Bullrun

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Bull Run.
Guide des classements Bullrun publié par theguardian.com.

Bullrun est un programme américain secret, utilisé par la NSA, ayant pour but de casser des systèmes de chiffrement (VPN, SSL). L'équivalent britannique s'appelle Edgehill[1] ,[2]. L'existence du programme a été révélée en septembre 2013 par Edward Snowden[3].

Historique[modifier | modifier le code]

Pendant les années 1990, la NSA a perdu une bataille publique sur le droit d'insérer une porte dérobée dans tous les outils logiciels de chiffrement des données. À partir de 2000, quand ils sont devenus de plus en plus couramment utilisés pour les échanges dans le Web, elle a investi des milliards de dollars dans un programme de recherche destiné à maintenir ses capacités d'écoute[4].

Présentation[modifier | modifier le code]

Révélations d'Edward Snowden[modifier | modifier le code]

Le , The Guardian, The New York Times et ProPublica révèlent, sur la base de documents fournis par Edward Snowden, que la NSA et le GCHQ sont capables de décoder l'essentiel des systèmes de chiffrement des communications sur internet, des systèmes utilisés chaque jour par des centaines de millions d'internautes pour protéger leur vie privée et par les entreprises pour sécuriser leurs échanges électroniques[1],[4],[5].

Les trois médias expliquent que les méthodes utilisées par les agences de renseignement anglo-saxonnes incluent[4],[6],[7] :

  • des mesures pour s'assurer le contrôle sur l'établissement de normes américaines et internationales de chiffrement (NIST, normes ISO),
  • la collaboration avec des entreprises technologiques pour intégrer — dès la conception — des portes dérobées dans leurs solutions de chiffrement (logiciels ou puces électroniques),
  • la collaboration avec des fournisseurs de services Internet pour récupérer des certificats de chiffrement,
  • l'utilisation de superordinateurs pour casser le chiffrement avec la technique dite de « force brute »,
  • voire des cyberattaques ou l'espionnage des sociétés pour leur voler leurs clés numériques.

The Guardian et The New York Times indiquent que les agences ont déployé beaucoup d'efforts sur les principaux protocoles ou technologies utilisés dans Internet (HTTPS/SSL, VPN) ou la 4G pour la téléphonie mobile, avec des avancées majeures en 2010, afin d'être capable d'intercepter et de déchiffrer en temps réel des volumes très importants de données qui circulent dans le réseau[8],[1]. De plus, les journaux indiquent aussi les solutions de chiffrement et les communications liées à Hotmail, Yahoo, Facebook et surtout Google qui font l'objet d'analyses approfondies de la NSA[1].

Par ailleurs, l'accès au programme Bullrun est limité à du personnel de haut niveau provenant des pays signataires de UKUSA. Les informations ne pouvant être décryptées avec la technologie actuelle peuvent être stockées indéfiniment, ce qui permet aux agences de continuer à travailler sur des méthodes de cassage[4].

Réactions aux révélations[modifier | modifier le code]

Suite à la publication de ces révélations, plusieurs experts supposent que la NSA exploite principalement des failles identifiées dans l'implémentation des logiciels de chiffrement (Microsoft CryptoAPI (en), OpenSSL) plutôt que dans les algorithmes[9],[10],[11],[12].

Trois jours après ces révélations, le NIST recommandait fortement de ne plus utiliser son standard portant sur le Dual Elliptic Curve Deterministic Random Bit Generator (en). Portant le nom de "Special Publication 800-90A", le NIST a ainsi repassé ce standard en statut "projet", six ans après l'avoir publié officiellement comme norme[13].

Le , la société RSA Security recommande officiellement de ne pas utiliser ses produits B-SAFE suite à l'installation d'une porte dérobée dans le standard Dual_EC_DRBG par la NSA[14],[15].

Le site web Cryptome diffuse des copies des articles de presse ayant révélé l'existence de Bullrun[16],[17],[18].

Notes et références[modifier | modifier le code]

  1. a, b, c et d (en) James Ball, Julian Borger et Glenn Greenwald, « Revealed: How US and UK spy agencies defeat internet privacy and security », The Guardian,‎ 6 septembre 2013 (lire en ligne)
  2. Comment la NSA peut contrecarrer le chiffrement des communications Numerama 6 septembre 2013
  3. Le Monde.fr, « Cybersurveillance : la NSA a fait céder le chiffrement des communications », sur Le Monde.fr,‎ 5 septembre 2013 (consulté le 6 septembre 2013)
  4. a, b, c et d (en) Nicole Perlroth, Jeff Larson et Scott Shane, « N.S.A. Foils Much Internet Encryption », The New York Times,‎ 5 septembre 2013 (lire en ligne)
  5. (en) Jeff Larson de ProPublica, Nicole Perlroth et Scott Shane du New York Times, « Revealed - The NSA’s Secret Campaign to Crack, Undermine Internet Security », ProPublica,‎ 5 septembre 2013 (consulté le 5 septembre 2013)
  6. « La NSA américaine est capable de déchiffrer les échanges chiffrés sur Internet », L'Express,‎ 6 septembre 2013 (consulté le 6 septembre 2013)
  7. Mohamed Sangaré, « La NSA et la GCHQ ont cassé le chiffrement et la sécurité des données sur Internet », Blog Médiapart,‎ 6 septembre 2013 (consulté le 6 septembre 2013)
  8. « Cybersurveillance : la NSA a fait céder le chiffrement des communications », Le Monde
  9. Guénaël Pépin et Thomas Chopitea, « Espionnage : pour casser les clefs de chiffrement, la NSA a dû "tricher" », Le Monde,‎ 6 septembre 2013 (lire en ligne)
  10. (en) Bruce Schneier, « NSA surveillance: A guide to staying secure », The Guardian,‎ 5 septembre 2013 (lire en ligne)
  11. (en) Matthew Green, « A Few Thoughts on Cryptographic Engineering On the NSA », blog.cryptographyengineering.com,‎ 5 septembre 2013
  12. (en) « NSA's (and GCHQ) Decryption Capabilities: Truth and Lies »,‎ 5 septembre 2013
  13. (en) « NIST Says Don't Use our Crypto Algorithm »,‎ 13 septembre 2013
  14. (en) Charles Arthur, « Major US security company warns over NSA link to encryption formula - RSA, the security arm of EMC, sends email to customers over default random number generator which uses weak formula », The Guardian,‎ 21 septembre 2013
  15. http://arstechnica.com/security/2013/09/stop-using-nsa-influence-code-in-our-product-rsa-tells-customers/ Stop using NSA-influenced code in our products, RSA tells customers]
  16. http://cryptome.org/2013/09/nsa-bullrun-brief-nyt-13-0905.pdf
  17. http://cryptome.org/2013/09/nsa-bullrun-brief-propublica-13-0905.pdf
  18. http://cryptome.org/2013/09/nsa-bullrun-2-16-guardian-13-0905.pdf

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Autres programmes de surveillance révélés par Edward Snowden :


Commission d'enquête européenne suite aux révélations d'Edward Snowden :