jeudi 16 avril 2015

Un an de révélations fracassantes

Depuis la première édition de ce livre en français, un certain nombre de documents sont venus confirmer nos analyses. Alors que la France s’apprête à voter une loi qui autorise la surveillance massive, il est bon de faire un récapitulatif de ce que nous avons appris depuis un an sur la NSA.
 En mars 2014, l’une des premières révélations de Glenn Greenwald dans son nouveau magazine Web The Intercept concerne un programme particulièrement sophistiqué d’espionnage d’ordinateurs infectés par un virus de la NSA[1]. Turbine, de son nom, opère à partir des bases de la NSA aux États-Unis, en Grande-Bretagne et au Japon comme un système intelligent capable de décider, en temps réel, quels sont les meilleurs outils à utiliser pour surveiller des millions d’ordinateurs préalablement infiltrés par un logiciel espion.

Programmes secrets et infiltrations

Quelques jours plus tard, The Washington Post révèle que l’agence américaine dispose d’un programme nommé Mystic qui lui permet d’intercepter l’intégralité des communications téléphoniques d’un pays, de les conserver pendant trente jours pour qu’un outil logiciel nommé Retro puisse faire une recherche dans la base de données ainsi constituée[2]. On apprendra un peu plus tard que l’Afghanistan et les Bahamas ont été deux pays victimes de ces écoutes, ainsi que les Philippines et le Mexique. The Guardian révèle le même jour une activité très secrète de la NSA qui consiste à piéger des routeurs informatiques destinés à des clients étrangers et à infiltrer les systèmes informatiques de la société chinoise grâce à des portes dérobées. Un programme qui porte le nom de Shotgiant. Une autre présentation PowerPoint de la NSA démontre qu’elle utilise les réseaux sociaux pour diffuser des informations qui lui sont favorables ou ruiner la légitimité des câbles adversaires identifiés. Une pratique conçue par la GCHQ britannique, d’après The Intercept[3].
Le 3 mai 2014, The New York Times révèle que la NSA collecte chaque jour des millions d’images en ligne pour alimenter ses bases de données de reconnaissance faciale. En juillet 2014, The Intercept publie un catalogue impressionnant de tous les outils informatiques utilisés par le GCHQ pour tous les types d’espionnage électronique avec des intitulés significatifs comme « Miniature Hero » pour espionner Skype ou « Spring Bishop » pour récupérer des photos sur Facebook.
Le magazine Wired décrit le programme « Monstermind » qui permet à la NSA de répondre de manière automatique à une attaque informatique identifiée lors du congrès du Chaos Computer Club à Hambourg en décembre 2014[4] – l’ingénieur Jacob Appelbaum révèle alors que les logiciels Truecrypt et Tor résistent assez bien à la NSA, mais que la sécurité de la norme HTTPS est sérieusement compromise. Au même moment, Le Monde publie les détails d’un outil de cartographie de l’Internet de la NSA appelé « MoreCowBell » qui lui permet de tenir à jour une base de données de tous les serveurs de la planète[5].
Plus inquiétant encore, la certitude que nous avons sur le fait que la NSA surveille avec une extrême attention les administrateurs des systèmes des grandes entreprises et des grandes administrations internationales pour comprendre leur travail, intercepter les procédures et les mots de passe qu’ils utilisent, voire exercer des moyens de pression sur eux après les avoir suivis grâce au logiciel d’espionnage Quantum. The Intercept nous apprend également que les relations avec les firmes informatiques américaines et étrangères sont gérées par un programme ultrasecret nommé Sentry Hawk, particulièrement actif en Chine, en Allemagne et en Corée du Sud sous la forme d’une unité spéciale nommée Tarey[6].
C’est ensuite le programme secret Auroragold qui est exposé, activité d’espionnage de toutes les données techniques utiles à la NSA pour mieux intercepter les systèmes de communications mobiles[7]. La persistance de la surveillance du milieu des ingénieurs est confirmée par The Intercept, qui révèle l’existence du programme Horse Lovely, chargé de surveiller les discussions en ligne des experts en sécurité pour mieux connaître leur niveau technique et leurs opinions[8]. Quelques jours plus tard, le même magazine publie une révélation choquante dont l’impact sera important.
Le 10 février 2015, c’est la consternation dans les firmes informatiques et dans les services de sécurité des grandes entreprises du monde entier : l’entreprise Gemalto, leader mondial de la fabrication des cartes à puce, a été victime d’un espionnage systématique de la NSA et du GCHQ ; l’entreprise produit 2 milliards de cartes Sim par an. Son slogan « La sécurité pour être libre » repose sur des clés cryptographiques qui ont été volées après intrusion dans son réseau informatique. Ainsi les réseaux de téléphonie mobile 3G et 4G des opérateurs de téléphonie mobile deviennent accessibles aux espions. Afin de s’assurer d’une complète maîtrise de l’activité, la NSA a été jusqu’à intercepter les mails et les comptes Facebook des ingénieurs de Gemalto et de ceux de ses clients comme Ericson et Nokia. Dans le cadre de cette opération nommée Dapino Gamma, un effort particulier a été fait pour pénétrer l’état-major de Gemalto en France (La Ciotat).
Nous savons que la NSA entretient aujourd’hui des relations étroites avec de nombreuses entreprises privées du numérique américaines et étrangères, qu’elle utilise des agents infiltrés y compris à l’intérieur des entreprises et, moins surprenant, qu’elle noue des relations privilégiées avec les autres agences fédérales américaines et avec les services d’espionnage des pays alliés.




