Après le scandale d’espionnage du gouvernement américain, une campagne a été menée pour que tout le monde adopte le cryptage : aujourd’hui, même la communication entre vous et PerlmOl se fait avec une connexion “sécurisée”. Mais cela ne sert pas à grand-chose si la NSA peut briser la sécurité. Certaines connexions SSL, par exemple, utilisées par les services de courrier électronique, peuvent être interceptées sans grande difficulté par l’agence.
La bonne nouvelle est que certaines technologies fonctionnent encore pour la NSA, ou du moins jusqu’en 2012, notamment le réseau anonyme Tor et l’outil de cryptage PGP. L’information a été révélée ce dimanche (28) dans un énorme rapport de l’allemand Der Spiegel, basé sur des documents divulgués par Edward Snowden.
La NSA classe en cinq catégories la complexité de la rupture d’un certain outil, de “trivial” à “catastrophique”. Les discussions sur Facebook sont triviales, ce qui signifie que la NSA peut intercepter les conversations ainsi que prendre des bonbons dans la bouche d’un enfant. A partir du quatrième niveau, les choses se compliquent : c’est là que Zoho, un service de courrier électronique hautement crypté, et Tor, pour accéder au réseau de manière anonyme.
Tor est un outil qui fonctionne comme un tunnel pour votre connexion. Avec lui, vos données voyagent cryptées à travers un réseau de milliers d’ordinateurs bénévoles. Chaque nœud du réseau ne reçoit qu’une petite partie de vos informations, afin de s’assurer que personne n’intercepte les données et ne tente de casser le cryptage. En fin de compte, comme l’adresse IP est différente et que le suivi est complexe, il est difficile (mais pas impossible) de savoir exactement qui a accédé à une page, par exemple.
Un autre outil qui donnait encore des maux de tête était TrueCrypt, un logiciel qui crée des partitions de disque et des images cryptées. Elle a été mystérieusement interrompue en mai et à l’époque, on soupçonnait que la NSA aurait pu briser la sécurité. Quoi qu’il en soit, l’explication officielle était que les versions récentes de Windows offraient déjà cette fonctionnalité et que TrueCrypt n’avait plus de raison d’exister. Celui qui ne l’a pas proposé était Windows XP, dont le support avait été arrêté par Microsoft un mois plus tôt.
PGP, un outil de cryptage des données utilisé principalement dans les signatures et les courriels, a également causé des problèmes à la NSA ? en fait, le créateur Phil Zimmermann a même fait l’objet d’une enquête du gouvernement américain, avec l’argument que la fabrication d’un logiciel aussi complexe et sa distribution libre seraient illégales. Zimmermann a décidé d’ouvrir le code source de PGP, et plusieurs versions ont été développées depuis lors.
Le fait que les trois technologies énumérées ci-dessus soient open source n’est pas une simple coïncidence : parce qu’elles sont open source, il devient plus difficile pour la NSA de mettre des portes dérobées dans les applications sans se faire remarquer ? et l’une des techniques utilisées par l’agence consiste précisément à apporter des modifications aux cryptographies pour les rendre volontairement vulnérables.
Mais si Tor et PGP n’en étaient qu’au quatrième niveau de complexité, qu’est-ce qui apparaît au niveau le plus difficile ? Eh bien, dans un document de la NSA, l’agence dit que les choses deviennent “catastrophiques” quand quelqu’un utilise une combinaison de technologies difficiles à casser – par exemple, quand quelqu’un communique en utilisant une application VoIP avec ZRTP (comme o RedPhone) ou un messager avec OTR (comme o TextSecure) et en plus de cela, il se connecte avec Tor.
Nous ne savons pas si ces technologies sont encore suffisamment protégées contre l’espionnage de la NSA. Le fait est que l’agence a l’argent pour essayer de les briser : en 2013, le budget était de plus de 10 milliards de euros, dont 34,3 millions pour le seul département de cryptoanalyse. D’ici 2012, outre la possibilité d’intercepter les conversations sur Skype, les estimations montrent que la NSA a pu espionner jusqu’à 20 000 connexions “sécurisées” de VPN par heure et 10 millions de connexions “sécurisées”. HTTPS par jour.
