En janvier 2012, l'Agence de sécurité nationale américaine (NSA) avait trois outils cryptographiques en ligne de mire : l'outil d'anonymisation du trafic Internet Tor (The Onion Router), la distribution Linux Tails (The Amnesic Incognito Live System) et le système de chiffrement de disque TrueCrypt. Selon l'agence, Tor, Tails et TrueCrypt représentaient des menaces très sérieuses parce qu'ils entravaient sa capacité à intercepter le trafic Internet et à traiter certaines des informations collectées. Depuis, des failles ont été trouvées dans Tor et le FBI a pu démasquer des utilisateurs du réseau anonyme, une vulnérabilité a été trouvée dans Tails, ce qui a permis de trouver les adresses IP des utilisateurs. Enfin, alors qu'un audit de TrueCrypt confirmait la bonne qualité de son code source, ses développeurs anonymes ont abandonné l'outil sans raison quelques semaines plus tard, après avoir informé les utilisateurs que TrueCrypt n'était pas aussi sûr. Le fait que la NSA a estimé que ces outils étaient dangereux n'est pas vraiment une surprise : depuis le mois de juillet, on sait que XKeyscore, un logiciel utilisé par l'agence pour intercepter le trafic Internet, a aussi servi à pister les internautes qui visitaient les sites des projets Tor et Tails. Cependant, les documents fuités par Edward Snowden et publiés hier par le magazine allemand Der Spiegel, indiquent clairement que la priorité de la NSA était de casser les protections de ces logiciels pour intercepter et déchiffrer les communications de ses cibles. Dans une liste figurant en page 25 d'un des documents livrés par l'ancien consultant de la NSA, les outils de sécurité ont été classés en fonction de leur impact et du risque qu'ils représentaient. Dans une série de diapositives, la NSA explique que, à de rares exceptions, ce sont ces deux critères, impact et risque, qui ont servi de référence pour développer « des solutions spécifiques ». « Dans un environnement aux ressources limitées, la nécessité d'apporter des réponses aux menaces présentes dépassera toujours le travail spéculatif d'évaluation des menaces ».

Un budget spécial pour casser Tor, Tails et TrueCrypt

Der Spiegel donne un autre éclairage sur le sens de ces contraintes : Sur un budget 2013 de 10 milliards de dollars, la NSA a imputé 34,3 millions de dollars au poste « Cryptoanalyse et Services d'Exploitation ». Au top de sa liste de menaces majeures ou de menaces aux conséquences potentiellement catastrophiques, pouvant entraver en partie ou totalement son travail d'espionnage des communications de cibles prioritaires, figuraient Tor, Tails et TrueCrypt. Bien sûr, il est peu probable que les attaques contre Tor et Tails dont les médias ont rendu compte ont été menées par la NSA. Mais si une attaque contre Tor représente une dépense de 3 000 dollars à peine pour des chercheurs, il est certain que, au cours des trois dernières années, la NSA avait le budget suffisant pour en faire autant. Par ailleurs, si les théories conspirationnistes liant la disparition de TrueCrypt à la NSA se sont évanouies dans la nature, aucune explication convaincante ne permet de comprendre pourquoi les développeurs ont subitement abandonné un outil qui venait de passer avec succès un audit de code.

La liste de la NSA comporte également d'autres outils pouvant entraver le travail de l'agence, mais celle-ci jugeait leurs menaces moins prioritaires parce qu'ils n'étaient pas encore, ou plus du tout, utilisés par ses cibles de premier rang. Sur cette liste figure néanmoins l'outil de cryptage des communications téléphoniques RedPhone, qui utilise le système de clef sécurisé ZRTP créé par Phil Zimmermann pour les communications voix RTP (Real-Time Transport Protocol). Il y a plus de 20 ans, celui-ci avait développé l'outil de chiffrement PGP (Pretty Good Privacy), que la NSA n'est toujours pas parvenue à casser, comme le montre la diapositive publiée par Der Spiegel. La raison pour laquelle PGP ne fait pas partie des cibles prioritaires de la NSA peut s'expliquer par le fait que, en terme d'utilisation, PGP n'est clairement pas à la portée de tout le monde. Cependant, depuis que le ZRTP est utilisé pour chiffrer les communications voix sur des smartphones vendus dans le commerce, comme le Blackphone, il y a fort à parier que RedPhone et d'autres outils basés sur le ZRTP vont gagner des places dans la liste de la NSA.

Où en sont les projets de la NSA ? 

La série de diapositives de la NSA permet aussi de voir que certains défis techniques auxquels est confrontée l'agence ressemblent à ceux de n'importe quel utilisateur professionnel. Par exemple, l'agence regrette qu'« Excel plafonne à un million de lignes », et estime que les feuilles Excel ne sont pas adaptées pour traiter les très nombreuses données des « évènements d'utilisateurs actifs » collectés par un seul programme de la NSA. « Il faut quatre ou cinq tables pour visualiser les données d'une trentaine de cibles. Et pour deux semaines de collecte, il faut générer 100 à 150 tables », indique la NSA dans sa présentation. Comme beaucoup d'institutions, la NSA a eu aussi de gros problèmes avec les données non structurées.

Une diapositive numérotée 37 indique que depuis des années la base de données « TKB/UTT » (Target Knowledge Base/Unified Targeting Tool), sorte de répertoire récapitulatif des cibles, contient des champs vides. Depuis 2012, l'agence travaille à résoudre ce problème, avec une limite de réalisation fixée à 2015. Étant donné que les documents fournis par Edward Snowden sont tous antérieurs à mai 2013, date à laquelle il a quitté Hawaii pour s'exiler d'abord à Hong Kong, puis en Russie, il faudrait qu'un autre lanceur d'alerte prenne le relais pour savoir si la NSA a tenu son calendrier, et si l'agence a réussi à casser d'autres logiciels qui entravent ses activités d'espionnage.