Festival of lights, Photo CC by Rene Mensen

En début de semaine, le Congrès américain frappait d’ostracisme les filiales américaines des groupes chinois Huawei et ZTE, en convoquant une conférence de presse pour inviter l’industrie américaine à ne plus travailler avec ces entreprises spécialisées dans les infrastructures de télécommunications. Huawei et ZTE équipent des data centers, des fournisseurs d’accès à Internet (FAI) ou vendent des composants de la téléphonie mobile. Des technologies considérées comme autant de menaces potentielles par le Congrès.

À l’appui de cette attaque en règle, un rapport émanant de la Commission du renseignement de la Chambre des représentants. Dont les membres, depuis plusieurs mois, ne cachent pas tout le mal qu’ils pensent de la présence – encore modeste – de Huawei et ZTE sur le marché américain.

La version finale de leur document de 60 pages – que nous avons lu, ici en PDF – multiplie les affirmations quant à l’opacité de ces deux géants chinois des télécoms et du numérique, à la fois fabricants et prestataires de service. Sans toutefois apporter de preuves matérielles convaincantes.

Une absence regrettable dans la mesure où ces attaques contre Huawei et ZTE interviennent sur fonds de tensions économiques sur le marché des télécoms américains, en raison de la concurrence que ces groupes représentent. Peu après la conférence de presse du Congrès, la direction de Huawei a d’ailleurs répondu en laissant entendre qu’il s’agirait d’un mauvais procès motivé par la course vers de juteuses parts de marché.

Opérations militaires

Sur un plan matériel, le document s’appuie le plus souvent sur des informations déjà publiées dans la presse, même si une note de bas de page mentionne l’existence d’annexes classifiées, portant sur le travail des services américains de renseignement quant à la réalité de ce risque.

[Carte Interactive] La Chine investit l’Europe

En pleine crise financière, les liquidités chinoises font craindre des vagues d'acquisitions en Europe. OWNI a recueilli et ...

Le rapport a été rédigé par deux élus suivant régulièrement “la communauté du renseignement” et ses enjeux, Dutch Ruppersberger et Mike Rogers.

Alors que ce dernier a fait une partie de sa carrière au FBI, Ruppersberger, pour sa part, passe pour un parlementaire très attentif aux questions de souveraineté nationale. Au Congrès, depuis plusieurs législatures, il représente le second district du Maryland, la circonscription où campe la National Security Agency (NSA), à Fort Meade, ainsi que la plupart des commandements américains impliqués dans les opérations militaires sur les réseaux numériques. En particulier le US Cyber Command. Dans ce second district du Maryland on compte ainsi près de 38 000 personnes travaillant pour l’appareil sécuritaire du gouvernement.

Et plusieurs dizaines de milliers d’autres employées dans des sociétés privées sous-traitantes. Tout un monde qui vit – à tort ou à raison – sur la base d’une économie du soupçon ciblant les acteurs chinois dans des technologies de l’information.

365 Day 256, Photo CC by Collin Harvey

À défaut de preuves irréfutables à l’encontre de ces entreprises chinoises, la démarche des parlementaires américains peut paraître un rien étonnante. En effet, le géant américain Cisco semble entretenir les mêmes ambiguïtés que celles reprochées à Huawei et ZTE – contrats avec les militaires de leur pays d’origine et partenariats avec des agences de renseignement.

Espionnage

Avec des conséquences tout aussi préoccupantes pour le citoyen. Depuis le début des années 2000, à travers le monde, Internet se développe grâce à des routeurs fournis par Cisco ou par les cinq autres sociétés américaines ou franco-américaine (Alcatel-Lucent) qui maîtrisent ces technologies et travaillent parallèlement avec le complexe militaire de leur pays – jusqu’à l’arrivée d’Huawei qui les concurrence.

