La NSA est devenue trop grande et trop puissante. Ce qui était censé être une seule agence avec une double mission–protection de la sécurité des communications des États-Unis et écoute des communications de nos ennemis-s’est déséquilibrée dans l’après guerre froide, cette époque du « tout-le-terrorisme-tout-le-temps ».
Mettre l’US Cyber Command, l’aile de cyberguerre de l’armée, dans le même endroit et sous le même commandement, augmente la puissance de la NSA. Le résultat est une agence qui donne la priorité à la collecte de renseignements sur la sécurité, et cela nous met tous de plus en plus qui en danger. Il est temps que nous pensions à l’éclatement de la National Security Agency.
Grosso modo, trois types de programmes de surveillance de la NSA ont été exposés par les documents publiés par Edward Snowden. Et tandis que les médias ont tendance à les regrouper, il est essentiel de comprendre leurs différences pour comprendre comment répartir les missions de la NSA.
Le premier est la surveillance ciblée.
Elle est illustrée à merveille par le travail du groupe Tailored Access Operations (TAO, opérations d’accès personnalisées) de la NSA, y compris ses « implants » logiciels et matériels conçus pour être installés subrepticement sur les ordinateurs de l’ennemi. Ce genre de travail représente ce qui se fait de mieux à la NSA, et c’est ce que nous souhaitons qu’elle fasse. Que les États-Unis aient des capacités si effrayantes est source de fierté.
Le second est la surveillance de masse, la collecte par la NSA de tout ce qu’elle peut obtenir sur tout canal de communication auquel elle peut accéder. Cela inclut la collecte de masse par la NSA des appels téléphoniques, des données de localisation, des courriels et des Textos.
C’est là que la NSA va trop loin : collecte accidentelle ou délibérée de données sur les Américains innocents,et collecte des données sur les citoyens étrangers sans discernement. Elles ne nous rendent pas plus en sécurité, et elles sont susceptibles d’être abusées. Même le directeur du renseignement national, James Clapper, a reconnu que la collecte et le stockage des données furent tenus secrets pendant trop longtemps.
Le troisième est le sabotage délibéré de la sécurité. L’exemple primordial que nous en avons, c’est le programme BULLRUN de la NSA, qui essaie d’ « insérer des vulnérabilités dans les systèmes de cryptage commerciaux, les systèmes IT, les réseaux et les terminaux de communication en bout. » C’est le pire des excès de la NSA, car il détruit notre confiance dans l’Internet, affaiblit la sécurité sur laquelle chacun de nous s’appuie, et nous rend plus vulnérables aux intrus du monde entier.
Voici les trois types: bon, mauvais et très mauvais. La réorganisation des services de renseignements américains pour qu’ils se concentrent sur nos ennemis nécessite un démembrement de la NSA suivant ses fonctions.
Tout d’abord le groupe TAO et sa mission de surveillance spécifique doivent être placés sous le contrôle de l’US Cyber Command, et le Cyber Command doit être complètement séparé de la NSA. Attaquer activement les réseaux ennemis, c’est une opération militaire offensive, et cela devrait donc faire partie d’une unité militaire offensive.
Quelles que soient les règles de conduite sous lesquelles le Cyber Command opère, elles devraient s’appliquer uniformément à toutes les opérations en cours comme le sabotage de l’installation d’enrichissement nucléaire de Natanz en Iran ou le piratage d’une compagnie de téléphone belge. Si nous attaquons l’infrastructure d’un pays étranger, que ce soit une opération militaire claire.
Deuxièmement, toute surveillance des Américains devrait être transférée au FBI.
Le FBI est chargé de la lutte antiterrorisme aux États-Unis, et c’est à lui de jouer ce rôle. Toutes les opérations axées contre des citoyens américains doivent être soumises à la loi américaine et le FBI est le meilleur endroit pour appliquer cette loi. Que la NSA puisse, pour beaucoup, esquiver le contrôle du Congrès, la procédure judiciaire en bonne et due forme, et les lois nationales, c’est un affront à notre Constitution et un danger pour notre société. La mission de la NSA doit se concentrer à l’extérieur des États-Unis–pour de vrai, pas juste pour la gallerie.
