Plus une saison ne s’écoule sans que des collectifs de hackers ne commentent la présence de nouvelles backdoors, ces failles de sécurité délibérément créées dans des applications ou des ordinateurs. Comme lors de la publication par WikiLeaks des archives d’un laboratoire de la CIA, spécialisé dans l’intrusion des systèmes électroniques. On peut y découvrir, dans des tutoriels à l’usage des espions, des ustensiles ou logiciels pour s’introduire à distance dans votre iPhone, copier vos textos, votre répertoire, enregistrer les touches de clavier sur lesquelles vous pianotez, ou activer le micro incorporé dans votre téléviseur Samsung et écouter les conversations tenues dans votre salon.
Souvent, ces backdoors se présentent sous la forme de caractères malins dans une ligne de code, ou sous la forme de branchements discrets. Telles ces antennes miniatures à l’intérieur d’innocentes prises USB, équipant certains ordinateurs ciblés, et conçues par la NSA, le service secret américain dédié aux interceptions. Leur existence a été établie en 2013 par les documents du lanceur d’alerte Edward Snowden. Sans laisser de traces, elles peuvent expédier très loin, sur des serveurs, les données sensibles d’un ordinateur – tous les mots de passe tapés par l’utilisateur, par exemple. Contrairement aux virus, aux bugs ou aux programmes malveillants (les malware), ces backdoors, elles, sont intentionnellement implantées dans un programme ou un outil spécifique, parfois dès sa conception. Exactement comme une porte dérobée dont le propriétaire des lieux ignore l’existence, mais que l’architecte du bâtiment a dessinée pour plaire à son donneur d’ordres, par exemple un gouvernement.
Les ministres de l’Intérieur français et allemand viennent d’ailleurs de prier la Commission européenne de prévoir un nouveau cadre législatif, d’ici à octobre 2017, pour généraliser leur emploi, selon un courrier révélé par le site Politico, qu’ils ont cosigné. La « Stratégie de cybersécurité de l’Union européenne » doit être révisée. Ils veulent en particulier que soit étudiée « la possibilité de définir de nouvelles obligations à la charge des prestataires de services » afin de « tenir compte de la généralisation du chiffrement ». Traduisez : hors de question que la protection des données s’impose aux services de sécurité. Si les citoyens cryptent leurs messages, les administrations doivent pouvoir les décrypter en temps réel. Normal.
Challenges de sournoiserie
D'une part, les États étendent comme jamais leur surveillance des systèmes de communication, parce que le cyberespace représente désormais un territoire crucial où ils entendent exercer leur pouvoir régalien, sous peine de voir leur légitimité péricliter. D’autre part, les industriels du numérique, Cisco, Google, Microsoft, ont compris que la croissance de leurs activités reposait sur une image naïve, celle de serviteurs de la communication entre les êtres, de quasi philanthropes ignorant les frontières, et soucieux de demeurer à distance des appareils étatiques. Une supercherie, au regard de l’impact de l’activité réglementaire des administrations sur l’ensemble du secteur. Les uns et les autres partagent trop d’intérêts en commun pour ne pas trouver des terrains d’entente.
À San Francisco, Seth Schoen explique. Ingénieur de formation, il supervise une partie des expertises techniques de l’influente Electronic Frontier Foundation, l’ONG spécialisée dans la défense des libertés publiques dans le cyberespace. Au cours de nos échanges, il nous apprend qu’avec le temps, la distinction entre de simples bugs, c’est-à-dire des dysfonctionnements accidentels, et d’authentiques backdoors, devient incertaine. Les frontières bougent. « Malheureusement, les logiciels deviennent suffisamment complexes et subtils pour que des défaillances délibérées soient aisées à dissimuler », précise-t-il.
Concrètement, aux yeux de l’expert, les backdoors ont de moins en moins l’allure de backdoors. L’écosystème dans lequel évoluent les techniciens du numérique favorise le phénomène. Nous évoquons ensemble, en guise d’illustration, ces drôles de compétitions pour codeurs chevronnés, baptisées les « Challenges de la sournoiserie ». Comme celui organisé régulièrement par l’Université de Binghamton, près de New York. On y gagne des packs de bière, un billet de cent dollars et une précieuse notoriété auprès des spécialistes. La règle ? Des développeurs concourent pour créer, à l’intérieur d’un programme, des erreurs inoffensives. En apparence. Celles-ci présentent tous les contours d’un bug sans gravité. En réalité, elles dissimulent des fonctions intrusives, permettant d’espionner l’utilisateur, ou de modifier à distances les données qu’il a enregistrées dans l’ordinateur.
Le cas n’est pas isolé. Sur la plateforme CyberCompEx, un forum de spécialistes qui revendique des partenariats avec le département américain de la sécurité intérieure, on trouve des petites annonces relatives à l’organisation de Backdoors contest, sorte de compétition par équipe consistant à coder et à dissimuler les meilleures backdoors. Pourquoi les efforts sur ce sujet intéressent tant les professionnels ? En cas de découverte malheureuse, ils permettent aux fabricants de prétendre qu’il s’agit d’un simple bug. L’élément intentionnel, propre à une backdoor, a disparu.
Jusqu’à une période récente, la présence de ces souterrains numériques, quand elle était établie, souffrait peu de contestations. Ainsi, dans le sillage des révélations d’Edward Snowden, on apprenait en décembre 2013 que la NSA, à la faveur d’un contrat de 10 millions de dollars, avait obtenu de l’une des plus grandes sociétés de chiffrement au monde, RSA, vendant des logiciels de cryptographies, qu’elle incorpore une backdoor dans ses propres produits. Un comble, pour une entreprise vendant des systèmes supposés protéger l’information. En France, les programmes RSA se retrouvent notamment dans les blocs électroniques des clés Vigik, commercialisées par La Poste, qui ont peu à peu remplacé les clés ordinaires pour ouvrir les immeubles. Idéal pour suivre quelqu’un à la trace. La backdoor en question forçait l’un des logiciels RSA à générer d’impressionnantes clés de chiffrement, mais de manière prévisible, selon un protocole dissimulé connu des seuls agents de la NSA. Peu de responsables, pris la main dans le sac, ont sérieusement contesté le pitoyable accommodement. Mais de nombreux acteurs en ont tiré les enseignements. Discrétion et prévention seront désormais de rigueur.
James Dunne est philosophe de formation, et spécialiste de littérature anglaise. Pendant sept ans, il a travaillé au sein de Qosmos, la société française de matériels de surveillance électronique, accusée d’avoir équipé des dictateurs au Moyen-Orient. Il y traduisait les manuels et les fascicules techniques, une place de choix pour connaître de l’intérieur les métiers de la surveillance. Nous parlons ensemble des documents diffusés récemment par WikiLeaks, en particulier des archives sur les dispositifs de la CIA, créés entre 2009 et 2013, ciblant les iPhone et les MacBook. Des backdoors nouvelle génération. D’habiles outils profitant de failles ou de bugs à l’intérieur des systèmes Apple, qui n’étaient pas répertoriés, publiquement, à cette époque. Une réussite en termes de discrétion – jusqu’à leur mise à jour par WikiLeaks. Le laboratoire de la CIA chargé de les élaborer a ainsi pu rivaliser en compétences avec les propres techniciens de la société californienne.
L’entreprise a dénoncé ces pratiques et publié des communiqués furibards. James Dunne pondère. Certes « la direction de la société refuse publiquement d’instaurer une collaboration systématique avec le gouvernement américain », comme l’a montré un contentieux avec le FBI, en février 2016, lorsque l’agence d’investigation a demandé à Apple, en vain, de déverrouiller un iPhone 5C dans le cadre de son enquête sur la tuerie de San Bernardino. Cependant, « c’est un petit milieu, toutes ces entreprises ont des employés qui eux ont des liens avec les services de sécurité, certains ont pu y travailler dans le passé, ou vice-versa ». De quoi favoriser les transferts de compétences. Ces évolutions n’étonnent pas Renaud Lifchitz, expert reconnu en sécurité des réseaux et cryptographie, consultant de la société Digital Security. Il rappelle que « le monde s’adapte à ces enjeux. En juillet 2016, l’OTAN a officiellement affirmé qu’elle considérait Internet comme un théâtre d’opérations à part entière. » Conséquence, « il y a en permanence des backdoors que nous ne connaissons pas », nous confie-t-il. Une évidence au regard du nombre d’acteurs impliqués. Aux États-Unis, le Pentagone dispose d’un « commandement des opérations dans le cyberespace » depuis juin 2009. Et le ministère français de la Défense a créé le sien en janvier dernier, avec des unités opérationnelles en Bretagne, près des laboratoires de guerre électronique de Bruz, à 15 km de Rennes.
À écouter Renaud Lifchitz, ces changements de fond se reflètent dans les caractéristiques techniques des outils d’intrusion de la CIA, et dans la complexité des backdoors les plus récentes. « Trouver une faille dans un logiciel que l’industriel propriétaire n’a pas identifiée représente déjà un gros travail », mais « savoir l’exploiter avec finesse et efficacité, pour la transformer en backdoor, requiert de grandes compétences, c’est une tout autre affaire ».
De quoi installer un climat de méfiance à l’égard des liens, formels ou informels, entre les administrations sécuritaires et les acteurs du numérique. Surtout lorsque l’économie de ces derniers repose sur des services gratuits en contrepartie du recueil de données privées à des fins commerciales – comme Facebook, Snapchat, Google, ou Dropbox… À minima, leur modèle économique et leur culture d’entreprise n’encouragent pas la bienveillance envers les utilisateurs.
