Pour gérer vos consentements :
Categories: ComposantsSécurité

Google a bien collaboré activement avec la NSA… et les autres aussi

« Eric. Cela m’a fait plaisir de vous revoir récemment après notre réunion plus tôt ce mois ». C’est par ces petits mots doux que le général Keith Alexander, alors patron de la NSA américaine, commence un mail à Eric Schmidt, à l’époque Pdg de Google (en photo). La chaîne qatarie Al Jazeera America met au jour deux échanges d’e-mails entre les dirigeants de Google et le directeur de la NSA qui jettent une lumière crue sur les rapports réels entre l’agence de renseignement et les grands noms de la high tech. Rappelons que, suite aux révélations d’Edward Snowden sur la portée des écoutes de la NSA sur les infrastructures détenues ou vendues par les grands industriels américains de l’IT, ces derniers ont toujours affirmé avoir été contraints de coopérer en raison des lois aux Etats-Unis. Et mènent depuis campagne auprès de l’administration Obama pour limiter la portée de ces législations, qui inquiètent leur clientèle à l’international.

Les e-mails obtenus par nos confrères, datant de janvier et juin 2012, semblent toutefois montrer un dialogue très constructif entre les dirigeants de Google – Eric Schmidt et le co-fondateur Sergey Brin – et le général Alexander. Le 28 juin, ce dernier invite ainsi le Pdg de Google à une réunion classifiée sur les menaces de sécurité sur les plates-formes mobiles se tenant le 8 août 2012 dans une zone de sécurité proche de l’aéroport de San José (Californie). Cette réunion, à laquelle doit assister « un petit groupe de Pdg », précise Keith Alexander, doit décider des mesures que prendra l’industrie pour réduire les risques sur les plates-formes mobiles. Un travail entamé six mois plus tôt, rappelle le général patron de la NSA, et auquel participe Google, Apple et Microsoft. Des entreprises « qui sont récemment parvenues  à un accord sur un ensemble de principes de sécurité clefs ». Notons que si Eric Schmidt est invité à cette réunion – un rendez-vous qu’il déclinera invoquant un conflit d’agenda -, c’est parce que Sergey Brin, qui semble coordonner les efforts de la firme de Mountain View auprès de la NSA, n’est pas disponible à cette date.

BIOS : la NSA sécurise et pirate en même temps

Le mail de Keith Alexander permet aussi de comprendre que cet effort commun sur les plates-formes mobiles est englobé dans un programme plus large, baptisé ESF (pour Enduring Security Framework, qu’on pourrait traduire par environnement de sécurité durable), lancé en 2009 afin de « coordonner les actions du gouvernement et de l’industrie sur des problématiques de sécurité importantes (et souvent classifiées) qui ne peuvent être résolues par un acteur seul » (lire ci-dessous). Avant la question des plates-formes mobiles, un dialogue a ainsi été engagé avec l’industrie sur la sécurité des BIOS des plates-formes d’entreprise. Dialogue auquel ont participé Intel, AMD, HP, Dell et Microsoft. En décembre dernier, la NSA avait affirmé avoir déjoué une attaque sponsorisée par un Etat – probablement la Chine – visant les BIOS des ordinateurs. Rappelons que ce même mois de décembre 2013, sur la base de documents dérobés à l’agence par Edward Snowden, l’hebdomadaire allemand Der Spiegel avait révélé que la NSA exploitait précisément des failles dans les BIOS de systèmes d’entreprises (serveurs, routeurs notamment) pour récupérer de l’information auprès de ses cibles.

La proximité de l’industrie avec l’agence de renseignement que laissent entrevoir ces mails pose évidemment question. Certes, ces réunions et programmes visent officiellement à améliorer la sécurité des systèmes et, partant, celle des États-Unis. Mais ces échanges avec l’industrie – et l’alignement sur des standards partagés avec l’agence – peuvent également servir à faciliter les programmes d’écoute à grande échelle des espions US. Comme le remarque un avocat de l’Electronic Frontier Foundation, interrogé par Al Jazeera America, confier à la NSA à la fois une mission d’accompagnement de l’industrie dans la sécurisation de leurs infrastructures contre les menaces extérieures – notamment chinoises – et des opérations de hacking via des backdoors ou des dérivations installées sur les fibres optiques des acteurs de l’industrie relève « d’une contradiction évidente et ridicule ». Et de recommander la séparation des missions défensives et offensives avec la création de deux agences.

Des conséquences économiques majeures

Al Jazeera s’est procuré les échanges de mails entre Keith Alexander et les dirigeants de Google grâce au Freedom of Information Act (FOIA), une législation américaine obligeant les agences fédérales à transmettre leurs documents à quiconque en fait la demande. Selon Al Jazeera, des douzaines d’autres échanges entre l’agence et les dirigeants de la IT américaine seront dévoilées prochainement. Des révélations qui tombent au plus mal pour l’industrie. Passé le choc des révélations Snowden, celle-ci tente désormais de redorer son blason auprès de sa clientèle internationale, inquiète des conséquences des écoutes de l’agence américaine. Récemment, Microsoft et IBM ont ainsi pris des initiatives visant à rassurer les grandes entreprises, notamment européennes. Selon une étude de Forrester, en raison de ce scandale, le manque à gagner pour l’industrie IT américaine pourrait atteindre 180 milliards de dollars d’ici deux ans, soit 25% de ses revenus globaux.

Voir aussi

Tout sur l’arsenal secret des espions de la NSA

Collectes de données : l’industrie IT savait, affirme la NSA

NSA : les 5 enseignements des dernières révélations de Snowden

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

13 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

14 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

17 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

21 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

23 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago