La rcente brche dans le secteur des tlcommunications aux tats-Unis a raviv le dbat sur lefficacit et les dangers des backdoors dans les systmes de scurit. Ces portes drobes, conues pour permettre un accs facilit aux systmes par des parties autorises (souvent les gouvernements ou les entreprises), posent des questions cruciales sur leur viabilit dans un monde o les cybermenaces sont omniprsentes. tait-ce un chec prvisible ? Et surtout, prouve-t-il que ces dispositifs sont, par nature, vulnrables ?
Le rle des backdoors dans la scurit
Les backdoors sont souvent justifies par des motifs lgitimes : lutte contre le terrorisme, enqutes criminelles ou protection des infrastructures critiques. Elles permettent aux autorits de contourner le chiffrement ou daccder des systmes complexes sans entrave.
Lun des principaux problmes des backdoors est quelles crent une vulnrabilit systmique. Une fois quune porte drobe est intgre dans un systme, il devient difficile, voire impossible, de garantir quelle ne sera utilise que par des parties autorises. Des cybercriminels, des tats-nations hostiles ou mme des initis malveillants pourraient exploiter ces accs, transformant ce qui tait cens tre une mesure de scurit en un vecteur dattaque.
La brche rcente dans les tlcoms amricaines en est un exemple frappant et souligne un paradoxe fondamental : en voulant faciliter laccs pour des raisons lgitimes, ces systmes deviennent des cibles privilgies.
Suite au piratage de Salt Typhoon, attribu des pirates chinois soutenus par l’tat, le FBI dfend l’ide, dmentie depuis longtemps, selon laquelle les agents fdraux pourraient accder aux communications amricaines sans ouvrir la porte aux pirates trangers. Les critiques affirment que l’ide du FBI, qu’il appelle chiffrement gr de manire responsable , n’est rien d’autre qu’un changement de nom d’une porte drobe du gouvernement.
Il ne s’agit pas d’une norme volte-face de la part des forces de l’ordre , a dclar Andrew Crocker, directeur du contentieux en matire de surveillance l’Electronic Frontier Foundation. Il s’agit simplement des mmes arguments illogiques qu’ils utilisent depuis plus de 30 ans, savoir que le chiffrement est acceptable, mais que nous devons tre en mesure d’accder aux communications .
Le piratage
Au moins huit entreprises de tlcommunications ont t compromises dans ce piratage, qui a t rendu public pour la premire fois en septembre et que les autorits amricaines dcrivent comme tant en cours.
Les pirates ont recueilli de grandes quantits de donnes sur les appels tlphoniques et les messages texte dans la rgion de Washington, D.C., selon ce qu’ont dclar les responsables lors d’une confrence de presse. Ces informations comprennent des dtails sur le moment et le lieu o les appels ont t passs et qui ils ont t adresss, mais pas leur contenu.
Un cercle plus restreint, d’environ 150 personnes, a vu le contenu de ses communications pirat, y compris l’audio en temps rel des communications, selon un rapport publi le mois dernier dans le Washington Post. Parmi les cibles de ce piratage figuraient Donald Trump, son avocat, JD Vance, et la campagne de Kamala Harris.
Un autre vecteur de l’attaque, selon les reprsentants du gouvernement, tait l’interface par laquelle les organismes chargs de l’application de la loi demandent des coutes tlphoniques aux entreprises de tlcommunications en vertu de la loi de 1994 sur l’assistance l’application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).
En fait, le systme CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes souponnes par le FBI.
Les dfenseurs de la vie prive l’avaient prdit depuis longtemps. Dans un billet de blog publi le mois dernier, Susan Landau, experte en chiffrement, a dclar que la CALEA tait depuis longtemps un dsastre pour la scurit nationale .
Si vous construisez un systme de manire ce qu’il soit facile pntrer, les gens le feront – les bons comme les mauvais. C’est la consquence invitable de la CALEA, une consquence dont nous avions prvenu qu’elle se produirait – et c’est ce qui s’est pass , a-t-elle dclar.
Le FBI a rfut l’ide que la CALEA tait le seul vecteur des pirates informatiques chinois
Il a galement rejet la morale plus large tire par les dfenseurs de la vie prive, savoir que seules les communications entirement chiffres de bout en bout sont scurises.
Les communications chiffres de bout en bout garantissent qu’un message crit ou un appel vocal est protg du moment o il quitte votre appareil jusqu’au moment o il arrive destination, en veillant ce que seuls l’expditeur et le destinataire puissent dchiffrer les messages, qui sont illisibles pour tout tiers – qu’il s’agisse d’un pirate informatique chinois ou du FBI.
Ce type de chiffrement ne protge pas les communications si le tiers a accs l’un des terminaux de communication, tel qu’un tlphone ou un ordinateur portable. Les pirates informatiques peuvent toujours installer des logiciels espions sur les tlphones, et le FBI, comme le soulignent depuis longtemps les dfenseurs des liberts civiles, peut toujours fouiller les tlphones par le biais de diverses mthodes, mais au cas par cas.
