Cybersécurité : Snowden reste particulièrement clivant au sein de la communauté
Celui qui a levé le voile sur les pratiques de l’agence américaine du renseignement il y a six ans publie son autobiographie. Mais loin d’être apaisé, le débat qu’il suscite reste fortement passionné.
Début 2013, Edward Snowden, jusque-là totalement inconnu du public, divulguait des documents confidentiels relatifs, notamment, aux pratiques de surveillance de masse de l’agence américaine du renseignement, la NSA, avec en particulier son programme « Prism ». Et ce n’était qu’un début.
Déjà à l’époque, Edward Snowden était loin de faire l’unanimité, considéré par certains comme un traitre à sa patrie. Aujourd’hui, celui qui est régulièrement présenté comme un lanceur d’alerte publie son autobiographie, Mémoires Vives (Permanent Record). Et il continue de s’avérer fortement clivant, déclenchant des débats passionnés, notamment au sein de la communauté de la cybersécurité. Une communauté dans laquelle les révélations d’Edward Snowden n’ont pas manqué de laisser une trace.
Une perte de confiance… de courte durée
L’affaire dite Snowden n’a pas manqué d’altérer la confiance dans les fournisseurs. Plusieurs grands groupes américains ont ainsi initialement fait part d’un impact commercial négatif. Si celui-ci semble avoir été temporaire, l’épisode n’a été que le premier d’une longue série semant la défiance sur la chaîne logistique IT. L’an dernier, les allégations – non étayées et fermement démenties par plusieurs groupes concernés – de Bloomberg BusinessWeek sur un prétendu « big hack » chinois ont été l’occasion de lever un peu le voile sur les précautions que prennent certains grands acteurs du cloud à l’égard des matériels qui leurs sont livrés.
Surtout, après les révélations d’Edward Snowden, l’adoption du chiffrement a connu une accélération remarquable. Laquelle n’a pas manqué de provoquer l’ire de nombreuses autorités. Début 2014, l’ancien patron de RSA, Art Coviello, dénonçait l’exploitation par la NSA de « sa position de confiance dans la communauté de la sécurité ». Mais les passes d’armes autour du chiffrement des communications n’ont pas manqué de se multiplier depuis.
Dans les entreprises, l’affaire Snowden a été l’occasion de rappeler l’importance de technologies comme la prévention des fuites de données (DLP), mais également la gestion des accès et des identités. Sans compter celle des vulnérabilités. Car la NSA a également perdu du code malveillant au fil des dernières années, lequel ne manque pas d’être aujourd’hui exploité par des assaillants de toutes sortes. Une prolifération des cyber-armes sur laquelle beaucoup n’avaient pas manqué d’alerter plus tôt.
Des débats passionnés
Aujourd’hui, Edward Snowden publie donc ses mémoires. Gagnant au passage une publicité non sollicitée, mais qui ne manquera probablement pas d’affecter positivement les ventes de son livre : la justice américaine essaie d’en saisir les recettes pour violation de confidentialité. En attendant, au sein de la communauté de la sécurité informatique, le personnage ne manque pas de générer des débats passionnés.
Ainsi, pour l’ingénieur certifié Jason Ward, cela ne fait pas de doute : « il a volé son employeur et trahi son pays. […] Voler est voler. Pas d’excuse ! » Car, relève-t-il, « les classifications de données ont une raison d’exister. Il est dangereux de dévoiler des secrets […] Voler des données d’entreprise ou de gouvernement et constituer une menace interne n’a rien d’éthique ». Richard Bejtlich, de Tao Security, n’est pas plus tendre. Pour lui, Edward Snowden « vit dans un monde de rêve dont il est le héros des opérations spéciales cyber ».
Robert Graham, d’Errata Security, exprime un regard différent. Pour lui, Edward Snowden « est un héros, de la même veine que quelqu’un qui court et sauve le bébé lorsqu’un bâtiment est en feu ». Pas question pour autant de lui vouer un quelconque culte : accomplir un tel acte héroïque « ne veut pas dire que l’on est une bonne personne en dehors de cet événement précis ». Et d’estimer en outre que, si Snowden a, selon lui, eu raison de dénoncer le programme Prism, « il a en a bien trop révélé ». Pour autant, « compte tenu de l’étendue de la surveillance domestique de la NSA, je suis content qu’il ait penché du côté du trop en dévoiler, plutôt que du côté du pas assez ».
Jake Williams, fondateur de Rendition Infosec, dit ne pas être un supporter de Snowden, mais estime que tout n’est pas blanc ou noir : « il ne fait pas de doute que la communauté du renseignement enfreignait la loi. Le public ne le sait que grâce à Snowden ». Surtout, pour lui, ceux qui parlent de « trahison » devraient en revoir la définition.
Jusqu’au dérapage
Si Robert M Lee, de Dragos, estime devoir reprendre des assertions dont il considère que « n’importe qui ayant travaillé pour la NSA sait » qu’elles sont erronées, il n’en juge pas moins que « Snowden est historiquement important » et que des choses tant bonnes que mauvaises sont ressorties de ses révélations.
Mais voilà, le débat reste fortement passionné et polarisé autour d’Edward Snowden. Et Robert M Lee a pu le mesurer : « quelqu’un a [publié sur Twitter] mon adresse en réponse à mes tweets sur Snowden ». Des informations « certes publiquement accessibles », mais une démarche qu’il perçoit comme « menaçante, tout particulièrement lorsque vous vous déplacez et que vous devez prévenir femme et enfant par texte ». Le compte utilisé à cette fin a depuis été fermé.