Archives de mot-clé : NSA

United States of Secrets – la suite

La seconde partie du documentaire « United States of Secrets » est maintenant disponible sur leur site web.

Au final, je dois dire que j’ai réellement apprécié le travail de PBS, certainement parmi les meilleurs reportages journalistiques produits sur le sujet. Loin de la pornographie habituelle, j’ai trouvé leur documentaire clair, posé et factuel. Dans la seconde partie, on parle longuement des relations entre les agences de sécurité américaines et les grandes entreprises de services informatiques comme Google et AT&T. Leur rôle dans tout le débat dépasse celui de victime, un rôle qu’ils ont parfois tendance à adopter trop facilement.

J’aurais aimé peut-être que le documentaire s’attarde un peu plus à certains faits – on passe très rapidement sur l’aventure de Snowden en Chine et en Russie, mais bon, c’est une bien petite critique.

Si vous ne l’avez pas encore fait, je vous recommande de nouveau chaudement son visionnement.

Marqué

United States of Secrets – Un documentaire à voir

PBS_american_flagFrontline, une émission produite par PBS, a diffusée un excellent reportage mardi dernier sur les programmes de surveillance domestique de la NSA. Très étoffé, le documentaire de deux heures ne se gêne pas pour donner la parole à plusieurs des acteurs politiques et gouvernementaux derrière le scandale, remontant jusqu’à ses origines du 11 septembre 2001, et même au delà. Il discute longuement des fuites médiatiques qui ont précédé celles de la dernière année, et des délateurs (principalement de la NSA mais aussi du département de la justice) qui en sont peut-être (ou non – le documentaire évite sagement de confirmer quoi que ce soit) l’origine.

Je trouve rafraichissant l’angle sous lequel la NSA est présentée, plus intéressant que la caricature que l’on s’en fait trop souvent. Loin d’être épargnée, on peut y deviner la crise existentielle qui accaparait plusieurs de ses employés de longue date. Le conflit entre leur volonté de prendre toutes les mesures nécessaires pour éviter la répétition d’un attentat terrorisme d’importance sur le sol américain, et leurs convictions patriotiques, est montré comme jamais auparavant.

Obama en prend pour son rhume, présenté comme celui qui a tout simplement continué une pratique à la légalité douteuse commencée par son prédécesseur. Mais il est également victime de sa réalité politique, et de sa peur d’être celui qui rendra les États-Unis moins sécuritaires par faiblesse. Les arguments selon lesquels le démantèlement de cette surveillance pourrait causer le prochain acte terrorisme domestique peuvent sembler exagérés du confort de notre salon, mais je n’ai aucun doute de leur effet dans la pratique, même si l’efficacité réelle de la surveillance de la NSA n’a jamais été démontrée avec conviction.

Vraiment, un documentaire qui vaut le détour, malgré sa longueur. La diffusion de la seconde partie, portant sur la vie privée, est prévue pour le 20 mai prochain. On devrait normalement s’attarder un peu plus longuement sur l’année Snowden, et sur la collaboration étroite entre les services de renseignement et les grandes entreprises informatiques américaines.

« United States of Secrets » est disponible sur le site de PBS. Bon visionnement!

Marqué

La pornographie

Lindsay Lohan. Je suis certain que c'est une bonne personne.

Lindsay Lohan. Je suis certain que c’est une bonne personne.

Jetez un coup d’œil à cet article, qui décrit plusieurs activités de surveillance de la NSA, notamment ses relations avec les entreprises de télécommunications américaines. Vous pouvez le lire au complet si ça vous chante, même s’il est plutôt long. Et il est probable que vous n’y appreniez pas grand-chose si vous avez suivi le dossier au cours des derniers mois. Vous serez peut-être déçu par le manque de détails et de preuves matérielles référencées pour les appuyer. Même l’identité du délateur n’est pas révélée.

Finalement, c’est un article plutôt terne. Pas excitant. Je suis certain que vous l’aurez finalement oublié dans une semaine. En attendant et si ce n’est pas déjà fait, remarquez sa date de publication: le 10 mai 2006. Surprise! Cet article est paru 7 ans avant la sortie de Snowden de l’année dernière.

