Dans une enquête menée par Bloomberg, il apparaît que les agences de renseignements ont connaissance des vulnérabilités des logiciels bien avant les clients des entreprises qui les éditent. Officiellement, il s'agit pour les autorités gouvernementales de protéger très tôt les systèmes d'information. Mais rien n'empêche a priori de faire d'une pierre deux coups…

Depuis l'article du Guardian sur la transmission quotidienne des relevés téléphoniques de l'opérateur américain Verizon à la National Security Agency (NSA), les informations se succèdent exactement comme une pelote de laine que l'on dévide. Peu après la découverte des liens entre Verizon et la NSA, ceux tissés entre l'agence de renseignement et les deux autres grands opérateurs (AT&T et Sprint) ont été révélés.

C'est ensuite le vaste programme de surveillance, baptisé PRISM, qui s'est retrouvé sur le devant de la scène. Ce projet, chapeauté par la NSA, implique neuf des plus grandes entreprises du net (Microsoft, Google, Yahoo, Facebook, PalTalk, YouTube (filiale de Google), Skype (filiale de Microsoft), AOL et Apple). Les liens exacts entre la NSA et ces firmes demeurent cependant assez flous.

Cette fois, c'est une enquête de Bloomberg qui fait parler d'elle. Selon l'agence de presse, les principales entreprises américaines informent d'abord les agences de renseignements du pays lorsqu'elles découvrent des vulnérabilités dans des logiciels. Ce n'est qu'ensuite qu'elles les communiquent à leurs clients, via le déploiement d'un correctif de sécurité.

Microsoft, Intel, McAfee…

Microsoft est évidemment en première ligne, vu son poids dans le marché des systèmes d'exploitation et dans certains logiciels destinés au grand public. Mais selon les informations de Bloomberg, Microsoft n'est que l'arbre qui cache la forêt. En réalité, des milliers de sociétés américaines œuvrant dans la technologie, la finance ou l'industrie ont des liens de ce type avec la NSA. Intel et McAfee sont aussi mentionnés.

La question est de savoir pourquoi les agences de renseignements obtiennent en avance des données sur des failles repérées tout récemment. Est-ce pour faciliter certaines intrusions informatiques grâce aux exploits zero-day, avant que la vulnérabilité ne soit corrigée ? Ou bien est-ce pour sécuriser en priorité les systèmes d'information utilisés par les autorités américaines ?

Protéger d'abord les systèmes d'information gouvernementaux ?

Contacté par Bloomberg, l'un des cadres de Microsoft ne dément par la proximité entre la NSA et l'entreprise sur ce terrain. Et bien entendu, c'est officiellement pour la deuxième raison que la firme de Redmond coopère avec la National Security Agency. Mais pourquoi ne pas faire d'une pierre de coups ? Dans les faits, on imagine que ce "partenariat" permet de jouer sur les deux tableaux.

Si la communication en avant-première des failles aux agences gouvernementales peut se justifier lorsqu'il s'agit simplement de renforcer la sécurité des systèmes d'information, c'est beaucoup plus problématique lorsque ces informations servent à accéder à des informations confidentielles ou privées. Or, cela peut poser d'importants risques en matière de souveraineté.

L'exemple du contrat Open Bar

L'affaire du contrat Open Bar entre Microsoft et le ministère de la défense souligne cette menace. La publication de multiples documents et les informations relayées par la presse incitent à conclure que "le choix de Microsoft pour l'ensemble des logiciels de la Défense pose de graves problèmes de sécurité et de souveraineté nationale", écrit l'APRIL.

"Des experts du ministère ont ainsi rappelé que « la NSA (le plus important des services de renseignement américain, chargé de l'espionnage des télécommunications) 'introduit systématiquement des portes dérobées ou backdoors" dans les logiciels exportés, ce qui rendrait dès lors le système informatique de l'armée française "susceptible d'être victime d'une intrusion de la NSA dans sa totalité'".


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !