22 octobre 2013

Retour sur l’évènement de l’ISSA France “Celui qui (dé)chiffre PRISM”

ISSA

Le SecurityTuesday est le rendez-vous mensuel organisé par l’ISSA France, chapitre français de l’International Systems Security Association. Il prend la forme d’un after-work convival qui se réunit un mardi par mois et accueille membre et non membre (consultants, RSSI, juristes, avocats, chefs d’entreprise…) autour d’un verre et d’une thématique Sécurité.

Mardi dernier, le thème était PRISM sous l’angle de la confiance que l’on peut avoir dans les technologies de chiffrement.

Thomas Chopitea, Incident Handler au CERT Société Générale, a animé cet événement dans le but de démêler le vrai du faux. En effet, l’affaire Snowden a attisé les passions et la tornade médiatique qui a suivi les multiples révélations n’a pas aidé à faire la part des choses entre réalité et fantasmes.

Vous pouvez retrouver l’intégralité de la présentation de Thomas sur son blog : http://tomchop.me/slideware/PRISM/#/

Thomas a commencé par répondre à la question que tout le monde se pose ; la NSA a-t-elle “cassé” la cryptographie ? Selon lui, non, la NSA n’a pas “cassé” les algortithmes de chiffrement (enfin peut être pas tous) mais le plus important c’est qu’elle n’en a pas besoin. La NSA va seulement, dans la plupart des cas, chercher à contourner le problème posé par la cryptographie.

Les discussions ont traité de PRISM avec un rappel sur ce qu’est PRISM : un accès (plus ou moins) direct aux bases de données des géants américains du web (Facebook, Apple, Google, Microsoft, Yahoo!…). Rappelons également que PRISM ne représente qu’un programme parmi tant d’autres de la NSA.

Si la NSA ne “casse” pas toutes les techniques de chiffrement, Thomas insiste sur le fait que ce sont plutôt les “utilisateurs” (au sens large) qui les “casse” involontairement. La principale faiblesse du chiffrement intervient dans sa phase d’implémentation qui comporte généralement de nombreuses erreurs. Il est d’ailleurs fortement conseillé de “ne jamais implémenter sa propre crypto”. La NSA possède les meilleurs mathématiciens de la planète et sûrement d’excellents informaticiens. Et quand ce n’est pas elle qui trouve des “bugs“, elle dispose également de gigantesques moyens financiers pour en acheter (et chez les français de VUPEN entre autres) !

Autre moyen très utilisé par la NSA pour “contourner” la cryptographie : l’influencer. De part sa collaboration très active avec le NIST (organisme américain de normalisation) et avec la plupart des éditeurs de logiciels et de matériels américains , la NSA a la capacité d’influencer les standards pour les affaiblir ou pour placer des portes dérobées dans des produits. Solution extrême, la NSA utiliserait des techniques de renseignement humain (HUMINT) pour “infiltrer” des personnes chez des entreprises critiques, notamment dans le secteur des télécommunications.

Et dans tous les autres cas qui peuvent se présenter, si la NSA cible quelqu’un, elle va préférer “pirater” l’ordinateur qui contrôle la cryptographie. Pour cela, la TAO (Tailored Access Opérations), l’équipe de la NSA spécialisée en intrusion informatique, entre en jeu pour accéder aux données de ses cibles.

Mais comment se protéger ?

Au niveau gouvernemental (en France, par exemple), la paranoïa est de vigueur pour éviter certains produits étrangers. L’Etat français va notamment privilégier des algorithmes ou des produits nationaux. L’ANSSI travaille notamment dans ce sens en qualifiant les produits et même, depuis peu, les prestataires de services dans certains cas.

Pour les entreprises, il faut surtout définir quels sont ses adversaires. Une entreprise (lambda) va-t-elle devoir se défendre contre la NSA ? De toute façon le peut-elle vraiment ? Evidemment certaines entreprises critiques, on pense ici aux OIV, doivent être plus particulièrement sensibilisées et protégées face à des menaces de ce genre provenant plus d’Etat que de cybercriminels.

Les entreprises doivent donc bien identifier les menaces contre lesquelles elles veulent et peuvent se défendre.

Pour les particuliers, c’est le même raisonnement. PRISM n’a peut être pas surpris les experts en sécurité qui soupçonnaient depuis longtemps ce genre d’opérations. Malgré tout, les moyens mis en oeuvre et le degré d’industrialisation des techniques employées restent des révélations importantes. Surtout qu’aujourd’hui, des documents viennent appuyer les doutes que certains pouvaient encore avoir sur les capacités d’espionnage américaines (et autres). N’oublions pas que l’espionnage a toujours existé et c’est simplement adapté aux nouvelles technologies utilisées par tout le monde.

Pour conclure

Les révélations de Snowden ont surtout ébranlé la confiance que les gens pouvaient (encore) avoir sur Internet en matière de vie privée et de nouveaux usages comme le Cloud.

Mais il ne faut pas oublier que si les Etats-Unis font tout ce qu’ils font. La Grande-Bretagne, la Russie, l’Allemagne ou encore la France le font également, mais à leur échelle.

Des solutions existent pour (essayer de) se protéger de l’espionnage américain. Ne pas mettre ses données sensibles dans un Cloud américain lui rend la tâche plus difficile. Mais qui a vraiment les moyens de lutter contre la NSA ? 

Thomas conclut son intervention en citant le site Prism-Break.org qui recense un certain nombre d’outils pour protéger sa vie privée et de services alternatifs aux géants américains. Malheureusement tous ces outils ne sont pas à la portée de tout le monde.

One Comment on “Retour sur l’évènement de l’ISSA France “Celui qui (dé)chiffre PRISM”

Actus Généralistes 2013 S43 | La Mare du Gof
27 octobre 2013 chez 6 h 37 min

[…] 22/10/2013. Retour sur l’évènement de l’ISSA France « Celui qui (dé)chiffre PRISM » : http://www.bssi.fr/2013/10/22/retour-sur-levenement-de-lissa-france-celui-qui-dechiffre-prism/ 22/10/2013. Espionnage électronique de la France : http://www.huyghe.fr/actu_1183.htm 22/10/2013. […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *