PRISM : le réseau de surveillance qui voit au-delà du chiffrement
Les révélations autour de l'existence du gigantesque réseau d'espionnage mondial PRISM piloté par les Etats-Unis ont placé les fournisseurs informatiques et télécoms américains dans une situation très inconfortable. N'ayant eu de cesse de vanter les mérites de leurs services cloud (messagerie, stockage...) en matière de sécurité et de protection des données personnelles, ils sont depuis sous le feu des critiques.
Accusé pendant l'été de fournir à la NSA les moyens de casser le chiffrement de plusieurs de ses services cloud (Outloook.com et Skype en particulier), Microsoft a contre-attaqué en demandant à l'agence l'autorisation de communiquer davantage sur les informations effectivement transmises dans le cadre de ces requêtes. Une demande d'autorisation à laquelle Google s'est joint. Les deux acteurs sont même allés devant la Justice pour se faire entendre.
Pour tenter de rassurer les utilisateurs et ses partenaires, Mountain View a d'ailleurs cet été mis en place le chiffrement des données dans Google Drive et également au sein de sa plateforme Google Cloud Storage. Avec, comme promesse, qu'aucun gouvernement n'ait la possibilité d'extraire des données en provenance directe de ses serveurs et réseau.
SI le scandale PRISM place les fournisseurs américains sous les feux des projecteurs, certains acteurs européens ont également annoncé la mise en place de nouveaux mécanismes de chiffrement. C'est en particulier le cas en Allemagne pour les hébergeurs T-Online, GMX et Web.de, pesant à eux seuls 50 millions de boîtes mails. Ils ont tous annoncé chiffrer l'intégralité des échanges de mails entre leurs serveurs (via SSL/TLS). Une initiative à laquelle sont invités à prendre part d'autres acteurs en vue de protéger les données des utilisateurs européens.
En agissant de la sorte, les géants du web veulent restaurer la confiance avec leurs utilisateurs et clients. L'un des moyens pour y parvenir est justement de prouver leurs capacités à protéger les informations personnelles des scanners de la NSA. Une parade qui trouve malgré tout clairement ses limites.
Tout d'abord, dans le cas de Google comme des opérateurs allemands, le mécanisme de chiffrement utilisé est de type symétrique. C'est-à-dire que contrairement au mécanisme de chiffrement asymétrique - comme le propose le protocole OpenPGP par exemple -, les fournisseurs conservent les clés de chiffrement. Ce qui s'avère au final plus une faiblesse qu'une force.
"Il ne faut pas tomber dans le piège marketing du chiffrement" Gérôme Billois (Solucom)
"Il ne faut pas tomber dans le piège marketing du chiffrement mais bien se poser la question de la qualité des mécanismes et de leur implémentation mais aussi sur le fait de savoir qui détient la clé de chiffrement. Si ce sont les opérateurs qui la détiennent, le cadre légal les obligent à fournir toute information à la justice", prévient Gérôme Billois, senior manager sécurité chez Solucom. Une situation qui rend pour ainsi dire caduque n'importe quel algorithme de chiffrement, aussi élevé et sophistiqué qu'il soit. D'autant que depuis plusieurs années, la NSA aurait ainsi mis en place le programme Bullrun permettant de casser le chiffrement de type SSL, VPN ainsi que la sécurité des réseaux GSM, comme l'explique le New York Times
Autre problème pour la confidentialité des données que tentent par tous les moyens de protéger fournisseurs cloud, hébergeurs et opérateurs télécoms : Xkeyscore. Véritable bras armé technologique du programme PRISM, Xkeyscore permet aux analystes de la NSA de suivre les conversations des internautes via l'analyse du trafic Internet à un très bas niveau (câbles sous-marins en particulier) et d'effectuer des recherches faisant remonter une très grande partie de la vie numérique de n'importe quel individu, via son adresse de messagerie ou pseudonyme sur les réseaux sociaux. Or, à ce jour, aucune parade n'a pu être mise en place par les fournisseurs IT pour s'en prémunir. Au contraire même puisque d'autres révélations sur PRISM ont même mis à jour un système de rétribution de la NSA permettant de dédommager financièrement les fournisseurs et opérateurs qui se seraient montrés les plus "accommodants" pour permettre le scan des données dans leurs systèmes. La somme de 278 millions de dollars est évoquée.
Les Etats-Unis ne sont pas le seul pays à avoir mis en place des mécanismes de surveillance (d'aucuns diront d'espionnage) à grande échelle. La Grande-Bretagne est également concernée avec Tempora, comme l'ont révélé des documents volés d'Edward Snowden. Un pays pour lequel des opérateurs auraient sciemment délivré des informations personnelles (Verizon, British Telecommunications, Vodafone, Global Corssing, Level 3, Viatel et Interoute).
De son côté, la NSA justifie la mise en place de PRISM par un seul but : traquer les individus portant atteinte à la sécurité nationale. Et d'avancer que grâce à lui, 300 terroristes ont pu être arrêtés en 2008. Composée de 600 hackers d'élite logés dans le QG de la NSA à Fort Meade, la DTAO (Division Tailored Access Operations) a bel et bien un œil sur le trafic web mondial. Et cela n'est pas prêt de s'arrêter.
En août, deux systèmes de messagerie emblématiques permettant jusqu'alors d'échanger de façon anonyme des données (Lavabit et Silent Mail) ont mis la clé sous la porte en raison de fortes pressions. Des remparts à la protection des données personnelles qui s'effondrent ici comme des châteaux de cartes.
Pour se prémunir des risques liés au cyber espionnage, mieux vaut donc éviter par exemple de propulser sur un réseau social d'entreprise SaaS des informations sensibles ou risquant de porter préjudice à l'entreprise dans le cas où elles tomberaient entre les mains de tierces personnes. Pour s'échanger des informations hautement confidentielles, faut-il pour autant aller jusqu'à opter pour la pittoresque rencontre en face à face dans un lieu à forte densitée de végétation pour brouiller au maximum les tentatives d'écoute ? Le curseur doit sans doute se trouver au milieu de ces deux pratiques d'échange d'informations. Certains ont en tout cas fait leur choix comme le Service fédéral de protection russe - qui a depuis le scandale PRISM lancé un appel d'offres pour s'équiper de 20 machines à écrire.
"Les directions générales et métiers ont pris conscience avec PRISM que le risque de violation de la confidentialité des données mises dans un cloud public n'est pas le fruit de la paranoïa de leur responsable de la sécurité. Mais il y a encore du chemin pour qu'elles se rendent compte du véritable danger à transférer un document professionnel confidentiel sur leur messagerie cloud personnelle pour l'étudier le week-end chez eux", alerte Gérôme Billois.