Extrait de l'émission CPU release Ex0207 : Révélations Snowden, 10 ans après, première partie.
Bonjour à toi, Enfant du Futur Immédiat, toi qui te demande à qui je parle comme ça. Figure-toi que je parle des Grandes Oreilles, et de je ne te parle pas de Panpan, ton lapin en classe, non, je parle des Grandes Oreilles de la Grande Muette. Non, je ne parle pas de Sophie, qui a la taille et les oreilles du roi Charles, je te parle du Renseignement. C'est-à- dire des services d'écoutes étatiques, un rôle qu'ils remplissent aussi bien sur le territoire national que dans les autres états.
Et là, tu vas commencer à me dire Les espions ?
; et c'est bien là une partie du problème : on parle d'une activité régalienne, qui officiellement aide et oriente notre politique internationale, notre diplomatie, notre orientation économique, notre stratégie militaire et notre soutien aux expatriés. Et cette activité est par nature secrète.
Et donc, comme elle est secrète, elle est sujette à des rumeurs, et même à des fantasmes, parfois aussi délirants qu'un livre de Jean Bruce, le créateur de l'agent OSS117.
Alors, tu vas me dire Pourquoi t'en parle dans CPU ? C'est quoi le rapport avec les n'ordinateurs ?
.
Ben justement : les relations entre l'informatique et la communauté du Renseignement, c'est un domaine que nous avions commencé à explorer en te racontant de petites histoires de la cryptographie. Et là, on n'est pas dans un monde binaire, il est très difficile d'en démêler le vrai du faux. On entre dans l'obscur, mieux y comprendre est peut-être une épreuve pire que tenter de décompiler le kernel de Windows.
Windows, justement. Une des très grosses rumeurs sur la puissance du renseignement informatique américain a été une clé de la base de registre de l'OS de Microsoft : _NSAKEY.
En 1999, Andrew Fernandes, chercheur en sécurité informatique, se penche sur les mécanismes de vérification d'intégrité au démarrage et d'authentification des informations de mise à jour de Windows. La bibliothèque logicielle se base sur un mécanisme de clé publique et de clé privée de chiffrement. Que du classique depuis 50 ans. Or, dans la révision SP5 de Windows NT4, Fernandes y trouve une clé dans la base de registre appelée _NSAKEY. Une référence à la fameuse agence américaine de protection et d'attaque des solutions de chiffrement. L'idée qu'une clé de chiffrement maître de la version de Windows utilisée dans les entreprises soit émise par une agence de renseignement militaire, dont un des rôles est l'affaiblissement des solutions de chiffrement de leurs probables adversaires, inutile de te dire que cela a fait du bruit.
Pourquoi Microsoft a une base de clé qui porte le nom de la No Such Agency
, l'agence si secrète ?
Le grand public, à cette époque-là, commence à apprendre que les Américains n'ont plus de Grand Satan Soviétique à surveiller, mais s'intéresse fortement à miner de grandes entreprises européennes. Andrew Fernandes propose trois hypothèses, et l'une d'entre elles est est-ce pour pouvoir lire de manière transparente les informations chiffrées qui circulent sur les réseaux ?
À l'époque, Windows est le système d'exploitation archi-dominant dans les réseaux d'entreprise, lâcher un tel nom dans la base de registre commence à secouer un peu.
Microsoft a répondu qu'effectivement cette clé existe car ils avaient besoin d'une revue critique par la NSA pour exporter leur logiciel hors des États-Unis. C'est comme ça, c'est dans la loi Américaine.
Mais voilà, on est forcément dans le doute, car la NSA a une tradition de discrétion, et ils communiquent très rarement. Et donc, l'hypothèse qu'il existerai une backdoor dans les Windows distribués internationalement aux entreprises à l'usage exclusif des services de renseignement américains, eh ben… dans les milieux autorisés
, comme on dit, c'est-à-dire des avis de mon boucher et du stagiaire en dépannage d'imprimante recueillis au bar du coin, il y aura toujours ce doute sur les solutions professionnelles de Microsoft.
Oui, des activités secrètes par définition alimentent tous les fantasmes.
Et c'est un peu problématique : nous attendons toujours la confirmation de ce que l'on pressent de pire. Surtout quand on est dans la sécurité informatique, le militantisme, les luttes pour les droits civiques, on a toujours cette sale manie de pessimiste, qui fait partie intégrante de mon mode de pensée :
On a toujours que des bonnes surprises.
Alors, quand, il y a 10 ans, jour pour jour, un jeune homme à lunettes d'une trentaine d'années qui n'a visiblement pas bien dormi, trimbale un laptop avec des stickers de l'Electronic Frontier Foundation et de Tor, annonce dans une interview qu'il a travaillé au sein de la NSA et qu'il y a récupéré une masse de documents, et que dans ces documents, il a des preuves d'écoutes par la NSA envers les citoyens américains, ce qui est fortement interdit à cette agence… Cela a fait du bruit. Beaucoup : Toutes les grandes chaînes informations mondiales, tous les grands journaux en ont parlé non-stop.
Enfant du Futur Immédiat, entre autres Crimes Contre l'Humanité, j'avais participé une année auparavant à la première cryptoparty tenue à Toulouse. C'était une soirée humide d'octobre, au fin fond d'un hangar industriel, pas glamour mais terriblement espionnage
(comme disent les Anglais). Quand j'en parlais, j'étais un petit peu vu par la famille, les copains, les collègues et des potes journalistes comme un gentil parano qui repasse tous les matins son chapeau napoléonien en papier d'alu tout en marmonnant l'Internationale.
Et là, tout d'un coup, plein de gens venaient spontanément vers moi, et engageaient la conversation avec un Ah mais donc finalement c'est vrai ! Comment je peux faire pour me protéger ?
. Et quand je dis plein de gens
, c'est que pendant une semaine, cela a été l'avalanche.
On n'était pas prêts. Mais tout d'un coup, même mes clients qui me snobaient quand je les pressaient d'installer du chiffrement https:// sur leurs sites web, ben… quelque chose à changé.
Oui, ces documents révélés par Edward Snowden ont eu un retentissement mondial. Une semaine après, à Bruxelles, une commission paritaire européenne discute d'amendements au projet de directive RGPD. On voit notamment les représentants du groupe parlementaire PPE, qui représente les partis de droite, avec devant eux une pile d'un mètre de papier, leurs amendements. Et la scène qui suit a été immortalisée dans le documentaire « Democracy, la ruée vers les data » : Le représentant du PPE dit au rapporteur Nous voyez cette pile ? Oubliez-la.
Et il l'a pousse vers la poubelle.
Edward Snowden a été le catalyseur d'une volonté politique en Europe sur la protection de la vie privée. L'idée existait déjà, mais politiquement, elle s'annonçait comme une mesurette à l'époque. Même si elle est toujours insuffisamment appliquée, il y a clairement eu des changements dans les pratiques informatiques et professionnelles, il y a eu aussi des prises de conscience par le grand-public que la surveillance généralisée, aussi bien par des caméras de [violente quinte de toux] vidéo-protection
ou encore le tracking publicitaire, ce ne sont pas des pratiques anodines sans conséquence pour l'avenir de nous tous.
Et surtout, que nos infrastructures de communications sont fragiles. La destruction d'un câble entre l'Allemagne et les États-Unis a permis de mieux intercepter un télégramme en 1917, on t'a déjà raconté comment les États-Unis sont entrés dans la Première Guerre Mondiale. Dans les années 1970s, la CIA et la NSA s'exerçaient à poser une bretelle sur un câble sous-marin pour écouter des conversations téléphoniques entre continents, à l'époque ce n'était qu'une rumeur avec fort peu d'éléments matériels. Snowden est arrivé avec ce qui s'annonçait des preuves de la mise sur écoute de pays entiers, et les technologies employées n'ont plus rien à voir.
Et au fait, qu'est-ce qu'on a retenu de ces documents ? Plutôt des conséquences. Mais peut-être faut-il se demander aussi ce que la NSA est devenue, ce que les autres services de renseignement ont fait, et aussi… des entreprises vendeuses de solutions
de surveillance. Elles, il faudra se poser la question de leur moralité.
Enfant du Futur Immédiat, on va parler sur 3 émissions des révélations Snowden, pour les 10 ans de cet événement. C'est peut-être l'occasion d'en parler avec recul et avec des gens qui sont habitués à observer la brume de la communication publique des services de Renseignement. Et de là, comprendre les signaux de fumée.
Texte : Da Scritch
Photo : Edward Snowden joined the board of Freedom of the Press Foundation, CC-By-SA Freedom of the Press Foundation 2014, détail.