Prism : les parades des entreprises IT pour se protéger des écoutes

Suite au raz de marée de protestations lié à l’affaire Prism d’écoute à grande échelle opérée par la NSA, les leaders du monde IT semblent vouloir jouer la carte de la transparence… et veulent clarifier les procédures de transmission d’informations aux autorités.

Plus de transparence

Côté transparence, Microsoft a été le premier à dégainer, en livrant la liste des demandes effectuées par le gouvernement américain (voir « PRISM : Microsoft joue la transparence »). Exemple suivi depuis par Facebook, puis, hier, par Yahoo!. Tout indique que ces « rapports de transparence » devraient se généraliser chez les grands noms du web. Une bonne chose, mais qui ne concerne que les demandes liées à des décisions de justice.

À noter que Yahoo! et Facebook ont récemment rejoint Google dans son combat judiciaire visant à demander plus de transparence au gouvernement américain. L’idée est de pousser l’administration à utiliser systématiquement la voie judiciaire pour ses demandes de renseignements. Une méthode plus saine que celle consistant pour des services comme la NSA à aller se servir directement, hors de tout contrôle.

Halte aux backdoors

Ceci n’est toutefois qu’une partie de l’équation. La seconde réside justement dans des captations de masse de données, faites avec ou sans le consentement des entreprises, parfois au mépris de la législation existante.

Les suspicions de portes dérobées sont balayées du revers de la main par chacun des grands groupes. Difficile de connaitre le fin mot de l’histoire ici, les entreprises américaines ne pouvant communiquer sur la teneur d’éventuels accords signés avec des services de renseignement.

De ce côté, peu d’avancées sont donc à attendre. En fait, seul un audit du code source des applications et OS effectué par des tiers permettrait de garantir qu’aucune porte dérobée n’est présente. Une procédure difficile à mettre en place, en particulier pour les outils propriétaires.

Chiffrer pour entraver les écoutes sauvages

Reste les écoutes faites sans le consentement des entreprises concernées. Ici, la guerre fait rage. Google a par exemple indiqué qu’il renforcerait prochainement le chiffrement des données (voir « Google veut chiffrer pour éviter la surveillance sauvage des données »). Une voie à suivre.

De fait, généraliser l’utilisation du protocole https sur la Toile pourrait fortement compliquer le travail des services de renseignement. Si ces derniers sont en mesure de casser la plupart des systèmes de chiffrement actuels (voir « NSA et GCHQ décodent les communications chiffrées sur Internet »), une trop grosse masse de données à traiter mettra inévitablement hors-jeu leurs supercalculateurs… faute de puissance.

Puisque nous sommes écoutés, autant rendre le message le plus inaudible possible. Attention toutefois, car une communication chiffrée noyée dans une masse d’informations transmises en clair ne ferait qu’alerter les services de renseignement. Pour être efficace, le chiffrement se doit d’être généralisé à l’ensemble du web. Il n’y a aucune autre solution.

Crédit photo : © Claireliot – Fotolia.com

Voir aussi
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales