PRISM fait des envieux
Le système de surveillance à grande échelle de la NSA, PRISM, semble prêt à essaimer. Et l’Inde et le Japon voudraient les leurs. Mais ce sont loin d’être les seuls. De quoi poser des questions sur la vie privée des individus mais peut-être aussi, demain, sur la sécurité des plus grandes entreprises.
«Tous les gouvernements ont toujours fait cela.» Ce dont il s’agit ici, c’est d’utiliser Internet pour espionner et voler des données sensibles. Et cette phrase sort de la bouche du responsables de la sécurité opérationnelle de Huawei. Il répondait, fin mai, à l’ Australian Financial Review, au sujet d’accusations d’espionnage en ligne par des pirates informatiques chinois, contre des intérêts militaires américains, notamment. Ironique à tout le moins : alors que de nombreuses voix, outre-Atlantique, plaident pour l’interdiction des routeurs de coeur de réseau chinois en motif de la sécurité nationale, Edward Snowden, à l’origine des révélations sur le programme Prism vient d’affirmer que la NSA pirate les routeurs de coeur de réseau installés en Chine...
Mais plus tôt, début mai, les chercheurs de la Munk School of global Affaires de l’université de Toronto révélaient de leur côté avoir trouvé des centres de contrôle et de commande de la solution d’espionnage en ligne de l’Anglais Gamme International dans rien moins que 36 pays. Selon des responsables d’associations de protection des droits de l’homme, ces outils sont notamment utilisés pour surveiller des activistes et des opposants politiques. De quoi, valider l'idée que la surveillance de masse sur Internet est largement répandue. En France, même, selon Le Monde, la direction générale de sécurité intérieure (DGSE) «examine chaque jour le flux du trafic Internet entre la France et l’étranger en dehors de tout cadre légal,» en s’appuyant notamment sur des centres informatiques d’interception basés à l’étranger. Notons au passage qu'il y a bientôt 3 ans, Bernard barbier, le directeur technique de la DGSE était venu expliquer lors d'un colloque que "les services" disposent de la seconde puissance de calcul européenne derrière leurs homologues britanniques (serait-ce le fameux cluster HP classé au 133 rang mondial et pudiquement attribué au client "gouvernement français").
Des accès privilégiés à certaines données
Tout cela n’est peut-être si éloigné du programme Prism. Si les géant du Net ont largement assuré ne pas y collaborer, Bloomberg affirme que de nombreuses entreprises IT «ont des accords» avec «la NSA, la CIA, le FBI et certaines branches de l’armée américaine [..] pour collecter des données qui peuvent sembler sans intérêt mais qui pourraient s’avérer très utiles dans les mains du renseignement américain.» En particulier, Microsoft fournirait «aux agences du renseignement des informations sur les bugs dans ses logiciels populaires avant qu’il ne propose publiquement un correctif.» Pour l’éditeur, il s’agirait surtout de permettre au gouvernement américain de conserver une avance dans l’évaluation du risque et dans la protection. Surtout, s’opposer aux demandes des services américains du renseignement semble particulièrement difficile. Selon le New York Times, Yahoo a essayé, en vain.
De futurs émules
Et le programme Prism semble bien parti pour faire des émules à travers le monde. Interrogé à ce sujet, Vladimir Poutine a assuré que de tels programmes de surveillance illustrent «la manière dont une société civilisée devrait s’organiser pour lutter contre le terrorisme avec les technologies actuelles.» Un avis apparemment partagé par le gouvernement japonais qui, selon le Register, réfléchit à la mise en place d’une agence du renseignement comparable à la NSA et dotée de capacités de surveillance des communications en ligne. L’Inde, quant à elle, ne cache pas, depuis au moins 2008, ses velléités d’interception et de surveillance des communications électroniques chiffrées, sur les réseaux commutés classiques autant que sur les réseaux IP.
Le sous-continent met d’ailleurs actuellement en place un dispositif de surveillance centralisée, son Central Monitoring System (CMS) visant SMS, connexions GPRS/3G, appels téléphoniques, localisation et activités en ligne. Milind Deora, ministre d’Etat en charge des technologies de l’information, en a récemment assuré la défense, expliquant qu’il s’agit d’un «bon outil» qui va «garantir et protéger la vie privée» des indiens. Certains s’inquiètent toutefois de l’usage qui pourrait en être fait en lien avec le gigantesque fichier des gens honnêtes que l’Inde est en train de mettre en place dans le cadre de son projet Aadhaar - auquel il manquait encore, en février dernier, une brique de gestion de la gouvernance.
Mais le développement de programmes tels que Prism ne risque-t-il pas, in fine, de compromettre la sécurité informatique des entreprises en les privant de nouvelles avancées technologiques ? Prism soulève déjà la question de la vie privée des citoyens américains voire de la protection des données des entreprises ayant recours à des services de Cloud publics produits par des fournisseurs venus d’outre-Atlantique. Mais alors que l’industrie de la sécurité informatique s’oriente massivement vers une approche collective de l’analyse et de la détection des menaces, quelle confiance accorder aux clouds analytiques des spécialistes américains de la sécurité ?
Une menace pour la sécurité collaborative ?
La tendance est clairement à « la sécurité basée sur le renseignement», comprendre : une sécurité basée sur des dispositifs d’infrastructure connectés à un système analytique central qu’ils viennent alimenter, en plus de sources ouvertes, et qui, en retour, leur donnent les moyens d’adapter leur configuration aux menaces. La technologie FireAMP de Sourcefire illustre bien cette tendance. Mais l’on retrouve une approche comparable chez HP. Frank Mong, vice-président de HP et directeur général de son activité produits de sécurité d’entreprise, expliquait ainsi, début mai, les apports du Big Data à la sécurité : «Autonomy peut avoir indexé toutes les informations sur le réseau interne, mais également des sources externes, comme les éléments de réputation de l’adresse IP d’où vient le trafic – eh ! ça ne touche pas que HP, mais aussi Coca Cola, et Air France ! Toutes ces requêtes ridicules qui reviennent en continu… pourquoi ?! - C’est la corrélation qu’apporte ArcSight qui fait que l’on gagne la visibilité nécessaire à la compréhension de la situation.»
Nos confrères de Bloomberg ont posé la question à McAfee. La division sécurité d’Intel assure que les données qu’elle collecte et analyse ne contiennent pas d’informations sur les individus. Mais des données relatives à des traces d’attaque comme le cheminement de logiciels malveillants au sein de réseaux d’entreprises, des vulnérabilités rencontrées sur des équipements d’infrastructures, collectées, consolidées, au sein d’un service de renseignement de la sécurité pourraient s’avérer d’une grande valeur dans la perspective d’opérations d’espionnage ou d’agression informatique. Les organisations auxquelles s’adressent ces solutions avancées voudront elles prendre ce risque pour être... mieux protégées ?