PRISM NSA : La riposte technologique

près avoir dans un précédent billet la solution de navigation Tor, pour surfer plus ou moins anonymement sur le web, aujourd’hui nous allons nous pencher sur les solutions technologiques qui sont apparues au lendemain du scandale américain.

Le chiffrement intégral des données :

Au lendemain donc du scandale, certains géants du Web (qui ont été plus ou moins impliqués dans l’affaire) ont réagi en proposant ou en planifiant un chiffrement intégral de leurs données face à la NSA.

Microsoft :

Chez Microsoft, le chiffrement des données existait déjà avant les révélations sur le programme de surveillance, mais il n’était pas intégral.
En effet, chez Microsoft les connexions entre les services et les clients sont pour la plupart déjà chiffrés, mais on se limite à ça. Les échanges de données à l’échelle de l’entreprise ne sont pas encore cryptés, ainsi que les échanges entre les serveurs au sein des centres de données.

Selon cet article du Washington Post, Microsoft suspecte l’agence gouvernementale d’avoir pénétré ses  échanges de données interne. Ces suspicions seraient d’autant plus fondées que la NSA aurait selon cet autre article intercepté les communications internes d’entreprises rivales (à savoir Google et Yahoo) et utilisant les mêmes architectures pour leurs infrastructures.

Par ailleurs les documents révélés par Snowden suggèrent que des services de Microsoft sont bien concernés, des références existent envers des services du géant sont présentes (les services Hotmail et Windows Live Messenger Services).
Le caractère personnel des données, ainsi que l’avènement le cloud, ne fait qu’augmenter le problème pour les entreprises: c’est moins à l’utilisateur qu’à l’entreprise de veiller à la protection des données, et le chiffrement seul de la connexion avec le client n’est plus suffisant.

Face à ces révélations, les officiels de Microsoft ont nié être au courant de cette opération de la NSA, voici une déclaration de Brad Smith, vice-président de Microsoft et responsable juridique de la firme, se montre inquiet : « Ces allégations sont réellement troublantes. Si elles sont vraies, ces actions sont équivalentes au piratage et à la capture de données personnelles, et de notre point de vue, sont une faille dans la protection garantie par le Quatrième Amendement de la Constitution »
Les officiels se seraient donc déjà rencontrés pour évoquer le chiffrement intégral des données, comment ils allaient le déployer, le budget ainsi que la vitesse à laquelle ça sera fait. On devrait donc voir prochainement des efforts faits dans ce sens par la firme américaine.

 

Yahoo :

 

Dans les éléments publiés par le lanceur d’alertes, Yahoo est une entreprise qui revient de manière récurrente. Avant ce scandale, les données de la firme n’étaient pas chiffrées, et ce même  (ce qui explique peut-être la forte parution du nom de l’entreprise dans ce scandale, ses données n’étaient peut-être pas suffisamment protégées).

Après les révélations, la PDG du groupe Marissa Meyer a publié une annonce sur le chiffrement des données sur son blog (voir sur le lien donné). Dans cette annonce elle annonce le fort engagement de la firme à ne pas exposer les données de ses utilisateurs. Elle explique ne jamais avoir donné accès à la NSA à ses serveurs.
La firme annonce les mesures suivantes suite à ces annonces :

  • Crypter les échanges de données entre les datacenter
  • Offrir aux utilisateurs de crypter leurs échanges avec Yahoo
  • Travailler avec leurs partenaires au niveau Mail pour que tous les sites soient sous https

En outre, ils ont doté leur client Mail d’un chiffrement https (ssl) avec des clés de 2048 bits.

Le chiffrement intégral des données a donc été une des mesures techniques prises par les géants du Web suite à ce scandale. On va voir d’autres mesures adoptées au lendemain des révélations.

 

Le chiffrement des messages :

Un article du journal allemand Der spiegel (voir dans les sources) rapporte que la NSA surveillerait également le contenu des smartphones.
Les téléphones concernés seraient ceux tournant sous Android, iOs et les BlackBerry.

Parmi les informations récupérées par le NSA figureraient les SMS, les mails, les listes de contact, les informations de localisation.
La NSA procèderait cependant par des moyens détournés pour accéder au contenu des smartphones, en allant jusqu’à utiliser l’aide d’autres services alliés.
Dans le cas de BlackBerry par exemple,  l’agence gouvernementale aurait utilisé l’aide de son équivalente britannique, la GCHQ, sigle pour Government Communications Headquarters. En 2009, la NSA aurait ainsi percé les défenses de BlackBerry pour accéder au stockage des SMS. Mais la même année, BlackBerry change sa méthode de compression des données, modifiant du même coup le chiffrement. L’année suivante, en mars, le GCHQ informe dans une communication à la NSA qu’elle est parvenue à percer cette nouvelle défense.

Face à ces nouvelles déclarations, des solutions sont apparues pour permettre le chiffrement des messages, que ce soit sur les smartphones ou même sur les ordinateurs. On va en présenter quelques-unes.

TextSecure :

Les développeurs de Cyanogen, célèbres pour la création de Rom (personnalisations des versions du système d’exploitation Android) pour les smartphones sous Android, ont dévoilé leur nouvel outil TextSecure. C’est une application qui permet le chiffrement des SMS en utilisant les clés des deux protagonistes de la communication.
Les messages à d’autres utilisateurs de TextSecure sont chiffrés à la volée, et tous les messages sont stockés dans une base de données chiffrée sur l’appareil. Si le téléphone est perdu ou volé, les messages seront en sécurité, et les communications avec d’autres utilisateurs de TextSecure ne peuvent pas être espionnées à la volée.

De plus son code est open source et est disponible sur Github, la communauté entière travaille donc dessus et il est difficile d’y introduire des portes dérobées ou autres sans qu’on ne s’en rende compte. L’intégration de TextSecure est profonde que l’on ne pourrait le penser et l’outil pourra au final s’interfacer avec n’importe quelle autre application de gestion des SMS. Si vous envoyez un message à un autre utilisateur de CyanogenMod ou TextSecure, le chiffrement sera automatique. Sinon, il sera envoyé en clair. Pour l’utilisateur tout sera fait de manière transparente. Des indicateurs vont néanmoins être rajoutés à terme afin d’indiquer si le chiffrement sera activé ou non en fonction du destinataire.
Un client iOs est aussi en cours de développement par les équipes.

Cryptocat :

La dernière solution présentée est différente de la précédente, dans le sens où elle ne concerne pas que les messages et les smartphones. C’est un client de chat sécurisé, disponible comme extension pour les navigateurs Firefox, Chrome, Safari, Opera. Des clients sont aussi prévus sur les smartphones.
Cryptocat chiffre les chat côté client ; la confiance au serveur se limite à des données déjà chiffrées.

Elle utilise AES-256 pour le chiffrement, un échange basé sur les courbes elliptiques pour l’accord de clef, SHA-512 pour le hachage (servant pour l’authentification) et une signature HMAC pour vérifier l’intégrité des messages. Elle permet aussi des salons de discussion, en utilisant un protocole de chiffrement inspiré de celui d’OTR. Les conversations privées (entre deux personnes) en revanche sont sécurisées par une implémentation fidèle du protocole OTR.

C’est une autre solution pour permettre d’éviter l’interception des messages des utilisateurs pour toutes les agences gouvernementales. De plus, le code étant open source il est maintenu à jour des avancées en matière de sécurité et rend difficile l’introduction de portes dérobées ou de code suspect par quiconque souhaite espionner des conversations.

On a donc vu quelques solutions ou mesures technologiques qui ont émergé après le scandale  déclenché par Mr Snowden.
On est encore loin de pouvoir sécuriser complètement nos données et contrer toutes les tentatives d’espionnage, mais c’est encourageant de voir que des solutions sont en train d’être proposées. C’est aussi rassurant de voir que les géants du Web se penchent de plus en plus sur cette question, et la prennent au sérieux. Ce scandale aura eu pour mérite de nous ouvrir enfin les yeux sur la question de notre vie privée et de notre anonymat sur le Web. Surtout à l’heure où on voit l’émergence du Cloud, qui nous offrira encore moins de contrôle sur nos données (en les envoyant sur le nuage).

Sources :

http://www.pcinpact.com/news/84840-textsecure-va-gerer-chiffrement-sms-dans-cyanogenmod.htm

http://www.washingtonpost.com/business/technology/microsoft-suspecting-nsa-spying-to-ramp-up-efforts-to-encrypt-its-internet-traffic/2013/11/26/44236b48-56a9-11e3-8304-caf30787c0a9_story_1.html

http://apps.washingtonpost.com/g/page/world/hints-of-microsofts-vulnerability/621/

http://www.pcinpact.com/news/84628-face-a-nsa-microsoft-prevoit-aussi-sur-chiffrement-integral-donnees.htm

http://www.pcinpact.com/news/84485-face-a-nsa-yahoo-promet-chiffrement-integral-donnees.htm

http://yahoo.tumblr.com/post/67373852814/our-commitment-to-protecting-your-information

https://threatpost.com/textsecure-encrypted-text-messaging-integrated-into-cyanogenmod-for-android/103141

http://fr.wikipedia.org/wiki/Cryptocat

 

 

Licence Creative Commons
PRISM NSA : La riposte technologique est mis à disposition selon les termes de la licence Creative Commons Attribution 4.0 International.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>