[1] Ryan Gallagher et Glenn Greenwald, « How the NSA plans to infect “millions” of computers with malware », The Intercept, 12 mars 2014, <ur1.ca/k4t2c>.
[2] Barton Gellman, « How 160,000 intercepted communications led to our latest NSA story », The Washington Post, 11 juillet 2014.
[3] Glenn Greenwald, « The Cuban twitter », The Intercept, 5 avril 2014.
[4] James Bamford, « The most wanted man in the world », Wired, 13 août 2014.
[5] Yves Eudes et Christian Grothoff, « MoreCowBell. Nouvelles révélations sur les pratiques de la NSA », Le Monde, 24 janvier 2015.
[6] Peter Maass et Laura Poitras, « Core secrets : NSA saboteurs in China and Germany », The Intercept, 11 octobre 2014.
[7] Ryan Gallagher, « Operation Auroragold. How the NSA hacks cellphone networks worldwide », The Intercept, 4 décembre 2014.
[8] Glenn Greenwald, « Western spy agencies secretly rely on hackers for Intel and expertise », The Intercept, 4 février 2015.

jeudi 9 avril 2015

L’opposition anti-NSA du printemps 2015

Les révélations d’Edward Snowden sur les abus de la NSA dans la surveillance massive mise en place ont fait un tort considérable aux entreprises américaines de l’Internet. Apparaissant comme les complices plus ou moins passifs de la NSA, Google, Yahoo, Apple et les autres ont subi une forte dégradation de leur réputation, notamment à l’étranger, ainsi que la perte de confiance de beaucoup de leurs utilisateurs. Conséquence concrète : la société d’étude Forrester estime la perte de chiffre d’affaires à 180 milliards de dollars pour 2016, somme qu’elle a révisée début avril [1]. [revoir ref en note]
Une situation insupportable qui explique que, depuis février 2015, une offensive tout azimuts a été lancée par les géants du secteur. Tout a commencé par un vif échange entre le patron de la NSA, Mike Rogers, et le responsable de la sécurité de Yahoo, Alex Stamos. En février 2015, alors que l’assistance somnole lors d’un congrès de la vénérable fondation New America, le patron de la NSA se lance dans un vigoureux plaidoyer pour que les services secrets américains puissent avoir le droit d’intercepter les mails cryptés des utilisateurs d’Internet. Stamos, prenant la balle au bond, interroge alors son interlocuteur : « Si je comprends bien, vous voulez que nous introduisions dans nos logiciels de cryptage des défauts qui permettent au gouvernement américain de les lire sans difficulté ? » Mike Rogers est surpris par la violence de cette attaque, alors qu’il ne faisait que reprendre une position déjà exprimée par le ministère de la Justice et du FBI. Il se contente de bredouiller : « C’est votre manière de l’interpréter. » « Non, répondit Stamos, tous les cryptographes du monde sont d’accord pour dire qu’on ne peut introduire de portes dérobées (backdoors) dans un logiciel de cryptographie. Cela revient à percer un trou dans un pare-brise ! » Sur sa lancée, Stamos souleva un problème encore plus brûlant pour la NSA : « Si nous devions fabriquer des produits qui donnent une clé d’accès au gouvernement américain, est-ce que vous estimez que nous devrions, sachant que nous avons 1,3 milliard d’utilisateurs dans le monde, fournir ce même service au gouvernement chinois, au gouvernement russe, à celui d’Arabie saoudite[2] ? » Quelques semaines après ce dialogue tonique, Stamos annonçait fièrement que Yahoo mettrait sur le marché fin 2015 une application de sécurité permettant à ses utilisateurs de bénéficier d’une communication très sûre[3].
