Bullrun

Bullrun est un programme américain secret mis en œuvre par la NSA dont le but est de casser les systèmes de chiffrement utilisés dans les protocoles les plus répandus sur Internet, tels le Secure Sockets Layer (SSL), les réseaux privés virtuels (VPN) ou la voix sur IP (VoIP)^[1],[2]. L'équivalent britannique s'appelle Edgehill^{[1] ,[3]}. L'existence du programme a été révélée en septembre 2013 par Edward Snowden^[4].

Guide des classements Bullrun publié par theguardian.com.

Historique

Pendant les années 1990, la NSA a perdu une bataille publique sur le droit d'insérer une porte dérobée dans tous les outils logiciels de chiffrement des données. À partir de 2000, quand ils sont devenus de plus en plus couramment utilisés pour les échanges dans le Web, elle a investi des milliards de dollars dans un programme de recherche destiné à maintenir ses capacités d'écoute^[5].

Présentation

Surveillance par la NSA

Carte de la surveillance globale de la NSA

Données clés

Programmes Avant 1978 ECHELON MINARET SHAMROCK Depuis 1978 Upstream collection Blarney Fairview Main Core ThinThread Project Genoa Depuis 2001 OAKSTAR STORMBREW Trailblazer Turbulence (NSA) (en) Genoa II (en) Total Information Awareness (en) President's Surveillance Program (en) TSP Depuis 2007 PRISM Dropmire (en) Stateroom Bullrun MYSTIC MonsterMind (spéculatif) Bases de données, outils, etc. Pinwale (en) MARINA (base de données) (en) MAINWAY (en) TRAFFICTHIEF (en) Dishfire XKeyscore ICREACH Boundless Informant Collaboration avec le GCHQ Muscular Tempora   Lois Safe Streets Act Privacy Act of 1974 (en) FISA ECPA (en) Patriot Act Homeland Security Act (en) Protect America Act of 2007 (en) FISA Amendments Act of 2008   Institutions FISC Senate Select Committee on Intelligence Conseil de sécurité nationale   Poursuites ACLU v. NSA Hepting v. AT&T Jewel v. NSA Clapper v. Amnesty Klayman v. Obama ACLU v. Clapper Wikimedia v. NSA   Lanceurs d'alerte William Binney Thomas Drake Mark Klein Edward Snowden Thomas Tamm Russ Tice   Révélations NSA warrantless surveillance (2001–07) Révélations d'Edward Snowden   Divers Cablegate Surveillance des journalistes Surveillance des courriels Espionnage des diplomates de l'ONU Insider Threat Program Surveillance de masse aux États-Unis (en) Surveillance de masse au Royaume-Uni (en)   Concepts SIGINT Métadonnées   Collaboration Aux États-Unis CSS CYBERCOM DOJ FBI CIA DHS IAO Five Eyes (UKUSA) SCRS GCHQ ASD GCSB Autres DGSE BND

modifier

Révélations d'Edward Snowden

Le 5 septembre 2013, The Guardian, The New York Times et ProPublica révèlent, sur la base de documents fournis par Edward Snowden, que la NSA et le GCHQ sont capables de décoder l'essentiel des systèmes de chiffrement des communications sur internet, des systèmes utilisés chaque jour par des centaines de millions d'internautes pour protéger leur vie privée et par les entreprises pour sécuriser leurs échanges électroniques^[1],[5],[2].

Les trois médias expliquent que les méthodes utilisées par les agences de renseignement anglo-saxonnes incluent^[5],[6],[7] :

• des mesures pour s'assurer le contrôle sur l'établissement de normes américaines et internationales de chiffrement (NIST, normes ISO),
• la collaboration avec des entreprises technologiques pour intégrer — dès la conception — des portes dérobées dans leurs solutions de chiffrement (logiciels ou puces électroniques),
• la collaboration avec des fournisseurs de services Internet pour récupérer des certificats de chiffrement,
• l'investissement dans des ordinateurs à hautes performances,
• voire des cyberattaques ou l'espionnage des sociétés pour leur voler leurs clés numériques.

The Guardian et The New York Times indiquent que les agences ont déployé beaucoup d'efforts sur les principaux protocoles ou technologies utilisés dans Internet (HTTPS/SSL, VPN) ou la 4G pour la téléphonie mobile, avec des avancées majeures en 2010, afin d'être capable d'intercepter et de déchiffrer en temps réel des volumes très importants de données qui circulent dans le réseau^[8],[1]. De plus, les journaux indiquent aussi les solutions de chiffrement et les communications liées à Hotmail, Yahoo, Facebook et surtout Google qui font l'objet d'analyses approfondies de la NSA^[1].

