Edito : un autre point de vue sur #Snowden et #PRISM

Préambule : à l'origine je n'avais pas prévu d'écrire sur le sujet, privilégiant les réactions sur Twitter. Ensuite j'ai rédigé un petit billet puis un édito pour la newsletter sécurité de BSSI. J'ai décidé de le republier ici et d'y ajouter (à la fin) une partie du premier billet que j'avais rédigé dans lequel je vous conseille la lecture de 3 articles qui me paraissent intéressants et qui présentent l'affaire PRISM sous un autre angle  (qui ne plaira pas forcément à tout le monde).

L’affaire PRISM continue de secouer le web et la presse internationale. Pendant que le désormais célèbre Eward Snowden (ancien sous-traitant de la NSA en tant qu’administrateur système) cherche toujours à se réfugier au Venezuela ou en Équateur pour échapper à la justice américaine, la presse livre au compte-goutte les informations sur les programmes de cyber surveillance et de cyber espionnage menés par la NSA et ses alliés britanniques. Traître pour les uns, héros pour les autres, Snowden avait intégré la société Booz Allen Hamilton dans le but de travailler comme prestataire à la NSA et ainsi récupérer des informations sensibles et classifiées sur les dispositifs américains de cyber surveillance qu’il considère illégal et non éthique.

Finalement, les révélations de Snowden ne surprennent pas grand monde, mais n'ont fait que confirmer les soupçons existants. La NSA, en tant qu’agence de renseignement, surveille et espionne les communications depuis sa création en 1952 et elle s’est simplement adaptée aux moyens de communication d’aujourd’hui. Le scandale vient surtout des "écoutes" qui visent des citoyens américains. L’espionnage d’un pays étranger n’a rien d’illégal. La seule "règle" qui s’applique à l’espionnage est "ne vous faites pas attraper quand vous le faites sur un territoire étranger".

Depuis ces révélations, les experts en tout genre tentent de profiter de la situation pour vous vendre des solutions miracles. Le Cloud "souverain" et le chiffrement sont présentés comme les protections "ultimes" pour se protéger de PRISM et cie (Patriot Act, par exemple). Si ces solutions peuvent vous protéger à court terme de l’espionnage américain et britannique, est-ce que cela vous protégera des attaquants chinois, russes, indiens, voire même de vos concurrents ? (liste non exhaustive)

L’affaire "Snowden" soulève, selon moi, d’autres problématiques (auxquelles on ne pense pas forcément au premier abord) très importantes pour les entreprises et les administrations et qui vont au-delà des buzz. On peut citer, par exemple :

  • les risques liés au recours à des prestataires dans des secteurs d'activité très sensibles

  • les problèmes qui peuvent survenir en cas de défaillance du "background check" de ces prestataires (et des employés) qui vont ensuite être habilités pour avoir accès à des données classifiées (aux États-Unis, 1,4 million de personnes seraient habilitées "Top Secret"...)

  • les risques liés aux administrateurs systèmes (ou réseaux, bases de données...) qui possèdent tous les droits sur nos systèmes informatiques. Comment les sensibiliser ? Comment les surveiller (la confiance n’exclut pas le contrôle) ? Comment bien gérer les habilitations "informatiques" ?

-------------------------------------

Quelques éléments en plus :

Pour en revenir à Snowden et à la plus grande découverte du XXIème siècle : la NSA nous espionne, je vous conseille la lecture de ces trois articles (qui risquent de faire bondir les fans de Julian Assange et autres "lanceurs d'alerte" qui ne sont peut être pas toujours animés des motivations aussi pures que certains le pensent...) :

  - Terrorismes, guérillas, stratégie et autres activités humaines, du spécialiste du renseignement Abou Djaffar. Un article très long et très intéressant avec l'angle "renseignement" !

  - So…About This Snowden Affair, de th3j35t3r, l'hacktiviste américain

  - Snowden May Be Both A Hero And A Traitor, publié sur businessinsider.com

Je ne suis pas d'accord avec 100% de leurs propos (surtout les américains). Mais ils ont le mérite d'être pragmatiques et s'inscrivent dans le monde tel qu'il est aujourd'hui. Tout ce qu'on a découvert n'a rien de nouveau. Nous ne vivons pas dans un monde de bisounours et cela va au delà de "je n'ai rien à cacher". On assiste également à une sorte de FUD en matière de "protection" de la vie privée. Quand je lis certains commentaires qui comparent les Etats-Unis à la STASI car ils espionnent les pays étrangers avec les moyens d'aujourd'hui (Internet), ça fait très mal aux yeux...  Je trouve également qu'il y a beaucoup d'exagération et de diabolisation qui dessert certains discours...

