C’est un sujet qui revient de temps à autre dans la cybersécurité. Pour mieux lutter contre la criminalité sur Internet, des organismes de police comme des politiques plaident parfois pour des « backdoors légales ». Cette demande vise par exemple les messagerie instantanée qui pratiquent le chiffrement de bout en bout, afin d’accéder aux discussions.
Ces backdoors, aussi appelées portes dérobées, sont toutefois très mal vues. Les experts du cyber répètent souvent qu’une fragilisation de l’architecture de sécurité d’une application ou d’un système ne va pas seulement servir aux « gentils ». Elle pourra aussi profiter aux « méchants », s’ils finissent par découvrir ladite ouverture.
Un grave piratage aux États-Unis, et lié à la Chine
Qu’est-ce qu’une backdoor ?
Une backdoor est un accès alternatif à un système. Elle peut être installée par un criminel, après une cyberattaque. L’outil peut ensuite servir à installer d’autres programmes, à dérober des informations ou à espionner, à l’insu des victimes.
Cette réalité vient d’éclater au grand jour au début du mois d’octobre, dans une affaire qui concerne les États-Unis. Dans son édition du 5 octobre, le Wall Street Journal a révélé que les systèmes d’écoute américains ont été compromis par un piratage lié à la Chine. Un grand nombre de fournisseurs d’accès à Internet (FAI) américains est concerné.
« Pendant des mois, les pirates pourraient avoir eu accès à l’infrastructure du réseau utilisée pour coopérer avec les demandes légales des États-Unis en matière de données de communication, selon le journal, ce qui représente un risque majeur pour la sécurité nationale ». La situation est qualifiée de « potentiellement catastrophique ».
En l’espèce, résume John Scott-Railton, chercheur senior en cybersécurité au réputé Citizen Lab, les pirates informatiques liés à la Chine ont pu mener à bien cette opération en compromettant les portails d’interception prévus par la législation américaine. Ces systèmes servent dans le cadre de demandes d’écoutes téléphoniques autorisées par les tribunaux.
Pour John Scott-Railton, c’est la démonstration la plus flagrante du souci que pose ce type d’interception au nom de la sécurité. « Rappelez-vous de ça la prochaine fois qu’un gouvernement exigera des portes dérobées pour le chiffrement », prévient-il. Même son de cloche chez Meredith Whittaker, la présidente de la fondation qui s’occupe de l’application Signal.
« Illustration parfaite : il est impossible de construire une porte dérobée que seuls les gentils peuvent utiliser », déclare-t-elle. L’occasion pour elle de rappeler que des travaux en ce sens existent en Europe avec une législation controversée surnommée ChatControl, qui consiste à forcer les applications de messagerie à scanner les conversations privées.
« Lorsque l’ensemble de la communauté technique affirme que la législation ChatControl de l’Union européenne et d’autres mesures similaires constituent de graves menaces pour la cybersécurité, il ne s’agit pas d’une exagération », a-t-elle ajouté. Reste que ce ChatControl, qui a été contré un temps, est toujours dans les tuyaux.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.