Comment est-ce possible? L’article du USA Today discute pourtant de plusieurs des faits reprochés récemment à la NSA. Il y a 8 ans de cela! Pourquoi n’en avions-nous pas entendu parler? Oh, il avait bien créé un certain remous, pendant quelques jours, mais sans s’imposer dans le cycle médiatique américain. Une réaction fort différence de celle qu’on a réservée à Snowden. Mais pourquoi donc?

On peut commencer par observer les différences entre l’article du USA Today et ceux de Glenn Greenwald, le journaliste qui a travaillé depuis le début avec l’illustre délateur de la NSA, et qui est certainement l’un des grands architectes de son succès.

Comme discuté plus haut, l’article du USA Today ne mentionne pas l’identité de la ou des sources qui ont servi de base à son écriture. Il tente de brosser un portrait général de la situation. Il donne aussi la parole à plusieurs représentants américains, leur permettant d’expliquer certaines des allégations amenées – on peut croire ou non à la véracité de ces explications, mais il ne fait pas vraiment de doute que l’auteur a fourni les efforts nécessaires pour contextualiser ses allégations.

Greenwald a procédé d’une manière complètement différente avec Snowden. Ses nombreux articles portent moins sur l’expérience de Snowden que sur les documents sensibles qu’il a divulgués. En s’appuyant sur des documents individuels (et comme Snowden est soupçonné d’en avoir volé plus d’un million, ce n’est pas le contenu qui manque), Greenwald a été en mesure de publier ses articles au compte goûte, semaine en semaine, ce qui est une excellente stratégie pour s’assurer de demeurer présent dans le cycle médiatique. Les autorités américaines y ont également répondu, mais post-facto, et Greenwald en a profité pour les prendre de pieds, en publiant des jours plus tard de nouvelles allégations venant directement contredire les explications officielles. L’identité du délateur n’est pas cachée, mais est au contraire centrale à l’exercice – Snowden est devenu l’ambassadeur emblématique des critiques envers la NSA et son programme de surveillance domestique. Finalement, les articles de Greenwald contiennent beaucoup de détails techniques sur les opérations et les cibles de la NSA; bien qu’il dit s’efforcer de ne publier que ce qu’il considère pertinent, une grande quantité d’information divulguée suite à la fuite de Snowden n’a strictement aucun rapport avec cette surveillance domestique.

Les propos et les allégations sont en grande partie les mêmes, à 7 ans d’intervalle. La différence vient dans la présentation de cette information.

L’article du USA Today suit la structure classique du journalisme d’enquête. Certains lui reprocheront d’utiliser une source anonyme, mais c’est une réaction moderne: plusieurs scandales américains (le Watergate vient immédiatement à l’esprit) ont été dévoilés suite à des fuites de sources anonymes. Mais en bout du compte, le résultat n’est guère attrayant, et ce n’est pas si surprenant que cela qu’il soit passé sous le radar.

La stratégie de Greenwald suit un modèle complètement différent. Elle est plutôt axée sur la volonté de maximiser l’impact de la nouvelle et sa durée. Greenwald est un polémiste et son travail vise autant à informer qu’à supporter ses idéaux libertariens et ceux de Snowden. En bout du compte, ce n’est plus vraiment de l’information: c’est de la pornographie. De la « security porn », une expression que certains commentateurs ont commencé à utiliser.

Le lecteur moyen qui a suivi à chaque semaine, pendant des mois, des révélations toujours plus croustillantes sur une agence dont les activités lui étaient, la plupart du temps, complètement inconnues, ne cherche pas tant à s’informer qu’à se divertir. Et les révélations sur la NSA compétitionnent avec d’autres types de divertissement. On suit la descente aux enfers du renseignement américain comme on suit les dernières frasques de Lindsay Lohan; la chute des grands a toujours été un spectacle populaire. Plus le scandale est juteux, plus il est biaisé et provoquant, plus on attend avec impatience le prochain chapitre. Personne ne se préoccupe réellement du sort de Lohan, tout comme personne ne se préoccupe réellement des conséquences des divulgations de Snowden sur la politique étrangère des pays concernés.

Malheureusement, beaucoup de journalistes sont tombés dans le piège de répéter sans trop se poser de questions des accusations qui cherchent à provoquer avant d’informer. C’est vrai aux États-Unis, et c’est vrai ici aussi.

Et c’est peut-être l’une des principales raisons qui m’ont poussé à créer ce blogue. Pour faire contrepoids aux pornographes.

Marqué ,

Heartbleed, la NSA et les vulnérabilités logicielles

Hearbleed défraie les manchettes depuis la semaine dernière, mais déjà la nouvelle a fait son petit bout de chemin. En commençant par les excuses du malheureux programmeur derrière l’erreur de programmation responsable de la vulnérabilité. Les rapports préliminaires laissaient penser à d’une porte dérobée, placée délibérément à l’intérieur du code d’OpenSSL, mais les origines du bogue semblent finalement tout à fait banales.

Une autre hypothèse discutée est que la NSA connait l’existence de Heartbleed depuis un certain temps déjà, mais a décidé de ne pas en avertir les développeurs et le grand public. C’est du moins ce que laisse entendre cet article qui prétend que l’agence américaine avait identifié le bogue dès son introduction malencontreuse en début 2012, et l’exploitait depuis à ses propres fins. Des accusations que la NSA s’est empressée de démentir, mais la réputation de l’organisation étant ce qu’elle est depuis un an, mon petit doigt me dit qu’un simple communiqué ne sera pas suffisant pour convaincre les sceptiques.

Qu’elle soit véridique ou non, cette accusation ramène sur le tapis une question intéressante, que plusieurs commentateurs n’ont d’ailleurs pas hésité à soulever: la NSA (ou les autres agences de renseignement ayant de semblables activités) devrait-elle dévoiler publiquement les vulnérabilités logicielles découvertes par ses employés dans l’exercice de leur travail? C’est un problème fort épineux et qui met en lumière les différents objectifs des deux cultures impliquées.

Pour les professionnels de la sécurité informatique, les bonnes pratiques en matière de traitement des vulnérabilités logicielles font l’objet de discussions depuis plusieurs années. La plupart des développeurs ont depuis adopté des processus encadrant la découverte des vulnérabilités, leur divulgation, la production des correctifs appropriés et leur distribution et installation chez les utilisateurs. La philosophie promulguée par la communauté à travers ces pratiques en est une de transparence: les nouvelles vulnérabilités affectant un logiciel doivent être communiquées rapidement à tous, afin que les propriétaires et utilisateurs de système puissent prendre les mesures nécessaires pour protéger leur information contre le risque encouru. Parfois, un court laps de temps est laissé aux développeurs afin qu’ils soient en mesure de produire le correctif nécessaire et éviter une trop longue période de temps entre la divulgation de la vulnérabilité au public et la disponibilité d’un correctif. En contrepartie, les entreprises sont sévèrement blâmées s’ils tardent à procéder à cette divulgation pour des raisons d’image – ce qui arrive encore de temps en temps.
Cette approche n’a évidemment du sens que dans un contexte où les acteurs cherchent à se défendre contre des attaques utilisant ces vulnérabilités. Les cybercriminels, qui ont leur propre raison de découvrir et d’exploiter des vulnérabilités logicielles, n’ont évidemment aucun avantage à se plier à ces bonnes pratiques; au contraire, ils cherchent à garder secrètes ces vulnérabilités le plus longtemps possible.

Les objectifs des agences de renseignement s’apparentent à la fois à ceux des professionnels en sécurité et des cybercriminels. Dans le contexte de la sécurité informatique, leur mission est à la fois de protéger l’infrastructure stratégique de leur pays face à l’espionnage international, mais également d’effectuer des opérations clandestines à l’étranger visant à recueillir de l’information jugée d’importance stratégique, souvent confidentielle.

C’est pour cette seconde mission, dite offensive (connue en anglais par le terme « offensive security », ou OFFSEC) que les agences de renseignement ont développé au cours des dernières années l’expertise interne nécessaire à l’identification et l’exploitation de vulnérabilités logicielles inédites. Ces vulnérabilités ne sont pas communiquées aux développeurs; plutôt, on les garde secrètes dans le but ultime de les utiliser pour exploiter des cibles, généralement étrangères. Stuxnet, le ver qui a infecté les centrifugeuses nucléaires iraniennes il y a quelques années, utilisait des vulnérabilités jusqu’alors inconnues du grand public car jamais dévoilées. D’une grande complexité, il a probablement été développé par les services Américains et Israéliens.

Évidemment, ces agences pourraient très bien communiquer leurs découvertes aux développeurs de logiciel, et ainsi participer à la philosophie de transparence en gestion des vulnérabilités mentionnée plus haut. La NSA pourrait ainsi aider l’industrie du logiciel commercial à rendre leurs produits plus sécuritaires qu’ils ne le sont présentement, et contribuer de façon positive à la communauté. C’est certainement ce qu’un grand nombre de professionnels en sécurité souhaitent. Cela dit, il y a peu de chance que ça arrive.

D’un point de vue offensif, et tel que mentionné plus haut, publier ces vulnérabilités diminue leur valeur. Une agence de renseignement désire pouvoir se fier à des vulnérabilités encore inédites pour infiltrer un système d’information étranger avant que les correctifs applicables ne soient conçus et installés. C’est une tâche qui devient plus difficile du moment où la cible est mise au courant du risque pour sa sécurité.

D’un point de vue défensif, c’est plus compliqué. Les agences de renseignement, en adoptant un rôle dans la recherche de vulnérabilité pour le compte de l’industrie logicielle, se retrouveraient également à faire un travail qui n’est, à la base, pas le leur. C’est normalement aux développeurs que revient la tâche de s’assurer que les logiciels vendus sont exempts de vulnérabilités. Comme c’est un objectif qui s’avère difficile à atteindre, on s’attend à ce que ces entreprises soient réceptives face aux vulnérabilités trouvées sur leurs produits par des chercheurs indépendants; certaines d’entre elles allant jusqu’à offrir des primes pour les cas les plus sérieux. Est-ce une si bonne idée de demander à une organisation comme la NSA de s’introduire (gratuitement?) dans cet écosystème, surtout lorsque ce sont tous les acteurs internationaux qui en bénéficieraient, puisqu’ils utilisent souvent les mêmes produits? Si un gouvernement désire diminuer le nombre de vulnérabilités présentes dans les produits informatiques (ce qui est, en soi, un objectif fort valable), il devrait probablement s’y prendre autrement, en stimulant la sécurité de l’information à même l’industrie logicielle par exemple, ce qui serait probablement plus efficace et moins coûteux pour tout le monde, et ne mettrait pas la NSA en conflit d’intérêts.

Face à la grogne engendrée par le silence de la NSA sur des vulnérabilités connues, mais non divulguées, l’administration Obama a récemment suggéré d’obliger le service de renseignement à publier ses découvertes… sauf lorsqu’elles présentent un enjeu national stratégique pour les ÉU. Compte tenu de la difficulté à déterminer ce qui devrait être un enjeu et ce qui ne l’est pas, ce n’est pas une proposition qui risque de changer les habitudes. Cela pourrait quand même les inciter à dévoiler les vulnérabilités qui ne leur sont plus utiles: celles dont on soupçonne la publication imminente ou quand d’autres vulnérabilités, plus efficaces et insidieuses, sont déjà connues et utilisées, rendant la nouvelle superflue du point de vue des agences de renseignements.

Finalement, une troisième option s’offre, qui est peut-être déjà sur le bout de votre langue si vous vous êtes rendu jusqu’ici dans votre lecture: celle de demander aux agences de renseignement de complètement se retirer de la recherche en vulnérabilités logicielles. C’est une proposition qui en cache en fait une autre: celle de leur interdire tout simplement d’effectuer des opérations offensives. Pour diverses raisons, je ne pense pas qu’on doit s’attendre à ce que ça arrive de sitôt… mais il s’agit d’un tout autre sujet, que je vais me réserver pour une discussion future.

