lundi 17 novembre 2014

Le secret ultime de la NSA

Quand Napoléon envahit Venise au printemps 1797, ses espions et savants découvrent au Palais des Doges les archives secrètes de la ville. Des siècles de diplomatie obscure et de complots s’étalent soudain leurs yeux. Au cœur même des archives, dont le secret était jusque-là soigneusement gardé, ils découvrent des grimoires intitulés «Segreti, segretissimi» contenant les documents les plus compromettants de la Sérénissime République. Ainsi la politique d’assassinats des opposants les plus farouches à la suprématie de la cité y est dûment consignée.
Grâce aux révélations d’Edward Snowden, nous savons aujourd’hui que le gouvernement américain a créé une catégorie particulière de secrets, au-delà du top-secret, dont personne n’avait jamais entendu parler en dehors d’un cercle étroit de dirigeants américains[1]. Ces informations labellisées ECI (Exceptionaly Controlled Information) sont de nature ultra secrète.

Il est vital pour le gouvernement de préserver ces « core secrets » tels le nom des entreprises hackées par la NSA ou l’identité des agents infiltrés chez les géants mondiaux de l’informatique et des télécoms (notamment en Allemagne, en Chine et en Corée du Sud). « Sentry Eagle », un programme de cyberguerre dont les activités sont résumées dans un mémo de 13 pages recèle diverses informations sur le programme « ombrelle » abritant le sanctuaire top-secret des ECI. Notons que ce document ne peut être distribué sans l’accord d’un haut cadre de la NSA, sa diffusion pouvant causer des dommages irréversibles pour la sécurité nationale américaine. La perte de cette suprématie pourrait compromettre gravement les activités des Etat-Unis et d’autres pays dans le domaine hautement sensible de la cryptologie, mettant en péril les investissements passés et futurs de la NSA ainsi que ses capacités à exploiter le cyberespace de pays ennemis et à défendre le cyberespace américain.

Le document liste six programmes critiques :

«Sentry Hawk» concerne toutes les activités informatiques relatives à l’exploitation et à la surveillance du réseau. Plus proactifs sont les programmes «Sentry Falcon» chargé de la défense du réseau informatique américain, et «Sentry Condor» chargé des piratages et autres cyberattaques.  «Sentry Osprey» concerne les programmes conjoints de la NSA et les autres agences fédérales civiles et militaires comme le Pentagone, le FBI et la CIA. Ces dernières opérations se traduisent souvent par la recherche de renseignements d’origine humaine («ROHUM» selon la terminologie militaire française, «Humint», pour «Human Intelligence», en anglais) donc à des agents infiltrés.

Plusieurs ambassades américaines dont celles de Pékin, Séoul et Berlin, disposent aujourd’hui d’unités Tarex (Target Exploitation), leur principale mission étant d’acheter, de retourner ou de compromettre des individus. «Sentry Owl» dissimule les relations de la NSA avec des entreprises privées (américaines ou étrangères), notamment celles qui lui fournissent du matériel informatique et des logiciels (leur nom est d’ailleurs caché dans les listings).
«Sentry Raven» est un programme destiné à casser les systèmes d’encryptage, en nouant par exemple des partenariats secrets avec les entreprises créatrices de logiciels. On a ainsi découvert que l’entreprise américaine RSA Security avait été payée par la NSA pour introduire des faiblesses volontaires (failles de sécurité, «backdoor system» en anglais) dans un programme standard de chiffrage par courbes elliptiques, le «Dual Elliptic Curve», censé créé des clés de manière totalement aléatoire[2]. A la suite de ces révélations, RSA Security a retiré son logiciel du marché et conseillé à ses clients de ne plus l’utiliser.

Nous savons aujourd’hui que la NSA entretient des relations étroites avec de nombreuses entreprises privées américaines et étrangères, qu’elle utilise des agents infiltrés et, moins surprenant, qu’elle noue des relations privilégiées avec les autres agences fédérales américaines. Voilà qui n’est pas fait pour rassurer les citoyens de nos démocraties numérisées.

[1] Peter Maas, Laura Poitras, « Core secrets », The Intercept, 10 novembre 2014.


[2] Joseph Menn, « Secret Contact », Reuters, 20 décembre 2013.

Aucun commentaire: