Publié par Julien L., le Samedi 15 Juin 2013

La NSA profiterait des failles de sécurité avant leur divulgation aux clients

Dans une enquête menée par Bloomberg, il apparaît que les agences de renseignements ont connaissance des vulnérabilités des logiciels bien avant les clients des entreprises qui les éditent. Officiellement, il s'agit pour les autorités gouvernementales de protéger très tôt les systèmes d'information. Mais rien n'empêche a priori de faire d'une pierre deux coups...

Depuis l'article du Guardian sur la transmission quotidienne des relevés téléphoniques de l'opérateur américain Verizon à la National Security Agency (NSA), les informations se succèdent exactement comme une pelote de laine que l'on dévide. Peu après la découverte des liens entre Verizon et la NSA, ceux tissés entre l'agence de renseignement et les deux autres grands opérateurs (AT&T et Sprint) ont été révélés.

C'est ensuite le vaste programme de surveillance, baptisé PRISM, qui s'est retrouvé sur le devant de la scène. Ce projet, chapeauté par la NSA, implique neuf des plus grandes entreprises du net (Microsoft, Google, Yahoo, Facebook, PalTalk, YouTube (filiale de Google), Skype (filiale de Microsoft), AOL et Apple). Les liens exacts entre la NSA et ces firmes demeurent cependant assez flous.

Cette fois, c'est une enquête de Bloomberg qui fait parler d'elle. Selon l'agence de presse, les principales entreprises américaines informent d'abord les agences de renseignements du pays lorsqu'elles découvrent des vulnérabilités dans des logiciels. Ce n'est qu'ensuite qu'elles les communiquent à leurs clients, via le déploiement d'un correctif de sécurité.

Microsoft, Intel, McAfee...

Microsoft est évidemment en première ligne, vu son poids dans le marché des systèmes d'exploitation et dans certains logiciels destinés au grand public. Mais selon les informations de Bloomberg, Microsoft n'est que l'arbre qui cache la forêt. En réalité, des milliers de sociétés américaines œuvrant dans la technologie, la finance ou l'industrie ont des liens de ce type avec la NSA. Intel et McAfee sont aussi mentionnés.

La question est de savoir pourquoi les agences de renseignements obtiennent en avance des données sur des failles repérées tout récemment. Est-ce pour faciliter certaines intrusions informatiques grâce aux exploits zero-day, avant que la vulnérabilité ne soit corrigée ? Ou bien est-ce pour sécuriser en priorité les systèmes d'information utilisés par les autorités américaines ?

Protéger d'abord les systèmes d'information gouvernementaux ?

Contacté par Bloomberg, l'un des cadres de Microsoft ne dément par la proximité entre la NSA et l'entreprise sur ce terrain. Et bien entendu, c'est officiellement pour la deuxième raison que la firme de Redmond coopère avec la National Security Agency. Mais pourquoi ne pas faire d'une pierre de coups ? Dans les faits, on imagine que ce "partenariat" permet de jouer sur les deux tableaux.

Si la communication en avant-première des failles aux agences gouvernementales peut se justifier lorsqu'il s'agit simplement de renforcer la sécurité des systèmes d'information, c'est beaucoup plus problématique lorsque ces informations servent à accéder à des informations confidentielles ou privées. Or, cela peut poser d'importants risques en matière de souveraineté.

L'exemple du contrat Open Bar

L'affaire du contrat Open Bar entre Microsoft et le ministère de la défense souligne cette menace. La publication de multiples documents et les informations relayées par la presse incitent à conclure que "le choix de Microsoft pour l'ensemble des logiciels de la Défense pose de graves problèmes de sécurité et de souveraineté nationale", écrit l'APRIL.

"Des experts du ministère ont ainsi rappelé que « la NSA (le plus important des services de renseignement américain, chargé de l'espionnage des télécommunications) 'introduit systématiquement des portes dérobées ou backdoors" dans les logiciels exportés, ce qui rendrait dès lors le système informatique de l'armée française "susceptible d'être victime d'une intrusion de la NSA dans sa totalité'".