Troisièmement, il faut rééquilibrer le reste de la NSA pour que la COMSEC (sécurité des communications) ait priorité sur SIGINT (renseignement). Au lieu de travailler délibérément à affaiblir la sécurité de tout le monde, la NSA devrait œuvrer pour améliorer la sécurité de tout le monde.
La sécurité informatique et la sécurité des réseaux sont difficiles, et nous avons besoin de l’expertise de la NSA pour sécuriser nos réseaux sociaux, les systèmes d’entreprise, les ordinateurs, téléphones et autres infrastructures essentielles. Souvenez-vous juste des récents incidents de piratages de comptes – de Target à Kickstarter. Ce qui semblait occasionnel semble maintenant habituel. Tout travail de la NSA pour sécuriser notre infrastructure et nos réseaux peut être effectué ouvertement- le secret n’est pas nécessaire.
Il s’agit d’une solution radicale, mais les nombreux méfaits de la NSA exigent une pensée radicale. Elle n’est pas si éloignée des recommandations du Groupe Présidentiel de Revue des Technologies de Surveillance et de Communication , chargé d’évaluer les programmes actuels de la NSA. Sa 24e recommandation est de donner le commandement de la NSA à un général et le commandement du US Cyber Command à un autre, et la 29e recommandation est de donner priorité au cryptage avant l’exploitation.
Je n’ai aucune illusion quant à l’implémentation d’une telle solution dans un avenir proche, mais cela pourrait être le seul moyen de domestiquer l’énorme monstre qu’est devenue la NSA.
Références
Cet essai a déjà paru sur CNN.com.
http://www.CNN.com/2014/02/20/opinion/Schneier-NSA-Too-Big/index.html ou http://tinyurl.com/kyrfpvl
La NSA nous met en péril ;
https://www.Schneier.com/Essay-469.html
Catalogue TAO des « implants » matériels et logiciels:
https://www.Schneier.com/blog/archives/2013/12/more_about_the.html
http://www.theguardian.com/commentisfree/2014/Jan/06/NSA-Tailored-Access-Operations-Privacy
ou http://tinyurl.com/m8s74no
Collecte de masse des appels téléphoniques par la NSA:
http://www.theguardian.com/World/2013/Jun/06/NSA-Phone-Records-Verizon-court-Order
ou http://tinyurl.com/qaynuex
Collecte de masse des données de localisation par la NSA:
http://www.washingtonpost.com/World/National-Security/NSA-Tracking-Cellphone-locations-Worldwide-Snowden-documents-Show/2013/12/04/5492873a-5cf2-11E3-bc56-c6ca94801fac_story.html
ou http://tinyurl.com/nu4h5s9
Collecte de masse des courriels par la NSA :
http://www.theguardian.com/World/2013/Jun/27/NSA-Data-Mining-authorised-Obama
ou http://tinyurl.com/ou2cewm
Collecte de masse des textos par la NSA:
http://www.theguardian.com/World/2014/Jan/16/NSA-collects-millions-Text-messages-Daily-untargeted-global-Sweep
ou http://tinyurl.com/nm6rmx8
La reconnaissance de Clapper :
http://www.thedailybeast.com/Articles/2014/02/17/Spy-Chief-we-should-ve-Told-You-We-Track-Your-Calls.html
ou http://tinyurl.com/ppu98ay
Le programme BULLRUN :
http://www.theguardian.com/World/2013/Sep/05/NSA-GCHQ-Encryption-codes-Security
ou http://tinyurl.com/m47p5dc
http://www.nytimes.com/interactive/2013/09/05/US/documents-Reveal-NSA-Campaign-Against-Encryption.html
ou http://tinyurl.com/kbgkfcq
Le piratage de l’usine d’enrichissement nucléaire de Natanz:
http://www.CNN.com/2011/11/08/Tech/Iran-Stuxnet
Le piratage de la compagnie de téléphone belge :
http://www.Spiegel.de/International/Europe/British-Spy-Agency-GCHQ-hacked-Belgian-Telecoms-Firm-a-923406.html
ou http://tinyurl.com/plphdb8
Fil de discussion Slashdot:
http://yro.Slashdot.org/story/14/02/21/1418207/Schneier-Break-up-the-NSA
ou http://tinyurl.com/k3kb5zv
Fil de nouvelles d’Hacker :
https://news.YCombinator.com/item?ID=7277128
Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf
(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)