Marqué ,

Par la porte d’en arrière

Il était une fois un nom bien connu dans le milieu de la sécurité, appelée RSA.

RSA, c’est en premier lieu un algorithme de chiffrement à clé publique, développé pour régler le problème classique de l’échange des clés, et qui a révolutionné la science du chiffrement.

RSA, c’est aussi une entreprise dont la réputation n’est pas à refaire, qui commercialise des implémentations de cet algorithme, et bien plus encore. Par exemple, cet elle derrière les SecurID, ces tokens d’authentification, petits « portes-clés » qui génèrent périodiquement des nombres aléatoires permettant de contrôler l’accès à certains systèmes plus critiques dans certaines entreprises, d’une façon bien plus sécuritaire qu’un simple mot de passe.

RSA, donc, jouissait d’un excellent pedigree comme peu d’autres entreprises dans ce marché plutôt spécialisé.

Vous remarquez que je parle à l’imparfait. C’est que voyez-vous, RSA a également été impliqué dans un paquet de petits scandales au cours des dernières années qui ont sérieusement terni sa réputation.

L’année dernière, dans la foulée de l’affaire Snowden, RSA s’est fait accuser d’être à la solde des autorités fédérales américaines. Ces dernières leur auraient versé plusieurs millions de dollars pour des raisons qui demeurent toujours imprécises jusqu’à maintenant, mais qui seraient en relation avec la volonté de la NSA d’introduire des « portes dérobées » (backdoors) dans certains produits de sécurité commerciaux, leur permettant de les outrepasser si nécessaire. La principale pièce à conviction: Dual_EC_DRBG, un algorithme de génération de nombres aléatoires, une pièce importante pour beaucoup de protocoles de chiffrement, et qui est soupçonnée depuis plusieurs années déjà d’avoir été spécialement conçu pour posséder une telle « porte dérobée », connue hypothétiquement par son concepteur.

Cette semaine, nouvelle tuile: un second protocole, « Extended Random », lui aussi publié par RSA dans certains de ses produits, exhibe des caractéristiques particulières et pourrait servir à accélérer l’exploitation de Dual_EC_DRBG. Un article de Reuters décrit bien l’historique de ce scandale.

Il va de soit que de telles révélations sont extrêmement dommageables pour une compagnie de la taille et de la réputation de RSA. Leur conférence annuelle, normalement très populaire, s’est vu boycottée plus tôt cet automne en guise de protestation.

De toutes les activités de la NSA révélées par l’affaire Snowden, l’ajout volontaire sur des produits commerciaux de vulnérabilités pouvant être exploitées comme « porte dérobée  » est peut-être celle qui a fait le plus sourciller les professionnels en sécurité de l’information. De telles vulnérabilités pourraient être découvertes et exploitées par une tierce partie. « Saboter » ainsi des technologies essentielles dans la sécurisation de l’infrastructure de communication semble contre-productif, même pour une organisation ayant le point de vue et la mission des agences de renseignements.

Il y a une troisième anecdote qui mérite d’être contée à propos de RSA. Cette dernière avait fait les manchettes il y a quelques années lors qu’elle avait avoué que des plans techniques de certaines de ses technologies de contrôle d’accès avaient été volés, peut-être par un gouvernement étranger. Quelques mois plus tard, ce sont des gros joueurs de l’industrie américaine qui avaient sonné l’alarme, en disant s’être fait infiltrer précisément via l’exploitation des produits de RSA. La nature exacte des informations volées chez RSA n’avait jamais été bien expliquée, mais se pourrait-il qu’il y ait un lien entre ce vol et la présence de portes dérobées dans leurs produits? Malheureusement pour RSA, j’ai de la difficulté à leur donner le bénéfice du doute, et j’aurais tendance à recommander à mes clients d’éviter leurs produits, mêmes si c’est parfois difficile à cause de leur grande popularité.

Marqué ,