NSA : la liste des protocoles cassés et résistants révélée par Snowden

le 29 décembre 2014 à 11:48
 0
Edward Snowden a révélé ce week-end à quel point certains protocoles de chiffrement sont faciles à casser par la NSA.

Le lanceur d'alerte Edward Snowden a partagé un nouveau lot de documents top secrets avec le Spiegel. De nouvelles révélations en découlent, et en particulier une liste des protocoles les plus sécurisés aux yeux de la NSA.

« L'omniprésence de chiffrement sur Internet est une menace majeure dans la capacité de la NSA à poursuivre ses services secrets en ligne et à déjouer les malwares adverses, » indique pour commencer un premier document top secret. Ce qui pose problème à la NSA, c'est la difficulté à repérer les renseignements sensibles. « Il y a 20 ans, seuls les gouvernements ou les cibles importantes mettaient en œuvre le chiffrement. Des communications chiffrées avaient de grandes chances de contenir des renseignements, » poursuit le document.

Mais contrairement à ce qu'on pourrait espérer, ce n'est pas vraiment son incapacité à déchiffrer les données qui pose problème à la NSA. Le Guardian et le New York Times ont déjà révélé l'année dernière l'existence du programme Bullrun, avec lequel les services secrets américains ont cassé quelques unes des technologies de chiffrement les plus utilisées sur Internet.

Les nouveaux documents du Spiegel permettent quant à eux d'établir la liste des technologies de chiffrement par niveaux de complexité, de « trivial » à « catastrophique ».

012C000002868978-photo-logo-nsa.jpg

HTTPS, VPN sont vains



Tracer la provenance d'un document sur Internet est ainsi trivial. Enregistrer une conversation Facebook est une mission « mineure ». Quant au service de messagerie sécurisée Mail.ru, le déchiffrement des emails envoyés par son biais ne présente qu'une difficulté « modérée ». Ces trois premiers niveaux ne posent pas vraiment de problème à la NSA.

Des protocoles largement répandus et réputés sécurisés ne le sont pas. C'est tout particulièrement le cas du HTTPS, avec chiffrement SSL ou TLS, qui s'est récemment démocratisé sur un grand nombre de services en ligne. Les connexions VPN, qu'elles utilisent le protocole PPTP ou IPsec, sont facilement démasquées par la NSA. L'agence américaine et son homologue britannique surveillent ainsi des millions et des millions de connexions jugées sécurisées chaque jour.

Tor et PGP résistent



Certaines technologies lui donnent un peu plus de fil à tordre, sans toutefois l'arrêter. Déchiffrer des emails envoyés via Zoho, des messages échangés par le biais du protocole Off-the-Record Messaging (OTR) ou encore surveiller les utilisateurs de Tor sont qualifiés de « majeur ». Mais en combinant plusieurs de ces technologies, la NSA « perd presque entièrement une vision des communications ». L'utilitaire TrueCrypt, dont le développement a d'ailleurs brusquement cessé, supposément en raison de pressions d'agences gouvernementales, est classé au même niveau.

Plusieurs technologies sont considérées catastrophiques par la NSA. C'est le cas du jeune protocole de chiffrement de voix sur IP et de messagerie mobile ZRTP, qu'on doit notamment au même auteur que PGP (modestement appelé Pretty Good Privacy). Ce dernier, largement utilisé pour sécuriser des échanges par email, résiste plus de vingt ans après sa conception, en 1991. Comme le souligne le Spiegel, PGP est un protocole open source, ce qui rend bien plus difficile l'insertion d'une porte dérobée (backdoor) ; même si par le passé des erreurs grossières ont été introduites à des technologies open source et sont passées inaperçues pendant des années, au point d'éveiller des soupçons de complot.

0190000007832743-photo-nsa-spiegel.jpg

Les documents publiés hier datent de 2012. La NSA a peut-être progressé ces deux ou trois dernières années. Mais on peut malgré tout tirer plusieurs enseignements de ces nouvelles révélations. La première, c'est que des solutions comme HTTPS ou les VPN ne protègent que partiellement les internautes. Elles protègent d'interceptions massives par des pirates du dimanche, mais certainement pas d'espionnages ciblés d'agences de renseignements. La seconde, c'est que les solutions open source sont vraisemblablement les moins vulnérables, dans la mesure de leur niveau de sécurisation. La troisième enfin, c'est que certains protocoles permettent à ceux qui tiennent à garder des données confidentielles même auprès des gouvernement le peuvent probablement encore, mais qu'ils attirent ainsi l'attention, puisqu'ils doivent recourir à des protocoles assez peu répandus.

Contenus relatifs
Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Cette édition 2019 de la Game Developers Conference aura suscité un intérêt tout particulier chez les joueurs grâce à la présentation de Stadia par Google. Mais aussi, et comme chaque année, l'événement à destination des professionnels de l'industrie du jeu vidéo a récompensé les meilleurs titres de ces derniers mois.
21/03 | Jeux vidéo
Un prototype du vaisseau spatial Starship va faire l’objet d’un premier essai sur le site de Boca Chica, au Texas. Une étape à la fois symbolique et importante dans la course à la conquête spatiale menée par SpaceX.
21/03 | Espace
Le constructeur va lancer en Inde son propre de système de paiement mobile. Contrairement à ses concurrents, Xiaomi n’utilise pas de puce NFC pour régler un commerçant mais met en avant le paiement par QR Code.
Incriminé pour son manque de réactivité, voire son inertie face au live diffusé par un terroriste lors de la fusillade de Christchurch, le réseau social Facebook promet de perfectionner son IA pour détecter les vidéos à caractère terroriste.
21/03 | Facebook
En pleine conférence à la Game Developers Conference, Tim Sweeney, patron d’Epic Games, a fait pleuvoir les annonces concernant le futur de sa boutique lancée en fin d’année dernière.
Alors que les écrans percés se généralisent peu à peu après la déferlante de « notchs » observée en 2018, Samsung confirme une fois encore sa volonté d’en finir avec ce genre de solutions.
21/03 | Samsung
L’horloger suisse présente une montre connectée qui enregistre les performances des golfeurs et leur donne des informations adaptées pour améliorer leur jeu, dont une cartographie 3D du parcours.
Dans le domaine spatial, les retards sur le calendrier initial d’un programme sont légion, ce qui reste assez compréhensible compte tenu de la complexité d’un lancement, de la conception d’un lanceur ou d’un moteur de fusée.
21/03 | Espace
La plateforme, lancée le 18 mars, répond aux questions posées par les Européens dans le cadre des élections qui vont avoir lieu au mois de mai. Mais sa mission ne s’arrête pas là.
21/03
Malgré sa présentation retentissante durant la Game Developers Conference cette semaine, Stadia, le service de cloud gaming signé Google, suscite encore beaucoup d'interrogations chez les joueurs.
Nvidia lance son nano-ordinateur équipé d’un processeur ARM et d’un GPU Maxwell, un kit de développement proposé pour seulement 99$ (87 €). Il ambitionne de conquérir, à l’instar du Raspberry Pi, un marché de > intéressé par le deep learning et les réseaux de neurones artificiels.
21/03 | Mini-PC
Les opérateurs mobiles ont une "fâcheuse" tendance à prolonger les offres sur les forfaits mobiles et on ne va pas s'en plaindre ! Bouygues ne déroge pas à la règle et annonce le prolongement de son offre B&YOU 40 Go à 9,99€ par mois. Et parce qu'on ne s'en lasse pas, faisons une nouvelle fois le tour de cette offre !
21/03 | Bon plan
Une pétition en ligne visant à abroger l’article 50 été victime de son succès en obligeant le site hébergeur à fermer momentanément
La filiale sportive de Mercedes accélère sa transition vers l’électrique : l’ensemble de sa gamme aura le droit à des versions hybrides rechargeables au cours des prochaines années.
Si la version française de la plus grande encyclopédie du monde se pose des questions, d’autres versions européennes ont décidé de baisser pavillon, face à la réforme du droit d’auteur.
scroll top