crédit photo © Brian A Jackson - shutterstock
L’étendue des programmes gouvernementaux de surveillance électronique se précise. L’Agence de sécurité nationale américaine et son homologue britannique auraient décodé les systèmes de chiffrement (SSL, TLS…) destinés à protéger la confidentialité des communications quotidiennes sur Internet.
Pour ce faire, la NSA (National Security Agency) et le GCHQ (Government Communications Headquarters) auraient utilisé supercalculateurs et « force brute », partenariats techniques, mandats et persuasion, selon des documents révélés par le lanceur d’alertes Edward Snowden, rapportent le Guardian, le New York Times et ProPublica.
Un programme de la NSA lancé en 2000 et généralisé en 2010, Bullrun, lui permettrait de décoder à peu près tout ce qui est chiffré sur Internet, qu’il s’agisse d’e-mails, de transactions bancaires en ligne, de conversations, de dossiers médicaux ou encore de secrets commerciaux.
Pour obtenir les « clés » des systèmes sécurisés, la NSA s’appuierait à la fois sur son expertise technique, en exploitant les vulnérabilités de logiciels et sur la collaboration avec des sociétés de l’industrie IT. En plus de lui fournir des données dans un cadre « légal » (FISA, Patriot Act), ces acteurs pourraient lui réserver des portes dérobées (backdoors) dans leurs solutions.
La NSA, déjà à l’origine du très décrié programme PRISM, consacrerait 250 millions de dollars par an à sa relation avec la sphère high-tech pour imposer ses vues. L’agence de renseignement américaine chercherait également à influencer la définition de standards de chiffrement afin de les détourner à son avantage.
De son côté, le GCHQ, via le programme Edgehill, aurait déchiffré le trafic sécurisé des « quatre grands » du Net : Google, Facebook, Yahoo! et Microsoft.
La NSA et le GCHQ défendent leurs programmes au titre de la sûreté nationale et de la lutte antiterroriste. Des critiques, parmi lesquels des spécialistes de la sécurité informatique et des organisations de défense des libertés numériques, les accusent de s’attaquer aux fondements d’Internet et de bafouer la vie privée des utilisateurs, alors que « la cryptographie constitue la base de la confiance en ligne ».
Si déchiffrer des communications sécurisées peut prévenir le crime et alimenter la riposte, la pratique n’est pas sans risque. Pour Matthew Green, chercheur à la Johns Hopkins University cité par le New York Times, « le risque quand vous créez une porte d’accès dérobée dans des systèmes est que vous ne soyez pas le seul à l’exploiter ».
Voir aussi
Voilà deux mois que Mistral AI a publié son premier LLM ouvert. Coup d'œil sur…
Un an a passé depuis l'annonce de NumSpot. Bilans des étapes franchies et des perspectives.
Lors de sa conférence [AWS re:Invent], Amazon Web Services (AWS) a dévoilé la prochaine génération…
Lors de sa conférence [AWS re:Invent] à Las Vegas, Amazon Web Services (AWS) a fait…
Portées par l'acquisition de gridscale, les Local Zones seront le véhicule d'OVHcloud dans l'edge computing.…
KPMG France annonce l'acquisition d'iCom Cloud, pure player français des technologies Salesforce.