Quel crédit faut-il donner aux déclarations politiques des géants high-tech américains en matière de cybersurveillance de masse ? Probablement aucune. Depuis quelque temps, les PDG de Google, Microsoft, Yahoo, etc. rament comme des forcenés pour regagner la confiance de leurs clients suite aux révélations d’Edward Snowden. Il y a deux jours, certains d’entre eux même ont signé une lettre ouverte pour soutenir le projet de loi « USA Freedom Act », censé limiter le pouvoir de surveillance de la NSA.
Ces efforts semblent bien hypocrites au regard des révélations du journaliste Shane Harris, qui vient de publier un livre sur les relations incestueuses entre la NSA et la Silicon Valley (« @War : The Rise of the Military-Internet Complex »). Un extrait de l’ouvrage a été publié sur le site d’information Salon.com. Il explique comment la NSA a profité du cyberespionnage chinois contre les grandes entreprises américaines pour tisser un subtil réseau de dépendances dont le principe est simple : protection contre information.
Repousser l’attaquant chinois
Google est apparemment l’un des premiers à avoir signé ce genre de deal qui vient en parallèle des programmes officiels tels que Prism. L’affaire remonte à fin 2009, lorsque la firme découvre avec horreur que son infrastructure a été violée par des hackers, dont l’origine est très probablement chinoise. Dans une note de blog très connue, le vice-président David Drummond se montre outré et menace de se retirer du marché chinois. Ce qui est moins connu, c’est que Google a commencé, à partir de ce moment-là, de travailler étroitement avec la NSA pour mieux protéger son infrastructure. Un accord secret est signé : Google fournit des informations sur son trafic et la NSA l’avertit sur les éventuels dangers qui le guettent. Sergey Brin aura l’honneur de participer à des réunions d’information top secrètes avec les barbouzes.
Les deux organisations vont également faire développer ensemble une technologie de détection d’intrusion. Enfin, la NSA réalisera un audit des infrastructures, ce qui est particulièrement intéressant pour Google car l’agence américaine est l’un des principaux acheteurs de failles zero-day dans le monde. Elle a donc, forcément, un avis très pertinent sur la manière de protéger un réseau informatique. Le revers de la médaille est que la NSA peut ainsi recenser l’architecture du réseau Google, ce qui l’a certainement aidé plus tard à rentrer, ni vu ni connu, dans ses datacenters, au travers de son programme « Muscular ».
AT&T et CenturyLink, principaux « revendeurs » de la NSA
Mais Google n’était pas la seule entreprise à défiler dans le bureau de Keith Alexander, le patron de la NSA. Selon Shane Harris, plusieurs centaines de PDG seront mis au parfum des grands dangers du cyberespace. Profondément effrayés par ce qu’ils apprennent, les dirigeants ont tendance à se jeter dans les bras de la puissante agence secrète. Les alliances ainsi formées permettront à la NSA d’intervenir de manière assez large dans les opérations des entreprises. Elle aura accès au design des produits, proposera des améliorations ou, à l’inverse, demandera l’intégration d’une porte dérobée pour élargir son potentiel de surveillance. Dans ce cas, ce sera évidemment en échange d’une compensation financière. Ces failles de sécurité créées « by design » se retrouveront notamment dans les logiciels de Microsoft et les routeurs Cisco. Ça tombe bien, ils sont utilisés dans le monde entier.
Mais la NSA n’est pas toute seule à tisser sa toile dans le monde high-tech. L’agence s’appuie sur deux « partenaires » particulièrement utiles : AT&T et CenturyLink. Selon Shame Harris, ces deux opérateurs permettent à la NSA d’accéder à leurs infrastructures et aux flux qu’ils transportent. En échange, ils bénéficient d’informations privilégiées sur les attaques de hackers et les méthodes de protection. Ce qui leur permet de proposer aux entreprises des services « avancés » en matière de sécurité informatique, un peu comme le ferait un revendeur. C’est ce qu’on appelle une machine bien huilée.
Lire aussi:
Notre dossier Snowden un an après
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.