Le chiffrement, un “vrai problème de sécurité nationale” pour la NSA

Sur le web

Par Elodie le

Après le FBI et le GCHQ , au tour de la NSA de s’attaquer aux nouvelles méthodes de chiffrement des acteurs du net. Son directeur, Mike Rogers, estime que le chiffrement des données est « un vrai problème de sécurité nationale ». Cependant, il entend répondre aux inquiétudes juridiques et commerciales des entreprises high-tech et souhaite désormais que son agence puisse agir publiquement.

nsa_chiffrement_sécurité_nationale

Pour l’établissement d’un “cadre légal” en collaboration avec les géants du Net

C’est lors d’une conférence sur la cybersécurité, Cybersecurity for a new America, lundi 23 décembre à Washington, et en présence notamment de journalistes, experts en cryptographies et responsables techniques de firmes high-tech, que le directeur de la NSA est sorti du bois.

Face à toujours plus de chiffrement de données et smartphones réputés inviolables, le directeur de la NSA aimerait poser les bases d’un « cadre légal », en accord avec les entreprises du Net, permettant à son agence d’avoir accès aux données nécessaires (cloud, données mobiles, etc.) et empêcher que ces outils “soient utilisés à des fins criminelles ou d’espionnage“.

Surtout, il estime que les États-Unis ne sont pas suffisamment armés contre les cyberattaques, dans la manière de s’en protéger comme d’y répondre, juridiquement et technologiquement.
Pour appuyer ses propos, il prend l’exemple récent de la cyberattaque perpétrée contre Sony Pictures par la Corée du Nord (théorie remise en cause par certains experts, dont la France) :

« Si vous examinez la topologie de l’attaque […], elle rebondit littéralement à travers toute la planète avant d’arriver en Californie. Une infrastructure répartie sur de multiples continents, dans de multiples zones géographiques ».

Le maintien des “portes dérobées” est nécessaire

C’est pourquoi l’amiral juge nécessaire le maintien de portes dérobées. Rejetant le terme de « backdoor », il insiste pour que cet accès soit « public », autrement dit, connu et permis par les entreprises, et ainsi sortir les activités de la NSA de leur clandestinité.

Mike Rogers, directeur de la NSA
Mike Rogers, directeur de la NSA

‘Backdoor’, ce n’est pas le mot que j’emploierais, parce que quand je l’entends, je me dis : ‘Tiens, ça parait suspect, pourquoi ne passerait-on par l’entrée principale, de manière publique ?’. Nous pouvons créer une infrastructure juridique pour tout cela.

Cette volonté sonne un peu comme un aveu de défaite dans la guerre qui se mène entre géants du web et agences de renseignement depuis que les Snowden’s Files ont révélé au grand jour les pratiques de surveillance de masse de la NSA. Jusqu’ici, la NSA avait joué à la belle indignée, niant une à une les révélations extraites des documents subtilisés par le lanceur d’alerte Edward Snowden et/ou assurant que ses activités étaient menées en « toute légalité » ou « dans le strict cadre de la loi ». Insuffisant pour les géants du web qui ont répliqué à cout de rapport de transparence, action en justice (à l’image de Twitter), déclarations choc (Mark Zuckerberg notamment) et méthodes de chiffrement dernier cri.

Sur la question d’un accès public, Mike Rogers peine à expliquer les protections juridiques ou technologiques qui seraient mises en place pour s’assurer que l’accès offert au gouvernement US aux données sensibles des entreprises high-tech ne donne pas lieu à des abus de la part des agences de renseignement… que l’on sait coutumière du fait.
La NSA réclame donc un assouplissement des mesures prises en conséquence de ses actes, quand ces mêmes entreprises craignent d’être assimilées aux pratiques gouvernementales et de perdre leurs clients déjà passablement échaudés par les polémiques passées.

