,
l’exemple de la _NSAKEY est emblématique de périls nouveaux, nés de la
collaboration souterraine entre les grandes entreprises du secteur informatique,
quasi-exclusivement américaines,Mais la NSA ne
s’avoue pas vaincue. PGP n’est qu’un programme d’encryptage parmi
d’autres, et il n’est pas le plus répandu. Les concurrents de PGP dépendent
de multinationales qui ont pignon sur rue, et tiennent à rester en bons termes
avec les autorités américaines. Ces entreprises se soumettent de bonne grâce
aux exigences de surveillance de l’Agence. Le gouvernement suédois l’a
appris à ses dépens en 1997, en découvrant qu’IBM lui avait vendu un réseau
électronique truqué. Le courrier électronique que les députés suédois,
15,000 agents du fisc et 400,000 citoyens croyaient confidentiels, était
lisible en clair par les espions américains. Les deux principaux logiciels de
navigation sur l’Internet, deux produits américains, contiennent des modules
dits « de sécurité » indispensables au commerce électronique.
Mais lorsqu’un internaute européen passe une commande de CD dans une boutique
virtuelle américaine, le renifleur de MAE-East n’a aucun mal à déterminer
ses goûts musicaux : le module de sécurité transmet complaisamment dans
l’entête du message, et à la seule intention de la NSA, les éléments nécessaires
au décodage. Plus incroyable encore, la découverte fortuite de l’existence
d’une deuxième clé de décodage dans le bloc cryptographique de la version
de Windows destinée aux entreprises. Le nom de cette clé : _NSAKEY…
Microsoft jure ses grands dieux qu’il s’agit d’un double inoffensif, mais
plusieurs cryptographes de renom pensent qu’il n’est pas absurde d’y voir
une porte d’entrée discrète permettant à la NSA de s’introduire dans les
ordinateurs des clients de Microsoft – où qu’ils soient dans le monde.
Le nom « _NSAKEY »
n’aurait jamais dû apparaître au grand jour, puisque le code (on en revient
ici au sens premier du terme) de Windows est secret. Aucune manipulation de
cette nature n’est possible dans un programme ouvert à l’inspection du
public, comme Linux. Qu’il y ait complot ou pas
,
l’exemple de la _NSAKEY est emblématique de périls nouveaux, nés de la
collaboration souterraine entre les grandes entreprises du secteur informatique,
quasi-exclusivement américaines,