

Malheureusement, beaucoup de journalistes sont tombés dans le piège de répéter sans trop se poser de questions des accusations qui cherchent à provoquer avant d’informer. C’est vrai aux États-Unis, et c’est vrai ici aussi.

Et c’est peut-être l’une des principales raisons qui m’ont poussé à créer ce blogue. Pour faire contrepoids aux pornographes.

Marqué ,

L’étrange cas de Mr. Snowden

Les téléspectateurs du réseau d’information russe RT ont eu droit à une surprise la semaine dernière lorsqu’Edward Snowden, délateur extraordinaire, a fait une apparition surprise lors de la séance de question réponse à laquelle le dirigeant russe se plie annuellement. Après un préambule dénonçant de nouveau les activités de surveillance américaine, Snowden a demandé à son illustre hôte de quoi il en retournait en Russie.

La réponse de Putin n’est guère intéressante – il prétend notamment que la loi russe ne permet pas ce genre d’activités, même si cela semblait le cas récemment à Socchi, mais la juxtaposition de ces deux personnalités médiatiques a quand même un côté surréaliste. Les réactions dans les médias occidentaux n’ont pas tardé, la majorité critiquant Snowden pour un geste qui avait tout l’air d’une grossière mise en scène cherchant à redorer le blason du chef russe, en pleine crise avec l’Ukraine. À quoi a-t-il pensé?

Les véritables motivations d’Edward Snowden font l’objet de questions et d’accusations depuis le tout début des divulgations le concernant. Et même si parfois ses détracteurs exagèrent, certains de leurs commentaires demeurent tout à fait légitimes.
Pourquoi fuir en Chine et en Russie, deux importants adversaires des États-Unis qui ont parmi les pires feuilles de routes en matière de droits humains et de liberté de presse? Pourquoi ne pas s’être contenté de divulguer des informations sur les programmes de surveillance domestique américains (son objectif avoué, du moins au début), alors que la vaste majorité des documents finalement publiée n’ont rien à voir avec cette question et concerne plutôt les activités habituelles des agences de renseignement?

Et maintenant, pourquoi cet exercice de propagande ridicule, qui ne bénéficie finalement que Putin?

Face au tollé, Snowden s’est empressé dès le lendemain de répondre à travers un éditorial du Guardian. Justifiant son acte, il explique qu’il désirait forcer Putin à se prononcer sur la question et, pour reprendre son expression, démarrer une conversation que d’autres journalistes pourront revisiter. Je suppose que c’est un point de vue qui a du sens à ses yeux, mais il m’apparait plutôt naïf dans le contexte politique russe. Putin, qui contrôlait très certainement cette séance de question réponse, tout comme il contrôle les médias télévisuels de son pays, n’a que faire d’avoir l’air hypocrite ou de se faire prendre à mentir. Et les journalistes russes qui désirent critiquer le Kremlin ont bien d’autres chats à fouetter que de suivre le leadership occidental d’un problème bien plus complexe que ce que nous pouvons vivre ici. Au 148ème rang dans l’index de liberté de presse de Journalistes sans Frontière, les liens entre les agences de renseignement russe et le pouvoir en place suivent une longue tradition qui n’a pas d’équivalence ici, et qui ne se règlera pas à coup de questions assassines.

Les plus cyniques diront que ce fiasco confirme que Snowden est sous influence des services secrets russes depuis son arrivé là-bas, peut-être même depuis son séjour à Hawaï. « Sous influence » veut dire ici bien des choses, mais disons que certaines de ses fréquentations laissent à désirer.

Je préfère l’explication plus banale. Snowden est sincère dans ses convictions, mais s’est retrouvé dépassé par la place et le rôle qu’il occupe, et est devenu le pion bien malgré lui du jeu géopolitique russe. Il existe même un terme pour cela: les idiots utiles. C’est le nom qu’on donnait aux sympathisants occidentaux qui ont vanté les politiques soviétiques à l’époque stalinienne et durant la guerre froide. Comme Walter Duranty, ce journaliste anglais reconnu pour ses articles éloquents qui niait la famine ukrainienne de 1933 (ironiquement, Duranty fut récompensé du prix Pulitzer pour son travail.)

Snowden se dit déçu de la réaction des médias américains sur son apparition télévisuelle – c’est du moins ce que laissent entendre certains de ses collaborateurs. Parions qu’il ajustera son tir et se fera un peu plus tranquille à partir de maintenant. Il doit également appréhender l’anniversaire fatidique de son asile politique – parions qu’il désirera le voir renouveler.

Marqué

De sécurité, de vie privée et de nuage

Article paru hier dans le Journal de Montréal, portant sur l’infonuagique (qui est une jolie traduction de « cloud computing »), écrit par M. Pierre Trudel, titulaire de la Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique. J’ai eu l’occasion de croiser M. Trudel alors que nous étions tous les deux invités sur le même panel dans le cadre du colloque « Maître chez vous » de Force Jeunesse en février dernier.

