La récente brèche dans le secteur des télécommunications aux États-Unis a ravivé le débat sur l’efficacité et les dangers des backdoors dans les systèmes de sécurité. Ces portes dérobées, conçues pour permettre un accès facilité aux systèmes par des parties autorisées (souvent les gouvernements ou les entreprises), posent des questions cruciales sur leur viabilité dans un monde où les cybermenaces sont omniprésentes. Était-ce un échec prévisible ? Et surtout, prouve-t-il que ces dispositifs sont, par nature, vulnérables ?Le rôle des backdoors dans la sécurité
Les backdoors sont souvent justifiées par des motifs légitimes : lutte contre le terrorisme, enquêtes criminelles ou protection des infrastructures critiques. Elles permettent aux autorités de contourner le chiffrement ou d’accéder à des systèmes complexes sans entrave.
L’un des principaux problèmes des backdoors est qu’elles créent une vulnérabilité systémique. Une fois qu’une porte dérobée est intégrée dans un système, il devient difficile, voire impossible, de garantir qu’elle ne sera utilisée que par des parties autorisées. Des cybercriminels, des États-nations hostiles ou même des initiés malveillants pourraient exploiter ces accès, transformant ce qui était censé être une mesure de sécurité en un vecteur d’attaque.
La brèche récente dans les télécoms américaines en est un exemple frappant et souligne un paradoxe fondamental : en voulant faciliter l’accès pour des raisons légitimes, ces systèmes deviennent des cibles privilégiées.
Suite au piratage de Salt Typhoon, attribué à des pirates chinois soutenus par l'État, le FBI défend l'idée, démentie depuis longtemps, selon laquelle les agents fédéraux pourraient accéder aux communications américaines sans ouvrir la porte aux pirates étrangers. Les critiques affirment que l'idée du FBI, qu'il appelle « chiffrement géré de manière responsable », n'est rien d'autre qu'un changement de nom d'une porte dérobée du gouvernement.
« Il ne s'agit pas d'une énorme volte-face de la part des forces de l'ordre », a déclaré Andrew Crocker, directeur du contentieux en matière de surveillance à l'Electronic Frontier Foundation. « Il s'agit simplement des mêmes arguments illogiques qu'ils utilisent depuis plus de 30 ans, à savoir que le chiffrement est acceptable, mais que nous devons être en mesure d'accéder aux communications ».
Le piratage
Au moins huit entreprises de télécommunications ont été compromises dans ce piratage, qui a été rendu public pour la première fois en septembre et que les autorités américaines décrivent comme étant en cours.
Les pirates ont recueilli de grandes quantités de données sur les appels téléphoniques et les messages texte dans la région de Washington, D.C., selon ce qu'ont déclaré les responsables lors d'une conférence de presse. Ces informations comprennent des détails sur le moment et le lieu où les appels ont été passés et à qui ils ont été adressés, mais pas leur contenu.
Un cercle plus restreint, d'environ 150 personnes, a vu le contenu de ses communications piraté, y compris l'audio en temps réel des communications, selon un rapport publié le mois dernier dans le Washington Post. Parmi les cibles de ce piratage figuraient Donald Trump, son avocat, JD Vance, et la campagne de Kamala Harris.
Un autre « vecteur » de l'attaque, selon les représentants du gouvernement, était l'interface par laquelle les organismes chargés de l'application de la loi demandent des écoutes téléphoniques aux entreprises de télécommunications en vertu de la loi de 1994 sur l'assistance à l'application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).
En fait, le système CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes soupçonnées par le FBI.
Les défenseurs de la vie privée l'avaient prédit depuis longtemps. Dans un billet de blog publié le mois dernier, Susan Landau, experte en chiffrement, a déclaré que la CALEA était depuis longtemps un « désastre pour la sécurité nationale ».
« Si vous construisez un système de manière à ce qu'il soit facile à pénétrer, les gens le feront - les bons comme les mauvais. C'est la conséquence inévitable de la CALEA, une conséquence dont nous avions prévenu qu'elle se produirait - et c'est ce qui s'est passé », a-t-elle déclaré.
Le FBI a réfuté l'idée que la CALEA était le seul « vecteur » des pirates informatiques chinois
Il a également rejeté la morale plus large tirée par les défenseurs de la vie privée, à savoir que seules les communications entièrement chiffrées de bout en bout sont sécurisées.
Les communications chiffrées de bout en bout garantissent qu'un message écrit ou un appel vocal est protégé du moment où il quitte votre appareil jusqu'au moment où il arrive à destination, en veillant à ce que seuls l'expéditeur et le destinataire puissent déchiffrer les messages, qui sont illisibles pour tout tiers - qu'il s'agisse d'un pirate informatique chinois ou du FBI.
Ce type de chiffrement ne protège pas les communications si le tiers a accès à l'un des terminaux de communication, tel qu'un téléphone ou un ordinateur portable. Les pirates informatiques peuvent toujours installer des logiciels espions sur les téléphones, et le FBI, comme le soulignent depuis longtemps les défenseurs des libertés civiles, peut toujours fouiller les téléphones par le biais de diverses méthodes, mais au cas par cas.
