Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

L’EFF attaque la NSA pour sa mainmise sur des failles de sécurité 0-day

Qui décide quoi, sur quels critères ?

L'EFF attaque la NSA pour sa mainmise sur des failles de sécurité 0-day

Le 04 juillet 2014 à 09h00

L’Electronic Frontier Foundation a déposé plainte contre la NSA. L’agence de sécurité est accusée de ne pas avoir transmis de réponses à des demandes portant sur les failles 0-day qu'elle est accusée d'avoir utilisées. Explications.

nsa espionnage surveillance
Crédits : AK Rockefeller (licence CC BY-SA 2.0)

L'exploitation des failles : un jeu dangereux 

Parmi l’ensemble des informations acquises grâce aux documents dérobés par Edward Snowden à la NSA, certaines touchent à l’utilisation des failles 0-day. Ces brèches, d’autant plus dangereuses qu’elles sont exploitables sans que le moindre correctif ne soit disponible, sont des armes puissantes dans l’obtention des données au cours d’un espionnage. Grâce à elles, la NSA peut profiter des faiblesses d’un produit sans que son utilisateur puisse se défendre.

 

Le problème inhérent de cette tactique est que la NSA n’est pas le seul acteur à faire usage de ces failles. Le danger est sérieux : plus la faille 0-day est utilisée, plus elle a de risque d’être exploitée par d’autres personnes. C’est en cela d’ailleurs qu’Edward Snowden avait accusé l’agence de « mettre le feu au futur d’Internet ». Le lanceur d’alertes indiquait par-là que le nombre de failles en circulation augmentait avec le temps, créant de vastes menaces potentielles pour Internet tout entier.

L'EFF veut en savoir plus sur la gestion des failles 

L’Electronic Frontier Foundation souhaitait en savoir davantage sur ces failles et spécialement la manière dont elles étaient gérées. La crise HeartBleed a secoué le monde de la sécurité et certains signes pointent vers une connaissance de cette faille par la NSA. Le bureau central du renseignement (ODNI) avait nié, en expliquant que chaque faille faisait l’objet d’un examen approfondi. Baptisé « Vulnerabilities Equities Process », il doit permettre d’analyser ces trous de sécurité pour déterminer s’il est plus judicieux d’en informer l’éditeur concerné ou de la garder de côté.

 

Un point souligné par l’analyste Eva Galperin de Global Policy : « Puisque ces failles affectent potentiellement la sécurité des utilisateurs dans le monde entier, le public veut savoir comment ces agences mesurent les avantages et les inconvénients d’utiliser des failles 0-day plutôt que de les révéler à leurs éditeurs ».

 

Problème : les rouages de ce processus n’étant pas connu, il était impossible pour l’EFF de savoir sur quels critères le bureau du renseignement se basait pour prendre ses décisions. La conséquence étant bien sûr qu’on ne pouvait pas savoir quelles failles avaient été révélées et quelles autres étaient toujours utilisées activement. L’EFF avait donc écrit une demande le 6 mai pour en apprendre davantage sur le processus, comme le permet la loi Freedom of Information Act (FOIA).

Une plainte pour accélérer l'obtention des informations 

La fondation, comme elle l’indique dans son communiqué, s’est lassée d’attendre la réponse de l’ODNI, quand bien même ce dernier avait accepté d’envoyer les documents demandés. Elle a donc déposé plainte auprès d’un tribunal du Northern District de Californie. Selon Andrew Crocker, l’un des juristes de l’EFF, cette plainte « cherche la transparence sur l’un des éléments les moins bien connus des outils de la communauté du renseignement américain : les failles de sécurité ». Il explique par ailleurs que « ces documents sont importants pour le genre de débat informé » qui doit prendre place aux États-Unis.

 

Les failles de sécurité sont un sujet d’autant plus sensible que des documents de Snowden montraient qu’en plus de repérer les vulnérabilités, la NSA pouvait en créer. L’agence jouit en effet d’une position unique lui permettant de fortement influencer le développement des protocoles de sécurité, surtout si ceux-ci doivent être plus tard utilisés par les administrations de l’État. 

Une épée de Damoclès 

Il est certain que les failles jouent un rôle clé dans le réseau de surveillance américain. Le site RT rappelle à ce sujet que le groupe formé par Obama pour inspecter les méthodes de la NSA avait suggéré que les failles 0-day avaient tout intérêt à être colmatées le plus rapidement possibles, car elles concernaient aussi les ordinateurs et les réseaux des administrations américaines. Le même groupe indiquait cependant qu’en de rares exceptions, une brève autorisation pouvait permettre les agences de se servir de telles failles, après approbation des décideurs concernés.

                                                                                                                                                             

C’est finalement ce qu’essaye de savoir l’EFF : qui décide quoi, sur quels critères, et pour combien de temps. En l’état, il est difficile de savoir si l’exploitation des failles se fait effectivement durant un cours laps de temps avant d’être rapporté à l’éditeur concerné, ou si elle continue pendant plusieurs années.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

HS : le mot du jour est “ecoué” <img data-src=" />

votre avatar

Je me demandais si la NSA aurait déjà eu le culot de demander (d’ordonner) à un éditeur de ne pas corriger une faille exploitable ?

votre avatar

Ils ont bien tenté de colmater la faille “Snowden” qui est exploité depuis plus d’un an maintenant <img data-src=" />



J’ai surtout l’impression que pour la NSA l’information prévaut sur la sécurité globale.

votre avatar

Je ne comprend même pas qu’un service d’état, spécialisé dans la sécurité, puisse ne pas diffuser la découverte d’une faille logiquement exploitable par d’autres….

votre avatar







spidy a écrit :



HS : le mot du jour est “ecoué” <img data-src=" />







Y a un pti bouton signaler pour ça <img data-src=" /> (déjà fait pour ma part)


votre avatar







ActionFighter a écrit :



Je ne comprend même pas qu’un service d’état, spécialisé dans la sécurité, puisse ne pas diffuser la découverte d’une faille logiquement exploitable par d’autres….







^^ je pense que la NSA se croit largement au dessus de l’état/gouvernement


votre avatar







caesar a écrit :



^^ je pense que la NSA se croit largement au dessus de l’état/gouvernement





En même temps, au vu des réactions post-Snowden, c’est visiblement un peu le cas…


votre avatar







caesar a écrit :



Y a un pti bouton signaler pour ça <img data-src=" /> (déjà fait pour ma part)





http://fr.wiktionary.org/wiki/%C3%A9cou%C3%A9

<img data-src=" />



bon par contre dans le contexte il manque le ’s’ je pense.


votre avatar







ActionFighter a écrit :



Je ne comprend même pas qu’un service d’état, spécialisé dans la sécurité, puisse ne pas diffuser la découverte d’une faille logiquement exploitable par d’autres….







parceque sécurité du pays &gt;&gt; sécurité des softs


votre avatar







ActionFighter a écrit :



En même temps, au vu des réactions post-Snowden, c’est visiblement un peu le cas…







Tu crois que les gouvernements existe pour aider les peuples ? <img data-src=" />


votre avatar







ActionFighter a écrit :



Je ne comprend même pas qu’un service d’état, spécialisé dans la sécurité, puisse ne pas diffuser la découverte d’une faille logiquement exploitable par d’autres….





De toute façon il y a tellement de failles sur un serveur moyen qu’une de plus ou de moins ne sécuriserait pas grand chose. Alors que la NSA, elle, a besoin de ces failles pour s’infiltrer.



Bref, rien à gagner, tout à perdre.



Tant que la sécurité reposera sur la capacité d’êtres humains à déceler des failles il y aura des failles.


votre avatar







boglob a écrit :



parceque sécurité du pays &gt;&gt; sécurité des softs









Haemy a écrit :



Tu crois que les gouvernements existe pour aider les peuples ? <img data-src=" />





Les failles 0 day, ça ne concerne pas que les particuliers <img data-src=" />







HarmattanBlow a écrit :



De toute façon il y a tellement de failles sur un serveur moyen qu’une de plus ou de moins ne sécuriserait pas grand chose. Alors que la NSA, elle, a besoin de ces failles pour s’infiltrer.



Bref, rien à gagner, tout à perdre.



Tant que la sécurité reposera sur la capacité d’êtres humains à déceler des failles il y aura des failles.





Peut-être que si ceux qui ont connaissances des failles les révélaient, il y en aurait moins….


votre avatar







ActionFighter a écrit :



Je ne comprend même pas qu’un service d’état, spécialisé dans la sécurité, puisse ne pas diffuser la découverte d’une faille logiquement exploitable par d’autres….





La NSA est avant tout une entreprise criminelle.<img data-src=" />


votre avatar







Ricard a écrit :



Sans parler que la guerre froide, on est en plein dedans.





pas trop pressé que ça se réchauffe, même si c’est à la mode. <img data-src=" />


votre avatar







Ricard a écrit :



La NSA est avant tout une entreprise criminelle.<img data-src=" />





Encore faudrait-il pouvoir la juger comme tel…. quand on a aucun compte à rendre, c’est qu’on a tous les droits <img data-src=" />


votre avatar

Faut-il y voir un rapport de rapport à effet quand on voit que pas mal de failles sont remontées par des indépendants et des éditeurs russes ou slaves ?

votre avatar







tAran a écrit :



Faut-il y voir un rapport de rapport à effet quand on voit que pas mal de failles sont remontées par des indépendants et des éditeurs russes ou slaves ?





<img data-src=" /> Des sales communistes empêcheurs d’esiponner en rond….<img data-src=" />


votre avatar







Ricard a écrit :



<img data-src=" /> Des sales communistes empêcheurs d’esiponner en rond….<img data-src=" />





J’en viens à me dire que la Stasi et le KGB étaient des bisounours à coté de la NSA <img data-src=" />


votre avatar







tAran a écrit :



J’en viens à me dire que la Stasi et le KGB étaient des bisounours à coté de la NSA <img data-src=" />





Ils ne diffusent que les 0 day utilisés par la NSA et ils gardent leurs petites exclus avec la Chine <img data-src=" />


votre avatar







tAran a écrit :



J’en viens à me dire que la Stasi et le KGB étaient des bisounours à coté de la NSA <img data-src=" />





Même combat, en réalité.



L’époque de la Guerre Froide est révolue, mais bon, la dictature communiste criminelle également, mais le monde capitaliste soi disant démocratique cache aussi de bien sombres saloperies, le but étant de protéger une oligarchie politico-financiario-industrielle, et accessoirement et en bout de course les peuples qui bossent pour elle.


votre avatar







paradise a écrit :



L’époque de la Guerre Froide est révolue, mais bon, la dictature communiste criminelle également









A part ce que l’on t’as rabâché jusqu’à épuisement, as tu des faits étayés pour affirmer que le régime communiste Russe était criminel ?



Et d’ailleurs…. en quoi c’était plus une dictature que les États-Unis ?


votre avatar







Ricard a écrit :



Je me demandais si la NSA aurait déjà eu le culot de demander (d’ordonner) à un éditeur de ne pas corriger une faille exploitable ?







Quand tu dois bosser pour MS, on te fait signer tout un tas de paperasses de confidentialité, donc aucun informaticien au courant ne te répondra clairement.



Mais pour ce que j’en sais de mon meilleur pote qui bossait chez MS et maintenant chez Google (une grosse brute en info), la réponse est évidemment OUI.



Selon lui, il y avait 17 failles dans Windows XP que MS ne corrigeait pas.



Du reste, il suffit de voir la conduite de MS avec Skype qui le rachète et lui crée une faille genre backdoor pour comprendre que MS et la NSA travaillent ensemble.



Faut pas être naïf dans cette branche…


votre avatar







Goldoark a écrit :



Quand tu dois bosser pour MS, on te fait signer tout un tas de paperasses de confidentialité, donc aucun informaticien au courant ne te répondra clairement.



Mais pour ce que j’en sais de mon meilleur pote qui bossait chez MS et maintenant chez Google (une grosse brute en info), la réponse est évidemment OUI.



Selon lui, il y avait 17 failles dans Windows XP que MS ne corrigeait pas.



Du reste, il suffit de voir la conduite de MS avec Skype qui le rachète et lui crée une faille genre backdoor pour comprendre que MS et la NSA travaillent ensemble.



Faut pas être naïf dans cette branche…





Nan mais MS et Apple, c’est une affaire entendue, on sait bien que leurs systèmes sont backdoorés à mort. Je pensais plus aux éditeurs tierces (Adobe, Symantec etc…)


votre avatar







Fuinril a écrit :



A part ce que l’on t’as rabâché jusqu’à épuisement, as tu des faits étayés pour affirmer que le régime communiste Russe était criminel ?



Et d’ailleurs…. en quoi c’était plus une dictature que les États-Unis ?





Sans parler que la guerre froide, on est en plein dedans.


votre avatar







Ricard a écrit :



Sans parler que la guerre froide, on est en plein dedans.









Bah elle ne s’est jamais arrêtée…. la seule différence c’est qu’avant l’ennemi c’était le bloc URSS et affiliés, maintenant c’est le monde entier.


votre avatar







Ricard a écrit :



Nan mais MS et Apple, c’est une affaire entendue, on sait bien que leurs systèmes sont backdoorés à mort. Je pensais plus aux éditeurs tierces (Adobe, Symantec etc…)







Faudrait que je me renseigne…



Déjà Symantec, je préfère oublier que ça existe (celui qui a Norton mérite de souffrir de sa médiocrité).



Pour les autres, je sais que le droit américain (Patriot Act, etc.) ne laisse pas vraiment le choix aux entreprises : soit tu collabores, soit t’es mort.



C’est pour ça que je ne fais confiance qu’à l’open-source et aux systèmes non-américains.


votre avatar







Goldoark a écrit :





Go… <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

Il va ya avoir une recrudescence des accidents mortels de la circulation routière chez les membres de l’EFF…

votre avatar

Centre de Contrôle NSA



Le Boss : - “Vous avez deux jours pour exploiter la faille, ok ?



Les génies : - “Ok, Patron”



Le Boss : - “ne me répondez plus, vous perdez déjà des secondes utiles”



<img data-src=" />



<img data-src=" />

votre avatar







Fuinril a écrit :



A part ce que l’on t’as rabâché jusqu’à épuisement, as tu des faits étayés pour affirmer que le régime communiste Russe était criminel ?



Et d’ailleurs…. en quoi c’était plus une dictature que les États-Unis ?





Au vu des horreurs faites par les USA un peu partout dans le monde et depuis des décennies, au nom de l’anticommunisme, de la démocratie et j’en passe, sans vouloir défendre les régimes communistes, j’en suis à me demander si la politique US basée sur l’hégémonie à la fois capitaliste, militaires et religieuse (ils assassinent autant que les autres au nom de dieu) ne devient pas doucement pire…


L’EFF attaque la NSA pour sa mainmise sur des failles de sécurité 0-day

  • L'exploitation des failles : un jeu dangereux 

  • L'EFF veut en savoir plus sur la gestion des failles 

  • Une plainte pour accélérer l'obtention des informations 

  • Une épée de Damoclès 

Fermer