Publié par Julien L., le 15 Juin 2013 à 11h44
 
20
Commentaires à propos de «La NSA profiterait des failles de sécurité avant leur divulgation aux clients»
Inscrit le 20/08/2010
872 messages publiés
J'ai toujours dit qu'utiliser des systèmes logiciels propriétaires d'éditeurs privés américains dans l'administration et à fortiori dans la défense était une aberration.
Les décideurs de ces choix devraient être traduit en conseil de guerre !
Inscrit le 20/11/2004
2070 messages publiés
les décideurs de ces choix devraient être traduit en conseil de guerre !


On n'est pas en guerre, ça va être dur
[message édité par Sabinou le 15/06/2013 à 12:25 ]
Inscrit le 24/12/2011
2271 messages publiés
Si, en guerre contre le terrorisme
Inscrit le 27/10/2010
408 messages publiés
Tout militaire jugé l'est devant un tribunal militaire qu'on soit en temps de paix ou non (pour les actes relevant de la juridiction militaire bien sûr).
Inscrit le 20/03/2009
1111 messages publiés
t’étais en hibernation ou quoi???? avant de dire des âneries pareil renseigne toi, les tribunaux militaires n'existe plus depuis plusieurs décennies!
Inscrit le 14/07/2004
7672 messages publiés
flow (Modérateur(rice)) le 16/06/2013 à 00:00
Il faut quand meme bien connaitre les systemes informatiques dans la défense.

Sache que ton réseau contenant des données sensibles (à partir de CD) est isolé d'internet de facon physique.

Donc tu auras beau mettre des backdoors dans des logiciels, ca passera pas.


Et puis, meme dans ce cas, je suppose que les connexions sont surveillées pour controle.
Inscrit le 10/01/2008
465 messages publiés
+1 Hypercrapule
"le choix de Microsoft pour l'ensemble des logiciels de la Défense pose de graves problèmes de sécurité et de souveraineté nationale" http://april.org
[message édité par dsant le 27/06/2013 à 20:39 ]
Inscrit le 27/10/2010
408 messages publiés
C'était quoi le soucis majeur soulevé lors du dernier audit public sur la Sécurtié Informatique ?

Ah oui, les "routeurs chinois".... Installons du Cisco à la place
Inscrit le 24/12/2011
2271 messages publiés
Inscrit le 13/08/2010
7081 messages publiés
MDR aussi. Du Juniper, sinon ?
Inscrit le 10/10/2010
1809 messages publiés
Inscrit le 06/11/2005
548 messages publiés
à‡a ne fait que conforter l'idée que Microsoft a joué un rôle actif dans la création du virus Stuxnet qui utilisait des failles 0-day de windows. Sauf que Stuxnet a été créé a priori par l'armée (les USA en coopération avec l'armée Israélienne), ce qui supposerait un lien avec la NSA.
[message édité par pourriel le 15/06/2013 à 13:07 ]
Inscrit le 13/08/2010
7081 messages publiés
C'est fort probable. Microsoft avait fourni de faux certificats d'authentification au régime de Ben Ali en Tunisie, pour démasquer et coincer les opposants.
Microsoft est une saloperie au niveau éthique.
Inscrit le 16/10/2010
1115 messages publiés
Ils ont aussi utilisé des signatures logicielles de pilotes logitech, ça implique de forcer l'entreprise à donner les clefs crypto -> patriot act
Inscrit le 23/04/2010
10 messages publiés
Il y a encore plus simple pour avoir des infos sur les dernières failles (0-day) avant tout le monde : il suffit de les acheter aux black hats qui les trouvent. Il suffit de fréquenter les bons forums.
Vous pensez bien qu'avec le budget de la NSA, ça ne leur pose pas trop de problèmes ... Même certains éditeurs de logiciels achètent les exploits pour connaitre les failles dans leurs produits.
Inscrit le 24/11/2003
192 messages publiés
les grandes découvertes de ces derniers jours .....
moi ce qui m'étonne la dedans c'est que ca puisse en étonner en fait.