À ce titre, pour les observateurs américains, les accointances entre Cisco et la NSA sont légions. Selon l’enquêteur James Bamford, auteur de plusieurs livres qui font autorité sur la NSA et les technologies d’espionnage, cette proximité relève de l’essence même de la NSA, au regard de ses missions de surveillance globale des réseaux. Lors d’un entretien avec des journalistes de la chaîne PBS Bamford affirmait :

L’une des choses que la NSA fait c’est de recruter beaucoup de gens venant de l’industrie des télécoms, donc de gens qui connaissent comment Internet fonctionne, qui savent comment certains systèmes à l’intérieur d’Internet sont construits. Par exemple, ils pourraient recruter des gens de Cisco qui construisent divers routeurs, et les intégrer dans la NSA pour ensuite déconstruire le fonctionnement des routeurs.

Les routeurs de la discorde

Européens et Américains sont d'accord : les équipements chinois sont materia non grata, en particulier les routeurs - ...

Les enjeux financiers provoqués par le gonflement des budgets militaires après le 2001 ont accentué cette dynamique. De nos jours, le groupe Cisco, via un département spécialisé – dénommé Federal Intel Area -, propose des services de surveillance et de traitement du renseignement sur-mesure à l’ensemble des services secrets américains ; comme le montre cette brochure commerciale [pdf]. Une relation qui semble parfaitement assumée ; nous avons retrouvé sur LinkedIn le CV détaillé de l’un des responsables de ce programme actuellement en poste chez Cisco.

Finalement, ces relations entre entrepreneurs du numérique et appareil sécuritaire s’inscrivent dans la tendance naturelle de tous les États à contrôler et surveiller tous les réseaux de communication – depuis le télégraphe jusqu’à Internet. Le 14 août dernier près de Baltimore, lors d’une conférence réunissant des agences du département américain de la Défense impliquées dans le renseignement électronique, Keith Alexander, patron de la NSA, a rappelé cette évidence lors d’une intervention de près de 40 minutes consacrée aux opérations de la NSA dans le cyberespace.

S’exprimant sur quelques détails des missions de son agence sur le numérique, il a évoqué les 18 câbles sous-marins reliant les États-Unis au continent européen et permettant aux connexions Internet de traverser l’Atlantique grâce à de multiples relais technologiques… Et les partenariats avec des pays comme la Grande-Bretagne ou la France permettant de surveiller l’ensemble.

Ces acteurs technologiques étant les clients des appareils sécuritaires de leur pays d’origine, il est difficile des les imaginer ne bâtissant pas ces ponts qui facilitent leur tâche – au nom de l’idée qu’ils se font de leur propre sécurité nationale, et des intérêts qu’ils partagent.

“Gmail m’annonce que des attaques menées par des États tenteraient de s’infiltrer dans mon compte ou mon ordinateur.” C’est la mauvaise surprise qu’ont constatée hier Noah Schactman, journaliste pour le blog Danger Room de Wired, et un expert en antiterrorisme Daveed Gartenstein-Ross du think-tank américain Foundation for Defense of Democracies, avant de la partager sur Twitter.

Contacté par Owni, Daveed Gartenstein-Ross indique sur Twitter ne pas en savoir davantage : “Gmail a simplement fait une alerte, ainsi que des suggestions pour protéger son compte.”

Aaaaand I just got Google’s “you may be a victim of a state-sponsored attack” notice. support.google.com/mail/bin/answe… #WhatTookYouSoLong?

— Noah Shachtman (@dangerroom) Octobre 2, 2012

Gmail tells me that state-sponsored attackers may be attempting to compromise my account or computer. Looks like I’ve arrived!

— D. Gartenstein-Ross (@DaveedGR) Octobre 2, 2012

Selon nos informations, plusieurs milliers de personnes seraient concernées par cette alerte pointant vers des tentatives d’intrusions principalement en provenance d’États du Moyen-Orient. Sur ce point, Daveed Gartenstein-Ross nous informe que Google ne lui a donné aucune précision sur l’origine de l’attaque :

Je soupçonne un gouvernement du Moyen-Orient, étant donné que mes recherches couvrent la région. Mais ça peut aussi être la Chine, ou la Russie, ou tout autre gouvernement cherchant à apprendre plus d’info via le hacking.

Mise en place par Google en juin dernier, cette procédure d’alerte prend la forme d’une bannière rouge s’affichant au-dessus de la boîte de réception et consiste à informer les utilisateurs de Gmail de tentatives d’accès à leurs comptes, qui “suggèrent fortement l’implication d’Etats ou de groupes soutenus par des Etats.” Elles prendraient la forme de phishing, de mails demandant des informations à l’utilisateur en se faisant passer pour certains prestataires de service, ou de malware, de messages comportant des logiciels malveillants en lien ou en pièce jointe.

Difficile en revanche d’en savoir davantage sur le mécanisme d’identification mis en œuvre par Google, qui écrivait en juin sur son blog :

Vous vous demandez certainement comment nous parvenons à savoir que cette activité est menée par un État. Nous ne pouvons pas rentrer dans les détails sans donner des informations susceptibles d’être utiles à ces acteurs malveillants, mais notre analyse détaillée -ainsi que les témoignages de victimes- suggère fortement une implication d’États ou de groupes soutenus par des États.

En 2010, suite à une série d’attaques en provenance de la Chine, connue sous le nom “opération Aurora” Google avait entériné un rapprochement avec la NSA, l’agence de surveillance des télécommunications américain, visant à “une meilleure protection du propriétaire du moteur de recherche et de ses utilisateurs”, expliquait alors Le Monde. Une proximité qui pousse certains commentateurs à s’interroger sur la nature des alertes de Google mises en place en juin dernier : oseraient-ils dénoncer des actions américaines ?

De son côté, le géant de Moutain View déclare sur son blog qu’il est de son “devoir d’être pro-actif en avertissant ses utilisateurs en cas d’attaques ou de potentielles attaques afin qu’ils puissent faire le
nécessaire pour protéger leur information.” Il y a 15 jours, il faisait l’acquisition de l’antivirus en ligne Virustotal, afin de renforcer la “sécurité en ligne” de ses utilisateurs.

Contacté, Google France n’a pour le moment pas réagi.

Mise à jour : suite à notre demande, Google nous a fait parvenir le communiqué d’un porte-parole du groupe : “Google travaille dur chaque jour pour aider nos utilisateurs à protéger leurs informations. C’est pourquoi nous avons développé cette alerte pour compléter nos systèmes de sécurité des comptes. Nous espérons que ces messages bien visibles encourageront les utilisateurs concernés de prendre des mesures pour renforcer la sécurité de leurs comptes et leurs ordinateurs.”

Son nom : SE Android, pour Security Enhanced (Sécurité Renforcée) Android. Sa mission : “identifier et résoudre les graves failles dans la sécurité d’Android”. Le tout, estampillé NSA, pour National security agency, les services de renseignement américains en charge de l’espionnage des télécommunications étrangères, mais également de la sécurisation des télécommunications gouvernementales américaines.

Pour faire simple, SE Android limite les dommages que pourrait entraîner une application malveillante sur les données du téléphone. Car des applications malveillantes, l’Android Market – équivalent de l’App Store d’Apple – en a hébergé beaucoup. Si certaines laissaient peser la menace d’appels indésirables et surtaxés, d’autres permettaient d’activer à distance le micro du téléphone ou encore de lire le contenu des SMS de l’utilisateur.

Chaque jour, il se vend pas moins de 700 000 téléphones fonctionnant sous Android dans le monde. Dont on peut penser que quelques-uns sont achetés par les membres des ministères et agences gouvernementales états-uniennes. Soucieuse de remplir sa mission de sécurisation des télécommunications gouvernementales, la NSA a donc publié début janvier la première mouture de SE Android. Une extension qui n’est en fait pas si nouvelle : elle est basée sur SE Linux, un autre module de sécurité développé par la NSA spécialement pour Linux, le célèbre système d’exploitation open source.

Open source, le code de SE Android l’est aussi. Il est donc accessible à tous les développeurs amateurs ou professionnels qui veulent “l’auditer”, comme on dit dans le milieu. De quoi dissiper toute inquiétude quant aux intentions réelles de la NSA. En théorie.

Entrée par la porte de derrière

Car la NSA ne se contente pas de sécuriser les télécommunications du gouvernement américain, elle exerce également une mission de renseignement électromagnétique. Aussi appelé interception des télécommunications. D’ailleurs, son site Internet donne le ton :

Nous recueillons l’information que les adversaires des Etats-Unis souhaitent garder secrète.

Vue sous cet angle, la sortie d’un Android amélioré par la NSA a une autre teneur. En témoignent ces commentaires méfiants glanés sur les nombreux sites de fans du système d’exploitation :

Ces “petits mouchards indétectables” pointés du doigt, ce sont les “portes dérobées” (backdoors en anglais), un genre de cheval de Troie qui permet de prendre à distance le contrôle d’un système informatique. Et donc de récupérer les données d’un utilisateur à son insu. Le problème, comme l’indique un ingénieur de recherche en sécurité informatique qui n’a pas souhaité être cité, c’est “[qu’]il est très facile d’insérer une backdoor et de la noyer au milieu de milliers de lignes de code”.

Des soupçons d’espionnage au moyen de chevaux de Troie, le gouvernement américain en a d’ailleurs connu beaucoup. En janvier 2007, un scandale éclate aux Etats-Unis lorsque la NSA admet avoir travaillé avec Microsoft à la sécurisation de Windows Vista. Deux ans plus tard, la polémique rebondit pour la même raison à propos de Windows 7, la dernière version du système d’exploitation le plus utilisé au monde. Enfin, en décembre 2010, les doutes sur les intentions des services gouvernementaux américains culminent avec l’affaire Open BSD. Gregory Perry, ingénieur informatique, révèle que son ancienne société, NETSEC, a introduit des portes dérobées dans le code d’Open BSD, un système d’exploitation libre comparable à Linux. Et qu’il remplissait-là son contrat avec le Federal Bureau of Investigation (FBI), le service de renseignement intérieur des Etats-Unis.

Cela dit, les nombreux experts en informatique interrogés par OWNI font part de leurs doutes sur d’éventuelles portes dérobées dans SE Android. Radoniaina Andriatsimandefitra, thésard à l’Ecole supérieure d’électricité de Rennes :

D’après mon premier examen du code de SE Android, rien n’indique la présence de backdoors mises en place dans le but d’intercepter les données du téléphone. De plus, un code disponible en open source est relu par un bon nombre de personnes ce qui augmente la possibilité de détection avant usage même du produit.
Cependant, même si une telle chose paraît improbable, elle n’est pas à exclure.

Même avis pour Cédric Blancher, chercheur au laboratoire en sécurité informatique d’EADS Innovation Works :

La NSA prendrait un risque énorme à laisser traîner une backdoor dans son code, considérant la probabilité non négligeable que celle-ci soit découverte un jour.

L’argument open source revient sans cesse : parce que le code informatique de SE Android est vérifiable par quiconque souhaite mettre la main dans le cambouis, il semble peu probable que la NSA y ait inséré une porte dérobée. La densité du code de SE Android pourrait néanmoins réserver des surprises : “On pourrait y découvrir un cheval de Troie dans seulement dix ans !”, lance un ingénieur informatique.

Sous-traitance bon marché

En fait, l’intérêt de la NSA à rendre publique et libre d’accès une extension de sécurité pour Android se niche ailleurs. La licence libre est une nouvelle façon pour les services de renseignement américains d’imposer leurs propres standards de sécurité aux téléphones du monde entier. La pilule passe mieux que lors d’une annonce de collaboration NSA/Microsoft.

Mais l’open source a un autre avantage pour la NSA. Selon Radoniaina Andriatsimandefitra :

En agissant de la sorte, elle s’offre la possibilité de déléguer une partie du développement et de la maintenance à des développeurs issus de la communauté libre.

Un code de sécurité maintenu et enrichi gratuitement par une communauté de fans, que rêver de mieux pour la NSA ? Pas sûr, cela dit, que l’agence de sécurité rende la pareille, d’après Cédric Blancher :

Ils se serviront sans doute de SE Android comme socle à d’autres développement conservés en interne.

Ces développeurs contribueront peut-être aussi aux avancées du futur smartphone destiné aux soldats de l’armée américaine. Qui, comme par hasard, tourne sous Android.