Peut-on avoir confiance dans les logiciels anti-virus américains ?

Le contexte actuel est à la méfiance vis-à-vis des solutions informatiques américaines. Les grands groupes informatiques américains ont prouvé leur manque de fiabilité et les sociétés d’anti-virus ne font pas exception. Explications.

Les révélations d’Edward Snowden sur la surveillance massive des réseaux par les Etats-Unis ont provoqué une crise de confiance profonde dans les outils informatiques utilisés tous les jours par des millions de personnes. Parmi ces outils, les logiciels anti-virus sont ceux dans lesquels nous plaçons notre confiance pour nous protéger des différentes menaces informatiques. Pourtant le doute est de rigueur quand on s’interroge sur l’intégrité de ces logiciels à la lumière des scandales actuels.

La National Security Agency (NSA) a démontré sa volonté et sa capacité à capter les flux d’informations dans la plupart des logiciels grands publics, et ce, que ce soit avec ou sans l’accord de l’éditeur du logiciel. Pour arriver à cet objectif, la NSA va privilégier la coopération en amont, les partenariats avec les grands groupes informatiques. Cette collaboration avec les grands noms de l’informatique que sont Microsoft, Intel, Symantec ou encore McAfee répond également à une exigence technique pour la NSA car elle doit disposer des technologies lui permettant d’avoir une puissance de calcul suffisante pour remplir sa mission d’analyse cryptographique. Les liens sont donc forts et durables entre les entreprises de hautes-technologies et les différentes agences du renseignement américain.

Dans le cadre plus restreint de la sécurité des systèmes d’information, la NSA intervient, en partenariat avec le Département de la sécurité intérieure, dans deux domaines : la normalisation et le conseil. La normalisation par la création de normes de sécurité diffusées ensuite aux industriels de l’informatique, et le conseil dans la réalisation de certains protocoles de sécurité spécifiques intégrés ensuite dans des logiciels ou des systèmes d’exploitation comme Windows (Pare-feu et configuration de sécurité notamment), mais aussi certaines distributions spécialisées de Linux (Security-Enhanced Linux). La NSA avait tenté dans les années 1990 d’insérer directement des Backdoor -portes dérobées permettant un accès distant- dans certains logiciels de chiffrement des données, cependant la réglementation de l’époque ne le permettait pas. Nils Torvalds a même reconnu avoir été approché par la NSA pour intégrer une porte dérobée dans Linux.

Dans ce contexte, les liens de la NSA avec les deux groupes américains d’anti-virus que sont Symantec et McAfee sont donc nécessairement étroits car structurels. La collaboration entre ces entreprises et l’agence se base donc sur la volonté d’améliorer la sécurité des systèmes d’information. Néanmoins, derrière l’objectif « officiel », il y a l’objectif « officieux » qui est de capter l’information là où elle est. L’intérêt étant de profiter de la confiance accordée aux anti-virus pour avoir un accès quasi-complet aux informations présentes sur un ordinateur. On imagine mal que dans un système où la surveillance est institutionnalisée les services de renseignement se passent de cette opportunité.

La difficulté intervient au moment de passer de la présomption à la preuve. La collaboration entre services et entreprises est connue et assumée mais seulement dans l’optique d’améliorer la sécurité des systèmes informatiques. Pour arriver à prouver une collaboration dans le domaine de la surveillance, il faudrait qu’un Bradley Manning ou qu’un Edward Snowden en fasse la révélation. En attendant, il faut essayer de rassembler un faisceau d’indices pour affirmer que la collaboration dépasse celle qui est affichée.

Des sites comme Zataz.com ou cryptome.org recensent les différentes failles et attaques informatiques qui ont lieu dans le monde. Les événements recensés mettent en lumière que la collaboration par la NSA permet à cette dernière de connaitre le fonctionnement des futurs systèmes, donc d’en connaitre les failles, mais également de limiter ab initio la puissance de certains mécanismes de cryptage dans le but de déchiffrer plus facilement les données qui pourraient être interceptées. C’est notamment un des objectifs du programme Bullrun dévoilé par Edward Snowden. Si de nombreux d’anti-virus proposent des solutions de cryptage et d’effacement sécurisé, leur efficacité doit être appréciée à la lumière de ces éléments.

Dans le cas de Stuxnet, plusieurs failles de type O-Day, c’est-à-dire inconnues jusque-là et particulièrement efficaces, ont été utilisées simultanément. L’utilisation de ce type d’exploit -au sens techniqueinformatique nécessite une étude très poussé des logiciels visés, tellement poussée qu’il est permis de s’interroger sur les modes de découverte de ces failles : recherche pure ou utilisation détournée de données recueillies dans les phases de coopération évoquée plus haut ? La réponse n’est pas tranchée et le débat reste entier. Dans l’affaire Stuxnet, il est utile de rappeler que le virus n’avait pas été découvert par des anti-virus américains et que ce virus était configuré pour ne pas s’attaquer aux ordinateurs exécutant certaines versions du logiciel eTrust de CA Technologies.

Cet état de fait n’est pas le résultat d’une volonté unilatérale de la NSA, mais bien d’obligations légales. Ces obligations sont le résultat d’une volonté politique continue et durable des gouvernements successifs. Parmi ces législations la plus ancienne est le Foreign Intelligence Surveillance Act (FISA) de 1978 qui établit une procédure générale de collecte du renseignement, cette loi a été régulièrement amendée notamment en 2008 pour la partie interception informatique. A ce FISA s’ajoute l’Executive Order 12333 du Président Reagan de 1981, amendé par G.W. Bush en 2004 et 2008, qui définit les missions des différentes agences du renseignement. Il est à noter que les executive order qui concernent la sécurité nationale ne sont pas nécessairement publié. Vient ensuite le Patriot Act de 2001 dont les possibilités sont très larges dès qu’il s’agit de terrorisme, et qui modifie également le FISA.

A ce socle législatif s’ajoute des possibilités ponctuelles comme les FISA court order permettant au Gouvernement d’obtenir une information spécifique dans le cadre du FISA. Sur la partie interception des correspondances, le FBI dispose quant à lui d’une capacité spécifique prévue par la National Security Letter. Il s’agit d’une création du Patriot Act qui donne plus de liberté au FBI dans ses investigations en matière de terrorisme et d’espionnage.

D’un point de vue technique, les anti-virus des sociétés Symantec et McAfee sont payants, exceptions faites des versions limitées dans le temps ou aux fonctionnalités restreintes. Leurs codes sources et donc les détails de leurs fonctionnements ne peuvent être connus, au contraire des logiciels libres dont la fiabilité repose sur la connaissance et l’analyse possible du code source.

Les mécanismes de détection des menaces des anti-virus varient selon les logiciels, mais ils ont souvent pour point commun d’utiliser une détection par comparaison de signature. Chaque virus ayant sa propre signature, le fichier présent sur l’ordinateur est comparé à une base de données qui dira si le fichier en question contient un code malveillant. Cette méthode est efficace quand elle est associée à d’autres méthodes, comme l’analyse heuristique par exemple.

Cependant cette méthode soulève deux problèmes. Pour obtenir l’information sur l’innocuité du document, le fichier doit être ouvert par le logiciel et son contenu et son comportement vont être analysés. Cela peut représenter un danger quand le fichier est confidentiel. A cela s’ajoute le fait que la base de données à laquelle est comparé le fichier n’est pas connue. En effet, certains logiciels envoient certaines données concernant le fichier à un serveur distant pour améliorer l’efficacité des futures détections. Mais, encore une fois, dans le contexte actuel des programmes Bullrun et XKeyScore, il ne serait pas surprenant d’apprendre que ces logiciels récoltent en fait plus d’information qu’ils ne sont censés le faire.

En somme, les relations entre les éditeurs d’anti-virus américains et les agences de renseignement américaines sont ambiguës. Ambiguës, car si la nature de leur collaboration n’est pas claire, les différentes affaires de fuites d’information ne permettent pas pour autant d’affirmer que ces sociétés transmettent des informations au renseignement américain. La seule certitude est que l'on ne peut pas accorder de confiance aveugle à ces logiciels.

Charles Ponsard