mais il est clair que tout organisme d'État ou privé qui veut un minimum de secret ne doit pas utiliser des logiciels privés américains et du hardware chinois.. sauf que ... y en a t'il vraiment? y a t'il encore le choix en fait?

il a bien sur le libre et effectivement il est vraiment ridicule que l'armée française tourne sous microsoft . sauf que bon est ce que linux est vraiment 100% fiable? est qu'il répond à leur besoin? est ce que l'armée à le budget en formation et développement d'appli nécessaires? veut on ou peut on être vraiment indépendant des américains au final?

ce que je veux dire c'est qu'il ne faut pas non plus refaire l'erreur "thomson" des débuts de l'informatique qui nous on fait perdre qqs années il fut une époque (d'ailleurs avec Fabius si je me souviens bien?)

une mauvaise solution, certes alternative, restera une mauvaise solution (à court terme seulement si on décide de s'y investir)
Inscrit le 20/03/2009
1111 messages publiés
+1 a peu près sur tout....
Inscrit le 13/08/2010
7081 messages publiés
Thomson, plan informatique pour tous.. ce n'est pas parce que des initiatives ont (relativement) échoué qu'il faut ne plus lancer d'initiative, non plus. Sachant 1) que les échecs sont à relativiser 2) qu'il est plus facile de tirer des conclusions à posteriori que pendant la phase d'action. De manière générale.

Dans l'histoire qui nous préoccupe aujourd'hui, la situation peut-elle être considérée comme normale ? Non.
Peut-on y faire quelque chose ? Oui. Même si le remède est imparfait au début, long à mettre place, etc
Baisser les bras revient à laisser le champ libre aux boîtes US et à PRISM.
Quelques pays réagissent en créant "leur OS à base de Linux", ont d'autres moteurs de recherche que Gogole.
Pourquoi la Défense française n'aurait-elle pas son OS propre à la limite ?
Pourquoi différents pays de l'UE ne s'uniraient pas pour lancer des initiatives sur ces thèmes-là ? Ce serait l'occasion pour l'UE de se montrer utile à quelque chose.
Inscrit le 24/11/2003
192 messages publiés
effectivement bien sur d'accord.
sur le plan Européen cela serait vraiment un énorme pas! et tout a fait dans son rôle!
mais comme toujours avec ce "machin" bureaucratique cela serait surtout un lutte de lobby et autres influences nationales pour au final couter des milliards et faire qqchose qui ne marchera surement pas.
comme le plan thomson ou au départ d'un bon principe on a finalement accouché d'un systeme pire que ceux existant car eux éprouvés par le vrai marché.

pour en revenir a l'armée française je pense qu'elle a été assez refroidie par sa dernière expérience de logiciel (français je crois?) de paiement de salaires qui se révèle catastrophique et qui doit commencer a leur couter bonbon (surement même méthode que thomson d'ailleurs..)

bref vaut i'l mieux un système éprouvé certes non sécurisé mais immédiat et qui fonctionne, plutôt qu'un futur système qui a de grandes chances de ne pas fonctionner , couter bien plus cher et au final sera surement une passoire (et pas seulement des américains) ?

je pense qu'en période de rigueur budgétaire le choix est vite fait malheureusement :-/
Inscrit le 10/10/2010
1809 messages publiés
De mon coté, lorsque je vois les alertes, je trouve qu'il y en a beaucoup de nouvelle chez MS Windows, Office, IE, soit Adobe, JAVA, Flash ... http://www.secuser.c...ilite/index.htm

Mode Parano On . Autant de failles critiques, à se demander si ce n'est pas fait exprès, à chaque correctif, on en ferme une et on en profite pour en ouvrir deux autres (Le virus, c'est le patch ! ). Mode Parano Off
[message édité par lot le 16/06/2013 à 01:36 ]
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Juin 2013
 
Lu Ma Me Je Ve Sa Di
27 28 29 30 31 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
1 2 3 4 5 6 7