Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  04.05.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Dans le « Service Pack » 5 de Windows NT 4, livré le 26 avril 1999 aux OEM - Original Equipment Manufacturer en août 1999 au public, un expert, Andrew Fernandes (scientifique en chef chez Cryptonym Corporation, spécialiste canadien en cryptographie), trouva, [3] le 27 novembre 1999, deux variables contenant des clés publiques de crytographie PGP. L'une de ces variables s'appelait _KEY et l'autre [1] [2] _NSAKEY. Il communiqua là-dessus en arguant que dans _NSAKEY il fallait peut-être lire "NSA".

Le journaliste d'investigation Duncan Campbell (celui-la-même qui révéla l'existence du Réseau Echelon au Parlement Européen en 1999) s'empara de l'affaire. Microsoft chercha à nier une collusion quelconque avec la NSA et s'emberlificota dans ses dénégations et explications avec Duncan Campbell. Comme il posait de plus en plus de questions, son interlocateur chez Microsoft, Richard Purcell (Directeur des Droits Privés d'entreprises), rompit le dialogue. Duncan Campbell poursuivit. Comme rien ne pouvait être matériellement prouvé, la théorie du complot s'engoufra dans la brèche.

S'il n'y a pas eu, semble-t-il, de véritable backdoor dans ce qu'a découvert Andrew Fernandes (mais il est tout aussi difficile de prouver l'existence que la non existence d'un backdoor), il semble tout de même qu'il y a eu une relation entre Microsoft et la NSA puisque les explications de Microsoft disent que cette variable faisait partie des exigences de conformité de Microsoft à l'exportation.

Un peu plus tard, le Dr Nicko van Someren trouva une troisième clé, dans Windows 2000, dont il doutait qu'elle ait un but légitime, et déclara « Ca ressemble plus à un truc louche/suspect. » (« It looks more fishy »).

Il y a des preuves tangibles de la collusion entre le monde de l'espionnage politique, militaire, industriel, économique et commercial des États-Unis d'Amérique (et, spéculation, des états du Pacte UKUSA) et les fournisseurs de solutions informatiques, matériels et logiciels, sachant que ces solutions sont quasiment toutes américaines et inondent le monde entier. La réussite économique et commerciale des États-Unis provient en grande partie de sa capacité à espionner et se tenir informé des propositions techniques et commerciales de ses concurrents à travers le monde. Une foule de moyens sont mis en oeuvre pour cet espionnage. La "relation" semble être obligatoire entre les constructeurs américains de solutions propriétaires de traitement de l'information (elles sont presque toutes américains, mais sont utilisées dans le monde entier), et les agences d'espionnage américaines comme la NSA (Echelon, Tempest, Vent Stellaire...) et le FBI (Carnivore et ses successeurs à base de Deep Packet Inspection). Sous prétexte de 11 septembre ou d'interdiction d'exportation de solutions de pointe, seules des solutions "dégradées" sont exportables (dont les solutions de cryptage dégradées).




En 1996, la découverte d'un accord entre IBM et la NSA ne fit pas énormément de bruit dans les médias mais secoua vivement le monde politique, le monde industriel et le monde commercial. Cet accord entre IBM et la NSA fait qu'IBM donne 24 des 64 bits de la clé de chiffrement (cryptage) de Lotus Notes à la NSA. Cette dernière n'a donc plus que 40 bits de clé de chiffrement (cryptage) à casser, ce qu'elle sait faire.

Lotus Notes est le côté client d'une plateforme collaborative dont le côté serveur est Lotus Domino. Lotus Notes est l'outil de cette nature très largement le plus utilisé au monde. Lotus Notes permet le travail collaboratif entre personnes dans un cadre (comme la gestion d'un projet...), l'échange sécurisé d'informations, de courriels (protocoles POP3, IMAP, SMTP...), un agenda collectif, un annuaire, une base documentaire et son gestionnaire, une messagerie instantanée, blogs, microblogs, voix sur IP, vidéo conférence, etc.

Permettre de casser la clé de chiffrement de Lotus Notes est écrit en toutes lettres dans la documentation du produit !

Document en anglais américain Lotus Notes and Domino R5.0 Security Infrastructure Revealed - Edition IBM mai 1999 - page 80.

Guide écrit par IBM sur les infrastructures de sécurité de Lotus Notes et Lotus Domino - Clé de chiffrement tronquée ou partiellement révélée à la NSA - Notes Version 5.0 - mai 1999
Guide écrit par IBM sur les infrastructures de sécurité de Lotus Notes et Lotus Domino - Clé de chiffrement tronquée ou partiellement révélée à la NSA - Notes Version 5.0 - mai 1999

La NSA peut donc casser toutes les conversations chiffrées (cryptées) avec Lotus Notes or ce très bon outil est très largement employé dans quasiment tous les grands groupes du monde, toutes les administrations (on lui attribue, à la fin des années 90, 50% de part de marché dans le monde contre 25% à Microsoft Exchange. En France, le chiffre de 70% de part de marché est avancé. 150 à 192 millions de personnes dans le monde l'utilisent quotidiennement. Air France, BNP Paribas, Eurocopter, Vinci, Total... sont utilisateurs de Lotus Notes).

C'est de cet accord que provient une part des pertes de commandes de marchés français (et dans tous les autres pays du monde) au profit d'entreprises américaines. On est dans l'espionnage économique et industriel (l'intelligence économique) organisé par un état.

Document en français Lotus Notes
Document en anglais américain Lotus Notes
Document en anglais américain 24.12.1997 - The Risk digest - Vol 19 - The Swedes discover Lotus Notes has key escrow!
Document en anglais américain 06.01.1999 - Duncan Campbell - Lotus Notes : Seule la NSA peut écouter donc tout va bien !
Document en français 14 ans plus tard : Prism et Cie




Déclaration de William Cohen, Secrétaire américain à la Défense

Dans ce discours aux employés de Microsoft du 18 février 1999 (texte intégral sur U.S. Department of Defense) le secrétaire américain à la défense, William Cohen, demande à Microsoft de pratiquer l'espionnage des individus et l'intelligence (l'espionnage) industrielle et économique :


« Je suis persuadé que Microsoft comprend parfaitement le lien crucial qui existe entre notre sécurité nationale et la prospérité de notre pays. »

« ...I believe that Microsoft does understand the crucial connection between our national security and our national prosperity... »

Sans commentaire ...

A cette époque, on a pensé immédiatement à ce que l'on a appellé, de manière générique, la « NSA Trapdoor » (un espion dans Windows dont « Magic Lantern » aurait put être l'un des composants).













  1.  [01] _NSAKEY (Wikipedia) [Archive]

  2.  [02] _NSAKEY (Wikipedia) [Archive]

  3.  [03] Microsoft, the NSA, and You (cryptonym.com - n'existe plus, voir dans les archives) [Archive]