La NSA a communiqué récemment au sujet de sa gestion des failles de sécurité. Elle y explique que 91 % de brèches découvertes font l’objet d’une communication à l’éditeur ou au constructeur pour qu’elles soient colmatées. Mais l’agence de sécurité américaine masque de très importantes informations manquantes.

Il y a environ une semaine, la NSA a publié sur son site officiel une infographie pour communiquer sur un sujet qui a créé une vraie polémique : les failles de sécurité. Les documents dérobés par Edward Snowden montraient clairement que l’agence de sécurité cherchait à en récupérer par tous les moyens, les accumulant pour les exploiter au lieu d’en expédier les détails aux entreprises concernées. La NSA était notamment accusée de fragiliser les fondations d’Internet en gardant sous réserve des informations pouvant provoquer de vraies crises de sécurité.

91 % : le gros chiffre

La NSA est parfaitement au fait de l’aura de scandale qui entoure cette activité. Dans son infographie, elle donne une statistique importante : plus de 91 % des failles découvertes (sur un total non précisé) font l’objet d’une communication aux entreprises, qui peuvent donc les corriger une fois qu’elles ont les détails. L’agence explique qu’il s’agit d’une partie importante de son travail puisque le colmatage des vulnérabilités participe de la sécurité nationale.

Chaque fois qu’une faille est découverte, elle transite à travers un processus interne d’évaluation. Ce n’est qu’au bout de ce dernier qu’il est décidé si la faille sera révélée à l’entreprise ou non. Les 9 % qui restent répondent à deux cas de figure : soit l'entreprise concernée était déjà au courant et avait corrigé la faille, soit la NSA en gardait les détails pour ses propres besoins.

« un Internet ouvert, interopérable, sécurisé et fiable »

L’agence insiste largement sur ce processus d’évaluation et sur le soin qu’elle porte à peser le pour et le contre de chaque situation. Elle explique ainsi qu’en cas de révélation de la faille, des opportunités peuvent être manquées : récupérer des renseignements essentiels sur une puissance étrangère qui pourraient bloquer une tentative d’attaque terroriste, se défendre contre le vol de propriété intellectuelle.

De fait, elle espère que le message sera clair pour tout le monde : « Le gouvernement américain prend au sérieux son engagement pour un Internet ouvert, interopérable, sécurisé et fiable. Dans la vaste majorité des cas, dévoiler de manière responsable une vulnérabilité nouvellement découverte est clairement dans l’intérêt national. Nous nous appuyons tous sur Internet et des systèmes connectés pour une bonne partie de notre quotidien. De plus, notre économie ne fonctionnerait pas sans eux. Pour ces raisons, révéler les vulnérabilités a généralement du sens. Mais il y a des pours et des contres légitimes dans la décision de les révéler, et les inconvénients entre les révélations rapides la conservation de connaissances sur certaines failles pendant un temps limité peut avoir des conséquences significatives ».

La NSA veut évidemment redorer son blason en rappelant que son activité ne tourne pas uniquement autour de l’espionnage et du renseignement. Il est clair que l’agence participe pleinement à la sécurité du pays et que ses missions sont diverses. Elle intervient par exemple de manière consultative sur les protocoles de sécurité. Mais le passage par les ingénieurs de la NSA est par contre obligatoire dès lors qu’un produit lié à la sécurité peut être utilisé par l’une des multiples administrations et instances du gouvernement.

La grande question du « Quand ? »

Pour autant, les informations données par la NSA dans sa communication sont très partielles et des zones d’ombre importantes subsistent. Par exemple, elle insiste sur le chiffre des 91 %, mais elle ne dit à aucun moment si ces failles ont été utilisées de manière active avant qu’il soit envisagé d’en partager les détails avec l’éditeur ou le constructeur concerné. Certes, elle aborde le caractère « rapide » de ces partages, mais sans aucune liste ou statistique précise, il est impossible de savoir ce qu’elle fait réellement de ces informations, ni de la hâte avec laquelle elle s’empresse de vouloir rendre service.

Un article de Reuters plonge justement dans cette obscurité en rappelant combien le processus d’examen des failles demeure secret, tous les détails en étant classifiés. Quand les documents de Snowden avaient montré en septembre 2013 comment la NSA introduisait des failles de sécurité dans certains produits de l’entreprise RSA, les réactions avaient abouti à une réévaluation complète du processus. Les experts engagés à ce moment par la Maison Blanche avaient alors insisté sur le besoin d’une attitude plus défensive, mais les changements apportés avaient eux aussi été classifiés.

Par une source ayant anciennement travaillé pour la Maison Blanche, Reuters précise que la question de la temporalité demeure sans réponse. Selon l’ancien responsable, on peut estimer « raisonnablement » que dans les 91 % de failles dont les informations sont communiquées, la majorité a déjà été utilisée pour capter des données. Autre point intéressant, cette « immense majorité » des failles comprend toutes les vulnérabilités achetées directement auprès de certains acteurs.

Le marché trouble des failles de sécurité

Cet élément est crucial. Il rappelle l’existence du marché gris sous-jacent de la sécurité, dans lequel les failles de sécurité se monnayent parfois au prix fort. À titre d’exemple, la société de sécurité Zerodium, spécialisée dans la traque des failles, offrait récemment un million de dollars à toute équipe de hackers qui réussirait à pirater à distance un iPhone à jour (iOS 9.1 ou 9.2 bêta) à l’aide de Safari, Chrome, un SMS ou un MMS. Dans un tweet daté du 2 novembre, Zerodium annonçait que le concours était terminé. Mais cette entreprise ne partage pas nécessairement ses informations avec les sociétés concernées, et son fondateur, Chaouki Bekrar, a indiqué à Wired le jour-même qu’il n’était pas prévu de fournir les informations à Apple pour le moment. Le cas rappelle le type d’investissement qui peut être fait pour une ou plusieurs failles, tout comme l’aspect trouble qui recouvre certaines activités : que deviennent ces informations ?

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!

— Zerodium (@Zerodium) 2 Novembre 2015

Autre exemple, celui de la Navy. Il y a quelques mois, une offre publique avait le mérite d’être particulièrement claire : l’armée américaine cherchait à acquérir des failles de sécurité de type 0-day. L’annonce, publiée comme les autres dans l’objectif d’attirer les éventuelles entreprises intéressées avait été promptement retirée juste après avoir été repérée par l’EFF. Les failles 0-day sont considérées comme de véritables armes dans la cyberguerre et offrent l’avantage indéniable de ne pas être encore corrigées lors de leur utilisation. Souvent, ni l’éditeur concerné ni les utilisateurs ne sont au courant de son existence.

De fait, la communication de la NSA vise sans doute à restaurer un certain niveau de confiance, au moins pour faire accepter l’idée que, dans le fond, « on n’a rien sans rien ». Mais l’agence ne répond pas aux questions posées depuis les premières révélations d’Edward Snowden, et elle ne le fera pas : ces informations sont classifiées. Sa seule capacité de communication réside dans la publication de chiffres sans réelle importance, et que l’on peut donc mettre en avant.