Il y a encore deux ans, la NSA ne savait pas encore casser tous les systèmes cryptographiques utilisés sur Internet, et c'est certainement encore le cas aujourd'hui. Mais comme le détaille un article du Spiegel qui se base sur de nouvelles révélations contenues dans les documents d'Edward Snowden, l'agence américaine dispose tout de même de moyens colossaux pour lire en clair la plupart des communications que les utilisateurs croyaient sécurisées, notamment parce qu'elle influence les ingénieurs pour qu'ils adoptent des protocoles qu'elle sait attaquables.
Lors d'une présentation interne réalisée en 2012, la NSA a ainsi expliqué à ses agents qu'elle avait cinq niveaux de difficulté pour l'interception et le déchiffrement des communications : trivial, mineur, modéré, majeur et catastrophique. La plupart des communications sur Internet tombent dans les trois premières catégories qui ne posent pas de grandes difficultés aux cryptologues de la NSA, voire pas du tout. Même le déchiffrement des e-mails envoyés depuis le service russe Mail.ru tombe seulement dans la troisième catégorie.
Les choses se corsent (ou se corsaient en 2012) avec l'utilisation de systèmes de messagerie qui utilisent des systèmes cryptographiques plus complexes, tels que Zoho, qui utilise un chiffrement AES 256 bits de bout à bout, ou le réseau Tor.
La NSA aurait aussi connu des difficultés "majeures" avec le protocole OTR (Off-The-Record) utilisé notamment par les messageries Jabber, ou avec l'outil de chiffrement de volumes TrueCrypt. Ce dernier cas est particulièrement intéressant puisqu'il faut se souvenir que cette année, l'équipe anonyme de TrueCrypt a mis fin à son outil de façon très brutale, en affirmant sans le moindre début de preuve qu'il n'était plus sécurisé, ce qu'aucun audit n'a confirmé. Plus étrange encore, ils ont conseillé à leurs utilisateurs de faire confiance à une solution Microsoft. Depuis, la rumeur courait que les créateurs de TrueCrypt avaient fait l'objet de pressions. Ont-ils menti sur l'insécurité de TrueCrypt pour que les utilisateurs l'abandonnent au profit de solutions moins sûres, ou ont-ils eu de véritables informations qui expliquent pourquoi TrueCrypt tombait dans la catégorie des difficultés "majeures", mais pas encore "catastrophiques" ?
Cette dernière catégorie cauchemardesque pour la NSA concerne surtout la combinaison de plusieurs méthodes de camouflage. Le Spiegel explique par exemple qu'il est presque impossible pour la NSA de prendre connaissance des communications d'un internaute qui utilise à la fois Tor et une messagerie décentralisée telle que CSpace ou un système de VoIP réellement sécurisé basé sur le protocole ZRTP utilisé par Jitsi. A condition de connaître d'avance ses cibles, l'agence de renseignement doit alors procéder par d'autres méthodes telles que l'installation d'un mouchard.
Les vieux pots étant parfois les meilleurs pour la confiture, le journal allemand note que même 20 ans après a sa mise au point par Phil Zimmermann (également derrière ZRTP), le protocole PGP résisterait toujours aux grandes oreilles de la NSA. Ce qui est rassurant puisqu'il s'agit toujours de la base cryptographique utilisée par le Blackphone, et de la solution envisagée par Google ou Yahoo pour le chiffrement des mails de bout en bout.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !