Bruce Schneier : L'espionnage de la NSA nous rend moins sûrs

Bruce Schneier, cryptographe et auteur sur des sujets liés à la sécurité, a participé le mois dernier à un autre travail : aider le Gardien le journal se penche sur des documents volés à l'Agence de sécurité nationale des États-Unis par l'entrepreneur Edward Snowden, récemment de Moscou.





Bruce schneier

Réponses cryptiques : Bruce Schneier dit qu'il ne conserve aucun des documents NSA volés par Snowden sur son ordinateur portable.

Au cours des derniers mois, ce journal et d'autres médias ont publié un flux constant de révélations, y compris la vaste échelle à laquelle la NSA accède aux principales plates-formes cloud, écoute les appels et les SMS des opérateurs sans fil et tente de subvertir le cryptage.

Cette année, Schneier est également membre du Berkman Center for Internet and Society de Harvard. Dans une conversation là-bas avec David Talbot, correspondant en chef de Examen de la technologie du MIT , Schneier a fourni une perspective sur les révélations à ce jour et a laissé entendre que d'autres allaient arriver.



Pris ensemble, que révèlent tous les documents de Snowden divulgués jusqu'à présent que nous ne savions pas déjà ?

Ceux d'entre nous dans la communauté de la sécurité qui regardent la NSA avaient fait des hypothèses dans le sens de ce que Snowden a révélé. Mais il y avait peu de preuves et aucune preuve. Ce que ces fuites révèlent, c'est à quel point la surveillance de la NSA est robuste, à quel point elle est omniprésente et à quel point la NSA a réquisitionné l'ensemble d'Internet et l'a transformé en une plate-forme de surveillance.

Nous voyons la NSA collecter des données auprès de tous les fournisseurs de cloud que nous utilisons : Google et Facebook et Apple et Yahoo, etc. Nous voyons la NSA en partenariat avec tous les principaux opérateurs de télécommunications aux États-Unis, et bien d'autres dans le monde, pour collecter données sur le backbone. Nous voyons la NSA subvertir délibérément la cryptographie, par le biais d'accords secrets avec des fournisseurs, pour rendre les systèmes de sécurité moins efficaces. La portée et l'échelle sont énormes.



La seule analogie que je puisse donner, c'est que c'est comme la mort. Nous savons tous comment l'histoire se termine. Mais voir les détails réels, et voir les programmes réels, est très différent que de le savoir théoriquement.

La mission de la NSA est la sécurité nationale. Comment l'espionnage affecte-t-il vraiment la personne moyenne ?

Les actions de la NSA nous rendent tous moins en sécurité. Ils ne se contentent pas d'espionner les méchants, ils affaiblissent délibérément la sécurité Internet pour tout le monde, y compris les gentils. C'est de la folie de croire que seule la NSA peut exploiter les vulnérabilités qu'elle crée. De plus, en écoutant tous les Américains, ils construisent l'infrastructure technique d'un État policier.



Nous n'en sommes pas encore là, mais nous avons déjà appris que la DEA et l'IRS utilisent les données de surveillance de la NSA dans les poursuites, puis mentent à ce sujet devant les tribunaux. Le pouvoir sans responsabilité ni contrôle est dangereux pour la société à un niveau très fondamental.

Regardez-vous maintenant des documents de la NSA que personne n'a encore vus ? Est-ce qu'ils permettent de savoir si des gens ordinaires, et pas seulement des personnalités comme les terroristes d'Al-Qaïda et les généraux nord-coréens, ont été ciblés ?

J'examine certains des documents que Snowden a fournis au Gardien . En raison de la nature délicate de cela, je ne peux pas commenter ce que j'ai vu. Ce que je peux faire, c'est écrire des reportages sur la base de ce que j'ai appris, et je le fais avec Glenn Greenwald et le Gardien . Ma première histoire sera publiée bientôt.



Les nouvelles histoires contiendront-elles de nouvelles révélations à l'échelle que nous avons vue à ce jour ?

Ils pourraient.

Il y a eu de nombreuses allusions aux efforts de la NSA pour fermer les portes des produits de consommation et des logiciels. Quelle est la réalité ?

La réalité est que nous ne savons pas à quel point c'est répandu; nous savons juste que cela arrive. J'ai entendu plusieurs histoires de personnes et je travaille pour les faire publier. D'après ce que cela semble aller, ce n'est jamais une demande explicite de la NSA. C'est plutôt une blague : alors, allez-vous nous donner une porte dérobée ? Si vous agissez de manière accommodante, la conversation progresse. Si vous ne le faites pas, c'est tout à fait niable. C'est comme sortir à un rendez-vous. Le sexe n'est peut-être jamais explicitement mentionné, mais vous savez que c'est sur la table.

Mais quels types d'accès, à quels produits, ont été demandés et accordés ? Quelle crypto est, et n'est pas, dérobée ou autrement subvertie ? Qu'est-ce qui a été ou n'a pas été corrigé ?

Autant que je sache, la réponse à ce qui a été demandé est tout : affaiblissements délibérés des algorithmes de chiffrement, affaiblissements délibérés des générations de nombres aléatoires, copies de clés principales, chiffrement de la clé de session avec une clé spécifique à la NSA… tout.

La surveillance de la NSA est robuste. Je n'ai aucune connaissance interne des produits qui sont subvertis et de ceux qui ne le sont pas. C'est probablement la chose la plus frustrante. Nous n'avons pas d'autre choix que de nous méfier de tout. Et nous n'avons aucun moyen de savoir si nous avons réparé quelque chose.

Super. Alors vous avez récemment suggéré cinq conseils pour savoir comment les gens peuvent rendre beaucoup plus difficile, voire impossible, d'être fouiné. Celles-ci incluent l'utilisation de diverses technologies de cryptage et de méthodes d'obscurcissement de l'emplacement. Est-ce la solution ?

Mes cinq conseils sont nuls. Ce ne sont pas des choses que la personne moyenne peut utiliser. L'un d'eux est d'utiliser PGP [un programme de cryptage de données]. Mais ma mère ne peut pas utiliser PGP. Peut-être que certaines personnes qui liront votre publication utiliseront mes conseils, mais la plupart des gens ne le feront pas.

En gros, l'utilisateur moyen est foutu. Vous ne pouvez pas dire N'utilisez pas Google, c'est un conseil inutile. Ou n'utilisez pas Facebook, car alors vous ne parlez pas à vos amis, vous n'êtes pas invité à des fêtes, vous ne vous faites pas baiser. C'est comme si les libertaires disaient N'utilisez pas de cartes de crédit ; cela ne fonctionne tout simplement pas dans le monde réel.

Internet est devenu essentiel à nos vies, et il a été subverti en une gigantesque plate-forme de surveillance. Les solutions doivent être politiques. Le meilleur conseil pour la personne moyenne est de militer pour un changement politique.

cacher