Pour conclure, pour moi l'un des seuls bénéfices des fuites de Snowden est de montrer l'hypocrisie américaine en matière de cyber espionnage. Ça donne à la Chine un argument imparable pour contrer les accusations américaines incessantes désignant la Chine comme le (seul) fauteur de troubles du cyberespace. Les Etats-Unis sont évidemment aussi voire plus actifs que la Chine en la matière. Le contraire aurait été étonnant. Même si ces derniers continuent à refuser de comparer "leur" cyber espionnage à celui de la Chine (voir cet article)...

Côté européen les dernières révélations sur la NSA qui aurait mis sur écoute le Parlement Européen, les représentations à l'ONU, des ambassades... montrent surtout une chose : un manque flagrant de culture du renseignement. Evidemment que tout le monde espionne tout le monde et même ses alliés (n'en déplaise à Viviane Reding). Et cela depuis la nuit des temps... Arrêtons de croire (ou de faire semblant) que l'espionnage a disparu avec la Guerre Froide. Les effectifs des agences de renseignement se renforcent d'année en année. Et leurs missions ne se limitent pas à lutter contre le terrorisme...

Mais ces révélations vont bien évidemment faire beaucoup de tort à la diplomatie américaine et aux opérations des services de renseignent. Ce ne sont pas de "petites" fuites, elles sont historiques. Et surtout on ne sait pas quand elles se termineront. Avec combien de dossiers de ce type est parti Snowden ? Une dizaine, une centaine, des milliers ? Seul l'avenir nous le dira. Il va y avoir encore beaucoup d'affaires à analyser (plus qu'à simplement commenter).

4 thoughts to “Edito : un autre point de vue sur #Snowden et #PRISM”

  1. Bonjour M. Caproni.

    "Ça donne à la Chine un argument imparable pour contrer les accusations américaines incessantes désignant la Chine comme le (seul) fauteur de troubles du cyberespace."

    Oui et non.

    C'est aller un peu vite en besogne.
    Le Rens' sauce FISAA (Foreign intelligence surveillance amendments act de 2008 échu et prorogé finalement le 31/12/2012) ou PRISM (Planning tool for resource integration, synchronization, and management) c'est avant tout de l'interception et de l'accès aux sources FAI et de plateformes de flux.
    Votre remarque évacue un peu vite la gradation :
    . interception large pour BigData ;
    . interception ciblée et ses collatéraux "par inadvertance" ;
    . intrusion par backdoor, infiltration ;
    . et finalement intrusion par piégeage et trojans.
    Or s'il est clair que "c'est pas bien de surveiller ses alliés" il faut admettre que le Chine est plus suspectée-soupçonnée de menées actives et offensives contre des cibles précises (quoique selon un plan de ratissage et une fréquence tellement larges que le terme de "précision" peu paraître aussi pertinent que pour évoquer le tapis de bombes du B52).

    Bref, s'il se confirmait que l'Intelligence Community a essentiellement mené de l'interception à outrance et usé de connivence avec les tauliers des infrastructures, plus que de backdoors sur les dites infrastructures, il n'y aura clairement pas la même portée aux "atteintes"./.

    Bien respectueusement,
    Cl'H./.

  2. Bonjour,

    Merci de votre commentaire.

    Mon propos n'était pas précis, volontairement. Evidemment la Chine espionne mais différemment. Les Etats-Unis ont malgré tout les deux méthodes : du hacking pur et profiter des lois américaines et de leurleadership technologique sur l'Internet pour faire de la cyber surveillance (légale ou pas).

  3. Bonjour,

    Je me dis que autant de possibilités laissé à des institutions ne me parait pas etre sain, Nos chers resistants lors de la 2eme guerre, n'aurait sans doute pas reussi aussi facilement à se débattre, et peut etre qu'aujourd'hui je parlerai une autre langue .

    L'espionnage oui mais pas aussi intrusif, comment pouvons nous savoir que des groupes se rebellent si ils se font decouper la tete avant !!! Les minorités nous font grandir.
    Ca me fait penser un peu a du DPI français vendu a des etats totalitaire, les démarches qu'ils font vont bien ds leur sens, mais c pas très humain.
    Comment éviter les crimes de guerre, suffit de tuer les gens avant la guerre 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.