La NSA : un géant aux pieds d’argile
Depuis maintenant plusieurs mois, chaque nouvelle révélation montre une agence du renseignement aux capacités d’écoute impressionnantes. Mais également une organisation mal préparée aux menaces informatiques.
Les capacités d’interception de la NSA ont poussé, ces derniers mois, à l’accélération de la généralisation du chiffrement des échanges en ligne. Mais l’agence américaine du renseignement ne se contente pas de collecter des métadonnées de communications, ou d’intercepter des informations transitant pas Internet. Selon de nouveaux documents dévoilés par le Washington Post, la NSA utilise également des systèmes lui permettant de déchiffrer les conversations mobiles, en cassant l’algorithme de chiffrement largement répandu A5/1, sur les réseaux 2G.
Vieux de plus de vingt ans, cet algorithme est ouvertement cassé depuis la fin 2009. Il repose notamment sur une clé 64 bits, standard en chiffrement à l’époque de son premier déploiement. En 2007, la GSM Association, visiblement consciente de la faiblesse de l’algorithme, a développé une version plus sûre, reposant sur une clé 128 bits et baptisée A5/3. Elle ne serait encore que peu déployée.
De fait, comme le relèvent nos confrères, ce n’est qu’à la suite des révélations sur l’écoute du téléphone mobile d’Angela Markel par la NSA que deux opérateurs allemands, dont T-Mobile, ont décidé de généraliser l’utilisation d’A5/3 sur leurs réseaux. Toutefois, certains experts mentionnés par le Washington Post n’excluent pas que la NSA dispose de capacités de déchiffrement pour cet algorithme plus jeune mais… déjà cracké. Trois experts en cryptographie ont en effet montré, début 2010, sa vulnérabilité.
Une sécurité discutable
Mais si la NSA apparaît comme une organisation puissante, elle montre aussi petit à petit le visage d’une structure vulnérable, à la sécurité discutable. Une importante source d’enseignements pour les entreprises. Ainsi, Reuters révélait début novembre qu’Edward Snowden, à l’origine des révélations sur les activités de l’agence, s’était contenté d’utiliser les identifiants de collègues sur une base d’espionnage de Hawaii, montrant ainsi une gestion des accès et des droits peu rigoureuse. Plus tôt, c’était l’incapacité de la NSA à déployer un système de prévention des fuites de données développé par Raytheon, sur son site d’Hawaii, qu’il avait mis en exergue.
Aujourd’hui, c’est sur la gestion des informations et des événements de sécurité par l’agence que l’on est tenté de s’interroger. De fait, selon des officiels répondant sous couvert de l’anonymat au New York Times, la NSA pourrait bien ne jamais réussir à connaître l’étendue des informations collectées par Edward Snowden : « ils ont consacré des centaines et des centaines d’heures-homme à reconstruire l’ensemble de ce qu’il a obtenu, et ils ne savent toujours pas tout ce qu’il a pris. Je sais que cela fou, mais tout, dans cette affaire, est fou. » Et c’est dans ce contexte que la NSA réfléchirait à proposer une amnistie à Edward Snowden en échange de documents qu’il a collectés mais qui n’ont pas encore été rendus publics.