Le meilleur des échecs de backdoor dans l'histoire récente.
Portes dérobées : Permettront-elles d'attraper les criminels ou les aideront-elles ?
Le meilleur des échecs en matière de backdoor
Piratage de la base de données de Microsoft
Le piratage de la base de données de Microsoft en août 2021 a été décrit comme l’une des “pires vulnérabilités du cloud que l’on puisse imaginer”. Les experts en sécurité ont découvert une vulnérabilité (pas une porte dérobée intégrée) dans l’infrastructure Microsoft Azure qui leur a permis d’accéder par une porte dérobée à la modification et à la suppression des données de milliers de clients Azure. Grâce à cette vulnérabilité, la société de sécurité a pu accéder à toutes les bases de données clients qu’elle souhaitait.
Piratage de Microsoft Exchange
Plus tôt dans l’année, c’est également Microsoft qui a dû annoncer une mauvaise nouvelle à ses clients : En janvier 2021, plusieurs exploits de type “zero-day” ont été signalés à Microsoft, ce qui a permis à des attaquants malveillants d’accéder à distance aux serveurs Microsoft Exchange. Cependant, les serveurs Exchange non corrigés sont toujours vulnérables aux attaques. Via cette vulnérabilité, les systèmes de messagerie des entreprises ont été ciblés pour exfiltrer “des informations provenant d’un certain nombre de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion politique et des ONG.”
Portes dérobées intégrées intentionnellement
En dehors de ces vulnérabilités qui fonctionnent comme des portes dérobées pour les attaquants malveillants en ligne, il existe également des portes dérobées intentionnellement intégrées. Ce sont les pires car elles auraient pu être facilement évitées si les entreprises en question n’avaient pas construit la porte dérobée.
Cependant, les services secrets utilisent volontiers ces portes dérobées à des fins d’espionnage et, comme le montrent les cas suivants, ils font activement pression sur les entreprises pour qu’elles intègrent des portes dérobées dans leurs produits.
Tout le monde se souvient probablement encore du cas très médiatisé de la société suisse Crypto AG, qui appartenait à la CIA (et auparavant au BND) pour espionner les communications secrètes d’autres pays. Cette société a réussi à vendre des outils de communication sécurisés, notamment aux gouvernements du monde entier, en promettant que toutes les communications seraient cryptées en toute sécurité. En réalité, la CIA a pu écouter les communications secrètes des gouvernements utilisant les produits de Crypto AG.
Huawei est également accusé à plusieurs reprises d’avoir installé une porte dérobée permettant au gouvernement chinois d’espionner tous les clients de Huawei. Cette question est très controversée, car Huawei est un acteur important des projets 5G en cours dans le monde.
La NSA est cependant l’organisation la plus connue en matière de portes dérobées intentionnellement intégrées. Elle est responsable de plusieurs échecs de portes dérobées très médiatisés et continue de faire pression sur les entreprises technologiques américaines pour qu’elles coopèrent avec elle.
Portes dérobées de la NSA
Échec de la porte dérobée Juniper
L’un des échecs de backdoor les plus connus est celui de Juniper Networks. En 2017, des cryptologues et des chercheurs en sécurité ont documenté un crime cryptographique de haut niveau, qui n’a été possible que grâce à une porte dérobée intégrée par Juniper elle-même. En 2008, Juniper hab a construit une porte dérobée dans son propre système d’exploitation ScreenOS, qui pouvait être utilisée pour lire l’ensemble du trafic VPN crypté des appareils si un paramètre interne appelé Q était connu. Il s’agissait d’une porte dérobée dite “Nobody but us” (NOBUS).
Puis, en 2012, des pirates inconnus se sont introduits dans le réseau de Juniper. Ils ont apparemment réussi à modifier le code source de ScreenOS et le paramètre Q qui s’y trouve. Ils ont seulement changé le verrou de la porte dérobée existante. Cela signifie que quelqu’un d’autre a pu lire les données VPN cryptées en texte clair.
On ignore à ce jour qui a pris le contrôle de cette porte dérobée intégrée. Juniper lui-même n’a remarqué l’expropriation embarrassante de la porte dérobée NOBUS que trois ans plus tard et a réagi par des mises à jour d’urgence précipitées en décembre 2015.
RSA et le générateur de nombres aléatoires
La société de sécurité RSA a reçu 10 millions de dollars américains de la NSA pour avoir inclus le générateur de nombres aléatoires Dual Elliptic Curve (Dual_EC_DRBG) dans la bibliothèque cryptographique BSafe. Les 10 millions ont été bien investis. Pendant des années, RSA a vendu (sciemment) sa bibliothèque de cryptographie avec cette porte dérobée, que ses clients ont ensuite intégrée dans leurs produits.
En outre, RSA s’est assuré que le Dual_EC_DRBG, qui est en fait connu pour être cassé, était inclus dans les normes ouvertes du NIST, de l’ANSI et de l’ISO. Tout cela a été révélé par des documents internes de la NSA publiés par Edward Snowden en 2013.
Des pirates chinois chez Google
En 2010, Google a dû admettre que des pirates s’étaient introduits dans son service de messagerie électronique Gmail. Il est à peu près certain qu’il s’agissait de hackers chinois en mission politique. Ce que l’on sait moins, c’est que ces pirates ont utilisé une méthode très spéciale pour accéder aux comptes Gmail, qui n’est pas facilement accessible, même sur le réseau Google : Pour ce faire, ils ont utilisé une porte dérobée que Google n’avait intégrée que pour l’accès aux courriels légitimé par le gouvernement - ce que l’on appelle l’interception légale - par les organismes d’application de la loi.
Les backdoors de cryptage sont des vulnérabilités
Cette brève compilation des meilleurs échecs de portes dérobées - je suis sûr que d’autres portes dérobées sont exploitées - montre que nous avons besoin d’outils de protection solides pour nous défendre et défendre nos données sensibles sur le web.
Ce résumé des meilleurs échecs de portes dérobées prouve que les portes dérobées pour les “bons” seulement sont tout simplement impossibles.
Les portes dérobées, même si elles sont censées être utilisées uniquement par les forces de l’ordre pour attraper les criminels, ouvrent largement les portes à tout attaquant criminel en ligne et nous rendent vulnérables à de multiples menaces. Par conséquent, les portes dérobées doivent être considérées comme n’importe quelle autre vulnérabilité. Nous devons comprendre que toute porte dérobée de cryptage constitue un risque grave pour la sécurité et ne doit jamais être autorisée.
Au lieu d’appeler à davantage de surveillance, comme c’est souvent le cas dans les guerres cryptographiques en cours, les responsables politiques doivent défendre la sécurité de tous sur le web - et ce faisant, ils doivent être honnêtes : il n’est pas possible d’obtenir davantage de sécurité en affaiblissant la sécurité.