Ces dernières années, de grandes entreprises technologiques telles qu'Apple ont adopté le chiffrement de bout en bout, au grand dam des forces de l'ordre. Les autorités fédérales se plaignent vivement du fait que les criminels les laissent dans l'ombre en utilisant le même voile de chiffrement que celui qui protège les gens ordinaires des escrocs, des pirates et des oreilles indiscrètes.
Le FBI et d'autres agences ont longtemps soutenu qu'il existait un moyen de leur donner un accès spécial aux communications sans faciliter la tâche des pirates et des espions. Les experts en sécurité affirment que cette idée est une foutaise. Qu'il s'agisse d'une porte dérobée, d'une « clé d'or » ou de toute autre chose, ces experts affirment que cela ne peut pas fonctionner.
Dans les conseils qu'ils ont donnés au public, les fonctionnaires fédéraux ont fermement approuvé le chiffrement.
« Le chiffrement est votre ami, qu'il s'agisse de la messagerie texte ou de la capacité à utiliser des communications vocales chiffrées », a déclaré Jeff Greene, directeur adjoint pour la cybersécurité à l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency).
Cependant, il est intéressant de noter qu'un représentant du FBI, lors du même appel, est revenu sur l'idée d'un chiffrement « géré de manière responsable ». Selon le FBI, ce chiffrement serait « conçu pour protéger la vie privée des gens et géré de manière à ce que les entreprises technologiques américaines puissent fournir un contenu lisible en réponse à une décision de justice légitime ».
D'un point de vue pratique, on ne sait pas exactement quels programmes, s'il y en a, le FBI a à l'esprit lorsqu'il appelle les gens à utiliser un chiffrement « géré de manière responsable ».
Sean Vitka, directeur politique du groupe progressiste Demand Progress, a déclaré que le piratage a une fois de plus fourni la preuve accablante que les portes dérobées du gouvernement ne peuvent pas être sécurisées. « Si le FBI n'est pas en mesure de sécuriser son système d'écoutes téléphoniques, il ne peut absolument pas sécuriser le passe-partout de tous les téléphones Apple », a déclaré Vitka.
« Il est préoccupant que les agences fédérales de cybersécurité ne recommandent toujours pas la technologie de chiffrement de bout en bout »
Dans une déclaration, le sénateur Ron Wyden (D-Ore), partisan de longue date de la protection de la vie privée, a déclaré qu'il était temps que les agences gouvernementales adoptent le chiffrement de bout en bout.
« Il est préoccupant que les agences fédérales de cybersécurité ne recommandent toujours pas la technologie de chiffrement de bout en bout, telle que Signal, WhatsApp ou FaceTime, qui est largement considérée comme la norme de référence pour les communications sécurisées », a déclaré Wyden.
Wyden s'est associé au sénateur Eric Schmitt (R-Mo) pour demander à l'inspecteur général du ministère de la défense d'enquêter sur les raisons pour lesquelles le Pentagone n'a pas utilisé son énorme pouvoir d'achat pour inciter les opérateurs de téléphonie mobile à mieux sécuriser leurs services lorsqu'il a signé un contrat de 2,7 milliards de dollars avec AT&T, Verizon et T-Mobile.
« Les fonctionnaires ne devraient pas utiliser des services de communication qui permettent aux entreprises d'accéder à leurs appels et à leurs messages. Qu'il s'agisse d'AT&T, de Verizon, de Microsoft ou de Google, lorsque ces entreprises sont inévitablement piratées, la Chine et d'autres adversaires peuvent voler ces communications », a déclaré Wyden dans son communiqué.
Un dilemme technologique et politique
Le débat autour des backdoors oppose deux visions fondamentales de la sécurité. D’un côté, les gouvernements et certains acteurs industriels plaident pour leur nécessité afin de garantir une surveillance efficace et une réponse rapide aux menaces. D’un autre côté, les experts en cybersécurité et les défenseurs de la vie privée alertent sur les dangers inhérents, soulignant qu’aucune porte dérobée ne peut être considérée comme « totalement sécurisée ».
Les entreprises technologiques elles-mêmes se retrouvent dans une position délicate. Intégrer des backdoors pourrait saper la confiance des utilisateurs, mais refuser de coopérer avec les autorités peut entraîner des tensions politiques et juridiques. En 2016, par exemple, l’affrontement entre Apple et le FBI sur l’accès à un iPhone chiffré a mis en lumière cette impasse.
Sources : Susan Landau, FBI (1, 2), Wyden
Et vous ?
Une backdoor peut-elle réellement être conçue pour n’être accessible que par des parties autorisées ? Existe-t-il des alternatives viables aux backdoors pour répondre aux besoins des forces de l’ordre sans compromettre la sécurité globale des systèmes ? Les entreprises technologiques devraient-elles avoir l’obligation légale de collaborer avec les gouvernements via de tels mécanismes ?Voir aussi :
Le patron du FBI réclame l'introduction d'un backdoor dans les smartphones. Celui-ci préoccupé par le chiffrement par défaut d'Android et d'iOS L'Australie s'apprête à passer une loi pour l'introduction de portes dérobées au sein des dispositifs chiffrés et des réseaux de communication Une porte dérobée aurait été introduite intentionnellement dans la norme TETRA des radios utilisées par la police et l'armée dans le monde entier. Elle peut être exploitée pour déchiffrer le trafic 
Envoyé par Anthony