M. Trudel est un avocat qui voit les questions de protection de la vie privée et des renseignements personnels avec ses yeux de juriste, ce qui lui donne une perspective différente de la question (en tout cas, différente de celle dont je suis habitué).

Il y a évidemment une relation entre la protection des renseignements personnels et la sécurité de l’information, pour la raison évidente que ces renseignements sont de l’information. Protéger la confidentialité de l’information personnelle n’est guère différent de protéger la confidentialité de secrets industriels, ou de numéros de carte de crédit.

D’un autre côté, les principes protection des renseignements personnels dépassent la simple sécurité de l’information. Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques exige que les entreprises soient en mesure de mettre à jour l’information personnelle sur demande, ou restreignent son utilisation aux seules fins spécifiées lors de leur divulgation. Ce sont évidemment des considérations importantes, mais qui n’ont que peu d’équivalents ailleurs dans l’industrie.

Sur l’infonuagique, l’article de M. Trudel porte sur les considérations légales reliées à l’emplacement physique de l’information. Ces considérations ont toujours été importantes dans un contexte de sécurité des TI, mais M. Trudel apporte un bon point, à savoir que l’espionnage électronique est devenu un nouvel argument dans cette réflexion.

Si j’utilise les services d’une entreprise internet pour enregistrer de l’information sensible sur son nuage, je peux toujours m’assurer que l’entente contractuelle qui nous relie l’oblige à respecter les lois du pays où j’habite. Les entreprises qui offrent des services à la planète deviennent de plus en plus habiles à jongler avec toutes ces législations parfois complètement différentes. Mais si mon information peut être impunément volée car les lois en vigueur où elle réside physiquement (ex: aux États-Unis) permettent au gouvernement en place d’en demander l’accès, et interdisent même à l’entreprise concernée de m’en avertir, aucune entente contractuelle ne pourra me protéger. Cela dit, il existe des moyens techniques (le chiffrement) qui peuvent être adaptés à ce genre de problème.

Qu’on ne se fasse pas d’idée, les États-Unis ne sont pas les seuls à vouloir jouer à ce petit jeu. Et cette « révolte des pays européens  » (voir le lien à la fin de l’article de Pierre Trudel) cache une certaine forme de protectionnisme. En critiquant l’utilisation de services étrangers, les Européens se trouvent à mousser les leurs. Une dynamique semblable est présente dans les critiques envers les grandes compagnies d’équipements de télécommunication (comme Cisco) et leur collaboration avec les services de renseignements américains.

Marqué

Heartbleed, la NSA et les vulnérabilités logicielles

Hearbleed défraie les manchettes depuis la semaine dernière, mais déjà la nouvelle a fait son petit bout de chemin. En commençant par les excuses du malheureux programmeur derrière l’erreur de programmation responsable de la vulnérabilité. Les rapports préliminaires laissaient penser à d’une porte dérobée, placée délibérément à l’intérieur du code d’OpenSSL, mais les origines du bogue semblent finalement tout à fait banales.

Une autre hypothèse discutée est que la NSA connait l’existence de Heartbleed depuis un certain temps déjà, mais a décidé de ne pas en avertir les développeurs et le grand public. C’est du moins ce que laisse entendre cet article qui prétend que l’agence américaine avait identifié le bogue dès son introduction malencontreuse en début 2012, et l’exploitait depuis à ses propres fins. Des accusations que la NSA s’est empressée de démentir, mais la réputation de l’organisation étant ce qu’elle est depuis un an, mon petit doigt me dit qu’un simple communiqué ne sera pas suffisant pour convaincre les sceptiques.

Qu’elle soit véridique ou non, cette accusation ramène sur le tapis une question intéressante, que plusieurs commentateurs n’ont d’ailleurs pas hésité à soulever: la NSA (ou les autres agences de renseignement ayant de semblables activités) devrait-elle dévoiler publiquement les vulnérabilités logicielles découvertes par ses employés dans l’exercice de leur travail? C’est un problème fort épineux et qui met en lumière les différents objectifs des deux cultures impliquées.

Pour les professionnels de la sécurité informatique, les bonnes pratiques en matière de traitement des vulnérabilités logicielles font l’objet de discussions depuis plusieurs années. La plupart des développeurs ont depuis adopté des processus encadrant la découverte des vulnérabilités, leur divulgation, la production des correctifs appropriés et leur distribution et installation chez les utilisateurs. La philosophie promulguée par la communauté à travers ces pratiques en est une de transparence: les nouvelles vulnérabilités affectant un logiciel doivent être communiquées rapidement à tous, afin que les propriétaires et utilisateurs de système puissent prendre les mesures nécessaires pour protéger leur information contre le risque encouru. Parfois, un court laps de temps est laissé aux développeurs afin qu’ils soient en mesure de produire le correctif nécessaire et éviter une trop longue période de temps entre la divulgation de la vulnérabilité au public et la disponibilité d’un correctif. En contrepartie, les entreprises sont sévèrement blâmées s’ils tardent à procéder à cette divulgation pour des raisons d’image – ce qui arrive encore de temps en temps.
Cette approche n’a évidemment du sens que dans un contexte où les acteurs cherchent à se défendre contre des attaques utilisant ces vulnérabilités. Les cybercriminels, qui ont leur propre raison de découvrir et d’exploiter des vulnérabilités logicielles, n’ont évidemment aucun avantage à se plier à ces bonnes pratiques; au contraire, ils cherchent à garder secrètes ces vulnérabilités le plus longtemps possible.

