crédit photo © Brian A Jackson - shutterstock
L’étendue des programmes gouvernementaux de surveillance électronique se précise. L’Agence de sécurité nationale américaine et son homologue britannique auraient décodé les systèmes de chiffrement (SSL, TLS…) destinés à protéger la confidentialité des communications quotidiennes sur Internet.
Pour ce faire, la NSA (National Security Agency) et le GCHQ (Government Communications Headquarters) auraient utilisé supercalculateurs et « force brute », partenariats techniques, mandats et persuasion, selon des documents révélés par le lanceur d’alertes Edward Snowden, rapportent le Guardian, le New York Times et ProPublica.
Un programme de la NSA lancé en 2000 et généralisé en 2010, Bullrun, lui permettrait de décoder à peu près tout ce qui est chiffré sur Internet, qu’il s’agisse d’e-mails, de transactions bancaires en ligne, de conversations, de dossiers médicaux ou encore de secrets commerciaux.
Pour obtenir les « clés » des systèmes sécurisés, la NSA s’appuierait à la fois sur son expertise technique, en exploitant les vulnérabilités de logiciels et sur la collaboration avec des sociétés de l’industrie IT. En plus de lui fournir des données dans un cadre « légal » (FISA, Patriot Act), ces acteurs pourraient lui réserver des portes dérobées (backdoors) dans leurs solutions.
La NSA, déjà à l’origine du très décrié programme PRISM, consacrerait 250 millions de dollars par an à sa relation avec la sphère high-tech pour imposer ses vues. L’agence de renseignement américaine chercherait également à influencer la définition de standards de chiffrement afin de les détourner à son avantage.
De son côté, le GCHQ, via le programme Edgehill, aurait déchiffré le trafic sécurisé des « quatre grands » du Net : Google, Facebook, Yahoo! et Microsoft.
La NSA et le GCHQ défendent leurs programmes au titre de la sûreté nationale et de la lutte antiterroriste. Des critiques, parmi lesquels des spécialistes de la sécurité informatique et des organisations de défense des libertés numériques, les accusent de s’attaquer aux fondements d’Internet et de bafouer la vie privée des utilisateurs, alors que « la cryptographie constitue la base de la confiance en ligne ».
Si déchiffrer des communications sécurisées peut prévenir le crime et alimenter la riposte, la pratique n’est pas sans risque. Pour Matthew Green, chercheur à la Johns Hopkins University cité par le New York Times, « le risque quand vous créez une porte d’accès dérobée dans des systèmes est que vous ne soyez pas le seul à l’exploiter ».
Voir aussi
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…