Par ailleurs, l'accès au programme Bullrun est limité à du personnel de haut niveau provenant des pays signataires de UKUSA. Les informations ne pouvant être décryptées avec la technologie actuelle peuvent être stockées indéfiniment, ce qui permet aux agences de continuer à travailler sur des méthodes de cassage^[5].

Réactions aux révélations

À la suite de la publication de ces révélations, plusieurs experts supposent que la NSA exploite principalement des failles identifiées dans l'implémentation des logiciels de chiffrement (Microsoft CryptoAPI, OpenSSL) plutôt que dans les algorithmes^{[9],[10],[11],[12]}.

Trois jours après ces révélations, le NIST recommandait fortement de ne plus utiliser son standard portant sur le Dual Elliptic Curve Deterministic Random Bit Generator (en). Portant le nom de "Special Publication 800-90A", le NIST a ainsi repassé ce standard en statut "projet", six ans après l'avoir publié officiellement comme norme^[13].

Le 20 septembre 2013, la société RSA Security recommande officiellement de ne pas utiliser ses produits B-SAFE à la suite de l'installation d'une porte dérobée dans le standard Dual_EC_DRBG par la NSA^[14],[15].

Le site web Cryptome diffuse des copies des articles de presse ayant révélé l'existence de Bullrun^{[16],[17],[18]}.

Notes et références

1. (en) James Ball, Julian Borger et Glenn Greenwald, « Revealed: How US and UK spy agencies defeat internet privacy and security », The Guardian,‎ 6 septembre 2013 (lire en ligne, consulté le 6 septembre 2013)
2. (en) « Revealed - The NSA’s Secret Campaign to Crack, Undermine Internet Security », ProPublica, 5 septembre 2013 (consulté le 5 septembre 2013)
3. Comment la NSA peut contrecarrer le chiffrement des communications Numerama 6 septembre 2013
4. Le Monde.fr, « Cybersurveillance : la NSA a fait céder le chiffrement des communications », sur Le Monde.fr, 5 septembre 2013 (consulté le 6 septembre 2013)
5. (en) Nicole Perlroth, Jeff Larson et Scott Shane, « N.S.A. Foils Much Internet Encryption », The New York Times,‎ 5 septembre 2013 (lire en ligne, consulté le 5 septembre 2013)
6. « La NSA américaine est capable de déchiffrer les échanges chiffrés sur Internet », L'Express, 6 septembre 2013 (consulté le 6 septembre 2013)
7. Mohamed Sangaré, « La NSA et la GCHQ ont cassé le chiffrement et la sécurité des données sur Internet », Blog Médiapart, 6 septembre 2013 (consulté le 6 septembre 2013)
8. « Cybersurveillance : la NSA a fait céder le chiffrement des communications », Le Monde
9. Guénaël Pépin et Thomas Chopitea, « Espionnage : pour casser les clefs de chiffrement, la NSA a dû "tricher" », Le Monde,‎ 6 septembre 2013 (lire en ligne)
10. (en) Bruce Schneier, « NSA surveillance: A guide to staying secure », The Guardian,‎ 5 septembre 2013 (lire en ligne)
11. (en) Matthew Green, « A Few Thoughts on Cryptographic Engineering On the NSA », blog.cryptographyengineering.com, 5 septembre 2013
12. (en) « NSA's (and GCHQ) Decryption Capabilities: Truth and Lies », 5 septembre 2013
13. (en) « NIST Says Don't Use our Crypto Algorithm », 13 septembre 2013
14. (en) Charles Arthur, « Major US security company warns over NSA link to encryption formula - RSA, the security arm of EMC, sends email to customers over default random number generator which uses weak formula », The Guardian, 21 septembre 2013
15. https://arstechnica.com/security/2013/09/stop-using-nsa-influence-code-in-our-product-rsa-tells-customers/ Stop using NSA-influenced code in our products, RSA tells customers]
16. http://cryptome.org/2013/09/nsa-bullrun-brief-nyt-13-0905.pdf
17. http://cryptome.org/2013/09/nsa-bullrun-brief-propublica-13-0905.pdf
18. http://cryptome.org/2013/09/nsa-bullrun-2-16-guardian-13-0905.pdf

Articles connexes

• Révélations d'Edward Snowden
• Cryptographie
• Vie privée et informatique
• Surveillance globale

Autres programmes de surveillance révélés par Edward Snowden :

• Boundless Informant (États-Unis)
• Levitation (Canada)
• Muscular (Royaume-Uni)
• PRISM (États-Unis)
• Optic Nerve (Royaume-Uni)
• Tempora (Royaume-Uni)
• XKeyscore (États-Unis)

Commission d'enquête européenne à la suite des révélations d'Edward Snowden :

• Comité d'enquête sur la surveillance électronique de masse de citoyens de l'Union européenne

• Portail de la cryptologie
• Portail de la sécurité informatique
• Portail du renseignement
• Portail d’Internet
• Portail des États-Unis