Les objectifs des agences de renseignement s’apparentent à la fois à ceux des professionnels en sécurité et des cybercriminels. Dans le contexte de la sécurité informatique, leur mission est à la fois de protéger l’infrastructure stratégique de leur pays face à l’espionnage international, mais également d’effectuer des opérations clandestines à l’étranger visant à recueillir de l’information jugée d’importance stratégique, souvent confidentielle.

C’est pour cette seconde mission, dite offensive (connue en anglais par le terme « offensive security », ou OFFSEC) que les agences de renseignement ont développé au cours des dernières années l’expertise interne nécessaire à l’identification et l’exploitation de vulnérabilités logicielles inédites. Ces vulnérabilités ne sont pas communiquées aux développeurs; plutôt, on les garde secrètes dans le but ultime de les utiliser pour exploiter des cibles, généralement étrangères. Stuxnet, le ver qui a infecté les centrifugeuses nucléaires iraniennes il y a quelques années, utilisait des vulnérabilités jusqu’alors inconnues du grand public car jamais dévoilées. D’une grande complexité, il a probablement été développé par les services Américains et Israéliens.

Évidemment, ces agences pourraient très bien communiquer leurs découvertes aux développeurs de logiciel, et ainsi participer à la philosophie de transparence en gestion des vulnérabilités mentionnée plus haut. La NSA pourrait ainsi aider l’industrie du logiciel commercial à rendre leurs produits plus sécuritaires qu’ils ne le sont présentement, et contribuer de façon positive à la communauté. C’est certainement ce qu’un grand nombre de professionnels en sécurité souhaitent. Cela dit, il y a peu de chance que ça arrive.

D’un point de vue offensif, et tel que mentionné plus haut, publier ces vulnérabilités diminue leur valeur. Une agence de renseignement désire pouvoir se fier à des vulnérabilités encore inédites pour infiltrer un système d’information étranger avant que les correctifs applicables ne soient conçus et installés. C’est une tâche qui devient plus difficile du moment où la cible est mise au courant du risque pour sa sécurité.

D’un point de vue défensif, c’est plus compliqué. Les agences de renseignement, en adoptant un rôle dans la recherche de vulnérabilité pour le compte de l’industrie logicielle, se retrouveraient également à faire un travail qui n’est, à la base, pas le leur. C’est normalement aux développeurs que revient la tâche de s’assurer que les logiciels vendus sont exempts de vulnérabilités. Comme c’est un objectif qui s’avère difficile à atteindre, on s’attend à ce que ces entreprises soient réceptives face aux vulnérabilités trouvées sur leurs produits par des chercheurs indépendants; certaines d’entre elles allant jusqu’à offrir des primes pour les cas les plus sérieux. Est-ce une si bonne idée de demander à une organisation comme la NSA de s’introduire (gratuitement?) dans cet écosystème, surtout lorsque ce sont tous les acteurs internationaux qui en bénéficieraient, puisqu’ils utilisent souvent les mêmes produits? Si un gouvernement désire diminuer le nombre de vulnérabilités présentes dans les produits informatiques (ce qui est, en soi, un objectif fort valable), il devrait probablement s’y prendre autrement, en stimulant la sécurité de l’information à même l’industrie logicielle par exemple, ce qui serait probablement plus efficace et moins coûteux pour tout le monde, et ne mettrait pas la NSA en conflit d’intérêts.

Face à la grogne engendrée par le silence de la NSA sur des vulnérabilités connues, mais non divulguées, l’administration Obama a récemment suggéré d’obliger le service de renseignement à publier ses découvertes… sauf lorsqu’elles présentent un enjeu national stratégique pour les ÉU. Compte tenu de la difficulté à déterminer ce qui devrait être un enjeu et ce qui ne l’est pas, ce n’est pas une proposition qui risque de changer les habitudes. Cela pourrait quand même les inciter à dévoiler les vulnérabilités qui ne leur sont plus utiles: celles dont on soupçonne la publication imminente ou quand d’autres vulnérabilités, plus efficaces et insidieuses, sont déjà connues et utilisées, rendant la nouvelle superflue du point de vue des agences de renseignements.

Finalement, une troisième option s’offre, qui est peut-être déjà sur le bout de votre langue si vous vous êtes rendu jusqu’ici dans votre lecture: celle de demander aux agences de renseignement de complètement se retirer de la recherche en vulnérabilités logicielles. C’est une proposition qui en cache en fait une autre: celle de leur interdire tout simplement d’effectuer des opérations offensives. Pour diverses raisons, je ne pense pas qu’on doit s’attendre à ce que ça arrive de sitôt… mais il s’agit d’un tout autre sujet, que je vais me réserver pour une discussion future.

Marqué ,