La surveillance étatique d’internet inquiète les professionnels du secteur. Pour l’expert américain en sécurité Bruce Schneier, la solution devra passer par la politique. Interview.
Expert de renommée mondiale, l’Américain Bruce Schneier se consacre depuis plus de deux décennies au cryptage des données. Ce commentateur des développements techniques et politiques de la sécurité se dit très préoccupé par la surveillance étatique et commerciale d’internet. Et s’inquiète d’une société qui, à force de tout archiver, n’oublie plus rien.
Avez-vous été surpris par l’ampleur de l’espionnage de la NSA?
Oui. Aucun élément en particulier ne m’a surpris, mais l’ampleur et la portée des capacités de la NSA sont incroyables. Ce système de surveillance est très solide sur les plans techniques, politiques et juridiques.
Le programme «Upstream» de la NSA écoute directement les câbles portant le trafic internet. Beaucoup de ces données étant cryptées, est-ce bien utile?
Elles devraient en effet être chiffrées avec le protocole SSL. Malheureusement, une grande partie ne l’est pas.
On peut montrer mathématiquement qu’un bon cryptage tel que SSL est inviolable. Comment la NSA peut-elle décoder des données chiffrées?
Ils trichent. Ils profitent de mises en œuvre inadéquates des systèmes de cryptage, de mauvais générateurs de nombres aléatoires, et de clés de chiffrement faibles — ou alors ils les volent.
La NSA a-t-elle réussi à affaiblir les normes cryptographiques?
Les normes de cryptage privées — comme celles des téléphones mobiles — sont généralement assez faibles. Il n’y a d’ailleurs pas que la NSA: de nombreux pays espionnent les téléphones mobiles et ne veulent pas d’un cryptage fort. Les normes publiques, comme celles du National Institute of Standards and Technology (NIST), sont plus strictes. Je ne pense pas qu’il y ait eu d’affaiblissement des normes de cryptage de NIST, à part un cas portant sur un certain générateur de nombres aléatoires.
La NSA a accès à des serveurs ainsi qu’aux communications internes des plus grandes entreprises internet. Pourquoi ces données ne sont-elles pas cryptées?
Nul ne le sait. Je m’attends à ce que la plupart des entreprises du cloud informatique mettent en œuvre un cryptage fort dans leurs réseaux. Elles ont subi une énorme perte de confiance avec la compromission de leurs réseaux par la NSA. Elles doivent montrer qu’elles prennent au sérieux la sécurité de leurs utilisateurs.
Certaines méthodes, comme PGP, contournent le problème en permettant de crypter toute la communication entre les utilisateurs finaux.
PGP est trop difficile à utiliser pour la plupart des gens. Mais d’autres logiciels sont si discrets qu’on les utilise sans le savoir, comme le chiffrement SSL pour les sites dont l’URL commence par «https» ou celui des téléphones portables qui protège les appels entre l’appareil et l’antenne-relais. Rien ne les protège dans le réseau de téléphonie, mais cela est une autre histoire.