Actualité web & High tech sur Usine Digitale

Juniper Networks : quand les gouvernements fragilisent le chiffrement, tout le monde est perdant

|
Twitter Facebook Linkedin Google + Email
×

Analyse L'américain Juniper Networks, spécialiste des équipements réseau, a révélé que certains de ses pare-feux comportent une porte dérobée permettant d'accéder aux données confidentielles de ses clients. Celle-ci émanerait d'une agence de renseignement gouvernementale. Cette révélation est une grave remise en cause pour le fabricant, mais elle doit aussi nous faire s'interroger sur la politique destructrice des états - dont la France - envers le chiffrement des données.

Juniper Networks : quand les gouvernements fragilisent le chiffrement, tout le monde est perdant
Juniper Networks : quand les gouvernements fragilisent le chiffrement, tout le monde est perdant

Le fabricant d'équipements réseaux Juniper Networks avait annoncé le 17 décembre avoir détecté des vulnérabilités dans sa gamme de pare-feux NetScreen. Celles-ci permettaient à une tierce personne de déchiffrer des informations transitant via un réseau privé virtuel (VPN), une méthode sur laquelle s'appuient de très nombreuses entreprises pour garantir la confidentialité de leurs données.

 

Le spectre de la NSA

Après plusieurs rebondissements, Juniper a déclaré le 8 janvier qu'il va exciser de son code la fonction mise en cause, dont les faiblesses sont connues depuis des années. Elle se nomme Dual_EC_DRBG et est chargée de générer les nombres aléatoires qui sont utilisés par l'algorithme de chiffrement pour sécuriser les données.

 

Ces générateurs de nombres aléatoires (RNG) jouent un rôle clé en empêchant qu'un attaquant puisse deviner ces valeurs, ce qui lui permettrait de déchiffrer les données. La plupart des experts en sécurité s'accordent cependant sur le fait que Dual_RC contient une porte dérobée (backdoor) conçue par la NSA (la principale agence de renseignement électronique des Etats-Unis) pour lui permettre de casser les chiffrements l'utilisant.

 

Vulnerable by design

La vulnérabilité inhérente à Duel_EC est connue depuis au moins 2007, et sa possible exploitation par la NSA a été confirmée par les documents qu'Edward Snowden a rendus publics en 2013. Juniper avait à l'époque minimisé l'impact de cette découverte sur ses équipements en prétextant qu'un autre générateur de nombres aléatoires, ANSI X.9.31, était également utilisé. Une affirmation réfutée cette semaine par des chercheurs en sécurité, comme l'explique cet article d'Ars Technica. Loin d'avoir pallié à la faiblesse de ses systèmes, Juniper l'aurait même amplifiée en 2008.

 

Les vulnérabilités mises en cause par Juniper le 17 décembre, introduites dans son système à son insu, s'appuient sur ces failles précédentes. La première date de 2012, et change l'une des constantes mathématiques pour permettre à son auteur d'espionner plus facilement le trafic des pare-feux concernés. La deuxième date de 2014 et permet de déchiffrer les communications grâce à un mot de passe codé en dur dans le système.

 

Une Fragilisation extensive et généralisée

La communication ouverte de Juniper Networks face à cette découverte est courageuse, mais l'existence même de ces failles de sécurité gravissimes laisse perplexe. Il ne fait que peu de doute qu'une agence gouvernementale se trouve derrière cette affaire, et l'implication de Dual_EC laisse à penser qu'il s'agit de la NSA. Cependant, maintenant que les failles sont connues, d'autres attaquants pourront également en faire usage. Et même si Juniper corrige cette faille, de nombreux équipements resteront encore compromis pour des mois, voire des années.

 

Et ces équipements sont utilisés par beaucoup de clients, comme l'OTAN, des gouvernements (notamment celui des Etats-Unis), des opérateurs télécoms majeurs comme Orange ou AT&T, Virtual1, qui interconnecte l'ensemble du réseau britannique, des hébergeurs de contenu, des banques...

 

L'infatigable lutte des gouvernements... contre la sécurité

Ainsi, l'initiative d'une agence de renseignement nationale - œuvrant a priori pour les intérêts de son pays - contre un standard de chiffrement a fini par être préjudiciable à l'ensemble de la communauté. Si cette histoire est loin d'être unique, elle ne semble surtout pas servir de leçon.

 

L'amendement n°CL92, déposé à l'Assemblée Nationale le 4 janvier, précise par exemple que "le cryptage individuel des appareils dans le souci de protéger les données personnelles de leurs utilisateurs" ne doit en aucun cas retarder les enquêtes judiciaires, et que la France doit en conséquence "prendre l’initiative en obligeant les constructeurs de matériel à prendre en compte l'impératif d'accès des policiers et gendarmes, sous le contrôle d’un juge et uniquement dans le cadre d’une enquête judiciaire, à ces matériels."

 

Une politique d'affaiblissement de la sécurité aux conséquences forcément négatives à terme... si elle est appliquée. Car le gouvernement français risque de toute façon d'avoir bien du mal à forcer la main des géants technologiques étrangers.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

Publicité

à la une

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale