Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Que sait-on exactement sur PRISM ?

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

cyber-warfare

On ne pouvait déjà pas parler de la sécurité dans le Cloud sans aborder le Patriot Act : une loi permettant (entre autre) au gouvernement américain de forcer un fournisseur de service en ligne US à lui ouvrir ses serveurs lorsque les données d’un ressortissant étranger l’intéressent dans le cadre d’une enquête contre le terrorisme. Désormais il faudra aussi parler de PRISM… Et l’on n’a pas fini d’en parler !

Ce que l’on sait pour l’instant

PRISM serait un programme américain destiné à permettre aux services de renseignements (NSA et FBI) d’accéder librement aux données d’internautes étrangers sur un certain nombre de réseaux sociaux et de services de communication populaires américains. Il existerait depuis 2007 aux Etats-Unis et aurait été utilisé depuis 2010 par le GCHQ britannique (l’équivalent de la NSA en Grande-Bretagne).

PRISM ne serait utilisé que contre des cibles étrangères. Il n’a ainsi pas vocation à viser des citoyens américains. Le contrôle se fait en deux étapes : lors de la sélection, l’analyste doit avoir une raison suffisante pour penser que la cible est à l’étranger (le système l’y aide en produisant un pourcentage de chances qu’elle le soit en fonction de différents indicateurs). Et à posteriori ensuite : si des citoyens américains sont observés par erreur, l’interception doit cesser.

On retrouverait parmi les services en ligne directement accessibles plusieurs géants d’Internet : Google, Facebook, Microsoft (et donc Skype), Yahoo, AOL, YouTube, Apple et PalTalk.

Microsoft aurait été le premier partenaire à rejoindre le programme (fin 2007) et Apple le dernier (fin 2012). Certains rapports font état de la présence de Dropbox parmi les partenaires mais celui-ci n’est pas cité dans l’article original du Guardian, qui a authentifié le document secret et sa source. Toutefois le document mentionne que d’autres services pourraient être ajoutés dans le futur.

Selon ce document la NSA serait capable, via le FBI et sa Data Intercept Technology Unit, de collecter auprès des géants de l’Internet les informations qu’elle souhaite. La récupération s’effectuerait par les analystes habilités du Special Source Operations group à la NSA, à travers une interface web dédiée.

En fonction des services ciblés, de nombreux types d’information peuvent être collectés ou accédés : emails, conversations (video, audio, visioconférences), fichiers video, photos, données stockées dans le nuage, VoIP (communications téléphoniques sur Internet), transferts de fichiers, activité de la cible (connexions, etc…) et ses informations sur les profils sociaux.

Le programme fonctionnerait à l’aide d’un budget réduit de 20 millions de dollars. Il fournirait 2000 rapport par mois, et au total 77 000 rapports de renseignement citeraient une source fournie par PRISM. En Angleterre, il aurait généré 197 rapports depuis le début de l’année.

Ce que l’on ne sait pas pour l’instant

Les détails techniques du processus de collecte sont inconnus. Il semble toutefois probable qu’il ne s’agisse pas d’une interception massive d’informations qui seraient stockées pour analyse ultérieure (et non, cela n’a très certainement rien à voir non plus avec le Cloud à 600 millions de dollars que s’apprête à bâtir Amazon pour le compte de la CIA, même s’il est effectivement destiné, entre autre, à relever le défi du Big Data !).

Il s’agirait plutôt d’une sélection. De cela dépendrait alors le type de données qui peuvent être récupérées. Il reste alors à savoir comment s’opère cette sélection et à quelle étape du processus de renseignement elle intervient.

La question du point de collecte également a toute son importance : directement chez les entreprises concernées ? En amont, chez les fournisseurs d’accès à Internet ? Sur les CDN ? Dans les datacenters ? Les données chiffrées sont-elles déchiffrées par les partenaires, ou avant ? Le bloggeur Alex Stamos a fait un travail remarquable en compilant toutes ces possibilités.

Le document original qui présente PRISM donne cependant une indication : le projet serait « dépendant à 100% du provisionning chez les fournisseurs d’accès à Internet » .

Enfin, les analystes de la NSA auraient a priori accès aux données stockées sur les serveurs des partenaires mais aussi à l’activité en temps réel de la cible.

Est-ce légal ?

Les informations collectées à travers PRISM sont couvertes par la section 702 du Foreign Intelligence Surveillance Act. Elles sont donc supervisées par la Foreign Intelligence Surveillance Court, la branche exécutive du gouvernement et son Congrès. Le programme est donc officiel, et légal aux Etats-Unis.

La loi américaine, et notamment le quatrième amendement sur la vie privée, ne protège que les citoyens américains. Selon le document publié par The Guardian, tant que les analystes ont de bonnes raisons de croire que la cible est à l’étranger la collecte d’information est légale aux yeux de la loi américaine. Le programme a d’ailleurs justement été conçu pour permettre une collecte rapide sans nécessiter une autorisation nominative, signée par un juge, pour chaque cible.

Cependant l’Union Européenne, via sa commissaire à la justice Viviane Reding, s’est inquiétée de l’impact que pourrait avoir PRISM sur les citoyens européens. Le sujet devrait être abordé formellement avec le gouvernement américain lors d’une prochaine rencontre à Dublin.

Par ailleurs un débat a lieu au Royaume-Unis pour savoir s’il était légal de recevoir via PRISM des informations issues de ce programme et concernant des citoyens britanniques (le Premier Ministre David Cameron assure que oui). La question se pose d’ailleurs probablement pour d’autres pays…

Que répondent les entreprises mises en cause ?

Toutes affirment qu’elles ne sont pas au courant d’un tel programme et n’y participent pas. Elles rappellent qu’elles ne collaborent avec les autorités américaines que dans le cadre de la loi : uniquement lorsqu’elles sont confrontées à une demande officielle de la justice américaine (nominative). Elles ajoutent enfin que le gouvernement ne dispose pas d’un accès direct à leurs données. Un récapitulatif de chacune de leurs réponses officielles est disponible ici.

Certains commentateurs observent toutefois qu’il serait facile pour ces entreprises de nier participer au programme sans mentir pour autant, notamment en jouant sur les mots ou en ayant pris soin d’en cloisonner la connaissance. Mais pour l’heure, toutes réfutent participer à PRISM.

Qui est à l’origine de la fuite ?

Il s’appelle Edward Snowden. C’est un ex-technicien de la CIA de 29 ans, devenu par la suite contractuel au sein de la NSA. Il était employé au moment des faits par la société Booz Allen Hamilton. Il travaillait à la NSA depuis quatre ans.

Il affirme à The Guardian avoir été choqué par l’étendue des capacités de PRISM, et décidé de rendre l’information publique.

Il se cache actuellement à Hong-Kong, après avoir quitté son travail et abandonné sa petite amie, qui vivait à Hawaï avec lui. Il se dit persuadé de ne plus jamais pouvoir rentrer aux Etats-Unis. A terme, il aimerait trouver asile en Islande. Il craint cependant d’être extradé aux Etats-Unis par la Chine (ce qui fait actuellement l’objet d’un débat dans le pays), récupéré par les services de renseignement chinois pour être interrogé, voire extradé de force par la CIA ou une société privée et ramené contre son gré aux Etats-Unis.

Pouvait-on prévoir l’existence d’un tel dispositif de surveillance ?

Les Etats-Unis jouent « à domicile » lorsqu’il s’agit des technologies de l’information et des services Internet. C’est d’ailleurs précisément le terme utilisé par les rédacteurs de la présentation de PRISM. La présence sur le territoire américain de services utilisés quotidiennement par des entités identifiées comme ses ennemis est bien entendu un avantage stratégique que le pays aurait été bien naïf de ne pas utiliser.

Et puis ce n’est pas nouveau : depuis 1994, le Communications Assistance for Law Enforcement Act oblige les fabricant américains d’équipements ou de services de télécommunication à prévoir dès la conception l’interception électronique par les autorités américaines. En 2010 le projet était même d’obliger les développeurs à piéger eux-mêmes leurs applications.

Mais il s’agissait alors d’interceptions traditionnelles menées individuellement et soumises dans tous les cas à l’autorisation d’un juge, dans le cadre d’une affaire clairement définie.

Des suspicion d’accès indiscriminé par les services de renseignement américains, en dehors de tout cadre légal, ne sont pas une nouveauté non plus. Il est cependant difficile de faire le tri parmi les fausses informations ou les rumeurs chères aux adeptes de la théorie du complot. Mais la possibilité était bien connue.

Récemment, en fait dès le rachat de Skype par Microsoft, des rumeurs persistantes accusaient par exemple l’éditeur d’avoir modifié la solution pour en permettre l’interception. Il est impossible de savoir si cela est lié à PRISM, mais une chose est sûre : selon le document secret rendu public par Edward Snowden, Skype est l’une des sources de renseignement les plus actives de PRISM. Et Microsoft est présenté comme le premier partenaire de ce projet.

En définitive, la révélation de l’existence du projet PRSIM ne surprendra donc personne. Mais choquera tout le monde…

Il sera intéressant d’observer désormais ce que cela va changer dans les habitudes d’utilisation des services impliqués. Peut-être même que la révélation d’Edward Snowden favorisera l’adoption de services de substitution Européens.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Que sait-on exactement sur PRISM ?

  1. Yoav dit :

    Mmm ça m’étonne plus, vraiment. Mais, personne n’en parle ici, que peut-on faire en tant qu’utilisateur final ? Pas grand chose, je suppose. Merci à l’auteur pour cet article qui résume bien les infos.

  2. Jerome dit :

    Eh bien, que peut-on faire en tant qu’utilisateur final ? devenir citoyen américain… non vraiment pas! Si PRISM surveille le reste du monde, imaginez bien que tous les américains sont connus et identifié par les services d’état ou privé (électricité, gaz, permis de conduire, carte de crédit, … ).

    L’une des autres options, ne pas exister parmi les services en ligne ayant des serveurs aux états-unis. Pourriez-vous vivre sans Facebook, sans utiliser Google (moteur de recherche et fonctionnalités gratuites), votre Ipod, Iphone pour lequel vous avez un compte pour le téléchargement de jeux, chansons, …

    Ou encore tenter d’effacer vos traces sur internet et tenter de prétendre être localisé à un autre lieux que le positionnement GPS de votre Iphone. Attention à la localisation lors de la création des comptes utilisateurs et des photos téléchargés sur Flicker,…

    Je crois que Yoav a raison… c’est quasi impossible de ne pas être identifié par la NSA (de toute façon !), aussi bien ne pas commettre de crime envers un citoyen ou une entreprise américaine et payer ses factures à tous les mois….

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.