A l'heure où les attentats terroristes redonnent de la vigueur à un vieux débat sur le chiffrement des communications - régulièrement accusé, en France comme aux Etats-Unis, de freiner les enquêtes -, l'affaire des deux failles majeures révélées par l'américain Juniper, numéro 2 mondial des équipements de sécurité des réseaux, vient d'apporter un contrepoint qui mérite qu'on s'y arrête.
Les failles ont été introduites par du «code non autorisé» dans ScreenOS, le système d'exploitation de nombreux équipements censés protéger les réseaux. Comme l'a reconnu l'entreprise, l'une des deux aurait pu permettre à un cyberattaquant de déchiffrer du trafic VPN - une technologie massivement utilisée pour sécuriser les échanges à distance avec un réseau local - transitant par ces équipements, et ce depuis 2012. Au vu de la clientèle du constructeur, grandes entreprises et gouvernements, l'alerte est sérieuse.
Les soupçons se sont d'abord orientés vers la NSA, dont Edward Snowden avait révélé qu'elle s'était attaquée, notamment, à des pare-feu Juniper pour y implanter des logiciels espions. Or en l'espèce, avancent plusieurs experts, l'agence américaine pourrait très bien ne pas être responsable de la faille… tout en l'ayant provoquée.
Pour résumer cette histoire, aussi fascinante que redoutablement technique : est ici en cause un algorithme développé par la NSA, suspecté depuis près de dix ans de contenir un accès secret ménagé à l'insu des utilisateurs, une «porte dérobée». Laquelle rendrait les opérations cryptographiques qui s'appuient sur l'algorithme potentiellement réversibles, et les communications déchiffrables. Or, ScreenOS utilise cet algorithme, dans une version dont les paramètres ont été modifiés par Juniper, sans que l'on sache pour l'instant dans quel but. En 2012, le «code non autorisé» signalé par le constructeur est venu, à son tour, modifier ces paramètres. Autrement dit, la vulnérabilité - qu'elle ait été intentionnelle ou non - aurait pu être mise à profit par plusieurs acteurs dont, en dernier lieu, un attaquant encore inconnu qui pourrait très bien être un Etat.
De ce scénario d’arroseur arrosé, au carrefour du roman d’espionnage et des mathématiques de pointe, il est une conclusion, limpide, à tirer : toute «porte dérobée» peut, un jour ou l’autre, profiter à d’autres acteurs que ceux qui l’ont conçue. Reste à savoir si cette amère leçon suffira à modérer les aspirations des gouvernements à une sécurité numérique à géométrie variable.