Ces dernires annes, de grandes entreprises technologiques telles qu’Apple ont adopt le chiffrement de bout en bout, au grand dam des forces de l’ordre. Les autorits fdrales se plaignent vivement du fait que les criminels les laissent dans l’ombre en utilisant le mme voile de chiffrement que celui qui protge les gens ordinaires des escrocs, des pirates et des oreilles indiscrtes.
Le FBI et d’autres agences ont longtemps soutenu qu’il existait un moyen de leur donner un accs spcial aux communications sans faciliter la tche des pirates et des espions. Les experts en scurit affirment que cette ide est une foutaise. Qu’il s’agisse d’une porte drobe, d’une cl d’or ou de toute autre chose, ces experts affirment que cela ne peut pas fonctionner.
Dans les conseils qu’ils ont donns au public, les fonctionnaires fdraux ont fermement approuv le chiffrement.
Le chiffrement est votre ami, qu’il s’agisse de la messagerie texte ou de la capacit utiliser des communications vocales chiffres , a dclar Jeff Greene, directeur adjoint pour la cyberscurit l’Agence pour la cyberscurit et la scurit des infrastructures (Cybersecurity and Infrastructure Security Agency).
Cependant, il est intressant de noter qu’un reprsentant du FBI, lors du mme appel, est revenu sur l’ide d’un chiffrement gr de manire responsable . Selon le FBI, ce chiffrement serait conu pour protger la vie prive des gens et gr de manire ce que les entreprises technologiques amricaines puissent fournir un contenu lisible en rponse une dcision de justice lgitime .
D’un point de vue pratique, on ne sait pas exactement quels programmes, s’il y en a, le FBI a l’esprit lorsqu’il appelle les gens utiliser un chiffrement gr de manire responsable .
Sean Vitka, directeur politique du groupe progressiste Demand Progress, a dclar que le piratage a une fois de plus fourni la preuve accablante que les portes drobes du gouvernement ne peuvent pas tre scurises. Si le FBI n’est pas en mesure de scuriser son systme d’coutes tlphoniques, il ne peut absolument pas scuriser le passe-partout de tous les tlphones Apple , a dclar Vitka.
Il est proccupant que les agences fdrales de cyberscurit ne recommandent toujours pas la technologie de chiffrement de bout en bout
Dans une dclaration, le snateur Ron Wyden (D-Ore), partisan de longue date de la protection de la vie prive, a dclar qu’il tait temps que les agences gouvernementales adoptent le chiffrement de bout en bout.
Il est proccupant que les agences fdrales de cyberscurit ne recommandent toujours pas la technologie de chiffrement de bout en bout, telle que Signal, WhatsApp ou FaceTime, qui est largement considre comme la norme de rfrence pour les communications scurises , a dclar Wyden.
Wyden s’est associ au snateur Eric Schmitt (R-Mo) pour demander l’inspecteur gnral du ministre de la dfense d’enquter sur les raisons pour lesquelles le Pentagone n’a pas utilis son norme pouvoir d’achat pour inciter les oprateurs de tlphonie mobile mieux scuriser leurs services lorsqu’il a sign un contrat de 2,7 milliards de dollars avec AT&T, Verizon et T-Mobile.
Les fonctionnaires ne devraient pas utiliser des services de communication qui permettent aux entreprises d’accder leurs appels et leurs messages. Qu’il s’agisse d’AT&T, de Verizon, de Microsoft ou de Google, lorsque ces entreprises sont invitablement pirates, la Chine et d’autres adversaires peuvent voler ces communications , a dclar Wyden dans son communiqu.
Un dilemme technologique et politique
Le dbat autour des backdoors oppose deux visions fondamentales de la scurit. Dun ct, les gouvernements et certains acteurs industriels plaident pour leur ncessit afin de garantir une surveillance efficace et une rponse rapide aux menaces. Dun autre ct, les experts en cyberscurit et les dfenseurs de la vie prive alertent sur les dangers inhrents, soulignant quaucune porte drobe ne peut tre considre comme totalement scurise .
Les entreprises technologiques elles-mmes se retrouvent dans une position dlicate. Intgrer des backdoors pourrait saper la confiance des utilisateurs, mais refuser de cooprer avec les autorits peut entraner des tensions politiques et juridiques. En 2016, par exemple, laffrontement entre Apple et le FBI sur laccs un iPhone chiffr a mis en lumire cette impasse.
Sources : Susan Landau, FBI (1, 2), Wyden
Et vous ?
Une backdoor peut-elle rellement tre conue pour ntre accessible que par des parties autorises ?
Existe-t-il des alternatives viables aux backdoors pour rpondre aux besoins des forces de lordre sans compromettre la scurit globale des systmes ?
Les entreprises technologiques devraient-elles avoir lobligation lgale de collaborer avec les gouvernements via de tels mcanismes ?
Voir aussi :