211service.com
Le contournement du cryptage libère les mains de la NSA en ligne
Une série de fuites cet été a révélé que la National Security Agency utilisait de nouvelles interprétations de la loi américaine pour collecter des données en masse auprès des plus grandes sociétés Internet du monde. Désormais, de nouveaux rapports sur les capacités techniques de la NSA suggèrent que l'agence peut en fait lire la plupart des communications en ligne sans aller directement aux fournisseurs de services.
le New York Times , citant des documents divulgués par l'ancien entrepreneur de la NSA Edward Snowden, rapports que la NSA a contourné ou déchiffré une grande partie du cryptage utilisé en ligne. De telles capacités pourraient être très puissamment combinées avec l'accès dont l'agence est connue pour le trafic acheminé par les fournisseurs de services Internet et les principaux câbles de télécommunications internationaux.
Cela suggère qu'ils n'ont plus besoin d'aller, par exemple, sur Google ; ils peuvent déchiffrer les données d'AT&T ou utiliser leur propre infrastructure, par exemple, sur les câbles sous-marins, explique Dan Auerbach, un technicien du personnel du Fondation de la frontière électronique .
L'utilisation par la NSA de ses capacités de surveillance est limitée par la loi américaine, qui interdit la surveillance des citoyens américains. Cependant, des fuites plus tôt cet été ont révélé que l'agence avait utilisé des interprétations juridiques jusque-là inconnues pour justifier la collecte de données en masse auprès de sociétés de communication américaines en vue d'une analyse ultérieure (voir La surveillance de la NSA reflète une interprétation plus large du Patriot Act). Les opposants à la tactique affirment que la collecte en vrac augmente le risque d'abus des pouvoirs de surveillance, accidentelle ou autre.
le Fois rapport et un du Gardien sur la base des mêmes documents, omettent de nombreux détails sur les capacités de la NSA, mais décrivent des méthodes qui entrent dans deux grandes catégories : les efforts ciblés qui contournent le cryptage utilisé par une entreprise particulière et les méthodes qui peuvent attaquer les systèmes cryptographiques sous-jacents utilisés par de nombreuses entreprises.
Dans la première catégorie, la NSA maintiendrait une base de données de clés de chiffrement utilisées par de nombreux fournisseurs en ligne pour sécuriser les données, permettant à toutes les données de ces services d'être facilement déchiffrées. Les clés auraient été obtenues à l'aide d'ordonnances de justice, en gagnant la collaboration volontaire des entreprises ou en piratant des entreprises pour voler leurs clés. Des attaques contre des sociétés spécifiques sont apparemment également possibles parce que la NSA a compromis les puces de cryptage utilisées par certains fournisseurs de services. Il l'a fait, selon le rapport, en découvrant des failles de sécurité ou même en persuadant les fabricants d'installer des portes dérobées.
La puissance et la portée de la deuxième catégorie d'attaques, qui cherchent à saper les algorithmes cryptographiques, sont moins claires. le Fois affirme que la NSA a fait des progrès avec des techniques qui pourraient rendre pratique le cryptage inversé généralement supposé être sécurisé, en partie en influençant la conception de normes cryptographiques pour créer une porte dérobée secrète. L'un des principaux objectifs de ces attaques était SSL, la technologie utilisée pour imposer des connexions sécurisées à des services en ligne tels que les services bancaires.
Les experts en cryptographie ont du mal à digérer les nouvelles selon lesquelles les normes qu'ils pensaient sûres pourraient présenter des vulnérabilités introduites par la NSA. Cependant, sans détails sur la nature et l'efficacité de telles attaques, il est peu probable que SSL soit abandonné.
Il existe des technologies qui pourraient permettre aux entreprises de limiter la capacité de la NSA à contourner le cryptage en mettant la main sur leur clé de cryptage utilisée pour sécuriser les données. Une technique appelée secret avancé parfait empêcherait l'agence d'utiliser une clé de chiffrement qui a été prise d'une entreprise, ou qui a été craquée mathématiquement, pour déchiffrer toutes les communications futures et passées. Au lieu d'utiliser une clé utilisée encore et encore, la confidentialité de transmission parfaite crée des clés temporaires utilisées uniquement pour une session de communication sécurisée particulière entre un utilisateur et un fournisseur.
Google a adopté la méthode en 2011, et Auerbach dit que ma compréhension approximative est qu'il s'agit du seul grand fournisseur de services à l'utiliser. L'EFF tente depuis des mois de persuader d'autres sociétés Internet de lui emboîter le pas, sans succès.
Auerbach espère que les nouvelles de cette semaine inciteront les sociétés Internet à faire de la mise en œuvre du secret de transmission parfait une priorité. De nombreuses entreprises ont déjà réexaminé leurs pratiques en matière de sécurité et de confidentialité à la lumière des révélations de la NSA, dit-il, et il est peu probable que cette agence soit la seule à essayer de contourner le cryptage. Nous ne parlons pas seulement du gouvernement américain, mais aussi d'autres organisations de renseignement.
Joseph Lorenzo Hall, technologue senior à la Centre pour la démocratie et la technologie , une organisation à but non lucratif de Washington, affirme que des solutions techniques telles que le secret avancé parfait pourraient bien amener la NSA à obliger les fournisseurs de services Internet à installer un moyen de contourner ce problème. Même si vous deviez inventer une bonne solution technique, vous pourriez vous retrouver dans une position où vous deviez la compromettre, dit-il. En créant de telles portes dérobées, dit-il, la NSA saperait en fait la sécurité nationale des États-Unis en créant des moyens que d'autres acteurs pourraient exploiter.