Les écoutes électroniques "As a Service"

Miniature de l'image pour S FILTERING.gifDans un article du 27 septembre dernier, le New York Times nous apprend que l'administration américaine souhaite faciliter les moyens d'interceptions et d'écoutes électroniques sur Internet.

Un projet de loi qui semble ambitieux puisque le décodage des communications chiffrées serait en jeu, ainsi que la mise en œuvre de portes dérobées à tous les niveaux : des services d'interception dématérialisés en quelque sorte.

Petit retour en arrière

En 1994, une loi américaine exige des "entreprises de télécommunications" la mise en œuvre de moyens d'écoutes électroniques sur demandes des autorités judiciaires. En plus des opérateurs téléphoniques, sont concernées les entreprises de télécommunications, les fabricants de matériel et les opérateurs de services de voix sur IP.

En 2006, de nouvelles règles sont introduites afin de faciliter les procédures d'écoutes d'appels téléphoniques via Internet. Les bénéficiaires sont les services de police et de renseignements.

Début 2009, le ministère de la justice dépose une requête en rejet du procès de l'Electronic Frontier Foundation contre la National Security Agency, affirmant que le contentieux sur le programme d'écoute électronique obligerait le gouvernement à divulguer des secrets d'état.
 

La proposition

En synthèse, la proposition de loi en cours de préparation viserait à contraindre les fournisseurs de services de communications à mettre en œuvre des moyens techniques permettant l'interception et les écoutes électroniques sur ordonnance.

Jusqu'ici, rien de bien nouveau si ce n'est que ces obligations s'adresseraient également à tout fournisseur de services de de communications cryptées. Et les nominés sont ... à titre d'exemple évoqués : le fournisseur des solutions BlackBerry, les sites de réseaux sociaux comme Facebook ou bien encore l'éditeur du logiciel Skype.

Comme le souligne le New York Times, outre la douloureuse question de la protection de la vie privée, un tel projet de loi émanant de la première puissance mondiale, constituerait un retentissant précédent en matière de législation et de moyens techniques employés.

Internet 3.0

Selon le Federal Bureau of Investigation, "Nous ne parlons pas d'étendre notre autorité. Nous parlons de la préservation de notre capacité à exécuter notre autorité existante afin de protéger la sécurité publique et la sécurité nationale." (traduction de la citation par l'auteur).

L'ère des services "2.0" s'appuyait sur des architectures dites participatives, composées de systèmes distribués et indépendants. L'approche induite par le projet de loi américain nous propulsera vers l'Internet 3.0 (c'est beaucoup plus prétentieux que 2.1) où certains services de sécurité disposeront d'un accès back-office direct dans n'importe quelle particule du nuage Internet.

Les spécification fonctionnelles

Afin de parer à tout obstacle techniques lors de la mise en œuvre des interceptions et des écoutes, le projet s'orienterait autour de quelques besoins fonctionnels majeurs :


  • tout service qui chiffrerait des messages devra être en mesure de les déchiffrer
  • toute société étrangère fournissant des services aux Etats-Unis devra posséder un bureau local capable de répondre aux demandes d'interception
  • les développeurs de logiciels de communications peer-to-peer devront re-concevoir leurs services afin de permettre les interceptions

Il est bien entendu que ces règles soulèvent de nombreux points d'interrogations quant aux contraintes qui seraient imposées à des entreprises étrangères ou à des groupes de développement communautaires (projets open-source par exemple). Se pose également l'épineuse question de la normalisation ou la certification de ses portes dérobées "officielles".

Changement de moeurs à venir

Les plus éclairés pourront apercevoir dans leur boule de cristal un bouleversement important des rapports de force entre Hackers et professionnels de la sécurité :

  • si le double des clés des voitures sont cachées "dans une boite située quelque part sous l'aile avant gauche", c'est l'explosion des formules de co-voiturage assurée (le propriétaire n'étant pas forcément du voyage).
  • les objectifs commerciaux des sociétés spécialisées en sécurité vont rapidement se résumer à vendre du dentifrice à des poules ou des peignes à des chauves (n'y voyez ici aucune discrimination de ma part).

Conclusion

Ce projet de loi risque sans doute de provoquer de nombreuses réactions parmi les professionnels de la sécurité et le monde des entreprises. L'agenda pressenti prévoit que l'administration américaine soumette le projet de loi au législateur en 2011 ... n'est-ce pas l'année de consécration du Cloud ?!

A titre d'information, un service de Cloud Computing peut être défini (entre autres) par les caractéristiques suivantes: :


  • une élasticité des ressources disponibles
  • une standardisation des services proposés
  • un accès en libre-service aux offres

L'explosion et l'hégémonie de certains réseaux sociaux ne vont-ils pas en faire des cibles privilégiées pour les écoutes électroniques "As a Service" ? ...

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.