Le chiffrement toujours plus important de certains services proposés est une partie de la réponse fournie. La NSA tient donc à assurer que ces backdoors seront utilisées à bon escient, sans violation de la vie privée et sans compromettre le chiffrement. Néanmoins, il concède que ces mesures pourraient avoir un impact pour les produits américains sur la scène internationale. Mais selon lui, c’est un risque à prendre, la sécurité nationale est en jeu :

Je pense que cette inquiétude […] est légitime. Quel est l’impact économique de tout ceci ? Je pense simplement qu’entre une combinaison de technologie, légalité et politique, nous pourrions être dans une meilleure position qu’actuellement.

NSA_USA

Impliquer plutôt que combattre les géants du Net sur le sujet de la sécurité nationale

Le maintien des backdoors n’est donc pas un sujet pour lui, tant il parait évident. Pourtant, nombre d’experts dénoncent cette volonté puisque, légale ou non, une backdoor est une faille de sécurité potentiellement exploitable par n’importe qui. La NSA est d’ailleurs passée maitre dans l’art de découvrir des backdoors sur quelques systèmes que ce soit, en prenant surtout soin de ne prévenir personne afin d’exploiter clandestinement ces failles.

Pour le directeur de la NSA, le sujet des backdoors est avant tout juridique et c’est sur cet aspect, et cet aspect seul, que la NSA et les géants du web doivent travailler.
Ce cadre légal n’est pourtant pas exempt de failles et un échange tendu, retranscrit par Just Security, a eu lieu sur cette question entre Alex Stamos, le responsable de la sécurité de Yahoo, et Mike Rogers : « Si nous mettons en place des accès spécifiques pour le gouvernement américain, pensez-vous que, sachant que nous avons 1,3 milliard d’utilisateurs à travers le monde, nous devrions également mettre en place des moyens similaires pour le gouvernement chinois ? Pour la Russie ? L’Arabie Saoudite ? Ou la France ? A quel pays devons-nous donner l’accès ? »

Mike Rogers s’est contenté de botter en touche, gêné aux entournures, en rappelant la nécessité de mettre en place un cadre légal : « je crois tout simplement que c’est réalisable ».
Cette nouvelle philosophie s’inscrit dans un mouvement plus large initié par la présidence Obama depuis plusieurs semaines. Les pourparlers entamés avec les géants du web en sont l’illustration, tout comme la volonté affichée d’impliquer, plutôt que combattre, les acteurs du Net sur le sujet de la sécurité nationale.
Tout l’enjeu est de trouver un juste milieu entre la possibilité pour les entreprises de proposer des services de chiffrement de données dont seul l’utilisateur détient la clé, et la possibilité pour les agences de renseignement d’accéder à ces données lorsque cela le requiert. Pour l’amiral, ce débat s’apparente déjà à du « tout ou rien ».

USA_NSA_réforme

Le Patriot Act arrivant à son terme en juin, l’administration Obama tente peut-être de trouver une solution alternative à sa reconduite, entraînant celle de la section 215 permettant à la NSA de mettre n’importe quelle personne sur écoute sans mandat judiciaire. Un donnant donnant où chacun serait gagnant : un accès « public » accordé à la NSA en contrepartie du respect d’un cadre défini conjointement. Cependant, un tel accord nécessite la confiance de chacune des parties, qu’aucun cadre légal ne peut forcer. La boulimie et l’anarchie dont la NSA a fait preuve dans l’exercice de ses activités, couplées à une image publique désastreuse, ne va pas faciliter les échanges.

« Nous ne sommes pas mûrs, et nous ne sommes clairement pas là où nous devrions être », a-t-il concédé. Pour tenter de convaincre son auditoire, il a pris l’exemple de l’arme atomique et le bénéfice dissuasif qu’elle impose.
« Prenez l’exemple nucléaire. Si vous replongez dans les dix, vingt premières années, nous étions toujours en train de débattre sur « Bon, quels sont les concepts fondamentaux de la dissuasion ? ». Cette fameuse idée de destruction mutuelle assurée – qui ne s’est pas développée en cinq ans. Tout a pris du temps. La cyberdéfense n’est pas différente ».

Source: Source