Apple, considéré comme trop soumise au gouvernement, ne tarda pas à emboîter le pas à ses concurrents. Son P-DG Tim Cook, dans un entretien, a rappelé avec vigueur : « Personne ne doit accepter que le gouvernement, une entreprise ou qui que ce soit, puisse accéder à nos informations personnelles. C’est un droit de l’homme fondamental, nous avons tous droit à une vie privée et nous n’y renoncerons pas[4]. » Et l’entreprise d’annoncer que l’application pour téléphonie mobile IOS 8 bénéficierait d’un cryptage par défaut.
Le 25 mars 2015, l’union des géants de l’Internet et des associations de défense des libertés se concrétise au sein d’une association nommée Reform Government Surveillance Coalition. Ses membres ont envoyé une lettre au président Obama et au directeur de la NSA pour mettre en cause le statu quo et affirmer l’urgence d’une réforme par le Congrès. La lettre demande une « fin claire et effective des pratiques de surveillance globale » et la mise en place d’une transparence effective des pratiques du gouvernement et des entreprises pour ce qui concerne la surveillance de ces communications[5].
Parfaitement coordonné avec ses collègues, le P-DG de Google s’est également posé en défenseur intransigeant du principe de non-interférence du gouvernement dans les activités d’Internet. Eric Schmidt a d’abord rappelé que la plupart des gouvernements du monde étaient hostiles à la liberté d’expression et que les bientôt 6 milliards d’utilisateurs d’Internet n’ont pas confiance en leurs gouvernants et ont besoin d’un moyen de communication et d’expression libre, ce que Google soutient avec force. Schmidt a ensuite fermement contesté la pratique du gouvernement américain qui « conserve des données sur 300 millions d’Américains afin d’identifier cinquante terroristes potentiels et d’en trouver un qui se révèle ne pas être terroriste[6] ». Autant les demandes d’information d’une autorité judiciaire sont acceptables – elles concernent environ 10 000 cas par an –, autant la surveillance généralisée lui apparaît comme un abus flagrant.
Outre la dégradation de leur image de marque à l’étranger et les revers commerciaux essuyés, les entreprises américaines du secteur craignent par-dessus tout que les gouvernements étrangers prennent des mesures pour favoriser leurs industries nationales. C’est déjà le cas en Chine, où se prépare une loi qui vise à interdire de fait les matériels et services non chinois. Une initiative jugée suffisamment sérieuse pour qu’Obama ait interpellé publiquement son homologue chinois.
Ainsi donc, alors que le gouvernement américain envisage sérieusement d’arrêter une surveillance massive inefficace, ruineuse et contraire aux libertés, le PS et l’UMP rivalisent de zèle pour légaliser en France cette pratique odieuse.



[1] Larry Dignan, “Snowden PRISM fallout will cost U.S. tech vendors $47 billion,

less than expected”Zdnet,2 avril 2015
[2] Andrea Peterson, « The clash », The Washington Post, 23 février 2015.
[3] Andrea Peterson, « Yahoo’s plan », The Washington Post, 15 mars 2015.
[4] Allister Heath, « Entretien avec Tim Cork », The Telegraph, 27 février 2015.
[5] Reform Government Surveillance Coalition, « RGS joins broad coalition in urging Congress to reform the nation’s surveillance programs to end bulk collection and provide needed transparency », 25 mars 2015, .
[6] Discours à l’American Entreprise Institute, 18 mars 2015.