Failles de sécurité : 30 ans de portes dérobées se retournent contre nous
Une faille dans nos réseaux de télécommunications, imposée il y a 30 ans par une loi fédérale américaine, vient d'être exploitée par des hackers chinois pour compromettre les systèmes d'écoute de plusieurs géants des télécoms US, leur permettant potentiellement de collecter en masse les données de navigation et le trafic internet de millions d'Américains. Une catastrophe annoncée par les experts en sécurité, qui alertent depuis des années sur les dangers de ces "portes dérobées".
Une loi de 1994 impose des backdoors aux opérateurs
Tout commence en 1994, à une époque où les téléphones portables étaient encore rares et internet balbutiait. Le Congrès américain adopte le Communications Assistance for Law Enforcement Act (CALEA), qui oblige tous les fournisseurs de télécommunications et d'accès internet à mettre en place des moyens pour permettre aux autorités d'accéder aux données de leurs clients sur demande. En clair, il faut des "portes dérobées" dans les réseaux.
Après le 11 septembre 2001, de nouvelles lois comme le Patriot Act élargissent encore la surveillance. Les opérateurs doivent mettre les bouchées doubles pour s'y conformer. C'est le début d'un business florissant pour toute une industrie spécialisée dans l'interception légale.
Un secret bien gardé jusqu'aux révélations Snowden
Pendant plus de 10 ans, l'ampleur de cet accès gouvernemental aux données privées des citoyens restera largement secrète, jusqu'aux révélations choc d'Edward Snowden en 2013. On découvre notamment que la NSA s'est branchée à l'insu des géants de la tech sur leurs systèmes pour aspirer des données. Scandale à la Silicon Valley, qui verrouille alors ses services avec du chiffrement de bout en bout.
Les backdoors sont des bombes à retardement pour la sécurité nationale. Tôt ou tard elles seront exploitées, et pas seulement par les "gentils".
— Matt Blaze, professeur à Georgetown et expert en systèmes sécurisés
Les télécoms toujours vulnérables aux portes dérobées
Mais du côté des télécoms et fournisseurs d'accès, on n'a guère progressé pour chiffrer et protéger les données qui transitent. Les fameux systèmes d'écoute, parmi les plus sensibles de leurs réseaux, concentrent toujours un accès quasi-illimité aux infos clients aux mains d'une poignée d'employés. Des cibles de choix pour les pirates !
C'est exactement ce qui vient de se produire. Selon le Wall Street Journal, le Washington Post et CNN, des hackers chinois liés au gouvernement, connus sous le nom de Salt Typhoon, ont réussi à pénétrer les réseaux de surveillance de géants comme AT&T, Lumen et Verizon. Leur butin potentiel : un "vaste ensemble de données" sur le trafic internet de millions d'Américains...
Le chiffrement comme unique parade
Pour les experts en sécurité, c'était couru d'avance. Comme le souligne Matt Blaze, "il n'y a aucun moyen de construire une porte dérobée qui ne puisse être utilisée que par les gentils". Riana Pfefferkorn, chercheuse à Stanford, enfonce le clou : le chiffrement généralisé est la seule solution. Difficile de lui donner tort après cette compromission "potentiellement catastrophique", selon les autorités US elles-mêmes.
Et le problème est loin de se limiter aux États-Unis. Partout dans le monde, les gouvernements font pression pour affaiblir ou contourner le chiffrement. En Europe, on veut obliger les messageries à scanner les communications privées à la recherche de contenus pédocriminels. Les experts en sécurité sont vent debout : impossible de le faire sans risquer des abus malveillants...
La loi CALEA devrait être considérée comme un avertissement, pas un modèle à suivre pour les backdoors.
— Matt Blaze
Cette nouvelle attaque de grande ampleur contre les systèmes de surveillance américains montre une fois de plus les dangers de vouloir à tout prix des portes dérobées dans nos outils numériques. Un risque que les experts n'ont eu de cesse de dénoncer depuis des années. Mais dans la course à l'espionnage de masse, les leçons du passé peinent à être entendues. Jusqu'à la prochaine catastrophe ?