Un Français passionné de cybersécurité, Tristan Garnier, a ainsi démontré comment incorporer une backdoor dans Chrome, le navigateur de Google, simplement en tirant profit de ses caractéristiques. Il y a trois ans, Snowden en personne a appelé à ne plus utiliser Dropbox. Plus près de nous, en octobre dernier, Yahoo, pour sa part, a été accusé d’avoir implanté un vaste système de surveillance des courriers électroniques, à la demande des services de sécurité américains. Il aurait permis d’espionner l’ensemble du flux d’e-mails transitant par ses serveurs. Bien au-delà des requêtes judiciaires ciblées, cantonnant officiellement ce genre d’indiscrétions aux personnes visées par une enquête policière. Yan Zhu, autrefois chargée de la sécurité et de la protection des données chez Yahoo, a fait le récit, dans un blog cinglant, du double jeu mené alors par sa société. Pendant qu’elle améliorait les protocoles abritant les communications des utilisateurs, ses employeurs acceptaient d’installer des backdoors pour qu’ils soient espionnés, et ainsi contourner les protections mises en place. Actuellement, Yan Zhu travaille chez Brave Software, la start-up qui développe un navigateur promettant de ne pas aspirer les données des internautes.
À l’avenir, ces phénomènes devraient s’accentuer. En cause : l’Internet des objets. Depuis l’électroménager jusqu’aux transports, les équipements de notre quotidien intègrent de plus en plus de capacités de connexion. Sans précautions élémentaires, se désole Renaud Lifchitz, auteur d’un livre blanc sur le sujet. Il cite ces caméras à bas prix, qui se connectent sans fil et permettent d’installer rapidement un système de surveillance en direct. Mais possèdent une backdoor les rendant ouvertes aux quatre vents. Les professionnels ne cessent de pointer des failles de cette nature, dans les objets les plus variés, voitures, ampoules wi-fi…
À Toulouse, un codeur, Xavier Mouton-Dubosc, fin connaisseur des questions d’intrusion et de sécurité, anime des cryptoparties. Des soirées ouvertes à tous, où des experts apprennent à des néophytes à préserver leurs données sensibles et à chiffrer efficacement leurs communications. Il nous évoque plusieurs cas de bugs non corrigés, se muant en véritables backdoors. À titre d’exemple, il insiste sur les véhicules de la marque Opel et de leur système OnStar, proposant des services en ligne permanents, avec, pour la circonstance, un ordinateur de bord ayant reçu une carte SIM. Or, une expertise fouillée du système révèle que General Motors (propriétaire d’Opel) a volontairement laissé ouvert des ports Internet en lien avec le module de connexion, donc tous ses points d’accès, offrant la possibilité, depuis l’extérieur, d’entrer dans le réseau électronique de la voiture.
Le sous-groupe du G8
La diffusion des backdoors dans nos appareils ne résulte pas de comportements incontrôlés induits par une évolution rapide des technologies. Leur diffusion est pensée et souhaitée depuis longtemps. Le 10 décembre 1997, il y a près de vingt ans, les services de sécurité et les ministres de l’Intérieur des pays du G8 se retrouvaient à Washington pour mettre en place un réseau informel, baptisé Le Sous-groupe du G8 sur la criminalité high-tech. Toujours actif à cette heure. Il s’agissait alors de prévoir des coopérations opérationnelles interétatiques, afin que les futures « autoroutes de l’information », selon la terminologie de l’époque, n’échappent pas au giron des administrations en charge de la sécurité. À l’issue des débats, dans un communiqué, les parties exprimaient le vœu de développer d’étroites collaborations, notamment avec le secteur privé « pour imaginer de nouvelles solutions qui faciliteraient la détection et la prévention ». Car, « dans la mesure du possible, les systèmes d’information et de télécommunications (…) devraient faciliter le repérage des criminels ainsi que le recueil des preuves », écrivaient les organisateurs dans leur déclaration finale.
Ces travaux ont jeté les bases d’une relation systématique, sur le thème de la surveillance, entre États et entrepreneurs du numérique – à laquelle ces derniers ont participé avec plus ou moins de zèle. Au fil des années, des ponts ont été bâtis, des liens ont été tissés, comme l’illustrent les traits d’union entre secteurs public et privé sur ces sujets. Par exemple, l’un des premiers présidents du Sous-groupe du G8, Scott Charney, est actuellement vice-président de Microsoft. Au-delà, l’agence de recherche et développement du Pentagone, la DARPA, investit régulièrement dans la Silicon Valley, via une organisation, DIUx, basée dans la petite ville de Mountain View, à quelques centaines de mètres du siège de Google. Jadis, Oracle, l’inventeur des bases de données, a eu la CIA pour principal client. Et Condoleezza Rice, l’ancienne conseillère à la sécurité de George W. Bush à la Maison-Blanche, travaille depuis des années à la direction de Dropbox. C’est la complexité de ces relations que trahit chaque scandale provoqué par la découverte d’une backdoor dans quelque système. Certains voudraient couper le cordon. D’autres cherchent à l’officialiser. Mais il est un peu tard.
Cet article est initialement paru dans le numéro du mensuel GQ, en kiosque le 21 août 2017, il a également été publié ici.