Google a bien collaboré activement avec la NSA… et les autres aussi

Eric Schmidt, président de Google

Des échanges d’e-mails entre Eric Schmidt et Sergey Brin de Google, d’une part, et le général Keith Alexander de la NSA, d’autre part, montrent que la firme a fait bien plus que de répondre à des injonctions de la justice américaine. Les courriels mis au jour indiquent que presque tous les grands noms de l’industrie américaine sont engagés dans des démarches similaires.

« Eric. Cela m’a fait plaisir de vous revoir récemment après notre réunion plus tôt ce mois ». C’est par ces petits mots doux que le général Keith Alexander, alors patron de la NSA américaine, commence un mail à Eric Schmidt, à l’époque Pdg de Google (en photo). La chaîne qatarie Al Jazeera America met au jour deux échanges d’e-mails entre les dirigeants de Google et le directeur de la NSA qui jettent une lumière crue sur les rapports réels entre l’agence de renseignement et les grands noms de la high tech. Rappelons que, suite aux révélations d’Edward Snowden sur la portée des écoutes de la NSA sur les infrastructures détenues ou vendues par les grands industriels américains de l’IT, ces derniers ont toujours affirmé avoir été contraints de coopérer en raison des lois aux Etats-Unis. Et mènent depuis campagne auprès de l’administration Obama pour limiter la portée de ces législations, qui inquiètent leur clientèle à l’international.

Les e-mails obtenus par nos confrères, datant de janvier et juin 2012, semblent toutefois montrer un dialogue très constructif entre les dirigeants de Google – Eric Schmidt et le co-fondateur Sergey Brin – et le général Alexander. Le 28 juin, ce dernier invite ainsi le Pdg de Google à une réunion classifiée sur les menaces de sécurité sur les plates-formes mobiles se tenant le 8 août 2012 dans une zone de sécurité proche de l’aéroport de San José (Californie). Cette réunion, à laquelle doit assister « un petit groupe de Pdg », précise Keith Alexander, doit décider des mesures que prendra l’industrie pour réduire les risques sur les plates-formes mobiles. Un travail entamé six mois plus tôt, rappelle le général patron de la NSA, et auquel participe Google, Apple et Microsoft. Des entreprises « qui sont récemment parvenues  à un accord sur un ensemble de principes de sécurité clefs ». Notons que si Eric Schmidt est invité à cette réunion – un rendez-vous qu’il déclinera invoquant un conflit d’agenda -, c’est parce que Sergey Brin, qui semble coordonner les efforts de la firme de Mountain View auprès de la NSA, n’est pas disponible à cette date.

BIOS : la NSA sécurise et pirate en même temps

Le mail de Keith Alexander permet aussi de comprendre que cet effort commun sur les plates-formes mobiles est englobé dans un programme plus large, baptisé ESF (pour Enduring Security Framework, qu’on pourrait traduire par environnement de sécurité durable), lancé en 2009 afin de « coordonner les actions du gouvernement et de l’industrie sur des problématiques de sécurité importantes (et souvent classifiées) qui ne peuvent être résolues par un acteur seul » (lire ci-dessous). Avant la question des plates-formes mobiles, un dialogue a ainsi été engagé avec l’industrie sur la sécurité des BIOS des plates-formes d’entreprise. Dialogue auquel ont participé Intel, AMD, HP, Dell et Microsoft. En décembre dernier, la NSA avait affirmé avoir déjoué une attaque sponsorisée par un Etat – probablement la Chine – visant les BIOS des ordinateurs. Rappelons que ce même mois de décembre 2013, sur la base de documents dérobés à l’agence par Edward Snowden, l’hebdomadaire allemand Der Spiegel avait révélé que la NSA exploitait précisément des failles dans les BIOS de systèmes d’entreprises (serveurs, routeurs notamment) pour récupérer de l’information auprès de ses cibles.

Mail Keith Alexander

La proximité de l’industrie avec l’agence de renseignement que laissent entrevoir ces mails pose évidemment question. Certes, ces réunions et programmes visent officiellement à améliorer la sécurité des systèmes et, partant, celle des États-Unis. Mais ces échanges avec l’industrie – et l’alignement sur des standards partagés avec l’agence – peuvent également servir à faciliter les programmes d’écoute à grande échelle des espions US. Comme le remarque un avocat de l’Electronic Frontier Foundation, interrogé par Al Jazeera America, confier à la NSA à la fois une mission d’accompagnement de l’industrie dans la sécurisation de leurs infrastructures contre les menaces extérieures – notamment chinoises – et des opérations de hacking via des backdoors ou des dérivations installées sur les fibres optiques des acteurs de l’industrie relève « d’une contradiction évidente et ridicule ». Et de recommander la séparation des missions défensives et offensives avec la création de deux agences.

Des conséquences économiques majeures

Al Jazeera s’est procuré les échanges de mails entre Keith Alexander et les dirigeants de Google grâce au Freedom of Information Act (FOIA), une législation américaine obligeant les agences fédérales à transmettre leurs documents à quiconque en fait la demande. Selon Al Jazeera, des douzaines d’autres échanges entre l’agence et les dirigeants de la IT américaine seront dévoilées prochainement. Des révélations qui tombent au plus mal pour l’industrie. Passé le choc des révélations Snowden, celle-ci tente désormais de redorer son blason auprès de sa clientèle internationale, inquiète des conséquences des écoutes de l’agence américaine. Récemment, Microsoft et IBM ont ainsi pris des initiatives visant à rassurer les grandes entreprises, notamment européennes. Selon une étude de Forrester, en raison de ce scandale, le manque à gagner pour l’industrie IT américaine pourrait atteindre 180 milliards de dollars d’ici deux ans, soit 25% de ses revenus globaux.

Voir aussi

Tout sur l’arsenal secret des espions de la NSA

Collectes de données : l’industrie IT savait, affirme la NSA

NSA : les 5 enseignements des dernières révélations de Snowden