Le piratage des télécommunications aux USA prouve qu'installer des portes dérobées « uniquement à usage des forces de l'ordre » est absurde

Les experts en sécurité avaient pourtant tiré la sonnette d'alarme

La récente brèche dans le secteur des télécommunications aux États-Unis a ravivé le débat sur l’efficacité et les dangers des backdoors dans les systèmes de sécurité. Ces portes dérobées, conçues pour permettre un accès facilité aux systèmes par des parties autorisées (souvent les gouvernements ou les entreprises), posent des questions cruciales sur leur viabilité dans un monde où les cybermenaces sont omniprésentes. Était-ce un échec prévisible ? Et surtout, prouve-t-il que ces dispositifs sont, par nature, vulnérables ?

Le rôle des backdoors dans la sécurité

Les backdoors sont souvent justifiées par des motifs légitimes : lutte contre le terrorisme, enquêtes criminelles ou protection des infrastructures critiques. Elles permettent aux autorités de contourner le chiffrement ou d’accéder à des systèmes complexes sans entrave.

L’un des principaux problèmes des backdoors est qu’elles créent une vulnérabilité systémique. Une fois qu’une porte dérobée est intégrée dans un système, il devient difficile, voire impossible, de garantir qu’elle ne sera utilisée que par des parties autorisées. Des cybercriminels, des États-nations hostiles ou même des initiés malveillants pourraient exploiter ces accès, transformant ce qui était censé être une mesure de sécurité en un vecteur d’attaque.

La brèche récente dans les télécoms américaines en est un exemple frappant et souligne un paradoxe fondamental : en voulant faciliter l’accès pour des raisons légitimes, ces systèmes deviennent des cibles privilégiées.

Suite au piratage de Salt Typhoon, attribué à des pirates chinois soutenus par l'État, le FBI défend l'idée, démentie depuis longtemps, selon laquelle les agents fédéraux pourraient accéder aux communications américaines sans ouvrir la porte aux pirates étrangers. Les critiques affirment que l'idée du FBI, qu'il appelle « chiffrement géré de manière responsable », n'est rien d'autre qu'un changement de nom d'une porte dérobée du gouvernement.

« Il ne s'agit pas d'une énorme volte-face de la part des forces de l'ordre », a déclaré Andrew Crocker, directeur du contentieux en matière de surveillance à l'Electronic Frontier Foundation. « Il s'agit simplement des mêmes arguments illogiques qu'ils utilisent depuis plus de 30 ans, à savoir que le chiffrement est acceptable, mais que nous devons être en mesure d'accéder aux communications ».

Le piratage

Au moins huit entreprises de télécommunications ont été compromises dans ce piratage, qui a été rendu public pour la première fois en septembre et que les autorités américaines décrivent comme étant en cours.

Les pirates ont recueilli de grandes quantités de données sur les appels téléphoniques et les messages texte dans la région de Washington, D.C., selon ce qu'ont déclaré les responsables lors d'une conférence de presse. Ces informations comprennent des détails sur le moment et le lieu où les appels ont été passés et à qui ils ont été adressés, mais pas leur contenu.

Un cercle plus restreint, d'environ 150 personnes, a vu le contenu de ses communications piraté, y compris l'audio en temps réel des communications, selon un rapport publié le mois dernier dans le Washington Post. Parmi les cibles de ce piratage figuraient Donald Trump, son avocat, JD Vance, et la campagne de Kamala Harris.

Un autre « vecteur » de l'attaque, selon les représentants du gouvernement, était l'interface par laquelle les organismes chargés de l'application de la loi demandent des écoutes téléphoniques aux entreprises de télécommunications en vertu de la loi de 1994 sur l'assistance à l'application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).

En fait, le système CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes soupçonnées par le FBI.

Les défenseurs de la vie privée l'avaient prédit depuis longtemps. Dans un billet de blog publié le mois dernier, Susan Landau, experte en chiffrement, a déclaré que la CALEA était depuis longtemps un « désastre pour la sécurité nationale ».

« Si vous construisez un système de manière à ce qu'il soit facile à pénétrer, les gens le feront - les bons comme les mauvais. C'est la conséquence inévitable de la CALEA, une conséquence dont nous avions prévenu qu'elle se produirait - et c'est ce qui s'est passé », a-t-elle déclaré.


Le FBI a réfuté l'idée que la CALEA était le seul « vecteur » des pirates informatiques chinois

Il a également rejeté la morale plus large tirée par les défenseurs de la vie privée, à savoir que seules les...