Temps de lecture: 4 minutes
Les Émirats Arabes Unis continuent leur bras de fer avec la compagnie Research in Motion (RIM) au sujet de l’accès par le gouvernement aux messages BlackBerry, et menacent d’interdire ses services si elle n’affaiblit pas de façon conséquente les dispositifs protégeant l’accès aux données de ses smartphones. Mais des années avant que cette bataille avec RIM ne dégénère, d’autres compagnies occidentales avaient accordé au pays un pouvoir bien plus grand: celui d’infiltrer le système sécurisé utilisé par la plupart des sites bancaires, de mails et de finances, livrant les données les mieux protégées de la Toile aux yeux indiscrets d’un géant des télécommunications de mèche avec le gouvernement.
Pour comprendre comment cela a pu se produire, il faut savoir quelle méthode permet de préserver la confidentialité des données privées du Net. À chaque fois que vous envoyez des informations sensibles par Internet—votre numéro de carte bleue à Amazon par exemple, ou un message par Gmail—le contenu est crypté avant d’être envoyé, puis décrypté par le site Internet à qui vous le destinez. (L’URL des sites qui utilisent ce mode de sécurisation commence par «https» et les navigateurs y ajoutent un petit cadenas pour prouver que votre communication est sécurisée.) Chaque vendeur, qui est le destinataire visé, brouille les informations selon ses propres règles pour être le seul à être en mesure de les décoder. Si quelqu’un intercepte le message en chemin, il n’obtiendra qu’un mélange de chiffres sans queue ni tête.
Intermédiaire indésirable
Les cryptographes sont assez sûrs que les algorithmes derrière cette méthode d’encryptage les rendent inattaquables de façon directe, même par les agences de renseignements les mieux financées. Mais ils sont aussi conscients depuis longtemps de l’existence d’une faille dans leur conception: votre ordinateur n’a aucun moyen de savoir si le destinataire du message est bien celui qu’il prétend être. Ainsi, des cybercriminels (ou des gouvernements curieux) peuvent vous tromper en élaborant une «attaque de l’homme du milieu» où l’attaquant fureteur s’impose en médiateur indésirable entre vous et votre destinataire. Votre ordinateur croit qu’il communique avec votre banque, alors qu’en réalité il contacte l’attaquant et utilise ses règles pour encrypter les informations. Celui-ci les décode, copie vos données sensibles, puis les ré-encode en suivant les règles de la banque et les envoie. Il fait la même chose avec les données qui vous sont envoyées par la banque. Votre banque et vous êtes persuadés de communiquer directement l’un avec l’autre en toute confidentialité.
Pour remédier à cette insuffisance, la sécurité de la Toile repose sur la notion «d’autorité de certification»: ce sont des organismes qui vérifient de façon indépendante l’identité du site Internet avec lequel vous communiquez et fournissent une confirmation électronique de son authenticité. C’est cette approbation numérique par une autorité de certification qui décide de l’acceptation par votre navigateur d’un site prétendant être Gmail, Microsoft, ou même le New York Times, qui possède une version sécurisée. Les hommes du milieu ne peuvent imiter cette authentification faute d’obtenir le même genre d’approbation. Les autorités de certification sont censées s’assurer avec diligence que seul le vrai site Internet obtient leur approbation.
Une dangereuse délégation de pouvoir
Qui sont ces autorités de certification? Au début de l’histoire du Web, il n’en existait qu’une poignée, comme Verisign, Equifax et Thawte, qui engrangeaient des bénéfices quasi-monopolistiques de leur position de seuls fournisseurs jouissant de la confiance d’Internet Explorer ou de Netscape Navigator. Mais avec le temps, les navigateurs ont peu à peu placé leur confiance dans un nombre croissant d’organismes chargés de vérifier les sites Internet. Safari et Firefox font aujourd’hui confiance par défaut à plus de 60 autorités de certification distinctes. Le logiciel de Microsoft se fie à plus de 100 institutions privées et gouvernementales.
Chose inquiétante, certaines de ces autorités de certification considérées comme fiables ont décidé de déléguer leurs pouvoirs à d’autres organismes, qui ne sont ni suivis ni contrôlés par les entreprises des navigateurs concernés. En fouillant le Net à la recherche de certificats, des chercheurs spécialistes de la sécurité ont découvert plus de 600 groupes qui, par le biais de ce type de délégation, reçoivent aujourd’hui automatiquement la confiance de la plupart des navigateurs, y compris le Department of Homeland Security, Google et Ford Motors—ainsi qu’une compagnie de téléphones portables des Émirats Arabes Unis appelée Etisalat.
En 2005, une entreprise appelée CyberTrust—rachetée depuis par Verizon—a accordé à Etisalat, la compagnie de téléphonie mobile liée au gouvernement des Émirats, le droit de vérifier la validité d’un site. Voilà où le bât blesse: puisque les navigateurs font dorénavant automatiquement confiance à Etisalat pour confirmer l’identité d’un site, la compagnie peut potentiellement forger une connexion sécurisée pour n’importe quel site que des abonnés d’Etisalat sont susceptibles de visiter, par le biais d’une attaque de l’homme du milieu.
Tentative d'espionnage gouvernemental
On ne peut pas dire que le passé d’Etisalat soit sans tache dans le domaine du respect de la vie privée. Des observateurs officiels l’ont déjà surpris en train d’essayer délibérément d’envahir la sphère privée de ses propres utilisateurs. En juillet 2009, Etisalat a brusquement annoncé une mise à jour logicielle pour tous ses clients BlackBerry. Décrite comme une «amélioration du réseau», l’application copiait en fait tous les messages rédigés sur l’appareil sur deux adresses mail privées d’Etisalat. Research in Motion a pris ses distances par rapport à cette maladroite tentative d’espionnage gouvernemental, en précisant qu’il ne s’agissait pas «d’une mise à jour de logiciel autorisée par RIM » et en fournissant une application permettant de supprimer le programme.
Pour l’instant, personne n’a encore surpris Etisalat à se faire passer pour un site Internet afin d’espionner les communications cryptées d’un particulier. Mais grâce à la prolifération et à la délégation des autorités de certification, Etisalat et des centaines d’autres groupes en sont capables. La bonne nouvelle, c’est qu’à l’image de la mise à jour du BlackBerry, ce genre d’attaques peuvent être rapidement révélées et médiatisées, pourvu que l’on fasse preuve d’assez de vigilance et que l’on dispose des bons outils.
Un contrôle plus strict des autorisations ?
Une meilleure solution consisterait à faire le nettoyage dans la liste des autorités de certification et de révoquer les autorisations des organismes susceptibles d’en abuser. L’Electronic Frontier Foundation, mon ancien employeur, a récemment publié une lettre ouverte à Verizon pour leur demander d’envisager de révoquer publiquement l’autorité de certification que cette entreprise a accordée à Etisalat. Mais il reste encore les centaines d’autres autorités de certification qui peuvent mal tourner et se mettre à l’espionnage des systèmes sécurisés du Net.
Assez ironiquement, l’encryptage BlackBerry de la société RIM est l’un des rares canaux de communication Internet sécurisés qui ne dépende pas des autorités de certification, ce qui pourrait expliquer pourquoi les Émirats Arabes Unis sont si obsédés par l’idée d’y pénétrer. La défense opposée par RIM face aux exigences des Émirats est que les entreprises et les particuliers attendent le même niveau de respect de la vie privée dans leurs communications BlackBerry que pour n’importe quel autre service Internet. «Tout est crypté sur Internet» a affirmé Michael Lazaridis, son PDG, au Wall Street Journal, ce qui n’est pas tout à fait exact. «Ce problème ne concerne pas exclusivement le BlackBerry. S’ils ne sont pas capables de gérer Internet, ils n’ont qu’à le fermer.» Le souci est que les Émirats Arabes Unis ont peut-être déjà «géré» le reste d’Internet—mais pas selon les vœux de la plupart d’entre nous.
Danny O'Brien (suivez-le sur Twitter)
Traduit par Bérengère Viennot
Photo: Le Blackberry Torch 9800 présenté à New York. REUTERS/Shannon Stapleton